#CyberSecurityPulse: El boom de los minadores JavaScriptElevenPaths 19 diciembre, 2017 La pregunta más recurrente estos últimos meses derivado del repunte en el valor de numerosas criptodivisas es: ¿Invierto o no invierto? Sin embargo, como sabemos, existen diferentes formas de obtener criptodivisas y, una de ellas, es a través del minado. Una opción cada vez más costosa desde el punto de vista de los gastos incurridos para llevarlo a cabo. Es en este punto cuando sale a relucir la picaresca de ciertos atacantes. Investigadores de seguridad de F5 Networks han detectado una campaña de malware, denominada como Zealot, dirigida a servidores Linux y Windows para instalar mineros de Monero. Los expertos observaron que los threat actors trataban de escanear Internet en busca de servidores particulares no parcheados y los comprometían con dos exploits, uno para Apache Struts (CVE-2017-5638) y otro para el CMS DotNetNuke ASP.NET (CVE-2017-9822). Otro caso reciente ha sido el detectado en el Starbucks de Buenos Aires donde los equipos de los clientes que se contectaban a su Wi-Fi comenzaban a minar de forma secreta. La notificación a la compañía fue realizada por el CEO de Stensul, Noah Dinkin, quien realizó el pasado 2 de diciembre una conculta a través de Twitter de si estaban al tanto de la situación. Dinkin comentaba en su tweet que se estaba utilizando el minero JavaScript que ofrece Coinhive para minar la criptodivisa Monero. En este sentido, ElevenPaths ha publicado recientemente en su blog una investigación en la que se explica por qué se apuesta actualmente por minar Monero y no Bitcoin, así como cuáles son las webs más atractivas para aquellos que quieren aprovecharse de la capacidad de cómputo de terceros. Ante esta situación, se han publicado recientemente proyectos, como por ejemplo el de la extensión NoCoin para detectar si tu equipo se encuentra minando. Sin embargo, estos esfuerzos todavía son insufientes. Más información en ElevenPaths Noticias destacadas FCC acaba con la neutralidad de la red 3 de cada 5 reguladores federales votaron el jueves pasado para controlar el futuro de Internet por parte de las compañías de cable y telecomunicaciones estadounidenses, dándoles poderes para acelerar el servicio de sitios web o ralentizar a otros. Como se propuso este verano, la Comisión Federal de Comunicaciones (FCC) de Estados Unidos ha retirado las reglas de neutralidad de red que requieren que los proveedores de servicios de Internet (ISP) traten todos los servicios y sitios web por igual y les prohíbe bloquear sitios o cobrar por un servicio de mayor calidad. Más información en The Hacker News El Pentágono retrasa la fecha para que los proveedores militares cumplan con las normas de ciberseguridad El Pentágono retrasará la fecha límite del 1 de enero para que todos sus proveedores cumplan con una serie de nuevas regulaciones diseñadas en gran medida para proteger mejor los datos militares. Para el final del año, las empresas deben simplemente mostrar que tienen un plan establecido para cumplir con la regulación destinada a evitar el robo de datos confidenciales. Esta medida viene después de que en octubre, los funcionarios de Estados Unidos reconocieran que información confidencial del F-35 Joint Strike Fighter de un proveedor militar australiano fue robada. Más información en NextGov Noticias del resto de la semana Evento sospechoso enruta el tráfico de webs importantes a través de Rusia El tráfico enviado hacia y desde Google, Facebook, Apple y Microsoft fue brevemente enrutado a través de un proveedor de Internet ruso previamente desconocido el miércoles en circunstancias que los investigadores dijeron que era sospechoso e intencional. El incidente, que involucra al protocolo de Internet Border Gateway, es el más reciente que plantea preguntas preocupantes sobre la confianza y la confiabilidad de las comunicaciones. El evento del miércoles se produce ocho meses después de que parte del tráfico de red pertenecientes a MasterCard, Visa y más de dos docenas de otros servicios financieros fueran enviados a través de una telco controlada por el gobierno ruso, también bajo circunstancias sospechosas. Más información en Ars Technica Dos 0-days descubiertos en el vBulletin Forum divulgados públicamente Investigadores han descubierto dos vulnerabilidades críticas en una plataform de vBulletin que podrían permitir a un atacante de forma remota ejecutar código malicioso en la última versión del servidor de aplicaciones vBulletin. La primera vulnerabilidad se trata de un problema relacionado con la inclusión de archivos, lo que permitiría a un atacante que de forma remota pudiera incluir cualquier archivo en el servidor de vBulletin y ejecutar código PHP arbitrario. La segunda vulnerabilidad descubierta, que se le ha asignado el CVE-2017-17672, se describe como un problema de deserialización donde un atacante no autenticado puede aprovechar para eliminar archivos arbitrarios e incluso ejecutar código malicioso «en determinadas circunstancias». Más información en The Hacker News Un gestor de contraseñas preinstalado en Windows 10 permitiría robar contraseñas A partir de Windows 10 Anniversary Update (Versión 1607), Microsoft agregó una nueva característica llamada Content Delivery Manager que instala nuevas aplicaciones sugeridas sin pedir permiso a los usuarios. Según el post publicado en el blog de Chromium el pasado viernes, el investigador Tavis Ormandy alertó de haber encontrado un famoso gestor de contraseñas preinstalado llamado Keeper en su Windows 10, que descargó directamente de Microsoft Developer Network. Posteriormente, Ormandy descubrió una vulnerabilidad crítica que conduce a un «compromiso total de la seguridad de Keeper, lo que permitiría que cualquier sitio web robe cualquier contraseña». Más información en The Hacker News Otras noticias Tritón, el nuevo malware que ataca a sistemas industriales Más información en FireEye El nuevo objetivo de Lazarus APT Group, compañías de criptomonedas de Londres Más información en Security Affairs Script en Python que recupera registros de eventos ocultos Más información en Github ¡Regístrate a la newsletter! Guerra abierta para evitar la minería no autorizada de criptodivisas cuando navegamosGirls Inspire Tech #GIT2017: el laboratorio tecnológico de CDO para hijas de empleados de Telefónica
Telefónica Tech Boletín semanal de ciberseguridad, 25 de junio — 1 de julio Kaspersky investiga ataques a sistemas de control industrial Investigadores de Kaspersky han investigado una campaña de ataques que se centraba en diversos países del continente asiático, y que estaba dirigida...
Aarón Jornet Cómo funciona Lokibot, el malware que utiliza Machete para robar información y credenciales de acceso Machete es un grupo dedicado al robo de información y el espionaje. Utiliza distintas herramientas, entre las que se encuentra LokiBot.
Nacho Palou Lucía y Marina: #MujeresHacker que se lanzan a la piscina del campus 42 Lucía, experta tech, y Marina, estudiante de 42, comparten su experiencia e intercambian opiniones tras pasar por las Piscina del campus 42 de Telefónica
Telefónica Tech Boletín semanal de ciberseguridad, 18 — 24 de junio Caída de los servicios de Microsoft Office 365 y Cloudflare a nivel mundial A lo largo del pasado martes se vieron interrumpidos múltiples servicios web a nivel mundial. El origen...
Cristina del Carmen Arroyo Siruela Día de la mujer ingeniera: construyendo nuevos caminos El término “ingeniero” proviene del latín, ingenium, en castellano ingenio. Desde hace mucho tiempo, se ha asociado el mundo de la ingeniería con el sexo masculino. Pero ¿es el...
Cristina del Carmen Arroyo Siruela Los ataques más comunes contra las contraseñas y cómo protegerte Una credencial de acceso es básicamente un nombre de usuario y una contraseña asociada a esa persona y a los permisos de accesos que tiene otorgados para una aplicación,...