¿Cómo hackear cualquier WIFI WPA/WPA2 fácilmente con Wifiphisher?

wifiphisher.jpg

Wifiphisher es una herramienta de seguridad que monta ataques de phishing automatizados y personalizados en contra de clientes de WiFi para obtener credenciales o infectar a las víctimas con malwares. Primordialmente es un ataque de ingeniería social que a diferencia de otros métodos no incluye ninguna fuerza bruta. Es una manera sencilla de obtener las credenciales de los portales cautivos y los accesos de terceras partes (e.g. en redes sociales) o WPA/WPA2 llaves compartidas.

Wifiphisher funciona en Kali Linux y tiene licencia bajo el GPL.

¿Cómo funciona?

Después de obtener una posición en medio utilizando el Evil Twin o el ataque KARMA, Wifiphisher re-direcciona todas las búsquedas HTTP hacia un controlador de ataque en una página phishing menciona Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

Desde el punto de vista de la víctima, el ataque tiene uso en tres fases:

  1. La víctima es des-autenticada de su punto de acceso. Wifiphisher continuamente interfiere todos los puntos de acceso de wifi de los dispositivos de los objetivos dentro de un rango forzando paquetes de “des-autenticación” o “des-asociación” para interrumpir asociaciones existentes.
  2. La víctima se une a un punto de acceso fraudulento. Wifiphisher olfatea el área y copia las configuraciones de los puntos de acceso. Después crea un acceso wireless fraudulento que se va moldeando por la víctima. También pone un NAT/DHCP servidor y manda los puertos correctos. Consecuente a esto, debido a la interferencia, los clientes se comienzan a conectar al punto de acceso fraudulento. Después de esta fase, la víctima es MiTMed. Además, Wifiphiser escucha para probar marcos requeridos y burla redes abiertas “conocidas” para causar una asociación automática acuerdo a los expertos de seguridad informática de Webimprints.
  3. Se le presenta a la víctima una página realista de phishing que es especialmente personalizada. Wifiphisher emplea un servídor web mínimo que responde a peticiones de HTTP y HTTPS. Tan pronto como la victima requiera la página de Internet, Wifiphisher responderá con una página falsa que le pide sus credenciales o le da malwares. Ésta pagina estará hecha especialmente para la víctima, por ejemplo, una pagina de configuración del router contendrá los logos del vendedor. La herramienta contiene plantillas construidas para diferentes escenarios de phishing.

Requerimientos

A continuación los requerimientos para sacar lo mejor de Wifiphiser:

  • Kali Linux. Aunque han logrado que Wifiphisher funcione en otras distribuciones, Kali Linux es el soporte oficial de distribución, así que todas las nuevas características son primeramente probadas en esta plataforma.

 

  • Un adaptador de red wifi que soporte AP y modo Monitor y que sea capaz de inyectar. Para el modo avanzado, necesitas dos tarjetas; una que soporte el modo AP y otra que soporte el modo Monitor. Los conductores deberán soportar netlink.

Instalación

Para instalar la versión más reciente, escribe el siguiente comando:

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision cd wifiphisher # Switch to tool’s directory sudo python setup.py install # Install any dependencies

Alternativamente, puedes bajar la versión más estable de la Releases page.

Uso

Corre la herramienta escribiendo wifiphisher o python bin/wifiphisher (desde el directorio de la herramienta).

Al correr la herramienta sin opciones, encontrará interfaces e intelectivamente pedirá al usuario escoger ESSID de la red objetivo (de una lista con todas las ESSIDs en el área) así como el escenario del phishing. Por default, la herramienta realizará ambos ataques (Evil Twin y KARMA).

wifiphisher -aI wlan0 -jI wlan4 -p firmware-upgrade –handshake_capture handshake.pcap

Utilice wlan0 para generar el punto de acceso fraudulento y wlan4 pata ataques DoS. Selecciona la red objetivo manualmente de la lista y realiza un escenario de “actualización de Firmware”. Verifica mediante el handshake en el archivo handshake.pcap  que la llave ore-compartida es la correcta.

Útil para seleccionar manualmente los adaptadores wireless. “La actualización de Firmware” es una manera sencilla de obtener el PSK de la red protegida con contraseña.

wifiphisher –essid CONFERENCE_WIFI -p plugin_update -pK s3cr3tp4ssw0rd

Automáticamente selecciona las interfaces correctas, Pon el wifi en el objetivo con ESSID “CONFERENCE_WIFI” y realiza el escenario para la “actualización plug-in”.  El Evil Twin tendrá de contraseña PSK:  “s3cr3tp4ssw0rd”.

Útil contra redes con PSK divulgado (por ejemplo, en conferencias). El escenario del Plugin Update  provee una manera sencilla para hacer que la víctima baje ejecutables maliciosos (por ejemplo, malwares que contengan un shell payload reversible) explica experto de seguridad informática

wifiphisher –noextensions –essid “FREE WI-FI” -p oauth-login

No cargues ninguna extensión. Simplemente genera una red de wi.fi abierto con ESSID “FREE WI-FI” y realiza el escenario para “OAuth Login”.

Útil en contra de las víctimas en lugares públicos. El escenario “OAuth Login” provee una manera sencilla de capturar las credenciales de redes sociales como Facebook.

A continuación, las opciones y las descripciones (también disponibles con wifiphisher -h):

Short form Long form Explanation
-h –help Muestra el mensaje de ayuda y sale
-jI EXTENSIONSINTERFACE –extensionsinterface EXTENSIONSINTERFACE Manualmente escoge una interfaz que soporte el modo Monitor para correr las extensiones. Ejemplo -jI wlan1
-aI APINTERFACE –apinterface APINTERFACE Manualmente escoge una interfaz que soporte el modo AP para generar un AP. Ejemplo: -aI wlan0
-nJ –noextensions No bajar ninguna extensión
-e ESSID –essid ESSID Mete el ESSID del punto de acceso fraudulento. Esta opción se salta la fase de selección del punto de acceso. Ejemplo: –essid ‘Free WiFi’
-p PHISHINGSCENARIO –phishingscenario PHISHINGSCENARIO Escoge el escenario que quieras ejecutar. Esta opción se saltara la fase de selección de escenario. Ejemplo: -p firmware_upgrade
-pK PRESHAREDKEY –presharedkey PRESHAREDKEY Añade la protección WPA/WPA2 en el punto de acceso fraudulento. Ejemplo: -pK s3cr3tp4ssw0rd
-qS –quitonsuccess Detén el script después de obtener un par de credenciales.
-lC –lure10-capture Capture el BSSIDS del APS que se descubre durante la fase de selección AP. Esta opción es la parte de ataque de Lure10.
-lE LURE10_EXPLOIT –lure10-exploit LURE10_EXPLOIT Engañe al servidor de localización de Windows de usuarios cercanos de Windows haciéndoles creer que esta dentro del área previamente capturada con —caputura-lure10—. Parte del ataque Lure10
-iAM –mac-ap-interface Especifique la dirección MAC para la interfaz AP. Ejemplo: iAM 38:EC:11:00:00:00
-iEM –mac-extensions-interface Especifique la dirección de MAC para las extensiones de la interfaz. Ejemplo: -iEM E8:2A:EA:00:00:00
-iNM –no-mac-randomization No cambie la dirección de MAC
-hC –handshake-capture Capture los handshakes de WPA/WPA2 para verificar la contraseña. Ejemplo: -hC capture.pcap
-dE –deauth-essid Deauth todas las BSSIDs que tengan la misma ESSID de la selección AP o la ESSID dada por opción -e
–logging Permite el acceso. Output será guardado al archivo wifiphisher.log
-cM –channel-monitor Monitorea si el punto de acceso objetivo cambia de canal
–payload-path Permite el camino al payload. Previsto para uso de escenarios que tengan payloads.
-wE –wpspbc-exploit Monitorea si el botón del WPS-PBC Registrar está presionado
-wAI –wpspbc-assoc-interface La interfaz de WLAN utilizada para asociar al punto de acceso WPS

wifi phisher1.png

wifi phisher2

wifiphisher-3

wifiphisher 4

wifi phisher 5

La herramienta no apunta a ser una escritura amistosa. Asegúrate de entender cómo funciona la herramienta antes de realizar una prueba menciona Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

Advertisements
Posted in Uncategorized | Leave a comment

OONIPROBE: una herramienta que detecta vigilancia digital y censura en un país o red

El OONI (Open Observatory of Network Interference) es un proyecto de un  software gratis bajo “TheTor Project” que apunta a fortalecer los esfuerzos descentralizados en el aumento de la censura del internet al rededor del mundo.

Desarrollamos un software gratis y de  origen abierto, llamado ooniprobe, que puedes correrlo para examinar lo siguiente:

  • Bloqueo de sitos web
  • bloqueo de aplicaciones con mensajes instantáneos (como por ejemplo WhatsApp y Messenger de Facebook).
  • bloqueo herramientas de evasión de censura(como Tor);
  • Presencia de sistemas (“middleboxes”) en la red que puede ser la razón de la censura y/o vigilancia.
  • Velocidad y rendimiento de su red.

Al correr el software Ooniprobe, puedes recolectar data que pueda servir como evidencia de la censura del internet. ya que enseña, cómo, cuándo, dónde y quién está implementado, mencionó Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

TheTor Project

Gracias a los miles de usuarios de Ooniprobe alrededor del mundo, millones de medidas de la red han sido recolectadas de más de 100 ciudades desde el 2012. Todas las metadata de la red son publicadas en OONI Explorer, la fuente pública acerca de la censura en internet más grande a la fecha.

OONI, (Open Observatory of Network Interference), es una red de observación global cuyo objetivo es recolectar datos de excelente calidad usando metodologías abiertas, utilizando Free y Open Source Software (FL/OSS) para compartir observaciones e información acerca de varios tipos, metros y cantidades de redes manipulando en el mundo.

OOMIPROBE es el primer programa que los usuarios utilizan para indagar su red y recolectar datos para el proyecto OONI. ¿Estás interesado en realizar pruebas en tu red para encontrar si es vigilada y censurada? ¿Quieres recolectar información para compartirla con otros, para que así todos tengan mejor entendimiento del red? Si es así, por favor lee este documento; esperamos que OONIPROBE  te ayude a reunir información de tu red y te ayude con futuros proyectos.

Lee esto antes de correr el programa de OONIPROBE

Hacer uso de este programa es una actividad con un posible riesgo. esto depende en gran manera de la jurisdicción en la que estes y que tipo de prueba quieras ejecutar. es técnicamente posible para una persona que esta observando tu conexiones a internet estar al tanto del hecho de que estas ejecutando OONIPROBE. esto significa que si este tipo de pruebas es ilegal en tu país, pueden detectarlo.

además, OONIPROBE no tiene precauciones en cuanto a la protección del análisis forense de la instalación en la máquina en la que se está instalando. si el hecho de que hayas instalado o usado OONIPROBE es una obligación, favor de estar al tanto del riesgo.

OONI en 5 minutos

La más reciente versión de OONIPROBE para Debian y Ubuntu puede ser encontrada en el repositorio de paquetes en deb.torproject.org

En Debian estable (jessie):

gpg –keyserver keys.gnupg.net –recv A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89

gpg –export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add –

echo ‘deb http://deb.torproject.org/torproject.org jessie main’ | sudo tee /etc/apt/sources.list.d/ooniprobe.list

sudo apt-get update

sudo apt-get install ooniprobe deb.torproject.org-keyring

En pruebas de Debian:

gpg –keyserver keys.gnupg.net –recv A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89

gpg –export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add –

echo ‘deb http://deb.torproject.org/torproject.org testing main’ | sudo tee /etc/apt/sources.list.d/ooniprobe.list

sudo apt-get update

sudo apt-get install ooniprobe deb.torproject.org-keyring

En Debian inestable:

gpg –keyserver keys.gnupg.net –recv A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89

gpg –export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add –

echo ‘deb http://deb.torproject.org/torproject.org unstable main’ | sudo tee /etc/apt/sources.list.d/ooniprobe.list

sudo apt-get update

sudo apt-get install ooniprobe deb.torproject.org-keyring

En Ubuntu 16.10 (yakkety), 16.04 (xenial) or 14.04 (trusty):

gpg –keyserver keys.gnupg.net –recv A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89

gpg –export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add –

echo ‘deb http://deb.torproject.org/torproject.org $RELEASE main’ | sudo tee /etc/apt/sources.list.d/ooniprobe.list

sudo apt-get update

sudo apt-get install ooniprobe deb.torproject.org-keyring

NOTA: necesitarás cambiar $RELEASE  para yakkety, xenial o trusty. Esto no pasará de manera automática. Tendrás también que asegurarte de tener el “universerepository” habilitado. El “universerepository” está habilitado por default en la instalación del Ubuntu estándar, pero puede ser que no lo esté en algunas no estándar.

Instalación

macOS

Puedes instalar OONIPROBE en macOS si tienes instalado el homebrew (http://brew.sh/) con:

brew install ooniprobe

Sistema Unix (con pip)

Asegúrate de haber instalado las siguientes dependencias:

  • build-essential
  • python (>=2.7)
  • python-dev
  • pip
  • libgeoip-dev
  • libdumbnet-dev
  • libpcap-dev
  • libssl-dev
  • libffi-dev
  • tor (>=0.2.5.1 torunallthetorrelatedtests)

Dependencias opcionales:

  • obfs4proxy

En los sistemas basados en Debian, se puede generalmente realizar al ejecutar:

sudo apt-get install -y build-essential libdumbnet-devlibpcap-devlibgeoip-devlibffi-dev python-dev python-pip tor libssl-dev obfs4proxy

En seguida podrás instalar OONIPROBE ejecutando:

sudo pip install ooniprobe

o instalar OONIPROBE como usuario:

pipinstallooniprobe

Utilizar OONIPROBE

Pruebas de red son medidas que evalúan el tipo de censura que está sucediendo en el internet.

Decksson colecciones de pruebas de red de OONIPROBE con inputs especiales.

Collectores un servicio utilizado para reportar los resultados de las mediciones.

Test Helper es un servicio utilizado por un investigador para llevar acabo exitosamente las mediciones

Bouncer es un servicio utilizado para descubrir las direcciones de los ayudantes en la prueba y los recolectores (collectors).

Configurando OONIPROBE

Después de haber instalado exitosamente OONIPROBE, debes de tener acceso al UI de la red en tu máquina principal en <http://localhost:8842/> después de ejecutar:

ooniprobe -w

o iniciando el daemon.

Se te dará la configuración wizard del UI de la red en donde podrás leer los riesGos que involucra el ejecutar OONIPROBE. Posterior a haber contestado el quiz correctamente, puedes habilitar o des-habilitar las pruebas de OONIPROBE, ajustar la conexión a las medidas del collector y finalmente configurar tus ajustes de privacidad.

Por default, OONIPROBE no incluye información de identificación personal en sus resultados de las pruebas, ni crea un archivo pcap de acuerdo a los expertos de seguridad informática de webimprints. Esto se puede personalizar.

Ejecuta OONIPROBE como un servicio (systemd)

A partir de de la versión de OONIPROBE 2.0.0 no hay necesidad de cronjobs ya que los agentes de OONIPROBE son responsables de agendar los tasks.

Puedes asegurarte de que un agente de OONIPROBE esta siempre corriendo el programa mediante la instalación y habilitación del systemdunitooniprobe.service:

wget https://raw.githubusercontent.com/TheTorProject/ooni-probe/master/scripts/systemd/ooniprobe.service –directory-prefix=/etc/systemd/system

systemctl enable ooniprobe

systemctl start ooniprobe

Debes de ver un output similar si el OONIPROBE (systemd) service está activo y descargado ejecutando el estatus de systemctlooniprobe

ooniprobe.service – ooniprobe.service, network interference detection tool

Loaded: loaded (/etc/systemd/system/ooniprobe.service; enabled)

Active: active (running) since Thu 2016-10-20 09:17:42 UTC; 16s ago

Process: 311 ExecStart=/usr/local/bin/ooniprobe-agent start (code=exited, status=0/SUCCESS)

Main PID: 390 (ooniprobe-agent)

CGroup: /system.slice/ooniprobe.service

└─390 /usr/bin/python /usr/local/bin/ooniprobe-agent start

 

Instalando las capacidades en tu virtualenvpythonbinary

si tu distribución suporta capacidades puedes evitar necesitar e correr OONI como root:

setcapcap_net_admin,cap_net_raw+eip /path/to/your/virtualenv’s/python2

 

Reporte de bugs

Puedes reportar los bugs o problemas que encuentres de seguridad informática en TheTor Project issuetracker llenando la información en el componente “Ooni”

https://trac.torproject.org/projects/tor/newticket?component=Ooni.

ya sea que registres una cuenta o uses la cuenta del grupo “cypherpunks” con la contraseña “writecode”

 

Establece un ambiente de desarrollo

En un sistema a base de Debian un ambiente de desarrollo se puede configurar de la siguiente manera:

(requisitos previos incluyen estructuras fundamentales python-dev, y tor; para tor ver https://www.torproject.org/docs/debian.html.en):

sudo apt-get install python-pip python-virtualenvvirtualenv

sudo apt-get install libgeoip-devlibffi-devlibdumbnet-devlibssl-devlibpcap-dev

git clone https://github.com/TheTorProject/ooni-probe

cd ooni-probe

virtualenvvenv

Virtualenvvenv creará un folder en el directorio actual que contendrá los archivos ejecutables de Python, así como una copia de la biblioteca pip que se puede utilizar para instalas otros paquetes.

Para comenzar a utilizar el ambiente virtual, éste necesita estar activado:

sourcevenv/bin/activate

pip install -r requirements.txt

pip install -r requirements-dev.txt

python setup.py install

Posteriormente puedes revisar la seguridad informáticadela instalación se realiza de manera correcta:

ooniprobe -s

Esto te explicará los riesgos de OONIPROBE y se asegurará de que los hayas entendido, después te enseñará las pruebas disponibles.

Para ejecutar la unidad de pruebas, escribe:

coveragerun $(which trial) ooni

 

 

 

 

 

 

 

Posted in Uncategorized | Leave a comment

Reglas de neutralidad de la red debilitadas por el regulador de Estados Unidos

Restricciones en la capacidad de proveedores estadounidenses de banda ancha para priorizar los datos de un servicio sobre el otro deben ser reducidas después de un voto por un regulador.

La “Federal CommunicationsCommission”, votó tres a dos para cambiar la manera en la que la “neutralidad de la red” es gobernada.

Los proveedores del servicio de internet (ISPs) no tendrán derecho de acelerar o frenar la información de compañías, y cobrar a los consumidores de acuerdo a los servicios a los que accedan; pero deben revelar dichas prácticas.

Todos

Previo al voto, protestantes se reunieron fuera del edifico de la FCC para oponerse al cambio.

Muchos discuten acerca de la inversión de reglas introducidas durante el gobierno del Presidente Barack Obama, ¿Como harán que el internet sea menos abierto y más accesible? Deacuerdo a los expertos de seguridad informática de Webimprints, la decisión está teniendo desafíos legales, con el fiscal de Nueva York, Eric Schneiderman, anunciando que el llevará a cabo una demanda en contra de la decisión de la FCC.

Mr. Schneiderman  acusó al guardián de haber fallado en investigar un posible abuso del proceso de comentario público. Dijo que al menos dos millones de personas muertas de Nueva York, fueron utilizadas sus identidades para poner comentarios en el sitio web de la FCC comentó Jim Gil, un experto de seguridad informáticade International Institute of Cyber Security (IICS)

Durante la audiencia, el comisionarlo de la FCC Mr. Michael O’Rielly respondió a esos reclamos argumentando que el staff ha podido determinar y descartar comentarios que fueran ilegítimos.

Las actas del jueves en Washington fueron paradas durante aproximadamente 15 minutos después de que una alarma de seguridad forzó una evacuación de la cámara de la FCC, un final diferente para un debate amargo y vitriólico.

El Presidente de la FCC, AjitPai, argumenta que los cambios fomentarán innovación y promoverá a que ISPs invierta en conexiones más rápidas para las personas que vivan en zonas rurales.

Él se refiere al cambio como “restaurar la libertad del Internet”.

Técnicamente, el voto fue para re clasificar la broadband de Internet como un servicio de información en lugar de telecomunicaciones.

La consecuencia es que la FCC no regulará directamente la ISPs explica Jim Gil, un experto de seguridad informáticade International Institute of Cyber Security (IICS).

En cambio, la jurisdicción pasará a otro regulador, la Federal TradeCommission (FTC). Su responsabilidad primordial será revisar que las compañías divulguen si han bloqueado información, la aceleren u ofrezcan priorizar el tráfico en lugar de detener este comportamiento.

Una de las críticas es que los consumidores estadounidenses tienen pocas o nulas opciones de ISPs para escoger.  Además, los opositores al cambio argumentan que podría tomar años cambiar esta mala conducta mencionó Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS)

“Disiento a esta ley de peso ligero que daña al consumidor, otorga permisos al corporativo, y destruye la libertad del Internet,” dijo el demócrata comisionado MignonClyburn antes del voto.

Pero su colega, el comisionado Mr. O’Rielly, un republicano, dijo que el temor acerca del fin de la neutralidad de la red eran “cuentos para dormir de terror para los geeks de las telecomunicaciones.”

Posted in Uncategorized | Leave a comment

Datos de 31 millones de usuarios se filtran debido a una app de teclado en los smartphones.

Después de que el creador de la app del teclado virtual Ai.Type dejó 577GB de datos de Mongo-hosted sin seguridad, la información personal de más de 31 millones de clientes fue expuesta a todo el que tuviera conexión a internet, según un post en el blog de Kromtech Security Center cuyos investigadores fueron quienes encontraron la fuga de datos.

Los investigadores descubrieron que la información expuesta incluía números telefónicos, el nombre del dueño, aparatos, redes móviles, números del SMS, direcciones de correo electrónico, información asociada con las cuentas de redes sociales y demás.

“Esto expuso también la cantidad de información a la que se tiene acceso y cómo se obtiene el tesoro oculto de información, los usuarios promedio no esperan que se extraiga de sus teléfonos o tablets,” según lo escrito en el post del blog mencionado.

virtual-keyboard-app-exposed-data-31-million-usersryut

“Ésta falla resalta lo vulnerable que somos ante las apps o las herramientas de terceros que son descuidadas o imprudentes con su seguridad,” mencionóel experto de seguridad informática de Webimprints. “Los consumidores aceptan automáticamentelos permisos de seguridad y sin darse cuenta permiten que las apps tengan completo acceso a lo que se encuentra en sus celulares.”

La mayoría de los usuarios “jamás leen los permisos de información de las aplicaciones cuando la bajan y no se dan cuenta que están otorgando acceso a casi todo, incluyendo muchas áreas en la que el publicador de la app no tiene uso legitimo, unas cuantas fugas de información más como ésta y las cosas podrían cambiar,” dijo John Gunn, jefe de marketing en VASCO Data Security. “Anteriormente, la gente sólo se preocupaba por su propia ingenuidad, ahora los usuarios también se tienen que preocupar por la de sus amigos y conocidos, pues pueden dar acceso a su información a algunos irresponsables y sin límites, publicadores de la app.”

Jeff Williams, CTO y cofundador del Contrast Security, hizo un llamado a la FCC para encontrar al autor de la app mencionada por haber hecho declaraciones fraudulentas acerca del producto, nos menciona Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

“El autor de la app prometido mayor seguridad y codificar la información pero fallado completamente, es un serio problema,” dijo Williams, “¿Cómo pueden los consumidores protegerse, si el marketing es libre de decir lo que sea sin asumir las consecuencias por mentir?”.

Sería mejor si “los vendedores de las apps no se quedaran solamente con lo que les dicen, si no que se les requiriera revelar información básica acerca de la seguridad de los productos,” comentó Williams, “No hallo alguna otra manera de arreglar el mercadeo de los softwares.”

DeMeo hizo un llamado al cambio “Un mejor modelo de seguridad: asumir que todas las apps y vendedores (aún las más confiadas) pueden ser las más descuidadas y pueden ser infringidas,” advirtiendo a los usuarios a no otorgar acceso a información personal de manera voluntaria “ni permitir lasapps que no son de confianza tengan acceso a la información de sus dispositivos moviles.”

 

Posted in Cyber Security, Vulnerabilidad | Leave a comment

Ransomware scum infect Comic Relief server: Internal systems taken down

Nothing funny about stealing from a charity. Comic Relief’s internal systems are down for the third day running after a ransomware attack on one of the charity’s servers on Wednesday.

Sad, disappointed-looking baby. Photo by Shutterstock

Founded in 1985 by comedy scriptwriters, the charity behind the UK’s Red Nose Day telethon took down all of its internal systems in the wake of the attack. An email sent on Wednesday to the charity’s staff from Zennon Hannick, its CTO, confirmed that “there has been a ransomware attack on one of Comic Relief’s servers.”

Staffers were told there would “no access to other external systems such as the internet, Citrix or webmail”.

Workers at the charity were told to work from home if they needed internet access, which is not expected to be available on the premises until lunchtime today.

“[T]he information held on this server has been encrypted and we cannot access it,” Hannick’s email continued.

“However the good news is the files held on this server are only copies of information we hold elsewhere on our network drives. The IT and Data teams along with external specialists are continuing their investigation to ensure we understand all the implications of this attack,” the CTO’s email added.

Comic Relief’s systems are completely unable to access the outside world at the moment, although the team is attempting to put in place security measures to restore such access.

Users’ passwords have all been expired, and users will be requested to provide a new “strong” password which is more than eight characters long, and includes a mix of upper and lowercase letters, special characters and a number.

Neither Citrix nor Comic Relief had responded to The Register‘s requests for comment at the time of publication. We’ll update when we hear more. ®

Updated at 15:43, September 16 to add: A Comic Relief spokesperson said: “Comic Relief is investigating a criminal ransomware attack on a discrete part of our IT network. We have been working with a specialist cyber security company to assess the situation in detail and are taking proactive steps to augment our security.

“The attack appears to have been isolated and at present we have found no evidence that any information or data has been stolen. However, we are continuing to carry out a thorough forensic investigation of all our IT systems to assess the full extent of the situation and are taking additional precautions to protect the security of all the information that we hold.

“Comic Relief has always taken information security extremely seriously and have worked with cyber security experts to ensure we have the most robust systems and security practices in place to protect our network and the information we hold. These systems are rigorously tested and under constant review to ensure that they continue to evolve to respond to ever-changing cyber threats.

Source:http://www.theregister.co.uk

Posted in Cyber Security, Malware, Pruebas de Software | Tagged | Leave a comment

Ramnit Trojan Resurgence Now Complete as v2 Targets UK Banks

Ramnit’s revival is now complete as security researchers are starting to see more coordinated attacks spreading the banking trojan’s latest version, with the vast majority of targets being banks from the UK.

Ramnit appeared in 2010, but in the beginning was only a small trojan with wormable features.

It evolved into a dangerous threat in 2011 when security researchers saw Ramnit’s developers add capabilities usually seen in banking trojans when they slowly began adding features from the leaked Zeus banking trojan source code.

Ramnit v1’s botnet was taken down in February 2015

As time went by, Ramnit evolved, and by 2014, the trojan was the fourth most active banking trojan on the market, supported by a huge botnet of infected PCs that helped it send spam and perform other sorts of illegal activities thanks to Ramnit’s modular and versatile structure.

This success drew the attention of law enforcement, which in February 2015 sinkholed some of Ramnit’s C&C servers in an attempt to take down the botnet.

Things didn’t turn out as they hoped, because by November and December of 2015, the trojan as back in action, with its developers already working on an early v2.

Ramnit v2 surfaces online, currently focuses on the UK

As 2016 came along, attacks intensified and Ramnit attacks slowly picked up steam once more. Early attacks targeted banks in Canada, Australia, the US and Finland.

According to IBM, current attacks only focus on UK banks, but version 2.0 of Ramnit seems to be ready for widespread distribution.

The trojan has undergone a small facelift, not major, but added more features to broaden its attack surface.

IBM reports that its module tasked with injecting malicious code in the infected victim’s browser has remained the same, as well as its data exfiltration VNC module, and its data scanner component that identifies information worth stealing.

“The configuration side is where we can see that Ramnit has been preparing for the next phase, with new attack schemes built for real-time fraud attacks targeting online banking sessions,” Limor Kessem, IBM researcher explains. “Not all attacks have to happen in real time or from the victim’s device; Ramnit’s operators can also gather credentials from infected users and use them to commit account takeover fraud from other devices at a later time.”

As Ramnit v2 development reaches its final phases, expect Ramnit spam and exploit kit development to intensify once more, possibly at the levels seen in 2014, and expand the target list to include more countries.

Source:http://news.softpedia.com/

Posted in Cyber Security, Malware | Leave a comment

Gozi Banking Trojan Campaigns Target Global Brands

Gozi, one of the oldest banking Trojans out there, is using highly elaborated webinjects along with behavioral biometrics for fraud protection bypass in new campaigns targeting global brands, buguroo researchers warn.

Discovered in 2007, Gozi has had its source code leaked twice, which has led to the creation of new variants, including the newly discovered GozNym, which borrows capabilities from the Nymaim Trojan too. GozNym has been already spotted in various campaigns, initially targeting users in the United States and Canada, and then migrating to Europe.

The new Gozi campaigns are focused mainly on banks and financial services in Spain, Poland, and Japan, but some target users in Canada, Italy, and Australia. According to researchers, Gozi’s operators are using new techniques that haven’t been perfected. As soon as that happens, however, the infection campaigns will spread to the United States and Western Europe.

In Spain, the malware was being distributed via malicious links leveraging URL shortening services, which led to compromised WordPress sites. The number of affected Spanish companies is relatively low, at least when compared to those in Poland and Japan, researchers say. The servers used for the distribution of configurations and webinjects for campaigns in Canada, Italy and Australia were inactive or disabled at the time of the research.

Some of the brands impacted in these campaigns include PayPal, CitiDirect BE, ING Bank, Société Générale, BNP Paribas, the Bank of Tokyo and many more, buguroo reveals in a report. These attacks reveal that Gozi continues to evolve, as it is now using dynamic web injection. It uses a high degree of automation to optimize the selection of mules after profiling the victim: the most important targets might even see the live intervention of operators, researchers say.

Gozi uses web injection that is very elaborate and optimized to avoid detection, which allows it to go virtually undetected. Furthermore, its operators immediately refine the code after an attack has been discovered. The updated code ensures that the defensive measures by institutions under attack are rendered useless.

When the infected user attempts a transaction, the malware’s command and control (C&C) server is notified in real time and immediately serves the user false information necessary to carry out fraudulent transfers. The user sees a deposit-pending alert requesting the security key to complete the transfer but the real transfer page that is present to the bank is hidden beneath it. Thus, the unsuspecting user is inadvertently entering the requested key and sends money to a “mule.”

The security researchers observed that Gozi is delivering both automated and manual customized responses from the control panel. Some users are assigned to a specific mule in a particular country, and the operator decides how much money would be transferred. Other users are assigned to a random mule and a fixed amount is transferred. In the end, it all depends on the value of the target, as operators assign greater operations to more reliable mules, researchers say.

The new campaigns also revealed that, for certain versions of the webinjects, the Trojan would send a kind of biometric information to the control panel, including details on how long the user takes to move from an input field to the next or the time between keystrokes. Based on these values, the malware then attempts to bypass protection systems that leverage user behavior and fills the necessary fields to perform fraudulent transfers.

The webinjects used in these campaigns show similarities to a malware family called Gootkit, but this is not surprising, since Gozi has shared webinjects with other malware in the past. The similarities between Gozi and GootKit webinjects, however, weren’t limited to code and techniques, but also to the dates and times corresponding to updates in the corresponding automatic transfer system (ATS) panels once impacted companies make changes to hinder Trojan’s operations.

“These facts—the complexity of these webinjects, their detailed elaboration and the fast updates once they stop functioning properly—once again point to the trend toward professionalization of malware services. These are probably sold by independent underground businesses that specialize in delivering malicious code for use by different organizations and made available, for a price, for multiple families of malware and campaigns,” the report reads.

Source:http://www.securityweek.com/

Posted in Malware | Tagged | Leave a comment