You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Organismos como Interpol advertían sobre posibles engaños en torno a la vacuna tanto a través de Internet como de manera física.

En Estados Unidos organismos también alertaban a comienzos de este año acerca de los engaños que estaban circulando entorno al tema de la vacuna, mientras que en diciembre en países como Canadá el Gobierno ya recibía denuncias de casos relacionados con la venta de vacunas.

Por su parte, en América Latina las autorides de países como México buscan detener las campañas a través de redes sociales y falsos sitios que intentan engañar a los usuarios con la venta de vacunas de Pfizer, Moderna o AstraZeneca.

En Colombia circulan estafas a través de mensajes SMS, ofreciendo turnos prioritarios a cambio de dinero, y en Honduras circulan mensajes a través de WhatsApp en los que se anuncia la venta de la Sputnik V.

Por su parte, en Argentina se reportaron recientemente casos de estafas telefónicas dirigidas a adultos mayores para acceder a la vacuna.
Como podemos apreciar, la modalidad de engaño puede variar, por lo que es importante estar atentos y permanecer informados.

Vacunas que se ofrecen a través de fuentes desconocidas

Distintas compañías y organziaciones se han sumado a estas advertencias. En este sentido, desde la cuenta de Twitter de Pfizer México, por ejemplo, advertían e informaban a las personas que la vacuna de Pfizer/BioNTech no se comercializa de forma privada y solo se suministra según el plan de vacunación que realizan las autoridades. El comunicado de la biofarmacéutica surgió a raíz de que se coniciera un sitio web que suplantaba la identidad de Pfizer en el cual se ofrecía una vacuna falsa a la venta.

En esta misma línea, tal como señaló a través de un comunicado la Comisión Nacional de Riesgos Sanitarios de México ante esta situación "cualquier vacuna contra Covid-19 que esté a la venta a través de páginas de Internet, redes sociales, farmacias, hospitales y puntos de venta en México, constituye un riesgo a la salud por ser de dudosa procedencia".

Lamentablemente, en algunos países se han conocido casos de víctimas que han comprado una vacuna de forma particular a supuestos vendedores. En Reino Unido, por ejemplo, un estafador al parecer suministró una inyección de una falsa vacuna a una mujer de 92 años, reportó la BBC.

La vacuna en la dark web

Como se sabe sobre productos y servicios que ofrecen los cibercriminales en la dark web, los mercados clandestinos dentro de la dark web ofrecen una variedad de artículos y servicios ilegales o escasos en los sitios de compraventa disponibles en la Internet superficial, incluyendo insumos de salud. Es por esto que la aparición de objetos tan codiciados como certificados falsos de tests PCR, documentación apócrifa que permita cobrar algún tipo de bono o ayuda económica al portador, o hasta una vacuna contra el coronavirus, no se hicieron esperar.

Dentro de los mercados más concurridos en la dark web se identificó una numerosa cantidad de ofertas de vacunas falsas valoradas entre 300 a 500 dólares, cotizadas en criptomonedas para evitar dejar rastro del dinero transferido y contar con una cotización adaptada a distintas monedas del mundo, ya que si bien la mayoría de estos artículos están apuntados al mercado de Europa y Norteamérica, estos objetos pueden tener demanda alrededor del mundo. Además, se observó una supuesta oferta variada en cuanto al laboratorio que las produce, lo cual posibilita contar con una mayor cantidad de víctimas que ofreciendo una supuesta vacuna genérica.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Estas ofertas se publicitan en su mayoría como de uso personal, apelando a personas desesperadas por los tiempos de distribución de la vacuna, aunque también se pueden encontrar estos productos en venta "mayorista", llegando a existir anuncios para un lote de diez vacunas contra el COVID-19 para su reventa, ya sea en otros mercados en Internet o de manera clandestina fuera de la web.

Si bien las estafas en este submundo de Internet no son poco comunes y los sitios de compraventa más populares cuentan con reglas estrictas para evitar este tipo de engaños, los cibercriminales ocultan las transacciones, y consecuentemente posibles reclamos de las víctimas, redirigiendo a los posibles compradores a distintas aplicaciones de mensajería anónima, como Wickr, con la intención de realizar la "venta" a través de medios de comunicación alternativos y más seguros.

Los cibercriminales, además, agregan credibilidad a estos anuncios utilizando métodos de ingeniería social tradicionales: realizan la publicación desde el perfil de un vendedor que cuenta con reputación positiva y sólida en la plataforma, copian fragmentos de textos de sitios legítimos o utilizan imágenes creadas por medios oficiales relacionadas con la producción real de las vacunas, apelan a las emociones y el miedo que genera una posible escasez en medios oficiales, e incluso incluyen reseñas de falsos compradores que alegan haber recibido el producto realmente.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Conclusiones

Una vez más vemos cómo los cibercriminales siguen explotando el tema de la pandemia y en este caso un nuevo capítulo de la misma, como es el tema de las vacunas.

Recordemos que este tipo de publicaciones son complejos engaños que apelan al miedo y la desesperación. Por eso, para evitar ser víctima de este u otro tipo de engaño a través de Internet, tengamos presente lo siguiente:

•   Si se trata de una oferta demasiado buena para ser verdad, ya sea por el precio o el tipo de artículo: ¿Es posible que una persona adquiera este articulo y lo venda de manera privada? ¿Podemos verificar que el producto es real?
•   Realizar una simple búsqueda en reversa de las imágenes que dicen ser del artículo del vendedor podrá ayudarnos a descubrir si se trata de imágenes propias del anunciante o si están utilizando información genérica tomada de algún sitio de Internet.
•   Ante un artículo o la descripción de la supuesta venta que nos llega, debemos tomar distancia y analizar fríamente si el vendedor nos provee de información objetiva o si apela a nuestras emociones.
Finalmente, se recomienda tratar cuestiones de salud con organismos oficiales de gobiernos locales, denunciar este tipo de publicaciones como estafa, y consultar el calendario y rangos de vacunación en su país.

Fuente:
WeLiveSecurity by ESET
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

China lanza ciberataque sobre India para borrarla de la competencia por la vacuna contra el Covid-19, según revelaciones de una agencia de seguridad de la India.

Un grupo de hackers, con el apoyo del Gobierno chino, ha atacado durante las últimas semanas a dos empresas indias fabricantes de vacunas contra el Covid-19, según informó la agencia Reuters.

Desde 2018 el Departamento de Estado de EEUU reveló que los hackers de Stone Panda son respaldados por el régimen de Pekín.
Los datos del ataque fueron dados por la empresa de ciberinteligencia Cyfirma, la cual asegura que el grupo de piratería informática chino conocido como Stone Panda, se infiltró en la infraestructura tecnológica y el software de la cadena de suministros de Bharat Biotech y el Serum Institute of India (SII).

Estas empresas son las mayores fabricantes de vacunas del mundo y la India el principal rival en este campo de China, produciendo el 60% de todas las vacunas vendidas.

Kumar Ritesh, presidente ejecutivo de Cyfirma y exfuncionario de la agencia británica de inteligencia M16, dijo a Reuters que la intención del Gobierno chino era revelar inseguridades en los servidores indios y así obtener ventajas competitivas en materia de seguridad para sus empresas.

Hasta el momento, el Gobierno chino y las empresas atacadas mantienen silencio respecto al tema.
Los vínculos entre Stone Panda y el Ministerio de Seguridad del Estado de China fueron revelados en 2018 por el Departamento de Justicia de EEUU, y luego confirmados por Cyfirma.

El Gobierno chino no ha sido el único que ha respaldado ciberataques a empresas farmacéuticas desde que comenzó la carrera por la vacuna contra el Covid-19.

Según Microsoft, desde el Kremlin y Pyongyang se apoyaron ataques de hackers a empresas fabricantes de vacunas de India, Canadá, Francia, Corea del Sur, EEUU y hasta en los sistemas de AstraZeneca.

La farmacéutica estadounidenses Pfizer Inc y la alemana BioNTech SE también denunciaron el acceso ilegal de piratas informáticos al sistema regulador europeo de medicamentos.

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ciertos dominios propiedad de Google han provocado que los usuarios de Chrome, desde los investigadores más capacitados hasta los usuarios habituales, se cuestionen si son maliciosos.
   
Los dominios a los que me refiero son los subdominios You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y gvt1 / gvt2 que han generado muchas preguntas en Internet.

Se ha investigado más profundamente el origen de los dominios y si deberían ser algo de qué preocuparse.

¿Qué son estos dominios You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login sospechosos?

Los dominios * .gvt1.com y * .gvt2.com, junto con sus subdominios, son propiedad de Google y, por lo general, se utilizan para entregar actualizaciones de software, extensiones y contenido relacionado de Chrome.

Por ejemplo, cuando se inicia Chrome, este intenta conectarse a los siguientes dominios:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Sin embargo, estas URL y el nombre de dominio han causado confusión en repetidas ocasiones entre desarrolladores e investigadores debido a su estructura de apariencia sospechosa:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Asimismo, los productos antivirus han señalado previamente los dominios gvt.1com como malware y los investigadores como un indicador de compromiso (IOC).

Además, los enlaces You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login redireccionan a una URL que contiene la dirección IP del usuario, entre otros parámetros esquivos que pueden generar más sospechas.

Por ejemplo, se rastreó el siguiente enlace, que redirige dos veces a un URL mucho más grande, con un subdominio arbitrario y parámetros GET extensos, como la dirección IP del usuario:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¿Deberíamos preocuparnos por las URL de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login?

Aquí es donde se complica, pero la respuesta es: NO; pero Google podría asegurarlos mejor.

El GVT en el dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login son las siglas de Google Video Transcoding y se utiliza como servidor de caché para el contenido y las descargas que utilizan los servicios y las aplicaciones de Google.

En pocas palabras, Google solo utiliza los dominios * .gvt1.com para entregar contenido oficial, actualizaciones del navegador Chrome y ejecutables relacionados con Android.

"redirector.gvt1.com es un servicio de redirección utilizado por Google para una variedad de propósitos, incluida la descarga de actualizaciones, etc.", declaró Eric Lawrence, un ex miembro del equipo de seguridad de Chrome, en una publicación de error de Google.

Volviendo al enlace analizado en la sección anterior como ejemplo, podemos ver que la URL que termina en .crx representa una extensión de Chrome:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se rastreó la extensión para ser la extensión Chrome Media Router, un componente heredado que fue utilizado por Chromecast.

Lo preocupante es que Google continúa utilizando el protocolo HTTP inseguro en lugar de HTTPS cuando se conecta a estas URL.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Al conectarse a las URL a través de HTTP, es posible utilizar ataques man-in-the-middle (MiTM) para modificar las descargas de alguna manera. Si tiene un malware instalado que está interceptando el tráfico HTTP, tiene más de qué preocuparse en este momento.

En conclusión, ver tráfico relacionado con dominios * .gvt1.com o * .gvt2.com en su red corporativa, no es motivo de alarma, sino simplemente una descarga legítima de Chromium.

Sin embargo, Google debería cambiar al uso de HTTPS para evitar posibles ataques MiTM, y los administradores deberían seguir siguiendo las mejores prácticas, como analizar el tráfico de las URL.

Se comunicó con Google varias veces con mucha anticipación, pero no se ha recibido respuesta al momento de publicar este artículo.

Fuente e Investigación realizada por:
BleepingComputer

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El departamento de malware de Hispasec ha analizado recientemente nuevas muestras del troyano bancario para Android EventBot, en las cuales se han descubierto algunos cambios interesantes.

Este troyano, cuyas primeras detecciones fueron realizadas en los inicios del mes de Marzo del pasado año, ha sufrido varias modificaciones durante los últimos meses. La mayoría de ellas ha girado entorno a cambios en el algoritmo de cifrado, aunque también ha habido otras novedades menos destacables.

En lo que respecta al cifrado y a la ofuscación, a mediados del año pasado, se detectaron en su código las primeras ofuscaciones de cadenas de texto, las cuales anteriormente podían verse en claro.

A este hallazgo, que se mantiene en las muestras analizadas en las últimas semanas, se une otra novedad. En esta ocasión, se trata de un cambio en el algoritmo de cifrado usado en el cuerpo de las comunicaciones con el servidor de control.

Y es que, aunque para la generación y el intercambio de claves compartidas con el C&C se siguen empleando algoritmos de curva elíptica, en el caso del cuerpo de las peticiones, se ha pasado a cifrar el mensaje usando el algoritmo ChaCha20 en lugar del RC4, algoritmo que se había estado utilizando hasta ahora según los análisis realizados.

Publicación del investigador Alberto Segura

Por otra parte, también se han detectado en las muestras modificaciones en SharedPreferences, las cuales recogen datos tales como URLs de distintos servidores de control y comando. En concreto, las preferencias se encuentran ahora cifradas mediante el algoritmo mencionado previamente, pero la clave se calcula a partir de realizar ciertas operaciones con un conjunto de valores del Android ID del dispositivo y varias constantes que aparecen hardcodeadas y cifradas en el código.

Estas, junto a la agregación de la capacidad de robo de datos de la agenda de contactos, que no estaba implementada en otras versiones, son algunas de las novedades destacadas encontradas en las muestras detectadas recientemente, las cuales están disponibles en Koodous para su análisis.

Como vemos, parece ser que el equipo de desarrollo del troyano EventBot sigue interesado en dificultar su análisis y la detección del mismo, algo que hemos visto en muchas ocasiones. Si bien, este troyano bancario para Android tiene algunas peculiaridades, lo cual es un motivo más para seguir su evolución y la de otras familias similares susceptibles de adoptar cualquiera de sus particularidades.

Más información:
Departamento de Malware Hispasec. Alberto Segura
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuentes:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cisco ha publicado parches de seguridad que corrigen vulnerabilidades críticas que afectan a los productos Application Centric Infrastructure (ACI) Multi-Site Orchestrator (MSO), la familia de switches Cisco Nexus 3000 y Cisco Nexus 9000, y el motor de servicios Cisco Application Services Engine.

Algunas de las vulnerabilidades detectadas tienen una puntuación de 10 y 9.8 sobre 10 en CVSS (Common Vulnerability Scoring System).

CVE-2021-1388: Esta vulnerabilidad permite a un atacante, sin necesidad de estar autenticado, realizar un bypass del sistema de autenticación a través de una petición especialmente diseñada sobre la API de los productos ACI MSO. Ha sido clasificada con una puntuación de 10 en CVSS y el parche se encuentra disponible:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

CVE-2021-1361: La vulnerabilidad permite a un atacante crear, borrar o sobreescribir ficheros con privilegios de administración (root), y por consiguiente, pudiendo crear cuentas de usuario del dispositivo afectado sin la autorización del usuario administrador legítimo. Esta vulnerabilidad tiene una puntuación de 9.8 en CVSS y el parche se encuentra disponible:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

CVE-2021-1393 / CVE-2021-1396: Ambas vulnerabilidades permiten a un atacante acceder a servicios privados con necesidad de privilegios sobre la API, evitando el sistema de control de acceso del mismo. Es un parche de seguridad sobre el motor de servicios Cisco Application Services Engine, que corrige un fallo de seguridad sobre el sistema de control de acceso basado en privilegios de la API. Tienen una puntuación de 9.8 en CVSS y el parche de seguridad se encuentra disponible:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Además de las anteriores, Cisco ha publicado parches de seguridad sobre vulnerabilidades de riesgo alto que afectan a múltiples productos de la compañía. Las vulnerabilidades han sido identificadas con los códigos CVE-2021-3156, CVE-2021-1228, CVE-2021-1227, CVE-2021-1387 y CVE-2021-1230.

Los parches se producen semanas después de que Cisco solucionara 44 fallas en sus routers para pequeñas empresas que podrían permitir a un atacante remoto no autenticado ejecutar código arbitrario como usuario root e incluso causar una condición de denegación de servicio.
 
Se recomienda aplicar los parches de seguridad de Cisco sobre los productos afectados en la mayor brevedad posible.

Fuentes:
CISCO
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Lautaro, pues estuve mirando en el Mercado Libre de Argentina.

En realidad no entiendo la relación de precios, y no puedo dilucidar qué es caro o barato. Tendría que ver la referencia con el dólar.
De cualquier modo si fuera Ud. me decantaría por este wifi.

E incluso es hasta más barato (creo...) y lo trae todo y para exterior.

Nisuta

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Es una sugerencia.

Comparando con la que Ud. iba a escoger:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Suerte.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Varias organizaciones tibetanas fueron blanco de una campaña de ciberespionaje por parte de un grupo de piratas informáticos respaldado por el estado chino, que usaba una extensión maliciosa de Firefox, diseñada para secuestrar cuentas de Gmail e infectar a las víctimas con malware.

Los ataques coordinados por el grupo APT TA413 vinculado a China comenzaron en enero y continuaron durante todo febrero, según un informe de Proofpoint publicado el jueves.

Los piratas informáticos del estado chino también infectaron a las víctimas con el marco de reconocimiento de malware Scanbox, que les permitió recopilar los datos de sus objetivos y registrar sus pulsaciones de teclas.

"Scanbox se ha utilizado en numerosas campañas desde 2014 para atacar a la diáspora tibetana junto con otras minorías étnicas a menudo atacadas por grupos alineados con los intereses del estado chino", dijo Proofpoint.

"La herramienta es capaz de rastrear a los visitantes de sitios web específicos, realizar un registro de teclas y recopilar datos de los usuarios que se pueden aprovechar en futuros intentos de intrusión".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La extensión maliciosa del navegador FriarFox

Los correos electrónicos de suplantación de identidad entregados por los atacantes TA413 a los buzones de correo de sus objetivos, los redirigían al dominio you-tube [.] Tv controlado por el atacante que muestra una página de inicio falsa de Adobe Flash Player Update.

Los scripts de creación de perfiles de JavaScript ejecutados desde este dominio solicitarían automáticamente a los objetivos que instalen un complemento malicioso llamado FriarFox si estaban usando el navegador web Firefox y se habían regisrado en su cuenta de Gmail.

Si la víctima potencial usaba cualquier otro navegador web, sería redirigida a la página de inicio de sesión legítima de YouTube. Si usaban Firefox pero no estaban conectados a una cuenta de Gmail, se les pedía que agregaran un complemento de FriarFox corrupto al navegador, que no se instalaría (no estaban logueados en Gmail).

La extensión maliciosa FriarFox se basa en el complemento de Firefox Notificador de Gmail de código abierto (sin reinicio), al cambiar su icono, y la descripción de metadatos para imitar un proceso de actualización de Flash.

También agregaron JavaScripts maliciosos diseñados para secuestrar las cuentas de Gmail de las víctimas e infectar sus sistemas con el malware Scanbox.

Una vez que se engaña a las víctimas para que instalen la extensión FriarFox, los operadores de TA413 se hacen cargo de la cuenta de Gmail de los usuarios y del navegador Firefox para realizar las siguientes acciones maliciosas:

Cuenta de Gmail secuestrada:

     Buscar correos electrónicos
     Archivar correos electrónicos
     Recibe notificaciones de Gmail
     Leer correos electrónicos
     Modifique las funciones de alerta visual y de audio del navegador Firefox para la extensión FriarFox
     Etiquetar correos electrónicos
     Marca los correos electrónicos como spam
     Eliminar mensajes
     Actualizar la bandeja de entrada
     Reenviar correos electrónicos
     Realizar búsquedas de funciones
     Eliminar mensajes de la papelera de Gmail
     Enviar correo desde la cuenta comprometida

Firefox (basado en los permisos del navegador):

     Acceda a los datos de usuario de todos los sitios web.
     Mostrar notificaciones
     Leer y modificar la configuración de privacidad
     Accede a las pestañas del navegador.

"El uso de extensiones de navegador para apuntar a las cuentas privadas de Gmail de los usuarios, combinado con la entrega de malware Scanbox, demuestra la maleabilidad de TA413 cuando apunta a comunidades disidentes", concluyó Proofpoint.

"Estas comunidades tienen una barrera tradicionalmente baja para el compromiso de los grupos de actores de amenazas y TA413 parece estar modulando sus herramientas y técnicas mientras continúa confiando en técnicas de ingeniería social probadas".

Al final del informe de Proofpoint, se encuentran disponibles más detalles técnicos e indicadores de compromiso (IOC), incluida la infraestructura y los hash de muestra de malware utilizados en esta campaña.

Más Info y detalles:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La finalidad como bien declara es generar ingresos a través de anuncios.

"Gratis" es un término moderno enrevesado y de muchas puntas.
Para uso privado y para los negocios ni que hablar, hay que "pagar" un dominio, y tener bien claro los términos del contrato, aspectos de seguridad, etc.


"Hay que tener un ojo en el gato... y otro en el garabato". Y "dinero será mejor..."

Sí, son 3 watts. 1000 mw (miliwatt) equivale a 1 watt. Otro asunto es que sean "reales", como anuncia el fabricante.

Todo no es la potencia, también hay que tener en cuenta la ganancia, y eso lo brinda la antena.
El que sea direccional es importante.
Potencia = emisión >> chipset /Ganancia= recepción>>antena.
Fíjese en el ejemplo que le puse: la Wifisky a pesar de ser de 1 watt tiene el desempeño como si fuera de 6, esto es por la antena que tiene, y la hace estar a la altura de la KASENS, aun sin estar en la posición de altura de esta.

Lamento no serle de ayuda en ese aspecto, no soy argentino.

Me parece muy básico, pero... se hace lo que se puede y con lo que se tiene.
Ya tendrá otra mejor, que bienes da fortuna...
Lo bueno es que tiene para ponerle una antena direccional, que le recomendaría una Yagui UDA.

También recuerde que necesitará una extensión USB, que puede hacerla con un cable de red ordinario (hasta 10 metros máximo); si es un cable de red que es apantallado (no recuerdo bien si es el utp catg 6) hasta 20 metros.
Todo ello para colocarla en el exterior y tener alcance.

Miré el diseño que hice en un tiempo para el TP-Link, y poder ponerlo en el exterior, "sin costos notables".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La antena es hecha por mí con una tubería plástica (pvc) de agua, de media con dos tapas de cierre (fíjese bien que la pintura engaña).
El pigtail que tiene con su conector se lo puse "bien cortico" para evitar pérdidas.

La verdad es que un amigo me ayudó con el diseño, y con la extensión, pues esta última no me salía con 10 metros de cable de red y sí con 7. Y donde se une el pigtail que es interno, dentro de la tubería, no lo podía hacer por falta de práctica y experiencia en soldadura. Se ve en la photo un óvalo pegado a forma de tapa debajo del reflector primario.

Una vez armado el wifi con la antena y la extensión, se pone (el wifi) dentro de la carcasa que son dos partes y se pega con silicona para sellar.

Lo hice por aprender, porque las Yaguis "de bastón" (también se les conoce por ese nombre) están sobre los 25 usd aprox, y otro tanto las extensiones con alimentadores como la de la primera photo del TP-Link.

Ni pregunte cómo fue que se hizo todo, que estaba poseído por el "hágalo Ud. mismo".

Eso sí, disparaba bien lejos.
Calculo que tenía 24 dBi; o mínimo y siendo injusto, 16 dBi de ganancia.

Es una sugerencia de lo que puede hacer, sin grandes gastos. Tampoco es ciencia coheteril.

Hola Lautaro.

Cada cual tiene su experiencia y debido a ello criterios.

De hecho creo que en el Foro hay sugerencias de wifi´s con sus chipset, compatibles y recomendables para auditorías.

Le dejaré mi criterio.

También tenga en cuenta que los modelos y precios varían según el ciclo de vida del producto, así como la nación a la que pertenezca y sus dinámicas de mercados.

Los chipset Atheros, "compatibles con auditorías", son muy buenos. E incluso los que no lo son, como es el caso de los Ubiquiti´s que están enfocados hacia enlaces.

El que menciona: el chipset Atheros AR9271 es legendario y venía en la célebre Alfa Network AWUS036NHA  que, de todos los modelos, según referencias, era el más estable. E incluso el Atheros AR9271L.

Aquí le hago una observación, que muchos la omiten: el wifi que adquiera siempre piense que lo usará para auditorías, pero también lo usará como un wifi ordinario de enlace (entorno de conectividad estable bidireccional con carga).

Sobre todo si la va a usar en Windows, debe tener en cuenta su estabilidad, así como su Utility*. Este último es quien administra el wifi, y según sea (todos no son iguales), le permitirá configuraciones y "picardías" como es el de cambiarle la MAC, cosa que en Windows 10 ya es imposible, por la gestión de los drivers. Hablo del cambio de MAC por el que se desee, no por el 02:xx: etc.
*
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Esto último, es muy importante (el entorno Windows y que el wifi sea estable), no lo olvide.

En el caso de las Alfa´s traían un amplificador y demasiada itinerancia de sensibilidad por defecto, lo cual traía inestabilidad en los enlaces cuando se le añadía carga: navegar, copiar, streaming, etc.

Otro aspecto es que tenga conector (rosca rp-sma) para poder agregarle una antena con más ganancia, si así lo requiere. Valorar si es para interior o exterior (con mueble o carcaza de protección), y su respectivo cable o extensión.

Recuerde:
La ganancia (medida en dBi) la brinda la antena (que es conveniente sea externo al wifi);
Y la potencia  medida en mw (miliwatts) o watts (w), que en este caso lo administraría el chipset del wifi.

Hay mucho engaño en el mercado, respecto a los anteriores aspectos,  así que cerciórese bien y corrobore siempre con info.
Puede encontrarse varios modelos con distinto wattaje (1, 2; 5 o 6 watts) pero con el mismo chipset. Por supuesto, que entre más mejor, pero debe crear un par con la antena, de manera que ambos sean equilibrados y se complementen.

Volviendo a sus interrogantes:

Ese chipset nunca lo tuve (el Atheros AR9271), así como nunca fui propietario de una Alfa (tengo historia tras ese asunto, pues los wifi, no es que uno los compre, sino es que "llegan" a uno, por esos vericuetos fortuitos).

En mi caso, siempre la fortuna, o casualidad ha hecho que adquiera wifi´s  con los chipset Ralink y Realtek (para auditorías).
Le dejo los modelos de los que poseo:

TP-Link TL-WN7200ND.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

1 watt de potencia real, con antena omnidireccional de 10 dBi (algunas son de 5 dBi); y chipset Ralink RT2870.Uso interno, aunque trae un conector que se le puede montar una antena externa direccional. Una de las mejores antenas que he tenido, y tendré siempre.

KASENS externa de panel direccional con ganancia de 24 dBi reales, y 6 watts de potencia. Con chipset Ralink RT3070. Es la que uso para auditorías por lo general, pues la tengo en el exterior con un mástil y base de rotación de 180 grados, y una altura de 15 metros aprox. Rango efectivo 3 millas conservadoramente.

WifiSky
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Modelo: WS-G6100. Modo: b/g >>>54 mb/s (pero hasta 72 mb/s en su caso) (las demás son N -150 mb/s); 1watt de potencia; con Chipset Realtek: RTL 8187L; y antena para interior direccional de 60 dBi de ganancia (note en la photo que es relativamente pequeña); y esa bestialidad de ganancia es por un amplificador que trae.

Lamento el haberme extendido, pero le hago notar detalles muy importantes que la experiencia impone.

Con los chipset Ralink nunca tendrá problemas:
-ni de compatibilidades
-ni de drivers
-ni de entornos de Sistemas Operativos.
Todos los scripts hechos para Wireless siempre lo incluyen, e incluso lo priorizan en exclusividad de funciones.

No siempre es así con las Atheros, hablando de manera genérica. Aunque le reitero, ese modelo de chipset siempre he leído que es muy noble, y tiene muchos defensores, así como reputación, en especial en un modelo de TP-Link: TL-WN722N.

En conclusión: ambas referencias son muy buenas para auditorías, y le dejé mi experiencia por ser propietario.

Tenga también en cuenta al Chipset Realtek RTL 8187L, que también lo traen algunos modelos de Alfa, entre otras marcas, y tienen una notable reputación para auditar. Muy sólido y noble.

De igual forma los ejemplos son de guía para que aprecie las diferencias y escenarios así como las características de hardware.

Espero que le sea útil.

Hackers chinos utilizaron un exploit de la NSA años antes de la filtración de Shadow Brokers

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los hackers estatales chinos clonaron y comenzaron a usar un exploit de día cero de la NSA casi tres años antes de que el grupo de hackers Shadow Brokers lo filtrara públicamente en abril de 2017.

EpMe es el exploit original creado por Equation Group alrededor de 2013 para un error de día cero de Windows rastreado como CVE-2017-2005.

La vulnerabilidad se utilizó para aumentar los privilegios de los usuarios de Windows después de obtener acceso a los dispositivos específicos, ya que es un error de escalamiento de privilegios locales (LPE) que afecta a los dispositivos que ejecutan Windows XP hasta Windows 8.

Microsoft corrigió este error de seguridad en marzo de 2017 y atribuyó la explotación activa al grupo de piratería APT31 respaldado por China.

Robado, clonado y armado

Sin embargo, APT 31 (también rastreada como Zirconium) construyó su exploit, apodado Jian, al replicar la funcionalidad del exploit EpMe robado del Equation Group (la unidad Tailored Access Operations (TAO) de la NSA) como revelaron los investigadores de Check Point en un informe publicado hoy.

"Para nuestra sorpresa, descubrimos que este exploit APT31 es de hecho una versión reconstruida de un exploit de Equation Group llamado 'EpMe'", dijo Check Point. "Esto significa que un exploit de Equation Group fue finalmente utilizado por un grupo afiliado a China, probablemente contra objetivos estadounidenses".

Esto fue posible después de que los piratas informáticos del estado chino capturaron muestras de 32 y 64 bits del exploit EpMe de Equation Group.

Una vez replicado, APT31 utilizó el exploit de día cero junto con otras herramientas de piratería en su arsenal, incluido el empaquetador de múltiples etapas del grupo.

Microsoft corrigió la vulnerabilidad de la que Jian estaba diseñado para abusar solo después de que el IRT de Lockheed Martin encontró una muestra de explotación en la naturaleza y la compartió con Microsoft.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

No es el primer exploit robado a la NSA

Si bien este no es el primer caso de un grupo APT respaldado por China que usa los días cero de Equation Group en sus ataques, esta es la primera vez que los ciberespías chinos pudieron tener en sus manos muestras de explotación y clonarlas para sus propios fines.

"La primera fue cuando APT3 usó su propia versión de EternalSynergy (llamada UPSynergy), después de adquirir el exploit Equation Group EternalRomance", agregó Check Point.

"Sin embargo, en el caso de UPSynergy, el consenso entre nuestro grupo de investigadores de seguridad, así como en Symantec, fue que el exploit chino se reconstruyó a partir del tráfico de red capturado".

Como dice Check Point, los operadores APT31 podrían tener en sus manos las muestras de exploits en todas sus versiones compatibles, ya que Jian se ensambló utilizando las versiones de 32 y 64 bits del exploit de Equation Group.

Los piratas informáticos de APT31 pudieron así obtener las muestras de explotación de Equation Group de una de las siguientes formas, según Check Point:

    -Capturado durante una operación de red de Equation Group en un objetivo chino.
    -Capturado durante una operación de Equation Group en una red de terceros que también fue monitoreada por la APT china.
    -Capturado por la APT china durante un ataque a la infraestructura de Equation Group

"Básicamente, nuestra investigación es una demostración de cómo un grupo de APT está utilizando las herramientas de otro grupo de APT para sus propias operaciones, lo que dificulta que los investigadores de seguridad realicen una atribución precisa de los ataques y muestra cuán compleja es realmente la realidad detrás de estos ataques y lo poco que sabemos ", dijo el investigador senior de seguridad de Check Point, Itay Cohen.

"Nuestra esperanza es que nuestra técnica de investigación reciente para rastrear vulnerabilidades explotadas pueda llevar a nuevas conclusiones que la industria de la seguridad ha pasado por alto hasta ahora".

Más Info y pormenores:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuentes:

Check Point Research
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un grupo de académicos de la ETH de Zúrich ha publicado una investigación en la que se detalla un ataque bastante novedoso mediante el cual es posible usar una tarjeta contactless Mastercard como si fuera una tarjeta VISA y sin necesidad de conocer ni siquiera el PIN.

"Esto no es sólo una confusión de marcas de tarjetas, sino que tiene consecuencias críticas", dijeron los investigadores David Basin, Ralf Sasse y Jorge Toro. "Por ejemplo, los delincuentes pueden usarlo en combinación con el ataque anterior a Visa para también eludir el PIN de las tarjetas Mastercard. Las tarjetas de esta marca se presumían previamente protegidas por PIN".

Esta técnica se aprovecha de vulnerabilidades en el protocolo EMV (Europay, Mastercard, and Visa). Aunque se detallará en el 30º Simposio de Seguridad de USENIX, muy a alto nivel decir que el ataque se logra utilizando una aplicación de Android que implementa un ataque Man-in-the-Middle (MitM) sobre una arquitectura de relay, lo que permite que la aplicación no solo inicie mensajes entre los dos extremos: el terminal y el tarjeta, sino también interceptar y manipular las comunicaciones NFC (o Wi-Fi) para introducir maliciosamente una discrepancia entre la marca de la tarjeta y la red de pago.

Dicho de otra manera, si la tarjeta emitida es de marca Visa o Mastercard, entonces la solicitud de autorización necesaria para facilitar las transacciones EMV se enruta a la red de pago respectiva. El terminal de pago reconoce la marca mediante una combinación de lo que se llama un número de cuenta principal (PAN, también conocido como el número de tarjeta) y un identificador de aplicación (AID) que identifica de forma única el tipo de tarjeta (por ejemplo, Mastercard Maestro o Visa Electron), y posteriormente hace uso de este último para activar un kernel específico para la transacción.

Un Kernel EMV es un conjunto de funciones que proporciona toda la lógica de procesamiento y los datos necesarios para realizar una transacción EMV con o sin contacto.

El ataque llamado "card brand mixup", en español "confusión de marcas de tarjetas", aprovecha el hecho de que estos AID no están autenticados en el terminal de pago, lo que hace posible "engañarla" para que active un kernel defectuoso y, por ende, que el banco que procesa los pagos en nombre del comerciante acepte transacciones contactless con un PAN y un AID que indican diferentes marcas de tarjetas.

"El atacante realiza simultáneamente una transacción Visa con el terminal y una transacción Mastercard con la tarjeta", señalaron los investigadores.

Sin embargo, el ataque requiere que cumpla una serie de requisitos previos para tener éxito: se debe tener acceso a la tarjeta de la víctima, además de poder modificar los comandos del terminal y las respuestas de la tarjeta antes de entregarlos al destinatario correspondiente. Lo que no requiere es la necesidad de tener privilegios de root o explotar fallos en Android para usar la aplicación de prueba de concepto (PoC).
Pero los investigadores señalan que una segunda deficiencia en el protocolo EMV contactless podría permitir que un atacante "construya todas las respuestas necesarias especificadas por el protocolo Visa a partir de las obtenidas de una tarjeta que no sea Visa, incluidas las pruebas criptográficas necesarias para que el emisor de la tarjeta autorice la transacción..."

Ataques a Mastercard

Este ataque consiste principalmente en el reemplazo de los identificadores de aplicación (AID) legítimos de la tarjeta por Visa AID A0000000031010 para engañar al terminal y activar el kernel de Visa. El atacante realiza simultáneamente una transacción Visa con el terminal y una transacción Mastercard con la tarjeta. En la transacción de Visa, el atacante aplica el mencionado ataque a Visa.

Para que este ataque funcione, la solicitud de autorización del terminal debe llegar al banco emisor de la tarjeta, y para ello se deben cumplir varias condiciones, entre ellas:

•   el terminal no se desconecta incluso si el número de tarjeta (PAN) y los AID indican diferentes marcas de tarjetas, y
•   El adquirente del comerciante enruta la solicitud de autorización de transacción a una red de pago que puede procesar tarjetas Mastercard.

Usando la aplicación PoC para Android, los investigadores de ETH Zurich pudieron omitir la verificación del PIN para transacciones con tarjetas de crédito y débito Mastercard, incluidas dos tarjetas de débito Maestro y dos tarjetas de crédito Mastercard, todas emitidas por diferentes bancos, consiguiendo transacciones que superaron los 400 CHF.



Ataques a VISA

En esta ocasión el ataque consiste en una modificación de los Card Transaction Qualifiers (CTQ, un objeto de datos de la tarjeta), antes de entregarlo al terminal.
La modificación indica al terminal que:

•   No se requiere verificación de PIN, y
•   el titular de la tarjeta se verificó en el dispositivo del consumidor (por ejemplo, un teléfono inteligente).
Probaron con éxito este ataque con tarjetas Visa Credit, Visa Debit, Visa Electron y V Pay. A continuación, se muestra una demostración en vídeo de una transacción de 200 CHF.

Mitigación o contramedidas

En respuesta a esta investigación, Mastercard y VISA han agregado una serie de contramedidas, incluida la obligación de las instituciones financieras de incluir la AID en los datos de autorización, lo que permite a los emisores de tarjetas comparar la AID con el PAN.

Además, la red de pago ha implementado controles para otros puntos de datos presentes en la solicitud de autorización que podrían usarse para identificar un ataque de este tipo, rechazando así una transacción fraudulenta desde el principio.

Fuentes:
The EMV Standard: Break, Fix, Verify
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Desde hace tiempo cifrar los archivos de la víctima y pedir un cifra en BTC como rescate dejó de ser la única vía de extorsión. Las bandas de cibercriminales han encontrado nuevas formas mucho más lucrativas y casi todas derivan en la publicación y, a veces venta, de datos exfiltrados en sitios reconocidos de la Deep Web.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En este post recopilamos los principales hasta la fecha:

•   AKO (RANZY): http://37rckgo66iydpvgpwve7b2el5q2zhjw4tv4lmyewufnpx4lhkekxkoqd[.]onion

•   AVADDON: http://avaddongun7rngel[.]onion

•   BABYK: http://gtmx56k4hutn3ikv[.]onion

•   CLOP: http://ekbgzchl6x2ias37[.]onion

•   DARKSIDE: http://darksidedxcftmqa[.]onion

•   DOPPLE PAYMER: hpoo4dosa3x4ognfxpqcrjwnsigvslm7kv6hvmhh2yqczaxy3j6qnwad[.]onion

•   EGREGOR: http://egregoranrmzapcv[.]onion

•   MOUNT LOCKER: http://mountnewsokhwilx[.]onion

•   NEFILM (Corporate Leaks): http://hxt254aygrsziejn[.]onion

•   PAY2KEY: http://pay2key2zkg7arp3kv3cuugdaqwuesifnbofun4j6yjdw5ry7zw2asid[.]onion

•   RAGNAR : http://p6o7m73ujalhgkiv[.]onion

•   RANZYLEAK / AKO: http://37rckgo66iydpvgpwve7b2el5q2zhjw4tv4lmyewufnpx4lhkekxkoqd[.]onion/

•   RANSOMEXX (DEFRAY777): http://rnsm777cdsjrsdlbs4v5qoeppu3px6sb2igmh53jzrx7ipcrbjz5b2ad[.]onion

•   REVIL: http://dnpscnbaix6nkwvystl3yxglz7nteicqrou3t75tpcc5532cztc46qyd[.]onion

•   SUNCRYPT: http://nbzzb6sa6xuura2z[.]onion

Fuera de línea (20/02/2021)

•   CONTI : htcltkjqoitnez5slo7fvhiou5lbno5bwczu7il2hmfpkowwdpj3q2yd[.]onion

•   CONTI-NEWS (RYUK): http://fylszpcqfel7joif[.]onion

•   EVEREST: http://ransomocmou6mnbquqz44ewosbkjk3o5qjsl3orawojexfook2j7esad[.]onion/

•   HADES: http://ixltdyumdlthrtgx[.]onion

•   LOCKBIT: http://lockbit-blog[.]com

•   MAZE: xfr3txoorcyy7tikjgj5dk3rvo3vsrpyaxnclyohkbfp3h277ap4tiad[.]onion

•   MAZE-NEWS: https://mazenews[.]online

•   NETWALKER: http://rnfdsgm6wb6j6su5txkekw4u4y47kp2eatvu7d6xhyn5cs4lt4pdrqqd[.]onion/blog

•   PROLOCK: msaoyrayohnp32tcgwcanhjouetb5k54aekgnwg7dcvtgtecpumrxpqd[.]onion

•   PYSA : http://wqmfzni2nvbbpk25[.]onion/partners.html

•   SEKHMET: http://sekhmetleaks[.]top

•   XINOF - RAAS (Login required): wj3b2wtj7u2bzup75tzhnso56bin6bnvsxcbwbfcuvzpc4vcixbywlid[.]onion

Fuente:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

MassLogger es un troyano diseñado en .NET cuya finalidad es robar credenciales de Outlook, Chrome y aplicaciones de mensajería instantánea.

Conocido por afectar durante el 2020 a Bulgaria, Lituania, Hungría, Estonia, Rumanía y España, a mediados de enero de este 2021 aumentó su alcance a Turquía, Letonia e Italia.

Fue detectado por primera vez en abril del 2020 y la reciente actualización indica que los programadores de este malware no van a parar de reestructurarlo para poder maximizar los ingresos generados.

«Aunque las operaciones de MassLogger han sido documentadas con anterioridad esta nueva campaña destaca por utilizar el formato HTML compilado para iniciar la infección.» Explicaban investigadores de Cisco.

El formato HTML compilado o CHM es un formato muy popular usado para almacenar documentación de software y documentos de ayuda. Estos archivos pueden contener código malicioso que puede ser ejecutado posteriormente.

Esta nueva campaña se propaga mediante correos electrónicos que incitan a los usuarios a hacer click y descargar el contenido. Alguno de los correos tienen como asunto «Consulta de un cliente nacional» o «memorando de entendimiento».

Los archivos adjuntos vienen comprimidos con la extensión .R09 en un intento por evitar el bloqueo de archivos .RAR. Aunque no es habitual encontrar este tipo de compresión, no supone un problema a la hora de abrirlo con cualquier software de compresión de datos.
Dentro del volumen comprimido encontramos nuestro archivo HTML compilado, que al abrirlo muestra un mensaje que dice: «Servicio al cliente», aunque viene incrustado con código JavaScript ofuscado para crear una página HTML, que a su vez contiene un downloader de PowerShell para conectarse a un servidor legítimo y buscar el cargador responsable del lanzamiento MassLogger.

En esta última versión del troyano se ha detectado una funcionalidad para robar credenciales pertenecientes a aplicaciones de mensajería tales como Pidgin, Discord, NordVPN, Outlook, Thunderbird, Firefox, QQ Browser y Chromium- navegadores basados en Chrome, Edge, Opera y Brave.

«Se aconseja a los usuarios que configuren sus sistemas para registrar eventos de PowerShell, como la carga de módulos y los bloques de secuencias de comandos ejecutados, ya que mostrarán el código ejecutado en su formato desofuscado«, concluyeron los investigadores de Cisco.

Fuente:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Por Disposición 1/2021 El DIRECTOR NACIONAL DE CIBERSEGURIDAD, dispone:

ARTICULO 1°.- Crease en el ámbito de la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD el CENTRO NACIONAL DE RESPUESTA A INCIDENTES INFORMÁTICOS (CERT.ar), con el objetivo de coordinar la gestión de incidentes de seguridad a nivel nacional y prestar asistencia en aquellos que afecten a las entidades y jurisdicciones del Sector Público Nacional definidas en el inciso a) del artículo 8° de la Ley Nº 24.156 y sus modificatorios y a las Infraestructuras Críticas de Información, declaradas como tales.

ARTICULO 2°.- El You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, tendrá las siguientes funciones específicas:
a) Administrar y gestionar toda la información sobre reportes de incidentes de seguridad en las entidades y jurisdicciones del Sector Público Nacional definidas en el inciso a) del artículo 8° de la Ley Nº 24.156 y sus modificatorios.
b) Asesorar técnicamente ante incidentes de seguridad en sistemas informáticos que reporten las entidades y jurisdicciones enumeradas en el artículo 1° de la presente medida.
c) Coordinar las acciones a seguir, ante incidentes de seguridad, con otros Programas y equipos de respuesta a incidentes de la REPÚBLICA ARGENTINA.
d) Contribuir a incrementar la capacidad de prevención, alerta, detección y recuperación ante incidentes de seguridad informática que puedan afectar activos de información críticos del país.
e) Interactuar y cooperar con equipos de similar naturaleza de otros países.
f) Llevar un registro de estadísticas y establecer métricas a nivel nacional.
g) Coordinar la gestión de incidentes de seguridad informáticos que afecten recursos críticos a nivel nacional
h) Impulsar la formación de capacidades de prevención, detección, alerta y recuperación para la respuesta ante incidentes de seguridad informática.
i) Cooperar con los gobiernos provinciales y de la Ciudad Autónoma de Buenos Aires en la gestión de incidentes de seguridad informática.

ARTICULO 3°.- Deróguese la Disposición de la OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN N° 2 del 8 de agosto de 2013.

ARTICULO 4°.- La presente medida entrará en vigencia a partir del día siguiente a su publicación en el BOLETÍN OFICIAL DE LA REPÚBLICA ARGENTINA.

ARTICULO 5°.- Comuníquese, publíquese, dese a la Dirección Nacional del Registro Oficial y archívese.

Fuente:
boletinoficial.gob.ar
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Lookout Threat Intelligence Team, ha descubierto dos aplicaciones fraudulentas, dirigidas a entidades militares, nucleares y electorales de Pakistán, que tenían como objetivo, Pakistán.

Bautizado como Hornbill y Sunbird, el malware se hace pasar por servicios legítimos para ocultar su rastro con la finalidad de recopilar sms, contenido de aplicaciones de mensajería cifrada, geolocalización, entre otros tipos de información sensible.

Estas aplicaciones fraudulentas tienen diferencias en la forma en que operan en un dispositivo infectado. Mientras que SunBird cuenta con funcionalidad de RAT (remote access trojan), Hornbill es una discreta herramienta de vigilancia utilizada para extraer un conjunto seleccionado de datos de interés para su operador.

Los hallazgos publicados por Lookout son el resultado del análisis de 18 GB de datos filtrados que fueron expuestos públicamente desde al menos seis servidores de comando y control (C2) configurados de forma insegura y ubicados en India. Hay al menos 156 víctimas con números de teléfono de India, Pakistán y Kazajistán durante los últimos años.

Mientras que Hornbill parece derivar de un producto de vigilancia comercial previamente activo conocido como MobileSpy, SunBird ha sido rastreado hasta un grupo de desarrolladores indios detrás de otro software de seguimiento de móviles llamado BuzzOut.

Ambos programas espía están equipados para acumular una amplia gama de datos, como registros de llamadas, contactos, información del sistema, localización, fotos almacenadas en discos externos, grabación de audio y vídeo, y capturas de pantalla, con un enfoque particular en el saqueo de mensajes de WhatsApp y notas de voz abusando de las API de accesibilidad de Android.

Más información:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El 5 de febrero de 2021, actores no identificados obtuvieron acceso no autorizado al sistema de control de supervisión y adquisición de datos (SCADA) en una instalación de tratamiento de agua potable de EE.UU.

Los atacantes no identificados utilizaron el software del sistema SCADA para aumentar la cantidad de hidróxido de sodio, también conocido como lejía, un químico cáustico, como parte del proceso de tratamiento del agua. El personal de la planta de tratamiento de agua notó inmediatamente el cambio en las cantidades de dosificación y corrigió el problema antes de que el software del sistema SCADA detectara la manipulación y se alarmara debido al cambio no autorizado.

Como resultado, el proceso de tratamiento de agua no se vio afectado y siguió funcionando con normalidad. Los actores cibernéticos probablemente accedieron al sistema aprovechando las debilidades de la seguridad, incluida la seguridad deficiente de la contraseña y un sistema operativo desactualizado.

La información preliminar indica que es posible que se haya utilizado un software de uso compartido de escritorio, como TeamViewer, para obtener acceso no autorizado al sistema, aunque esto no se puede confirmar en la actualidad. La respuesta en el lugar al incidente incluyó la Oficina del Sheriff del Condado de Pinellas (PCSO), el Servicio Secreto de los Estados Unidos (USSS) y la Oficina Federal de Investigaciones (FBI).

El FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia de Protección Ambiental (EPA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) han observado ciberdelincuentes que atacan y explotan software de uso compartido de escritorio y sistemas operativos antiguos para obtener acceso no autorizado a los sistemas.

El software para compartir escritorio, que tiene múltiples usos legítimos, como habilitar el trabajo a distancia, el soporte técnico remoto y la transferencia de archivos, también puede explotarse mediante el uso de tácticas de ingeniería social por parte de actores malintencionados y otras medidas ilícitas.

Uso de Windows 7

El 14 de enero de 2020, Microsoft finalizó el soporte para el sistema operativo Windows 7, que incluye actualizaciones de seguridad y soporte técnico a menos que ciertos clientes hayan comprado un plan de Actualización de Seguridad Extendida (ESU). El plan ESU se paga por dispositivo y está disponible para las versiones Windows 7 Professional y Enterprise, con un precio que aumenta cuanto más tiempo lo usa el cliente. Microsoft solo ofrecerá el plan ESU hasta enero de 2023. El uso continuo de Windows 7 aumenta el riesgo de que un actor cibernético explote un sistema informático.
 
Windows 7 se volverá más susceptible a la explotación debido a la falta de actualizaciones de seguridad y al descubrimiento de nuevas vulnerabilidades. Microsoft y otros profesionales de la industria recomiendan encarecidamente actualizar los sistemas informáticos a un sistema operativo con soporte activo. Continuar usando cualquier sistema operativo dentro de una empresa más allá del final de su vida útil puede proporcionar acceso a los ciberdelincuentes a los sistemas informáticos.

Los delincuentes continúan encontrando puntos de entrada en los sistemas operativos heredados de Windows y aprovechan las vulnerabilidades del Protocolo de escritorio remoto (RDP). Microsoft lanzó un parche de emergencia para sus sistemas operativos más antiguos, incluido Windows 7, después de que un investigador de seguridad descubrió una vulnerabilidad de RDP en mayo de 2019.

Desde finales de julio de 2019, la actividad maliciosa de RDP ha aumentado con el desarrollo de un exploit comercial funcional para el vulnerabilidad. Los actores cibernéticos a menudo utilizan controles de acceso de RDP mal configurados o asegurados de manera inadecuada para llevar a cabo ataques cibernéticos. Por ejemplo, xDedic Marketplace, eliminado por las fuerzas del orden público en 2019, se hizo famoso por publicar las vulnerabilidades de RDP en todo el mundo.

Además de ajustar las operaciones del sistema, los atacantes también utilizan las siguientes técnicas:

•   Utilizar el acceso obtenido para realizar transferencias bancarias fraudulentas.
•   Inyectar código malicioso
•   Proteger los archivos maliciosos para que no se detecten
•   Controlar los parámetros de inicio del software para ocultar su actividad.
•   Realizar movimiento lateral a través de una red para aumentar el alcance de la actividad.

TeamViewer vulnerable

•   TeamViewer es una herramienta popular legítima que ha sido explotada por atacantes involucrados en ataques de ingeniería social dirigidos, así como en campañas de phishing indiscriminadas a gran escala. Más allá de sus usos legítimos, cuando no se siguen las medidas de seguridad adecuadas, las herramientas de acceso remoto pueden usarse para ejercer control remoto sobre los sistemas informáticos y colocar archivos en las computadoras de las víctimas, lo que lo hace funcionalmente similar a los troyanos de acceso remoto (RAT).
•   El uso legítimo de TeamViewer hace que las actividades anómalas sean menos sospechosas para los usuarios finales y los administradores del sistema en comparación con las RAT.

Fuente:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Muchas Felicidades a todos!!

Hola Esteban. Es muy interesante su interrogante.

En mi apreciación, es muy relativo.

Intuyo que es debido a que el lenguaje de programación es solo una herramienta, vía e instrumento, a través de la cual el hacker expresa sus ideas o proyectos, sobre lo que desea lograr y crear. Por supuesto que cada una tiene sus peculiaridades, aunque así también son las peculiaridades de las personas.

Cada desarrollador siempre encuentra el encanto y "amor" con el lenguaje que llega a dominar, creando simbiosis creativa a través de él.

De cualquier modo, coincido con el consenso de muchos, que se aprecia en internet:

Cuál es el lenguaje de programación más empleado para el hacking?

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Y coincido también con lo de Python, si merodeamos entre las "tools" del GitHub.
Aunque para el malware sofisticado, y en especial para crear herramientas en el ciberespionaje a nivel gubernamental, se usa mucho, por los equipos de programadores, el C, o el C++.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Comisión Federal de Comercio de los Estados Unidos recibió 1,4 millones de denuncias por robo de identidad en año 2020, cifra que representa el doble que en 2019.

El número de casos en los que se reportó robo de identidad en los Estados Unidos se duplicó en 2020 en comparación con el año previo, dijo la Comisión Federal de Comercio (FTC, por sus siglas en inglés). En una publicación que marca el inicio de la Semana de Concientización sobre el Robo de Identidad en Estados Unidos, la FTC dijo que recibió aproximadamente 1.4 millones de reportes de casos de robo de identidad el año pasado. Este aumento en los casos se debe principalmente a que los ciberdelincuentes que apuntan a personas que se han visto afectadas financieramente por la pandemia de COVID-19.

Cabe destacar que este crecimiento no se ha dado en Estados Unidos solamente. En Argentina, por ejemplo, medios locales afirman que en la Ciudad de Buenos Aires el robo de identidad fue una de las modalidades de ciberdelito que más creció en 2020, mientras que en México se estima que el robo de identidad es el delito de mayor crecimiento.

"El mayor aumento en 2020 de las denuncias por robo de identidad a la FTC coinciden con la caída del empleo a nivel nacional. Después de que el gobierno otorgó subsidios a las personas que quedaron sin trabajo por la pandemia, los ciberdelincuentes se anotaron para recibir estas ayudas utilizando información personal de otras personas", dijo Seena Gressin, abogada en la División Educación para el Consumidor y Empresas de la FTC.

El año pasado, la comisión recibió 394,280 reportes de fraudes relacionados con beneficios del gobierno, un fuerte aumento si comparamos con los 12,900 reportes de 2019. La mayoría de los casos de robo de identidad involucraron a estafadores que se presentaron para recibir beneficios para desempleados en nombre de las víctimas.

Los beneficiarios de las prestaciones por desempleo no fueron las únicas víctimas de los ladrones de identidad. La FTC también recibió reportes de robo de identidad de personas cuyos datos comerciales o personales fueron utilizados por estafadores para obtener préstamos que se ofrecen a través de programas de créditos impulsados por el gobierno dirigidos a pequeñas empresas.
En 2020, los informes de fraude relacionados con préstamos personales o comerciales aumentaron a más del doble en comparación con el año anterior, pasando de 43,920 a 99,650 informes. Sin embargo, la comisión se señaló que no todos los reportes estaban relacionados con ayudas del gobierno, aunque sí explican una parte importante del aumento de las denuncias.

Los ciberdelincuentes también utilizaron el robo de identidad como un medio para obtener acceso a los pagos de estímulo federal emitidos por el Servicio de Impuestos Internos de los Estados Unidos (IRS, por sus siglas en inglés) y que son elegibles para los residentes de Estados Unidos. Estos casos fueron denunciados a la FTC como incidentes de robo de identidad fiscal. La cantidad de denuncias en 2020 triplicaron en comparación con las de 2019, con la FTC recibiendo 89,390 reportes en 2020 y 27,450 el año anterior.

"Si bien muchas denuncias están relacionadas a otros tipos de robo de identidad fiscal, las cifras de las denuncias comenzaron a subir cuando empezaron a realizarse los pagos de estímulo federal", escribió Gressin.

El robo de identidad fiscal ha demostrado ser un problema constante que el IRS ha estado tratando, especialmente durante la temporada de impuestos, incluso debido a que los ciberdelincuentes cometen fraude con la devolución de los impuestos al presentar su declaración impositiva en nombre de la víctima. En diciembre de 2020, el IRS expandió su programa de protección de identidad a todos los contribuyentes estadounidenses elegibles en un esfuerzo por combatir varias estafas fiscales.

Fuente:
We Live Security by ESET
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login