This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Recent Posts

Pages: [1] 2 3 ... 10
1

Atlassian ha publicado correcciones para resolver una falla de seguridad crítica en Jira Service Management Server and Data Center que podría ser abusada por un atacante para hacerse pasar por otro usuario y obtener acceso no autorizado a instancias susceptibles.

La vulnerabilidad se rastrea como CVE-2023-22501 (puntaje CVSS: 9.4) y se ha descrito como un caso de autenticación rota con baja complejidad de ataque.

"Se descubrió una vulnerabilidad de autenticación en Jira Service Management Server and Data Center que permite a un atacante hacerse pasar por otro usuario y obtener acceso a una instancia de Jira Service Management en determinadas circunstancias", dijo Atlassian .

"Con el acceso de escritura a un Directorio de usuarios y el correo electrónico saliente habilitado en una instancia de Jira Service Management, un atacante podría obtener acceso a los tokens de registro enviados a usuarios con cuentas en las que nunca se ha iniciado sesión".

Los tokens, señaló Atlassian, se pueden obtener en cualquiera de los dos escenarios:

- Si el atacante está incluido en los problemas o solicitudes de Jira con estos usuarios, o
- Si el atacante es reenviado u obtiene acceso a correos electrónicos que contienen un enlace "Ver solicitud" de estos usuarios

También advirtió que si bien los usuarios que están sincronizados con el servicio de Jira a través de directorios de usuarios de solo lectura o inicio de sesión único (SSO) no se ven afectados, los clientes externos que interactúan con la instancia por correo electrónico se ven afectados, incluso cuando SSO está configurado.

El proveedor de servicios de software australiano dijo que la vulnerabilidad se introdujo en la versión 5.3.0 y afecta a todas las versiones posteriores 5.3.1, 5.3.2, 5.4.0, 5.4.1 y 5.5.0. Las correcciones están disponibles en las versiones 5.3.3, 5.3.3, 5.5.1 y 5.6.0 o posteriores.

Atlassian enfatizó que los sitios de Jira alojados en la nube a través de un dominio atlassian[.]net no se ven afectados por la falla y que no se requiere ninguna acción en este caso.

La divulgación llega más de dos meses después de que la compañía cerrara dos brechas de seguridad críticas Bitbucket Server, Data Center y Crowd Products ( CVE-2022-43781 y CVE-2022-43782 ) que podrían explotarse para obtener la ejecución del código e invocar puntos finales de API privilegiados. .

Dado que las fallas en los productos de Atlassian se han convertido en un atractivo vector de ataque en los últimos meses, es crucial que los usuarios actualicen sus instalaciones a las últimas versiones para mitigar las posibles amenazas.

Fuente: You are not allowed to view links. Register or Login
2

El 2 de febrero, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó dos fallas de seguridad a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa.

La primera de las dos vulnerabilidades es CVE-2022-21587 (puntuación CVSS: 9,8), un problema crítico que afecta a las versiones 12.2.3 a 12.2.11 del producto Oracle Web Applications Desktop Integrator.

"Oracle E-Business Suite contiene una vulnerabilidad no especificada que permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa a Oracle Web Applications Desktop Integrator", dijo CISA .

Oracle abordó el problema como parte de su actualización de parche crítico lanzada en octubre de 2022. No se sabe mucho sobre la naturaleza de los ataques que explotan la vulnerabilidad.

La segunda falla de seguridad que se agregará al catálogo de KEV es CVE-2023-22952 (puntaje CVSS: 8.8 ), que se relaciona con un caso de falta de validación de entrada en SugarCRM que podría resultar en la inyección de código PHP arbitrario. El error se solucionó en las versiones 11.0.5 y 12.0.2 de SugarCRM.

El desarrollo se produce una semana después de que CISA también agregara CVE-2017-11357 (puntaje CVSS: 9.8 ), una vulnerabilidad de seguridad grave que afecta la interfaz de usuario de Telerik y que podría facilitar la carga de archivos arbitrarios o la ejecución remota de código.

A la luz de los intentos de explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) en los EE. UU. deben aplicar los parches antes del 23 de febrero de 2023.

Fuente: You are not allowed to view links. Register or Login
3

Cisco ha publicado actualizaciones de seguridad esta semana para abordar una vulnerabilidad de alta gravedad en el entorno de alojamiento de aplicaciones Cisco IOx que puede explotarse en ataques de inyección de comandos.

La falla de seguridad (CVE-2023-20076) se debe a la desinfección incompleta de los parámetros pasados ​​durante el proceso de activación de la aplicación. Fue encontrado y reportado por los investigadores de seguridad Sam Quinn y Kasimir Schulz del Centro de Investigación Avanzada Trellix.

La explotación exitosa en ataques de baja complejidad que no requieren la interacción del usuario permite a los actores de amenazas autenticados remotos ejecutar comandos con permisos de raíz en el sistema operativo subyacente.

"Un atacante podría explotar esta vulnerabilidad al implementar y activar una aplicación en el entorno de alojamiento de aplicaciones Cisco IOx con un archivo de carga útil de activación diseñado", explica Cisco en un aviso de seguridad publicado el miércoles.

La compañía dice que la vulnerabilidad afecta a los dispositivos Cisco que ejecutan el software IOS XE, pero solo si no son compatibles con la ventana acoplable nativa.

Además de los dispositivos basados ​​en IOS XE configurados con IOx, la lista de dispositivos afectados también incluye enrutadores ISR industriales de la serie 800, módulos informáticos CGR1000, puertas de enlace informáticas industriales IC3000, enrutadores industriales WPAN IR510 y puntos de acceso Cisco Catalyst (COS-AP).

La compañía también confirmó que la falla CVE-2023-20076 no afecta los switches Catalyst 9000 Series, el software IOS XR y NX-OS o los productos Meraki.


Habilita la persistencia entre reinicios

Los atacantes solo pueden explotar esta vulnerabilidad si tienen acceso administrativo autenticado a los sistemas vulnerables.

Sin embargo, los investigadores de Trellix explicaron que los actores de amenazas explotan otras fallas de seguridad que permiten la escalada de privilegios o pueden usar varias tácticas para obtener credenciales de administrador.

Por ejemplo, para obtener acceso de administrador a los dispositivos objetivo, pueden usar:

- Credenciales de inicio de sesión predeterminadas: muchos dispositivos de Cisco se envían con el nombre de usuario y la contraseña predeterminados de "cisco:cisco" o "admin:admin", que muchos no pueden cambiar

- Phishing: el método más utilizado por los atacantes para recolectar credenciales es engañar a los empleados para que inicien sesión en una interfaz de usuario de enrutador falsa o suplantar un correo electrónico del enrutador con un enlace a la página de inicio de sesión "solicitando actualizar el firmware".

- Ingeniería social: los atacantes también encuentran éxito al explotar la debilidad humana mediante la ingeniería social para que alguien entregue las credenciales.

Una vez que se cumple este requisito, los atacantes pueden explotar CVE-2023-20076 para obtener "acceso sin restricciones, lo que permite que el código malicioso se esconda en el sistema y persista durante los reinicios y las actualizaciones de firmware",  como explicaron los investigadores .

"Eludir esta medida de seguridad significa que si un atacante explota esta vulnerabilidad, el paquete malicioso seguirá ejecutándose hasta que el dispositivo se restablezca de fábrica o hasta que se elimine manualmente".

Esto es posible porque la inyección de comandos permite omitir las mitigaciones implementadas por Cisco para evitar la persistencia de vulnerabilidades entre reinicios o reinicios del sistema.

El Equipo de respuesta a incidentes de seguridad de productos (PSIRT) de Cisco dice que no encontró evidencia de que esta vulnerabilidad se esté explotando en la naturaleza.

En enero, Cisco  advirtió a los clientes  sobre una vulnerabilidad crítica de omisión de autenticación (CVE-2023-20025) con un código de explotación pública que afectaba a múltiples modelos de enrutadores VPN al final de su vida útil.

Una semana después, Censys encontró  más de 20 000 enrutadores Cisco RV016, RV042, RV042G y RV082  sin parches contra CVE-2023-20025 y expuestos a ataques.

Fuente: You are not allowed to view links. Register or Login
4
Noticias Informáticas / Los anuncios de Google impulsan el malware 'virtualizado'
« Last post by Dragora on February 03, 2023, 11:49:24 am »

Una campaña en curso de publicidad maliciosa de anuncios de Google está difundiendo instaladores de malware que aprovechan la tecnología de virtualización KoiVM para evadir la detección al instalar el ladrón de datos Formbook.

KoiVM es un complemento para el protector ConfuserEx .NET que ofusca los códigos de operación de un programa para que la máquina virtual solo los entienda. Luego, cuando se inicia, la máquina virtual vuelve a traducir los códigos de operación a su forma original para que la aplicación pueda ejecutarse.

"Los marcos de virtualización como KoiVM ofuscan los ejecutables al reemplazar el código original, como las instrucciones de lenguaje intermedio común (CIL) de NET, con código virtualizado que solo entiende el marco de virtualización", explica un nuevo informe de SentinelLabs.

"Un motor de máquina virtual ejecuta el código virtualizado traduciéndolo al código original en tiempo de ejecución".

"Cuando se le da un uso malicioso, la virtualización hace que el análisis de malware sea un desafío y también representa un intento de evadir los mecanismos de análisis estáticos".

En una campaña publicitaria de Google  detectada por Sentinel Labs , los actores de amenazas impulsan el malware de robo de información de Formbook como cargadores .NET virtualizados denominados 'MalVirt', que ayudan a distribuir la carga útil final sin activar alertas de antivirus.

Sentinel Labs comenta que, si bien la virtualización de KoiVM es popular para las herramientas de piratería y las grietas, rara vez se usa en la distribución de malware.

En cambio, la firma de seguridad cree que la nueva tendencia en su uso podría ser uno de los múltiples efectos secundarios de la desactivación de macros en Office por parte de Microsoft.

Abusar de los anuncios de búsqueda de Google

Durante el último mes, los investigadores observaron  un aumento del abuso  de los anuncios de búsqueda de Google para  distribuir varios programas maliciosos , incluidos RedLine Stealer, Gozi/Ursnif, Vidar, Rhadamanthys Stealer, IcedID, Raccoon Stealer y muchos más.

En la campaña en curso vista por SentinelLabs, los actores de amenazas empujan los cargadores de MalVirt en anuncios que pretenden ser para el software Blender 3D.


Resultados maliciosos de búsqueda de Google (Sentinel Labs)

Las descargas que ofrecen estos sitios falsos utilizan firmas digitales no válidas que se hacen pasar por Microsoft, Acer, DigiCert, Sectigo y AVG Technologies USA.

Si bien estas firmas no válidas no engañarán a Windows para que las muestre como firmadas, los cargadores de MalVirt aún incluyen funciones para evitar la detección.

"Por ejemplo, algunas muestras parchean la función AmsiScanBuffer implementada en amsi.dll para omitir la Interfaz de exploración antimalware (AMSI) que detecta comandos maliciosos de PowerShell", explica el investigador A. Milenkoski.

"Además, en un intento de evadir los mecanismos de detección estática, algunas cadenas (como amsi.dll y AmsiScanBuffer) están codificadas en Base-64 y cifradas con AES".


Ensamblaje de MalVirt virtualizado con KoiVM (Sentinel Labs)

Los cargadores también pueden detectar si se ejecutan en un entorno virtualizado consultando claves de registro específicas y, si lo hacen, la ejecución se detiene para evadir el análisis.

MalVirt también utiliza un controlador firmado de Microsoft Process Explorer que se carga al inicio del sistema como "TaskKill", lo que le permite modificar los procesos en ejecución para esquivar la detección.

Para evadir también la descompilación del código virtualizado, los cargadores también usan una versión modificada de KoiVM que presenta capas de ofuscación adicionales, lo que hace que su descifrado sea aún más desafiante.


Derivación aritmética de las asignaciones de valores ofuscados (Sentinel Labs)

SentinelLabs dice que esta implementación personalizada de KoiVM confunde los marcos de desvirtualización estándar como 'OldRod' al ofuscar su rutina a través de operaciones aritméticas en lugar de usar asignaciones sencillas.

Milenkoski dice que es posible vencer la ofuscación en estos cargadores MalVirt y restaurar el orden original de las 119 variables constantes de KoiVM.

Sin embargo, la ofuscación adicional lo dificulta y requiere un trabajo manual considerable, ya que las herramientas automatizadas existentes no pueden ayudar.

Ocultar la infraestructura

Además de todos los sistemas para evitar la detección utilizados en el cargador de malware, Formbook emplea un nuevo truco que ayuda a disfrazar su tráfico real C2 (comando y control) y sus direcciones IP.

El malware que roba información mezcla su tráfico real con varias solicitudes HTTP de "cortina de humo" cuyo contenido está encriptado y codificado para que no se destaque.

El malware se comunica con esas direcciones IP al azar, seleccionándolas de una lista codificada con dominios alojados por varias empresas.

SentinelLabs dice que en las muestras que analizó, vio a Formbook comunicándose con 17 dominios, solo uno de los cuales era el servidor C2 real, y el resto servían como meros señuelos para confundir las herramientas de monitoreo de tráfico de red.


Uso de múltiples direcciones IP falsas en comunicaciones de malware (Sentinel Labs)

Este es un sistema novedoso en una cepa de malware bastante antigua, lo que indica que sus operadores están interesados ​​​​en potenciarlo con nuevas funciones que lo harán mejor para mantenerse oculto de las herramientas de seguridad y los analistas.

Queda por ver si los actores de amenazas han cambiado por completo o no la distribución malspam de Formbook a los anuncios de búsqueda de Google, pero es otro ejemplo de que los usuarios deben tener mucho cuidado con los enlaces en los que hacen clic en los resultados de búsqueda.

Fuente: You are not allowed to view links. Register or Login
5
Dudas y pedidos generales / Re: ayuda con dependencias en kali linux
« Last post by blackdrake on February 02, 2023, 01:56:21 pm »
Prueba ejecutando:

Code: (bash) You are not allowed to view links. Register or Login
sudo dpkg --configure -a
En caso de que no se solucione el problema:

Code: (bash) You are not allowed to view links. Register or Login
sudo apt-get clean && sudo apt-get autoclean
sudo apt-get update --fix-missing
sudo apt-get install -f

6

Una nueva campaña de ataque ha estado apuntando a los sectores del juego y las apuestas desde al menos septiembre de 2022, justo cuando el evento de feria comercial de la industria del juego ICE London 2023 está programado para comenzar la próxima semana.

La empresa de ciberseguridad israelí Security Joes está rastreando el grupo de actividades bajo el nombre de Ice Breaker , afirmando que las intrusiones emplean tácticas inteligentes de ingeniería social para implementar una puerta trasera de JavaScript.

La secuencia de ataque procede de la siguiente manera: el actor de amenazas se hace pasar por un cliente mientras inicia una conversación con un agente de soporte de una compañía de juegos con el pretexto de tener problemas de registro de cuenta. Luego, el adversario insta a la persona del otro lado a abrir una imagen de captura de pantalla alojada en Dropbox.

Security Joes dijo que el actor de amenazas es "muy consciente del hecho de que el servicio al cliente es operado por humanos".

Al hacer clic en el supuesto enlace de captura de pantalla enviado en el chat, se recupera una carga útil de LNK o, alternativamente, un archivo VBScript como opción de respaldo, el primero de los cuales está configurado para descargar y ejecutar un paquete MSI que contiene un implante Node.js.

El archivo JavaScript tiene todas las características de una puerta trasera típica, lo que permite al actor de amenazas enumerar procesos en ejecución, robar contraseñas y cookies, filtrar archivos arbitrarios, tomar capturas de pantalla, ejecutar VBScript importado desde un servidor remoto e incluso abrir un proxy inverso en el comprometido. anfitrión.


Si la víctima ejecuta el descargador de VBS, la infección culmina con la implementación de Houdini , un troyano de acceso remoto basado en VBS que data de 2013.

Actualmente se desconocen los orígenes de los actores de amenazas, aunque se ha observado que usan un inglés entrecortado durante sus conversaciones con los agentes de servicio al cliente. MalwareHunterTeam compartió previamente algunos indicadores de compromiso (IoC) asociados con la campaña en octubre de 2022.

"Este es un vector de ataque altamente efectivo para la industria del juego y las apuestas", dijo Felipe Duarte, investigador principal de amenazas de Security Joes.

"El malware de segunda etapa de JavaScript compilado nunca antes es muy complejo de diseccionar, lo que demuestra que estamos tratando con un actor de amenazas hábil con el potencial de ser patrocinado por un propietario de intereses".

Fuente: You are not allowed to view links. Register or Login
7

Investigadores de seguridad cibernética han revelado detalles de dos fallas de seguridad en el software de código abierto ImageMagick que podrían conducir a una denegación de servicio (DoS) y divulgación de información.

Los dos problemas, que fueron identificados por la firma latinoamericana de ciberseguridad Metabase Q en la versión 7.1.0-49, se abordaron en la versión 7.1.0-52 de ImageMagick , lanzada en noviembre de 2022.

Una breve descripción de las fallas es la siguiente:

- CVE-2022-44267 : una vulnerabilidad DoS que surge al analizar una imagen PNG con un nombre de archivo que es un solo guión ("-")
- CVE-2022-44268 : una vulnerabilidad de divulgación de información que podría explotarse para leer archivos arbitrarios de un servidor al analizar una imagen

Dicho esto, un atacante debe poder cargar una imagen maliciosa en un sitio web utilizando ImageMagick para convertir las fallas en armas de forma remota. La imagen especialmente diseñada, por su parte, se puede crear insertando un fragmento de texto que especifica algunos metadatos elegidos por el atacante (por ejemplo, "-" para el nombre del archivo).




"Si el nombre de archivo especificado es '-' (un solo guión), ImageMagick intentará leer el contenido de la entrada estándar, lo que podría dejar el proceso esperando para siempre", dijeron los investigadores en un informe compartido con The Hacker News.

De la misma manera, si el nombre del archivo hace referencia a un archivo real ubicado en el servidor (p. ej., "/etc/passwd"), una operación de procesamiento de imágenes realizada en la entrada podría potencialmente incrustar el contenido del archivo remoto en la imagen procesada. después de que esté completo.

Esta no es la primera vez que se descubren vulnerabilidades de seguridad en ImageMagick. En mayo de 2016, se revelaron múltiples fallas en el software, una de las cuales, denominada ImageTragick , podría haber sido objeto de abuso para obtener la ejecución remota de código al procesar imágenes enviadas por los usuarios.

Posteriormente, se reveló una vulnerabilidad de inyección de shell en noviembre de 2020, en la que un atacante podría insertar comandos arbitrarios al convertir archivos PDF cifrados en imágenes a través del parámetro de línea de comando "-authenticate".

Fuente: You are not allowed to view links. Register or Login
8

El nuevo malware sigiloso diseñado para cazar servidores Redis vulnerables en línea ha infectado a más de mil de ellos desde septiembre de 2021 para construir una botnet que extrae la criptomoneda Monero.

Descubierto por los investigadores de Aqua Security, Nitzan Yaakov y Asaf Eitani, quienes lo llamaron HeadCrab, el malware ha atrapado hasta ahora al menos 1200 de estos servidores, que también se utilizan para buscar más objetivos en línea.

"Este actor de amenazas avanzado utiliza un malware personalizado de última generación que es indetectable por las soluciones antivirus tradicionales y sin agentes para comprometer una gran cantidad de servidores Redis", dijeron los investigadores .

Descubrimos no solo el malware HeadCrab, sino también un método único para detectar sus infecciones en servidores Redis. Nuestro método encontró aproximadamente 1200 servidores infectados activamente cuando se aplicó a servidores expuestos en la naturaleza".

Los actores de amenazas detrás de esta botnet aprovechan el hecho de que los servidores Redis no tienen la autenticación habilitada de forma predeterminada, ya que están diseñados para usarse dentro de la red de una organización y no deben estar expuestos al acceso a Internet.

Si los administradores no los protegen y accidentalmente (o intencionalmente) los configuran para que sean accesibles desde fuera de su red local, los atacantes pueden comprometerlos y secuestrarlos fácilmente usando herramientas maliciosas o malware.

Una vez que obtienen acceso a los servidores que no requieren autenticación, los actores maliciosos emiten un comando 'SLAVEOF' para sincronizar un servidor maestro bajo su control para implementar el malware HeadCrab en el sistema recién secuestrado.


Malware HeadCrab (Aqua Security)

​Después de ser instalado y lanzado, HeadCrab proporciona a los atacantes todas las capacidades necesarias para tomar el control completo del servidor objetivo y agregarlo a su red de bots de criptominería.

También se ejecutará en la memoria de los dispositivos comprometidos para evitar los análisis antimalware, y las muestras analizadas por Aqua Security no han mostrado detecciones en VirusTotal .

También elimina todos los registros y solo se comunica con otros servidores controlados por sus maestros para evadir la detección.

"El atacante se comunica con direcciones IP legítimas, principalmente otros servidores infectados, para evadir la detección y reducir la probabilidad de que las soluciones de seguridad lo incluyan en la lista negra", agregaron los investigadores.

"El malware se basa principalmente en los procesos de Redis que es poco probable que se marquen como maliciosos. Las cargas útiles se cargan a través de memfd, archivos de solo memoria, y los módulos del kernel se cargan directamente desde la memoria, evitando escrituras en el disco".

Mientras analizaban el malware, también descubrieron que los atacantes utilizan principalmente grupos de minería alojados en servidores previamente comprometidos para complicar la atribución y la detección.

Además, la billetera Monero vinculada a esta botnet mostró que los atacantes están obteniendo una ganancia anual estimada de alrededor de $ 4,500 por trabajador, mucho más que los $ 200 por trabajador habituales que generan operaciones similares.

Para defender sus servidores Redis, se recomienda a los administradores asegurarse de que solo los clientes dentro de sus redes puedan acceder a ellos, deshabilitar la función "esclavo" si no se usa y habilitar el modo protegido, que configura la instancia para responder solo a la dirección de bucle invertido y rechazar conexiones desde otras direcciones IP.

Fuente: You are not allowed to view links. Register or Login
9

La banda de ransomware LockBit se atribuyó la responsabilidad del ataque cibernético contra ION Group, una empresa de software con sede en el Reino Unido cuyos productos son utilizados por instituciones financieras, bancos y corporaciones para el comercio, la gestión de inversiones y el análisis de mercado.

El 31 de enero de 2023, la empresa reveló el incidente en un breve comunicado diciendo que afectó a ION Cleared Derivatives, una división de ION Markets.

“ION Cleared Derivatives, una división de ION Markets, experimentó un evento de ciberseguridad que comenzó el 31 de enero de 2023 y afectó algunos de sus servicios”, dijo la compañía.


Sin embargo, el ataque tuvo un impacto más profundo ya que los grandes clientes que usaban los servicios de ION Group en Estados Unidos y Europa se vieron obligados a cambiar al procesamiento manual de las operaciones, lo que provocó retrasos significativos.

La organización comercial global FIA ha publicado una declaración sobre los problemas que han surgido, diciendo que está trabajando con los miembros afectados para evaluar la situación.


Hoy, el ransomware LockBit ha agregado a ION Group a la lista de víctimas en su sitio de fuga de datos. Los piratas afirman haber robado datos durante la intrusión y amenazan con publicar los archivos el 4 de febrero.

Si los actores del ransomware tienen datos de ION Group, filtrarlos públicamente podría exponer información confidencial de grandes inversionistas, causando un daño significativo para ellos y sus organizaciones.

BleepingComputer se ha puesto en contacto con ION Group para solicitar más detalles sobre los hallazgos de su investigación interna y si las afirmaciones de LockBit son ciertas, y actualizaremos esta historia tan pronto como recibamos una respuesta.

Fuente: You are not allowed to view links. Register or Login
10
Noticias Informáticas / Más de 1.800 formularios de phishing de Android a la venta
« Last post by AXCESS on February 02, 2023, 12:38:59 am »
You are not allowed to view links. Register or Login

Un actor de amenazas llamado InTheBox está promocionando en los foros rusos sobre delitos cibernéticos un inventario de 1894 inyecciones web (superposiciones de ventanas de phishing) para robar credenciales y datos confidenciales de aplicaciones bancarias, de intercambio de criptomonedas y de comercio electrónico.

Las superposiciones son compatibles con varios programas maliciosos bancarios de Android e imitan aplicaciones operadas por las principales organizaciones que se utilizan en docenas de países en casi todos los continentes.

Estar disponible en tales cantidades y a precios bajos permite a los ciberdelincuentes concentrarse en otras partes de sus campañas, el desarrollo del malware y ampliar su ataque a otras regiones.

Por lo general, los troyanos bancarios móviles verifican qué aplicaciones están presentes en un dispositivo infectado y extraen del servidor de comando y control las inyecciones web correspondientes a las aplicaciones de interés.

Cuando la víctima inicia una aplicación de destino, el malware carga automáticamente la superposición que imita la interfaz del producto legítimo.

InTheBox proporciona inyecciones actualizadas para cientos de aplicaciones, según descubrieron los investigadores de la empresa de inteligencia de amenazas Cyble.

You are not allowed to view links. Register or Login

Según el análisis de Cyble, a partir de enero de 2023, InTheBox enumera los siguientes paquetes de inyección web, actualizados en octubre de 2022:

     - 814 inyecciones web compatibles con Alien, Ermac, Octopus y MetaDroid por $6,512
     - 495 inyecciones web compatibles con Cerberus por $3960
     - 585 inyecciones web compatibles con Hydra por $4,680

Para aquellos que no quieren comprar paquetes completos, InTheBox también vende inyecciones web individuales por $30 cada una. La tienda también permite a los usuarios solicitar inyecciones personalizadas para cualquier malware.

Los paquetes de inyección web de InTheBox incluyen el ícono de la aplicación PNG y un archivo HTML con código JavaScript que recopila las credenciales de la víctima y otros datos confidenciales.

Código de plantilla de superposición
You are not allowed to view links. Register or Login

En la mayoría de los casos, las inyecciones cuentan con una segunda superposición que solicita al usuario que ingrese números de tarjetas de crédito, fechas de vencimiento y números de CVV.

Robo de datos de tarjetas de crédito
You are not allowed to view links. Register or Login

Cyble dice que las inyecciones de InTheBox pueden verificar la validez de los números de tarjeta de crédito ingresados por las víctimas utilizando el algoritmo de Luhn, que ayuda a los operadores de malware de Android a filtrar datos no válidos.

Validación del número de tarjeta ingresado
You are not allowed to view links. Register or Login

Finalmente, los datos robados se convierten en valor de cadena y se envían a un servidor controlado por el operador del troyano bancario Android.

InTheBox ha estado vendiendo inyecciones web para malware de Android desde febrero de 2020, agregando constantemente nuevas páginas dirigidas a más bancos y aplicaciones financieras.

Cyble pudo confirmar que las inyecciones web de InTheBox han sido utilizadas por los troyanos de Android 'Coper' y 'Alien' en 2021 y septiembre de 2022, respectivamente, mientras que la campaña más reciente tuvo lugar en enero de 2023 y se centró en los bancos españoles.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login
Pages: [1] 2 3 ... 10