Resurgimiento de la botnet Emotet infectando a más de 100.000 ordenadores
Tras volver con fuerza en noviembre del pasado año, Emotet vuelve a mostrar un crecimiento constante en la infección de equipos, acumulando más de 100.000 hosts infectados.


Según recientes investigaciones Emotet no ha alcanzado la misma escala que una vez tuvo, aunque está mostrando un fuerte resurgimiento tras la pausa de 10 meses que se tomó en 2021. Desde noviembre se han infectado 130k hosts esparcidos por 179 países.

Anterior al desmantelamiento en enero de 2021, este malware tenía infectado a 1.6 millones de dispositivos en todo el mundo. Emotet actuaba como medio para que los cibercriminales instalaran troyanos bancarios o ransomware en los sistemas comprometidos.

Se dice que la resurrección de éste malware ha sido dirigida por la propia banda Conti, utilizando Trickbot como medio de distribución, en un intento de cambiar de táctica para evadir el seguimiento de las fuerzas de seguridad sobre las actividades maliciosas del mismo.

Los investigadores de Black Lotus Labs señalan que la suma de bots realmente no comenzó en serio hasta enero de 2022, donde las nuevas variantes cambiaron el esquema de cifrado RSA, cifrando el tráfico de red. También pueden recopilar información mas allá de una lista de los procesos en ejecución de las máquinas infectadas.


Actualmente, la botnet abarca casi 200 comand and control (C2) con la mayoría de dominios ubicados en EEUU, Alemania, Brasil, Tailandia e India. Por otro lado la mayor parte de los bots infectados se encuentran en Asia, principalmente en Japón, India, y China.

«El crecimiento y la distribución de los bots es un indicador importante del progreso de Emotet en el restablecimiento de su infraestructura, que en su día fue muy extensa. Cada bot es un punto de apoyo potencial para una red codiciada y presenta una oportunidad para desplegar Cobalt Strike o eventualmente ser promovido a un Bot C2».

FUENTE:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

SHADOW_PANDA

¿Usas Facebook? ¿Tienes alguna extensión instalada en el navegador? Pues, cuidado si tienes instalada la extensión de Chrome que comentamos en este post, ya que podrías sufrir exfiltración de datos debido a que otorga a un servidor de terceros acceso a datos del usuario.

El token designado por el investigador en ciberseguridad Zach Edwards como "Modo Dios", está expuesto en texto plano en las APIs del servicio, que se suelen usar para la integración de automatismos, módulos, plugins, etc... Ya en 2018 hubo problemas con este token, ya que se eliminaron 50 millones de cuentas de facebook debido a una "exposición simbólica".

Francois Marier, ingeniero de seguridad de Brave, publicó en Github Issues, que ha descubierto que la extensión L.O.C. de Chrome expone los datos de la red social a un posible robo. Si un usuario tiene instalada esta extensión en el navegador y ha iniciado sesión en Facebook, la aplicación otorga el acceso a algunos datos del usuario a un servidor de terceros.

Pese a las declaraciones de Loc Mai, el creador de la aplicación L.O.C., en las que sostenía que, como indica la política de privacidad de su aplicación, no recolecta información del usuario. La aplicación almacena el token de manera local. Esto último hace que un desarrollador malicioso pueda utilizarlo para obtener datos del usuario. Por ejemplo, la API Graph de Facebook necesita de este token de acceso para funcionar. Esta API es una de las herramientas principales para que las aplicaciones puedan realizar tareas de lectura y escritura en la gráfica social de Facebook según indica su documentación.

Algunos navegadores como Brave, hacen alarde de cuidar la privacidad de los usuarios que utilizan este navegador, por lo que están bloqueando la instalación de la extensión L.O.C.
aqui dejo el enlace de la documentacion de la api graph:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
SHADOW_PANDA
FUENTE:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El pasado «Patch Tuesday» la fundación Mozilla publicó su boletín de seguridad en el que se solucionan 12 vulnerabilidades, 4 de ellas consideradas de gravedad alta.

Pasaremos a describir el impacto de las vulnerabilidades más graves:

Dos errores presentes en las versiones Firefox 96 y Firefox ESR 91.5 permitirían a un atacante remoto corromper la memoria y presumiblemente ejecutar código arbitrario (CVE-2022-22764 y CVE-2022-0511).
Otra de las vulnerabilidades, a la que se le ha asignado el código CVE-2022-22753, permitiría a un atacante escalar privilegios aprovechando un error de tipo «Time-of-Check Time-of-Use». En un supuesto escenario, el atacante podría conseguir privilegios de sistema y escribir en un directorio arbitrario. Esta vulnerabilidad solo afecta a sistemas Windows.

También se corrige un salto de restricciones de seguridad que permitiría a una extensión maliciosa instalar una nueva versión de dicha extensión sin mostrar el mensaje de confirmación (CVE-2022-22754).

El resto de vulnerabilidades se consideran de criticidad moderada y permitirián entre otras cosas la ejecución de código Javascript de una pestaña ya cerrada (CVE-2022-22755), la ejecución de código arbitrario manipulando al usuario para que arrastre una imagen a su escritorio u otro directorio (CVE-2022-22756), permitir a una página local maliciosa controlar un navegador con WebDriver activado (CVE-2022-22757), permitir el envío de códigos USSD a través de enlaces 'No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (CVE-2022-22758), la ejecución de scripts en iframes aislados sin la propiedad «allow-scripts» activa (CVE-2022-22760), o la aplicación incorrecta de políticas de seguridad de contenido en páginas accesibles desde extensiones (CVE-2022-22761).

Se recomienda encarecidamente actualizar cuanto antes a la última versión de Mozilla Firefox que corrige estas vulnerabilidades.
SHADOW_PANDA
FUENTE:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Campañas generalizadas de software malicioso FluBot y TeaBot dirigidas a dispositivos Android
Los investigadores del equipo Bitdefender Mobile Threats dijeron que han interceptado más de 100.000 mensajes SMS maliciosos que intentaban distribuir el malware Flubot desde principios de diciembre.

Usted está aquí: Inicio / Malware / Campañas generalizadas de software malicioso FluBot y TeaBot dirigidas a dispositivos Android
Campañas generalizadas de software malicioso FluBot y TeaBot dirigidas a dispositivos Android
3 febrero, 2022 Por Virginia Sanz Dejar un comentario

Los investigadores del equipo Bitdefender Mobile Threats dijeron que han interceptado más de 100.000 mensajes SMS maliciosos que intentaban distribuir el malware Flubot desde principios de diciembre.


«Los hallazgos indican que los atacantes están modificando sus líneas de asunto y utilizando estafas más antiguas pero probadas para atraer a los usuarios a hacer clic», detalló la firma rumana de ciberseguridad en un informe publicado el miércoles. «Además, los atacantes están cambiando rápidamente los países a los que apuntan en esta campaña«.

Se dice que la nueva ola de ataques fue más activa en Australia, Alemania, Polonia, España, Austria e Italia, entre otros, y los ataques se extendieron a países más nuevos como Rumania, los Países Bajos y Tailandia a partir de mediados de enero.

Las campañas de FluBot (también conocido como Cabassous) utilizan smishing como el método de entrega principal para dirigirse a las víctimas potenciales, en las que los usuarios reciben un mensaje SMS con la pregunta «¿Eres tú en este video?» y son engañados para que hagan clic en un enlace que instala el malware.

«Este nuevo vector de troyanos bancarios muestra que los atacantes buscan expandirse más allá de los mensajes SMS maliciosos regulares», dijeron los investigadores.

TeaBot se hace pasar por aplicaciones de escáner de código QR
No es solo FluBot. Otro troyano de Android llamado TeaBot (también conocido como Anatsa) se ha observado al acecho en Google Play Store en forma de una aplicación llamada «Lector de códigos QR – Aplicación de escáner», que atrae no menos de 100,000 descargas y ofrece 17 variantes diferentes del malware entre el 6 de diciembre de 2021 y el 17 de enero de 2022.

En una táctica que se está volviendo cada vez más común, la aplicación ofrece la funcionalidad prometida, pero también está diseñada para recuperar un archivo APK malicioso alojado en GitHub, no sin antes comprobar que el código de país del operador registrado actual no comienza con » U».

La instalación de la aplicación maliciosa implica presentar una interfaz de usuario falsa que notifica al usuario que se requiere una actualización complementaria y que la configuración para permitir instalaciones de fuentes desconocidas debe estar habilitada para aplicar la actualización.

Otra técnica de interés adoptada por los operadores es el control de versiones, que funciona mediante el envío de una versión benigna de una aplicación a la tienda de aplicaciones con el fin de evadir el proceso de revisión implementado por Google, solo para reemplazar el código base con el tiempo con funcionalidad maliciosa adicional a través de actualizaciones en una fecha posterior.

Más allá de eludir las protecciones de Play Store para llegar a un grupo de infecciones más amplio, se cree que los operadores pagaron para aparecer en Google Ads servidos dentro de otras aplicaciones y juegos legítimos, «dándoles tiempo de pantalla en una aplicación que podría tener millones de usuarios».

El análisis también corrobora un informe anterior de la firma holandesa de ciberseguridad ThreatFabric, que encontró seis cuentagotas de Anatsa (TeaBot) en Play Store desde junio de 2021. Las aplicaciones se programaron para descargar una «actualización» seguida de una solicitud a los usuarios para que les concedieran privilegios del Servicio de Accesibilidad y permisos para instalar. aplicaciones de fuentes de terceros desconocidas.

«Los atacantes tratan el malware como un producto, con desarrollo y control de versiones, trabajando arduamente para eludir las tecnologías de seguridad y obtener más víctimas», dijo Richard Melick, director de estrategia de productos para seguridad de puntos finales en Zimperium.

"Cuando se interrumpe una versión, los actores malintencionados vuelven a desarrollar la siguiente versión, especialmente cuando los resultados han sido efectivos. Y el terminal móvil es un objetivo increíblemente lucrativo para los atacantes", agregó Melick.

SHADOW_PANDA
FUENTE:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

este post lo hago sobre todo para reconocer la labor de la gente de underc0de desde los administradores, co admin, ex staff hasta a los usuarios que se la pasan aportando y haciendo que de todos los foros en los que shadowpanda esta en su lista este sea el único que frecuenta cada día. pues como todos podemos ver esto mas que un foro para mi parecer es una comunidad que desde el primer momento te va a acoger y te vas a sentir uno mas, creo que esto le hace uno de los foros mas importantes en mi aprendizaje pues es el mas utilizado por mi persona para consultar cualquier duda que se me presenta sin animo de extenderme mas solo me queda dar las gracias a todo UNDERC0DE por ser la mejor comunidad/foro que e podido visitar

Un saludo de un amigo
SHADOW_PANDA

En esta publicación del blog de Microsoft se cubren las tendencias de los ataques distribuidos de denegación de servicio (DDoS) del segundo semestre del 2021. Mención especial merece el registrado en noviembre del pasado año. Con 3.47 terabits y 340 millones de paquetes por segundo, es el ataque de denegación de servicio más grande jamás registrado. El ataque casi duplica el tráfico detectado en este otro, también en el mismo mes.

^{Ancho de banda del ataque.}

Un cliente de Azure en la región asiática fue el objetivo del masivo ataque. La generación del tráfico malicioso estuvo distribuida entre unas 10.000 fuentes distintas, repartidas por todo el mundo. Para llevar a cabo el ataque se usó la técnica de reflejado de paquetes UDP destinados al puerto 80, explotando distintos protocolos.

Esquema del ataque

Para llevar a cabo esta técnica, el servidor malicioso de origen genera un paquete UDP modificado para que tenga cómo fuente del mismo la dirección IP de la víctima. Este paquete se envía a un servidor intermedio, que, al recibirlo, comienza a enviar las respuestas a la víctima del ataque. Estas respuestas son de tamaño bastante mayor que el paquete original enviado, por lo que con el tráfico suficiente se consigue que el servicio atacado deje de responder.

^{Esquema de la técnica de reflejado de paquetes UDP.}

En este caso, la plataforma de protección contra denegación de servicio de Azure fue capaz de mitigar este incidente. Ante un evento de este tipo la flexibilidad de la plataforma cloud permite escalar los recursos con rapidez para absorber el gran volumen de tráfico. Por otra parte el servicio permite la detección temprana de ataques de gran tamaño, mediante la monitorización a lo largo de la red global de Microsoft. El tráfico es gestionado por la red de Azure, protegiendo al servicio y evitando que se produzcan interrupciones en el mismo.

SHADOW_PANDA
FUENTE:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una aplicación 2FA cargada con un troyano bancario infecta a 10.000 víctimas a través de Google Play



Tras estar disponible durante más de dos semanas, una aplicación maliciosa de doble factor de autenticación (2FA) ha sido eliminada de Google Play, pero no sin antes haber sido descargada más de 10.000 veces.

La aplicación, que es totalmente funcional como autentificador 2FA, viene cargada con el malware Vultur Stealer que tiene como objetivo los datos financieros del usuario.
Los investigadores de Pradeo recomiendan a los usuarios que tengan instalada la aplicación maliciosa, de nombre «2FA Authenticator», que la eliminen inmediatamente de sus dispositivos, ya que siguen estando en peligro, tanto por el robo de datos bancarios como por otros posibles ataques gracias a los amplios permisos de la aplicación.

Los ciberdelincuentes desarrollaron una aplicación funcional y convincente, utilizando el código de la aplicación de código abierto Aegis, pero modificada con complementos maliciosos. Esto ayudó a que se propagara a través de Google Play sin ser detectada, según un informe de Pradeo publicado el jueves.

La solicitud de permisos elevados permite a los atacantes realizar varias funciones adicionales, como acceder a la ubicación del usuario, pudiendo realizar ataques en función de la zona geográfica, desactivar el bloqueo de pantalla o la contraseña, descarga e instalación de aplicaciones de terceros, etc.

El equipo de Pradeo informa que, si bien sus investigadores se pusieron en contacto con Google para facilitar sus hallazgos, la empresa se demoró casi 15 días en desactivar la aplicación.

SHADOW_PANDA
FUENTE:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los documentos con macros han sido durante mucho tiempo un potente vector de amenazas de malware. Sin embargo, Microsoft ahora bloquea estos intentos de ataque de malware deshabilitando las macros de Excel 4.0 por defecto.

Las macros han sido una poderosa utilidad de Excel que facilita a los usuarios la realización de actividades repetitivas con facilidad. Por definición, una macro es un conjunto de instrucciones que un usuario crea para realizar una actividad repetida en el conjunto de datos sin necesidad de realizar exhaustivos comandos manuales en el futuro.

Según la descripción de Microsoft: «Si tiene tareas en Microsoft Excel que realiza repetidamente, puede grabar una macro para automatizar esas tareas. Una macro es una acción o un conjunto de acciones que puedes ejecutar tantas veces como quieras. Cuando creas una macro, estás grabando los clics del ratón y las pulsaciones de las teclas».

A pesar de su utilidad, las macros son un vector de ataque común para los actores de amenazas. La activación de macros en documentos maliciosos suele dar lugar a ataques de malware que se ejecutan sin avisar. Dada la naturaleza furtiva de esta estrategia de ataque, los actores de la amenaza suelen explotarla para actividades maliciosas, como el phishing y los ataques de ransomware.

Es por ello que Microsoft decidió contener este asunto desactivando las macros. El gigante de la tecnología lanzó por primera vez esta configuración en julio de 2021 como una característica opcional. Luego, con la bifurcación de septiembre, Microsoft lo hizo por defecto, implementandolo gradualmente en las versiones recientes de Excel. Por lo tanto, ahora, la compilación de Excel 16.0.14427.10000 y posteriores tienen las macros 4.0 deshabilitadas por defecto. No obstante, los usuarios pueden optar por realizar cualquier cambio o habilitar las macros modificando esta configuración.

Pueden encontrar esta opción en Microsoft Excel a través de:

Archivo > Opciones > Centro de confianza > Configuración del Centro de confianza > Configuración de macros.


Aunque los usuarios pueden optar por habilitar las macros, Microsoft aconseja a los usuarios que sean cautelosos debido a los riesgos de seguridad subyacentes.
SHADOW_PANDA
FUENTE:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta , No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La nueva vulnerabilidad CVE-2022-0185 en el kernel Linux permite tomar el control del nodo siempre que el contenedor tenga habilitado el privilegio CAP_SYS_ADMIN.

Los mantenedores del kernel Linux han descubierto una nueva vulnerabilidad en el núcleo, la cual ha sido identificada como CVE-2022-0185, la cual podría aprovecharse en entornos como Kubernetes para escapar de los contenedores y tomar el control del nodo. Para la explotación del fallo se requiere que el contenedor tenga habilitado el permiso CAP_SYS_ADMIN, el cual permite realizar acciones como montar unidades o establecer cuotas en el contenedor.

La vulnerabilidad consiste en un desbordamiento de enteros (del inglés 'integer underflow') en el componente del contexto del sistema de archivos, por el cual puede reducirse el valor por debajo de cero y en vez de tomar un valor negativo, alcanzar el valor máximo del entero. El fallo puede aprovecharse para escribir fuera de la memoria asignada y así cambiar otros valores del espacio.

En un principio otras tecnologías como Docker no son vulnerables a este fallo gracias a que seccomp está habilitado de serie. Esta característica del kernel se utiliza para restringir las acciones habilitadas en el contenedor, impidiendo la explotación de la vulnerabilidad. Puede comprobarse esta restricción intentando ejecutar 'unshare' en la instancia, pudiendo ver como error que la operación no está permitida. Los operadores de Kubernetes en teoría también podrían habilitar seccomp por defecto, aunque esta es todavía una característica en pruebas.

La vulnerabilidad ya ha sido corregida en la versión 5.16.2 de Linux, encontrándose ya disponible en la mayoría de distribuciones como Redhat, Debian o Ubuntu. El fallo sólo se encuentra presente a partir de la versión 5.1 del kernel, por lo que versiones anteriores no necesitan corregir la incidencia. Otra posibilidad es desactivar los «user namespaces» sin privilegios, para lo cual puede utilizarse: 'sysctl -w kernel.unprivileged_userns_clone = 0'.

De momento no se tiene constancia de su explotación por atacantes, aunque ya hay disponibles algunas pruebas de concepto (del inglés 'Proof of Concept' o PoC) y ya hay otros usuarios que la están probando. El mismo usuario de Twitter ha publicado un repositorio donde promete subir próximamente sus resultados.

Desde Hispasec recomendamos actualizar lo antes posible en caso de tener contenedores que hagan uso del permiso 'CAP_SYS_ADMIN'. También recomendamos de forma general, no otorgar permisos adicionales a los contenedores salvo que se requiera de verdad su uso.
SHADOW_PANDA
FUENTE: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

hace poco me cruze con una entrada por aqui de como descargar los magnet pero ahora no la encuentro y no recuerdo como se hacia para descargarlos alguien me asesora?

SHADOW_PANDA

Estimados Señores:

El año pasado cambié de la versión NOVIA 7.0 a la versión ESPOSA 1.0, y he observado que el programa al cabo de un tiempo comenzó con unos procesos inesperados de subrutinas, que luego fueron a más, descargándose un programa oculto denominado HIJO 1.0 que me ocupa muchísimo espacio de disco duro, utiliza recursos importantes, y además enlentece de forma alarmante el Sistema Operativo.

. Por otra parte, ESPOSA 1.0 se auto instala como residente en la memoria RAM y se lanza durante el inicio de cualquier aplicación, monitorizando todas las actividades del sistema.

. Aplicaciones como:
- CERVEZA CON COMPAÑEROS 10.3
- NOCHE CON AMIGOS 2.5
- FÚTBOL DOMINGUERO 5.0,
ya no funcionan y el sistema se cae cada vez que intento ejecutarlos.

. De vez en cuando se lanza un programa oculto (creo que es un troyano) denominado SUEGRA 1.0 que aparece cerrando varios puertos de conexiones, y consigue colgar el sistema, o que ESPOSA 1.0 se comporte de manera totalmente impredecible, por ejemplo,  dejando de atender a cualquier comando que introduzco.

. Estoy pensando en volver al programa anterior NOVIA 7.0, pero no he podido desinstalar a ESPOSA 1.0 o al menos mantenerlo minimizado.

Auxilio !!! ¿Me podrían ayudar?.

REPUESTA:
Estimado usuario afligido,

. Este es un motivo de queja muy común entre los usuarios. Se debe, en la mayoría de los casos, a un error básico de concepto. Mucha gente pasa de cualquier versión de Novia X.0 a Esposa 1.0 con la idea de que es solo un programa de Entretenimiento y Utilidades. Sin embargo, Esposa 1.0 es un SISTEMA OPERATIVO COMPLETO, diseñado para controlar TODO el sistema.

. Es muy poco probable que usted pueda desinstalar Esposa 1.0 y regresar a cualquier versión de Novia X.0. Es casi imposible desinstalar o eliminar los archivos del programa una vez instalados.

. Lo mismo pasa con SUEGRA 1.0 que es una aplicación oculta que se instala en la RAM mientras Esposa 1.0 funciona.

. Hay quienes han intentado el formateo a baja densidad, para luego instalar los programas Novia Plus o Esposa 2.0, pero terminan con más problemas que antes, (vea en el Manual, el capítulo "Pago de Pensiones" y "Mantenimiento de Hijos").

. Considere la posibilidad de instalar algún software adicional para mejorar el rendimiento de Esposa 1.0. Son especialmente recomendables, PedirPerdon.Exe, Flores 5.0, Joyas 2.3; también puede usar Loquetudigas v9.7. Y evite el uso excesivo de la tecla "ESC"

. JAMAS instale Secretariaconminifalda 3.3, Amiguita 1.1 o Amigotes 4.6.
Estos programas no funcionan bajo Esposa 1.0, y muy probablemente, causen daños irreversibles e irreparables al Sistema Operativo.

. Si todas las opciones fallan, puede optar por sistemas basados en otras plataformas existentes en el mercado pero a su propio riesgo como Celibato 1.0 o Maricón 5.3.


MUCHA SUERTE / ATTE SERVICIO TECNICO



vi esto hace tiempo y hoy me acorde de el espero sacarles una sonrisa

Hola me presento soy shadow_panda llevo ya un tiempo por aqui aunque nunca me presente. Estudiante de programacion , aficionado de la ciberseguridad y amante de la informatica son algunos de los factores que me trajeron a este foro hay por marzo de 2019 aun no fue hasta 2020 que me registre jajajaja encantado de conocer este foro y pertenecer a esta comunidad

Un abrazo de un amigo

Shadow_panda

hola muy buenas tengo un proyecto entre manos para portátil con rapsberry y me a surgido la siguiente duda: ¿cual sera la mejor antena  que me dará mejor rendimiento calidad precio?
si alguien me puede asesorar se lo agradecería