ALERTA: Nuevo ransomware para Android

Envía mensajes de texto a contacto para propagarse

En los laboratorios de ESET recientemente han descubierto una nueva familia de ransomware para Android, que se propaga a través de las listas de contactos de las víctimas mediante usando SMS con enlaces maliciosos.

ESET notificó que el ransomware se distribuye utilizando temáticas relacionadas con la pornografía en Reddit. El perfil malicioso utilizado en la campaña de distribución ya fue denunciado, pero al momento continúa activo.

La campaña que descubrimos es pequeña y bastante amateur. Sin embargo, si la distribución se vuelve más avanzada, este nuevo ransomware podría convertirse en una seria amenaza”, comentó Lukáš Štefanko, investigador de ESET que dirigió la investigación.

Lo interesante de este ransomware es su mecanismo de propagación nada tradicional, antes de comenzar a encriptar los archivos, envía un lote de mensajes de texto a la lista de contactos de la víctima, incentivando a los destinatarios a hacer clic en un enlace malicioso que se dirige al archivo de instalación del ransomware.

En teoría, esto puede conducir a una avalancha de infecciones, más teniendo en cuenta que el malware cuenta con 42 versiones de lenguaje del mensaje malicioso. Afortunadamente, incluso usuarios desprevenidos pueden identificar que los mensajes están mal traducidos y que algunas versiones no parecen tener ningún sentido”, comentó Štefanko.

Está amenaza tiene algunas anomalías en su cifrado, a diferencia del típico ransomware de Android, este no impide que el usuario acceda al dispositivo bloqueando la pantalla. Por otro lado, el rescate no se establece como un valor codificado, sino que la cantidad que solicitan los atacantes a cambio de descifrar los archivos se crea dinámicamente utilizando el UserID asignado por el ransomware a la víctima en particular. Dando como resultado una cantidad de rescate única.

“El truco con un rescate único es novedoso: no lo hemos visto antes en ningún ransomware del ecosistema de Android”, dice Štefanko. “Probablemente esté destinado a asignar pagos a las víctimas. Esta tarea generalmente se resuelve creando una billetera Bitcoin única para cada dispositivo cifrado. En esta campaña, solo hemos visto una billetera Bitcoin en uso”.

Según Lukáš Štefanko, los usuarios con dispositivos protegidos por ESET Mobile Security están a salvo de esta amenaza. “Reciben una advertencia sobre el enlace malicioso; si ignoran la advertencia y descargan la aplicación, la solución de seguridad la bloqueará”.

Este descubrimiento muestra que el ransomware todavía representa una amenaza para los dispositivos móviles Android. Por lo que ESET nos comparte algunos principios básicos para mantenerse a salvo:

  • Mantener los dispositivos actualizados, preferiblemente configurados para parchear y actualizarse automáticamente.
  • Mantenerse en Google Play u otras tiendas de aplicaciones acreditadas. Es posible que estos mercados no estén completamente libres de aplicaciones maliciosas, pero hay mayor posibilidad de evitarlas.
  • Verificar calificaciones y comentarios de las aplicaciones. Enfocarse en los negativos, ya que es más probable que provengan de usuarios legítimos, mientras que los atacantes suelen elaborar comentarios positivos.
  • Centrarse en los permisos solicitados por la aplicación. Si parecen inadecuados para las funciones de la aplicación, evitar descargar la aplicación.
  • Utilizar una solución de seguridad móvil acreditada para proteger su dispositivo.

Disfruta de un dispositivo móvil más seguro con ESET MOBILE SECURITY, que protege tu celular de las amenazas de Internet, incluidos los ataques de ransomware, virus y troyanos.

Conoce todos los detalles de ESET Mobile Security y descarga la versión gratuita en ZMA IT Solutions AQUÍ

FUENTE WEB: https://www.biobiochile.cl/noticias/ciencia-y-tecnologia/internet/2019/08/06/descubren-un-nuevo-ransomware-para-android-que-se-propaga-a-los-contactos-via-mensajes-de-texto.shtml

ALERTA: Amenazas propagándose en LATAM

Desde el Laboratorio de Investigación de ESET Latinoamérica se recibió una alerta sobre la propagación de un código malicioso con capacidades de ciberespionaje. La amenaza, conocida como Machete y descubierta en 2014, sigue afectando a usuarios en la región, principalmente en Colombia, Venezuela y Ecuador, aunque informan que se ha visto actividad relevante en otros países de Latinoamérica.

Machete es un malware que busca robar información de personas y empresas, en el 2018 reapareció portando nuevas características. En los primeros meses del 2019, gracias a la telemetría de ESET detectaron intentos de uso de este código malicioso.

Dado lo complejo de esta amenaza, desde el Laboratorio de ESET advierten sobre los mecanismos de propagación que se han identificado en las últimas investigaciones y garantizar que la infraestructura de nuestros clientes se encuentra correctamente protegida.

Por esta razón, ESET nos comparte la siguiente información:

1. La propagación de las nuevas versiones de Machete, vistas desde el año pasado, usan un downloader como primera etapa del ataque.

2. El principal vector de propagación son mensajes de correo electrónico que parecen ser legítimos, por ello es importante prestar especial atención al link de descarga. La propagación ocurre mediante campañas de phishing, pero no a través de adjuntos sino con un enlace para descargar algún archivo desde un servidor externo.

3. Las últimas campañas están apuntando al dominio lawyersofficial.mipropia.com. De todas formas, por seguridad recomiendan monitorear todas las direcciones del dominio *.mipropia.com.

4. Los archivos que se están propagando tienen doble extensión, usualmente: *.pdf.scr o *.doc.scr. Los mismos contienen un script con el que se inicia el ataque, y pueden abrir la puerta a descargar la amenaza en la máquina.

Las soluciones de ESET correctamente configuradas detectan y bloquean la propagación de esta amenaza. Sin embargo, es importante prestar especial atención a los indicadores de compromiso mencionados para evitar que la amenaza se propague en equipos que pudieran estar desprotegidos.

Si reciben algún correo electrónico con archivos adjuntos con las características mencionadas anteriormente, los pueden reenviar a la cuenta samples@eset-la.com para continuar con nuestros análisis.

ALERTA: FaceApp, peligrosa APP que te hace viejo

Las aplicaciones de cambio de aspecto físico son una debilidad desde que existen los smartphone e internet, y por mucho que pasen los años nunca pasan de moda. La última que ha vuelto a aparecer en todas las redes sociales es FaceApp, una aplicación que ya triunfó en 2017, que se caracteriza por el realismo con el que te hace más viejo o cambia tu rostro analizando una simple foto.

Estos sistemas en su mayoría son gratuitos, viven de los anuncios, pero, sobre todo de la gestión de millones de datos muy jugosos para todo tipo de empresas, y para sus algoritmos. Así que se debería pensar dos veces antes de usarlo.

FaceApp, es una aplicación de origen ruso, creada en 2017 por la empresa Wireless Lab y cuyo CEO es el ingeniero Yaroslav Goncharov. Un dato bastante llamativo es que, aunque en todos lados aparece que la compañía está en San Petersburgo (Rusia), en sitios como la tienda oficial de apps de Android, se muestra como sede Wilmington, una ciudad de Delaware, estado de Estados Unidos, considerado paraíso fiscal.

Pero las sospechas no se quedan solo en el origen y la naturaleza de la empresa, sino en los términos y condiciones que aceptamos cuando se empieza a usar. Es de conocimiento de todos los problemas que suelen dar estos apartados, llenos de cláusulas y frases complejas, y en caso como este, son clave.

Indagando los términos y condiciones se puede descubrir lo que pueden llegar a hacer con la información que se proporciona a la app de forma gratuita, ya sean fotos o datos personales. FaceApp reserva todo un apartado para explicar que: “no alquilaremos ni venderemos su información a terceros fuera de FaceApp (o el grupo de compañías del que FaceApp es parte) sin su consentimiento”, pero a la vez se guarda muchísimas excepciones. Detalles como que pueden compartir tu información sin un consentimiento explicito “con organizaciones de terceros que nos ayudan a proporcionarle el servicio”.

Crear algoritmos tan complejos como el que usa FaceApp para cambiar nuestro aspecto físico, no es sencillo ni económico, por lo que siendo un programa gratuito (cuenta con su versión premium con ciertas mejoras) la rentabilidad debe salir de algún lugar.

Finalmente es nuestra decisión individual seguir utilizando, o no, este programa, pero teniendo claro a quién le estamos regalando nuestra información.

ESET Mobile Security, es la solución ideal para disfrutar de un dispositivo seguro y resguardar tu información, permite ver los niveles de permisos de todas las aplicaciones instaladas, organizadas por grupos, además conoce a qué información del teléfono o tablet tienen acceso.

Todas las amenazas detectadas las mueve a la carpeta cuarentena, para que no puedan causar ningún daño, dando la posibilidad de conservarlas allí, eliminarlas o quitarlas.

ESET Mobile Security, ofrece a tu dispositivo: Antivirus, análisis en tiempo real y programado, bloqueo de aplicaciones, antiphishing, auditoría de seguridad, entre otros.

Descarga ESET Mobile Security en su versión Premium y protege tu información de este tipo de aplicaciones AQUÍ

ALERTA: BlueKeep podría causar un nuevo WannaCry

Casi un millón de sistemas Windows no han instalado aún el parche de seguridad para corregir el fallo de seguridad BlueKeep. Algo que es tan peligroso que Microsoft incluso ha lanzado el parche para XP.

Hace dos semanas Microsoft lanzó el parche de seguridad para subsanar la vulnerabilidad BlueKeep. Sin embargo, se estima que puede haber cerca de un millón de sistemas Windows que aún no han sido actualizados. La empresa explica que se trata de una vulnerabilidad de ejecución remota de código en servicios de escritorio remoto, anteriormente conocido como Servicios de Terminal Server, que se produce cuando un atacante no autenticado se conecta al sistema de destino mediante Remote Desktop Protocol (RDP) y envía solicitudes especialmente diseñadas.

La empresa especifica que esta vulnerabilidad no requiere la interacción del usuario porque es “wormable”. Es decir, que puede hacer que cualquier malware que explote la vulnerabilidad se pueda difundir de un sistema vulnerable a otro automáticamente, de una manera similar a la propagación de WannaCry y NotPetya.

Además, el atacante que aprovechara la brecha podría ejecutar código arbitrario en el sistema de destino. De esta forma, el ciberdelincuente podría instalar programas, ver, cambiar o eliminar datos, y hasta crear nuevas cuentas con plenos derechos de usuario. Para ello, el hacker tendría que enviar una solicitud especialmente diseñada a los sistemas de destino Remote Desktop Service a través de RDP.

La mejor muestra de la relevancia que concede Microsoft a esta vulnerabilidad es que ha lanzado parche de seguridad incluso para Windows XP, a pesar de que dejó de dar soporte para dicho sistema operativo hace más de cinco años. También lo ha lanzado para otros sistemas sin soporte, como Windows Vista y Windows Server 2003.

Además de actualizar los equipos, se aconseja a las empresas que solucionen los problemas relacionados con PsExec, una herramienta de línea de comandos que los administradores de TI pueden utilizar para ejecutar procesos en sistemas remotos.

Es posible que sólo se tenga una máquina WinXP antigua que sea vulnerable, que no les importe si se infecta con ransomware. Pero esa máquina puede tener un administrador de dominio conectado. Cuando el gusano se rompe, toma esas credenciales y las usa para iniciar sesión en el controlador de dominio. Luego, desde el controlador de dominio, el gusano envía una copia de sí mismo a todos los escritorios y servidores de la organización, utilizando esas credenciales en lugar de la vulnerabilidad. Esto es lo que sucedió con NotPetya: la vulnerabilidad real no era el problema, era PsExec.

La protección exhaustiva para endpoints con Windows la consigues en ZMA IT Solutions, con ESET Endpoint Antivirus, protección antivirus y antispyware, elimina todo tipo de amenazas, incluyendo virus, rootkits, gusanos y spyware, con exploración opcional basada en la nube para mejorar aún más el rendimiento de la detección. Ofrece:

  • Detección superior y soporte para la virtualización.
  • Elimina todos los tipos de amenazas y es compatible con las máquinas virtuales.
  • Bajo impacto en el sistema. Deja libres más recursos del sistema y sigue suministrando una protección completa.
  • Incluye el bloqueo de exploits y la exploración avanzada de memoria para neutralizar las amenazas más sofisticadas.

Compre su licencia AQUÍ o descargue la versión de prueba AQUI

FUENTE WEB: https://www.silicon.es/bluekeep-wannacry-2397309