#CyberSecurityPulse: Monero y EternalRomance, la fórmula perfectaElevenPaths 1 mayo, 2018 La publicación por parte de ShadowBrokers el año pasado de herramientas pertenencientes a la Agencia de Seguridad Nacional sigue dando que hablar. Un nuevo malware que utiliza la herramienta EternalRomance ha aparecido en escena con Monero-mining. Según el laboratorio FortiGuard de Fortinet, el código malicioso lo han denominado PyRoMine al estar escrito en Python y ha sido descubierto por primera vez este mes. El malware puede descargarse como un archivo ejecutable compilado con PyInstaller por lo que no hay necesidad de instalar Python en la máquina donde se vaya a ejecutar PyRoMine. Una vez instalado, roba silenciosamente recursos de la CPU de las víctimas con el fin de obtener las ganancias en Monero. «No sabemos con seguridad cómo llega a un sistema, pero teniendo en cuenta que este es el tipo de malware que necesita ser distribuido masivamente, es seguro asumir que llega mediante spam o drive-by-download», dijo el investigador de seguridad de FortiGuard Jasper Manuel. De forma preocupante, PyRoMine también configura una cuenta oculta predeterminada en el equipo infectado con privilegios de administrador en el sistema, utilizando la contraseña «P@ssw0rdf0rme». Es probable que esto se utilice para la reinfección y otros ataques, según Manuel. PyRoMine no es el primer minero en usar las herramientas de la NSA. Otros investigadores han descubierto más piezas de malware que utilizan EternalBlue para la minería de criptodivisas con gran éxito, como Adylkuzz, Smominru y WannaMine. Más información en Fortinet Noticias destacadas El gobierno de Estados Unidos y Reino Unido alegan que Rusia se encuentra detrás del crecimiento de ataques a su infraestructura de red En la primera declaración conjunta de este tipo, las autoridades de ciberseguridad de Estados Unidos y Reino Unido han emitido una alerta técnica para advertir a los usuarios de una campaña en curso por parte de atacantes procedentes de Rusia para atacar la infraestructura de red. Los objetivos son dispositivos a todos los niveles, incluidos routers, switches, firewalls, sistemas de detección de intrusiones en la red y otros dispositivos que soportan las operaciones de la red. Con el acceso que han obtenido, son capaces de enmascararse como usuarios privilegiados, lo que les permite modificar las operaciones de los dispositivos para que puedan copiar o redirigir el tráfico hacia su infraestructura. Este acceso también podría permitirles secuestrar los dispositivos para otros fines o apagar por completo las comunicaciones de red. Más información en US CERT Facebook: «Cumplir con las nuevas leyes de privacidad y ofrecer nuevas protecciones de privacidad a todos, sin importar dónde vivas» Así es cómo ha anunciado Facebook sus últimos pasos respecto a la privacidad de sus usuarios con el objetivo de otorgarles más control sobre sus datos como parte del Reglamento General de Protección de Datos (GDPR) de la UE, incluyendo actualizaciones de sus términos y política de datos. En este sentido, se pedirá a todos, independientemente de dónde vivan, que revisen la información importante sobre cómo Facebook utiliza los datos y sobre su privacidad. Los temas a revisar versarán sobre anuncios basados en datos de socios, información sobre los perfiles, tecnología de reconocimiento facial, presentación de mejores herramientas para acceder, eliminar y descargar información, así como ciertos aspectos especiales para los jóvenes. Más información en Facebook Noticias del resto de la semana Atacantes aprovechan un error no corregido en Internet Explorer Se ha identificado que un 0-day en Internet Explorer (IE) se está utilizando para infectar equipos Windows con malware. Investigadores de Qihoo 360 afirman que se está utilizando a escala global mediante la selección de objetivos a través de documentos maliciosos de Office cargados con lo que se denomina una vulnerabilidad «double-kill». Las víctimas deben abrir el documento Office, el cual lanza una página web maliciosa en background para distribuir malware desde un servidor remoto. Según la empresa, la vulnerabilidad afecta a las últimas versiones de IE y otras aplicaciones que utilizan el navegador. Más información en ZDNet La publicación de un exploit para el nuevo fallo de Drupal pone bajo alerta a numerosas webs Apenas unas horas después de que el equipo de Drupal publicara las últimas actualizaciones que corrigen un nuevo fallo de ejecución de código remoto en el software de su sistema de gestión de contenidos, atacantes ya empezaron a explotar dicha vulnerabilidad en internet. La nueva vulnerabilidad descubierta (CVE-2018-7602) afecta al core de Drupal 7 y 8 y permite a los atacantes de forma remota lograr exactamente lo mismo que antes descubrieran el fallo de Drupalgeddon2 (CVE-2018-7600) permitiendo comprometer los sitios web afectados. Más información en The Hacker News Firefox 60 soportará Same-Site Cookies para evitar ataques CSRF La semana pasada Mozilla anunció que la próxima versión de Firefox 60 implementará una nueva protección contra ataques Cross-Site Request Forgery (CSRF) proporcionando soporte para el atributo same-site cookie. Los expertos introducirán el atributo same-site cookie para prevenir este tipo de ataques. Dichos atributos sólo podrán tener dos valores. En el modo «estricto», cuando un usuario hace clic en un enlace entrante de sitios externos a la aplicación, inicialmente se le tratará como «no haber iniciado sesión», incluso si tienen una sesión activa con el sitio. El modo «laxo» está implementado para aplicaciones que pueden ser incompatibles con el modo estricto. En dicho modo, las cookies del mismo sitio se retendrán en las subpeticiones de dominios cruzados (por ejemplo, imágenes o frames), pero se enviarán siempre que un usuario navegue desde un sitio externo, por ejemplo, siguiendo un enlace. Más información en Security Affairs Otras noticias 152.000 dólares robados en Ethereum tras comprometer un DNS de Amazon Más información en SC Magazine ¿Cuáles son las nuevas funcionalidades de Gmail? Más información en Google Un fallo en un plugin de LinkedIn que permite a terceros obtener información de los usuarios Más información en The Hacker News La nueva criptodivisa Bezop filtra información personal de 25 mil usuarios Más información en Security Affairs ¡Regístrate a la newsletter! Facebook cambia la lógica en su política TLS (en parte por nuestro estudio) implementando un HSTS “en ambas direcciones”Primer aniversario de la Cyber Threat Alliance
Telefónica Tech Boletín semanal de Ciberseguridad, 18 – 24 de marzo HinataBot: nueva botnet dedicada a ataques de DDoS El equipo de investigadores de Akamai ha publicado un informe en el que señala que han identificado una nueva botnet denominada HinataBot que dispondría...
Telefónica Tech Qué es el Esquema Nacional de Seguridad (ENS 2.0) La Ciberseguridad, la privacidad y la protección de los datos y de la información sensible son aspectos cada vez más importantes en la sociedad actual. Tanto para empresas y...
Nacho Palou 5G: cuatro casos de uso reales y prácticos El último informe “La Sociedad Digital en España 2022” [1] de Fundación Telefónica confirma la consolidación de los procesos de digitalización en la sociedad española. En este sentido, cabe...
Susana Alwasity Ciberseguridad: eventos “cisne negro” en un mundo conectado En la sociedad actual, la tecnología ha transformado la forma en que vivimos, trabajamos y nos relacionamos. Con el aumento del uso de dispositivos y redes conectados a internet,...
Telefónica Tech Boletín semanal de Ciberseguridad, 11 – 17 de marzo Nueva versión del troyano bancario Xenomorph Investigadores de ThreatFabric han detectado una nueva variante del troyano bancario para Android Xenomorph. Esta familia de malware fue detectada por primera vez en febrero...
Gonzalo Álvarez Marañón Matemáticas contra el cibercrimen: cómo detectar fraude, manipulaciones y ataques aplicando la Ley de Benford Cómo aplicar la ley de Benford para luchar contra el cibercrimen. La respuesta, en este post que utiliza las matemáticas para ayudar a la ciberseguridad.