Campaña de phishing contra clientes de Interbank

Estimados colegas,

Hemos encontrado una nueva campaña de phishing que en esta oportunidad está dirigida a clientes del Interbank en el Perú. LLega un correo electrónico como el siguiente
PhishInterbankEl URL donde apunta el botón de “Ingresa aquí” lleva a la víctima a http://intercorp.<protegido&gt;.in. Al hacer click, este servidor lo redirige a un dominio .pe con la página falsa:

PhishInterbank2Según nic.pe, la información del dominio destino es:

Estado del dominio: Activo
Nombre del titular: DIANA MARIA ECHEVERRIA BALLARTE
Contacto administrativo: DIANA MARIA ECHEVERRIA BALLARTE <karencitalvsan@hotmail.es>
Empresa comercializadora: 1API GmbH

REGISTROS DNS ACTIVOS

  1. ns1.zonomi.com
  2. ns2.zonomi.com
  3. ns3.zonomi.com
  4. ns4.zonomi.com
Advertisements

Malware Android Un nuevo malware intercepta y reenvía los sms en Android

(Tomado de itespresso.es)El troyano Android.Pincer.2 puede robar mensajes confidenciales o códigos para confirmar transacciones bancarias online y enviárselos a los ciberdelincuentes.

El malware móvil crece y se multiplica. Ha sido descubierto un nuevo malware para Android que puede interceptar los mensajes de texto entrantes y enviárselos posteriormente a los ciberdelincuentes. Una vez instalado, este troyano puede ser utilizado para robar mensajes confidenciales o, lo que es más preocupante, para hacerse con los códigos que se utilizan para confirmar las transacciones bancarias en línea.

Este malware, detectado como “Android.Pincer.2.origin” por la firma de seguridad rusa Doctor Web, es la segunda versión de la familia Android.Pincer, según esta compañía. Ambas amenazas se extienden como certificados de seguridad, lo que significa que deben ser instalados deliberadamente en un dispositivo Android por un usuario descuidado o engañado, según informa TNW.

Al lanzar Android.Pincer.2.origin, el usuario verá una notificación falsa acerca de la correcta instalación del certificado, pero después de ese anuncio el troyano no llevará a cabo ninguna actividad notable durante un tiempo. El malware se carga en el arranque a través de CheckCommandServices, un servicio que se ejecuta en segundo plano.

A continuación, se conecta a un servidor remoto y envía a través del mismo la siguiente información sobre el dispositivo móvil a los responsables del ataque: modelo de teléfono, número de serie del dispositivo, IMEI, soporte, número de teléfono móvil, el idioma por defecto del sistema, el sistema operativo y la disponibilidad de la cuenta raíz.

Después, espera instrucciones que contienen comandos con el siguiente formato: comando: [comando]. Doctor Web ha encontrado estas instrucciones que los criminales pueden enviar al troyano: Start_sms_forwarding [número de teléfono] (iniciar la intercepción de las comunicaciones de un número especificado), Stop_sms_forwarding (detener la intercepción), Send_SMS [número de teléfono y el texto]  (enviar un mensaje corto con los parámetros especificados), Simple_execute_ussd (enviar un mensaje USSD), Stop_program (dejar de trabajar), Show_message (mostrar un mensaje en la pantalla del dispositivo móvil), Set_urls (cambiar la dirección del servidor de control), Ping (enviar un SMS con el texto “pong” a un número previamente especificado) y Set_sms_number (cambiar el número al que se envían los mensajes que contengan la cadena de texto “pong”).

A pesar de su peligrosidad potencial, Android.Pincer.2 no está demasiado extendido. No se ha encontrado en Google Play, donde la mayoría de los usuarios de Android consiguen sus aplicaciones, y parece estar destinado a ataques precisos, no a un número masivo de usuarios.

CSIRT-CV e INTECO-CERT publican el informe: “Detección de APTs”

(Tomado de inteco.es)

El informe pretende recomendar a profesionales de seguridad una serie de medidas a llevar a cabo de cara a detectar si estamos siendo víctimas de un ataque dirigido.

En los últimos 4 años el número de amenazas cibernéticas se ha multiplicado de manera exponencial produciéndose además un cambio en la naturaleza de las mismas; se ha pasado de amenazas conocidas, puntuales y dispersas, a amenazas de gran sofisticación, persistentes, y con objetivos muy concretos, surgiendo una nueva categoría de amenazas en el mundo del cibercrimen, las Advanced Persistent Threats (Amenazas Persistentes y Avanzadas), en adelante APT o APTs.

Cuando hablamos de ataques de APT nos referimos a organización, premeditación, persistencia, sofisticación y novedad. No hay que olvidar que este tipo de amenazas están suficientemente financiadas cómo para mantener su campaña de ataques durante un periodo largo de tiempo, y disponer de los recursos necesarios para conseguir su fin. Es posible incluso que, en caso de ser detectados, los cibercriminales tengan un plan de contingencia que les permita reorganizarse y atacar de nuevo.

La detección de estos ataques presenta una extrema dificultad  (open a new window). Muchos utilizan firmas de ataque único y novedoso, capaces de evadir los sistemas de defensa tradicionales, usando canales encubiertos y utilizando técnicas de ocultación durante largos periodos de tiempo. En definitiva, las APT, a día de hoy, constituyen uno de los peligros mas importantes y de mayor expansión a los que se enfrentan los profesionales de seguridad, y son difícilmente evitables para la mayoría de las organizaciones. Por esta razón, la principal cuestión que se ha de plantear en el panorama actual frente a este tipo de amenazas es cómo detectarlas.

Es fundamental proporcionar a los profesionales de seguridad y administradores de sistemas y redes el conocimiento necesario sobre cómo detectar una APT en sus infraestructuras tecnológicas. Con objeto de concienciar sobre la importancia de una detección precoz ante una amenaza de este tipo, CSIRT-CV  (open a new window) e INTECO-CERT (open a new window) han colaborado en la elaboración de un informe titulado “Detección de APTs” que tiene, entre otros, los siguientes objetivos:

  • Constatar la importancia e implicación que tienen las APT en la seguridad nacional.
  • Evidenciar el funcionamiento detallado de algunos casos conocidos de este tipo de ataques.
  • Detallar cuales son las vías de infección más utilizadas para llevar a cabo un ataque de estas características.
  • Establecer una serie de pasos básicos a seguir y consideraciones que se deben tener en cuenta a la hora de detectar en nuestra organización una intrusión de estas características.

El informe “Detección de APTs” se encuentra disponible para su descarga desde:

Vulnerabilidad crítica de Linux pone en peligro a usuarios, incluso después de un “fix” silencioso

(Tomado de arstechnica) A un mes de reparar error crítico silenciosamente, la vulnerabilidad “root” persiste.

Por más de dos años, el sistema operativo Linux ha contenido una vulnerabilidad de alta gravedad que ofrece a los usuarios no confiables con cuentas restringidas, acceso “root” sobre las máquinas, casi sin restricciones, incluyéndose los servidores que corren en las instalaciones de alojamiento web compartido y otros ambientes sensibles.

Sorprendentemente, la mayoría de los usuarios los mantienen de par en par, incluso ahora, más de un mes después que los mantenedores del sistema operativo de código abierto liberaron silenciosamente una actualización que parcha el agujero.

La gravedad del error, que se encuentra en “perf” del kernel de Linux o los contadores de rendimiento del subsistema, no llegó a ser evidente hasta el martes, cuando el código de ataque aprovechando la vulnerabilidad se puso a disposición del público (nota: algunos contenidos en este sitio no se considera adecuado en muchos entornos de trabajo). El nuevo script se puede utilizar para tomar el control de servidores operados por muchos proveedores de alojamiento web compartido, donde decenas o cientos de personas tienen cuentas sin privilegios en la misma máquina. Los hackers que ya tuvieran un control limitado sobre una máquina Linux, por ejemplo, mediante la explotación de una vulnerabilidad en un navegador de escritorio o una aplicación Web, puede utilizar también el error de escalar sus privilegios a root. La vulnerabilidad afecta a las versiones del kernel Linux desde 2.6.37 a 3.8.8 que se han compilado con la opción de configuración del kernel CONFIG_PERF_EVENTS.

“Puesto que hay un exploit público ya disponible, el atacante tendría sólo tendrá que descargar y ejecutar el exploit en un equipo de destino”, declaró Dan Rosenberg, investigador senior de seguridad de Azimuth Seguridad, a Ars en un e-mail. “La vulnerabilidad podría no funcionar “out-of-the-box”  en todos los equipos afectados, en cuyo caso, para que funcione correctamente, se requerirán algunos ajustes muy sencillos (por alguien con experiencia en el desarrollo de exploits)”.

La solución para el kernel de Linux fue publicada el mes pasado. Su documentación no mencionó que el código parchaba una vulnerabilidad crítica que podría poner en peligro la seguridad de las organizaciones que ejecutan Linux en entornos altamente sensibles. Esta falta de avisos de seguridad ha sido una práctica habitual desde hace años entre Linus Torvalds y otros desarrolladores del kernel Linux, y ocasionalmente ha sido objeto de intensas críticas por parte de algunos en los círculos de seguridad.

Ahora que está disponible un parche para el kernel, se puede desplegar en todas las versiones de kernel estable afectadas que se ofrecen en kernel.org, que mantiene el código del núcleo Linux. Se espera que las distribuciones individuales apliquen la revisión a sus núcleos y publiquen actualizaciones de seguridad en los próximos días.

(N.del T.: Fedora Core 17 ya publicó el kernel parchado en sus repositorios)

Use Skype con cuidado, Microsoft lee todo lo que usted escribe

(Tomado de h-online.com) Toda persona que use Skype ha dado su consentimiento a la empresa para la lectura todo lo que escribe. Asociados de “H” en Alemania en Heise Security han descubierto ahora que la subsidiaria de Microsoft de hecho hace uso de este privilegio en la práctica. Poco después de enviar las direcciones URL HTTPS a través del servicio de mensajería instantánea, los URLs reciben una visita no anunciada de la sede de Microsoft en Redmond.

Un lector informó a Heise Security que había observado cierto tráfico inusual de red  después de una conversación de mensajería instantánea de Skype. El servidor indica un posible ataque de reproducción. Resultó que una dirección IP que se remonta a Microsoft había accedido a la URL HTTPS previamente transmitida a través de Skype. Heise Security luego reprodujo los eventos enviando dos URLs HTTPS de prueba, uno que contienen información de acceso y otro que apunta a un servicio de intercambio de archivos basado en la nube privada. Unas horas después de los mensajes de Skype, se observó lo siguiente en el registro del servidor:

65.52.100.214 - - [30/Apr/2013:19:28:32 +0200]
"HEAD /.../login.html?user=tbtest&password=geheim HTTP/1.1"

Ellos también recibieron visitas a cada una de las direcciones URL HTTPS transmitidos a través de Skype desde una dirección IP registrada en Microsoft en Redmond. Los URLs que apuntan a páginas web encriptadas con frecuencia contienen datos de sesión únicos u otra información confidencial. El URL HTTP, por el contrario, no fue accedido. Al visitar estas páginas, Microsoft hace uso tanto de la información de acceso y la dirección URL especialmente creada para un servicio de intercambio de archivos basado en la nube privada.

En respuesta a una pregunta de Heise Security, Skype los remitió a un pasaje de su política de protección de datos:

Skype podrá utilizar la digitalización automatizada en mensajes instantáneos y SMS para (a) identificar spam sospechoso y / o (b) identificar las URL que previamente han sido marcados como spam, fraude, o enlaces de phishing.”

En enero, los grupos de derechos civiles enviaron una carta abierta a Microsoft cuestionando la seguridad de las comunicaciones de Skype desde su adquisición. Los grupos tras la carta, que incluye la Electronic Frontier Foundation y Reporteros sin Fronteras manifiesta su preocupación de que la reestructuración resultante de la adquisición de Skype significa que tendría que cumplir con las leyes estadounidenses sobre espionaje y por lo tanto que permita que los organismos gubernamentales y los servicios secretos tengan acceso a las comunicaciones por Skype.

En resumen, el H y Heise Security creen que, habiendo consentido a Microsoft que utilice todos los datos transmitidos más o menos como quiera, todos los usuarios de Skype deben asumir que esto sucederá y que la empresa no va a revelar qué es exactamente lo que extrae con estos datos.

 

 

Campaña de phishing contra clientes de LAN Perú

Hemos recibido el siguiente correo phishing contra los usuarios de LAN, invitándolos a divulgar información bajo el engaño de haber ganado un supuesto premio.

El mensaje proviene de noreply@sonico.com y el asunto es “LAN PASS Y SUS OFERTAS TE HICIERON GANAR. El cuerpo del mensaje, muy llamativo, es el siguiente

PhishingLAN

El enlace indicado no lleva a la víctima al sitio de LAN como aparece sino a http://lottofacil.com.pe/only.%5Bprotegido%5DLanPass.php. Al llegar al sitio se descargará el archivo VD000232.exe.

Al analizar el archivo indicado arroja positivo por 17 de los 46 antivirus más conocidos, con los siguientes nombres: Trojan/Win32.ADH, TR/Crypt.FKM.Gen, Gen:Trojan.Heur.ZGY.7, W32/VBTrojan.9!Maximus, Trojan.Agent/Gen-Koobface[Bonkers], etc.

Al correr el malware en un sandbox, pudimos comprobar que, aparte de alterar el Registry del Windows, modificar la configuración del firewall personal y lanzar otros ejecutables, intenta conectarse con la IP 31.170.161.209, que probablemente sea su Control y Comando.

Esperamos que la presente información les sea de utilidad.

Phishing contra usuarios de correo gob.pe

Hemos recibido el reporte de un incidente de phishing contra algunas entidades gob.pe. El ataque en esta oportunidad incluye cierta personalización como el nombre del dominio de la víctima dentro del cuerpo del mensaje.

El mensaje proviene aparentemente de una cuenta vulnerada (cdavidson@ssffaa.gob.cl) y realmente llega de su servidor (mail.ssdefensa.gob.cl. [163.247.42.108]), mientras que la cuenta receptora de los datos de las víctimas es tec.supportteam.account@dgoh.org, aparentemente una segunda cuenta vulnerada. El remitente original ha empleado la IP 101.212.85.249 (rango asignado a la India).

Cuerpo del Correo

De: Webmail Atención al cliente, <cdavidson@ssffaa.gob.cl>
Fecha: 9 de mayo de 2013 17:56
Asunto: Webmail Atención al cliente
Para: 
 
Webmail Atención al cliente,
 
Este mensaje es de la Oficina del Centro de [xxx].gob.pe apoyo técnico a todos los propietarios de las cuentas  [xxx].gob.pe. Debido a la creciente tasa de mensajes de spam recibidos el año pasado, actualmente estamos realizando para arriba-gradación todas las cuentas [xxx].gob.pe mantenimiento, así como los servidores de correo electrónico para su conveniencia. Esto es para que podamos aumentar el nivel de seguridad en todas las cuentas [xxx].gob.pe para bloquear los mensajes de spam para su conveniencia. Todos los servicios de correo electrónico se interrumpirán durante este período, para evitar que su cuenta se cierre durante este ejercicio, tendrá que actualizarlo abajo para conocer su condición de cuenta utilizada en la actualidad con un protector de spam duro.
 
Este mantenimiento se inició el May7th para terminar 30 de mayo 2013 a partir de las 21:00 hasta aproximadamente las 12:00 de la noche para que podamos aumentar el tamaño de almacenamiento de su cuenta de correo web. Mantente informado también que no vamos a dudar en eliminar tu email cuenta si no funciona para crear más espacio para los nuevos usuarios.
 
Confirme su correo electrónico Detalles de cuenta haciendo clic en el botón de respuesta y el seguimiento de su;
 
* Nombre completo:
* E-mail Nombre de Usuario:
* E-mail ID:
* E-mail Contraseña:
* Confirmar contraseña:
* Fecha de nacimiento:
 
Tras la actualización, un enlace de restablecimiento de contraseña le será enviada a su correo electrónico para la nueva contraseña. Por favor entiendan que esto es una medida de protección que se pretende ayudar a proteger su cuenta de correo electrónico.
 
Tech Center apoyo
Código Advertencia: ID64623821
Hemos procedido a contactar al CSIRT del Gobierno Chileno para prevenirlos sobre la vulneración.
Por otra parte, el registro MX de dgoh.org apunta a un servidor hotmail.com, somo se muestra a continuación:
PantallaDNSdgoh_org
Sírvanse notificar a sus usuarios para prevenir la divulgación involuntaria de sus contraseñas.