#CyberSecurityPulse: Monero y EternalRomance, la fórmula perfecta

ElevenPaths  1 mayo, 2018
social networks image

La publicación por parte de ShadowBrokers el año pasado de herramientas pertenencientes a la Agencia de Seguridad Nacional sigue dando que hablar. Un nuevo malware que utiliza la herramienta EternalRomance ha aparecido en escena con Monero-mining. Según el laboratorio FortiGuard de Fortinet, el código malicioso lo han denominado PyRoMine al estar escrito en Python y ha sido descubierto por primera vez este mes. El malware puede descargarse como un archivo ejecutable compilado con PyInstaller por lo que no hay necesidad de instalar Python en la máquina donde se vaya a ejecutar PyRoMine. Una vez instalado, roba silenciosamente recursos de la CPU de las víctimas con el fin de obtener las ganancias en Monero.

“No sabemos con seguridad cómo llega a un sistema, pero teniendo en cuenta que este es el tipo de malware que necesita ser distribuido masivamente, es seguro asumir que llega mediante spam o drive-by-download”, dijo el investigador de seguridad de FortiGuard Jasper Manuel. De forma preocupante, PyRoMine también configura una cuenta oculta predeterminada en el equipo infectado con privilegios de administrador en el sistema, utilizando la contraseña “P@ssw0rdf0rme”. Es probable que esto se utilice para la reinfección y otros ataques, según Manuel.

PyRoMine no es el primer minero en usar las herramientas de la NSA. Otros investigadores han descubierto más piezas de malware que utilizan EternalBlue para la minería de criptodivisas con gran éxito, como Adylkuzz, Smominru y WannaMine.

Más información en Fortinet

Noticias destacadas

El gobierno de Estados Unidos y Reino Unido alegan que Rusia se encuentra detrás del crecimiento de ataques a su infraestructura de red

anti-doping imagen

En la primera declaración conjunta de este tipo, las autoridades de ciberseguridad de Estados Unidos y Reino Unido han emitido una alerta técnica para advertir a los usuarios de una campaña en curso por parte de atacantes procedentes de Rusia para atacar la infraestructura de red. Los objetivos son dispositivos a todos los niveles, incluidos routers, switches, firewalls, sistemas de detección de intrusiones en la red y otros dispositivos que soportan las operaciones de la red. Con el acceso que han obtenido, son capaces de enmascararse como usuarios privilegiados, lo que les permite modificar las operaciones de los dispositivos para que puedan copiar o redirigir el tráfico hacia su infraestructura. Este acceso también podría permitirles secuestrar los dispositivos para otros fines o apagar por completo las comunicaciones de red.

Más información en US CERT

Facebook: “Cumplir con las nuevas leyes de privacidad y ofrecer nuevas protecciones de privacidad a todos, sin importar dónde vivas”

EI-ISAC imagen

Así es cómo ha anunciado Facebook sus últimos pasos respecto a la privacidad de sus usuarios con el objetivo de otorgarles más control sobre sus datos como parte del Reglamento General de Protección de Datos (GDPR) de la UE, incluyendo actualizaciones de sus términos y política de datos. En este sentido, se pedirá a todos, independientemente de dónde vivan, que revisen la información importante sobre cómo Facebook utiliza los datos y sobre su privacidad. Los temas a revisar versarán sobre anuncios basados en datos de socios, información sobre los perfiles, tecnología de reconocimiento facial, presentación de mejores herramientas para acceder, eliminar y descargar información, así como ciertos aspectos especiales para los jóvenes.

Más información en Facebook

Noticias del resto de la semana

Atacantes aprovechan un error no corregido en Internet Explorer

Se ha identificado que un 0-day en Internet Explorer (IE) se está utilizando para infectar equipos Windows con malware. Investigadores de Qihoo 360 afirman que se está utilizando a escala global mediante la selección de objetivos a través de documentos maliciosos de Office cargados con lo que se denomina una vulnerabilidad “double-kill”. Las víctimas deben abrir el documento Office, el cual lanza una página web maliciosa en background para distribuir malware desde un servidor remoto. Según la empresa, la vulnerabilidad afecta a las últimas versiones de IE y otras aplicaciones que utilizan el navegador.

Más información en ZDNet

La publicación de un exploit para el nuevo fallo de Drupal pone bajo alerta a numerosas webs

Apenas unas horas después de que el equipo de Drupal publicara las últimas actualizaciones que corrigen un nuevo fallo de ejecución de código remoto en el software de su sistema de gestión de contenidos, atacantes ya empezaron a explotar dicha vulnerabilidad en internet. La nueva vulnerabilidad descubierta (CVE-2018-7602) afecta al core de Drupal 7 y 8 y permite a los atacantes de forma remota lograr exactamente lo mismo que antes descubrieran el fallo de Drupalgeddon2 (CVE-2018-7600) permitiendo comprometer los sitios web afectados.

Más información en The Hacker News

Firefox 60 soportará Same-Site Cookies para evitar ataques CSRF

La semana pasada Mozilla anunció que la próxima versión de Firefox 60 implementará una nueva protección contra ataques Cross-Site Request Forgery (CSRF) proporcionando soporte para el atributo same-site cookie. Los expertos introducirán el atributo same-site cookie para prevenir este tipo de ataques. Dichos atributos sólo podrán tener dos valores. En el modo “estricto”, cuando un usuario hace clic en un enlace entrante de sitios externos a la aplicación, inicialmente se le tratará como “no haber iniciado sesión”, incluso si tienen una sesión activa con el sitio. El modo “laxo” está implementado para aplicaciones que pueden ser incompatibles con el modo estricto. En dicho modo, las cookies del mismo sitio se retendrán en las subpeticiones de dominios cruzados (por ejemplo, imágenes o frames), pero se enviarán siempre que un usuario navegue desde un sitio externo, por ejemplo, siguiendo un enlace.

Más información en Security Affairs

Otras noticias

152.000 dólares robados en Ethereum tras comprometer un DNS de Amazon

Más información en SC Magazine

¿Cuáles son las nuevas funcionalidades de Gmail?

Más información en Google

Un fallo en un plugin de LinkedIn que permite a terceros obtener información de los usuarios

Más información en The Hacker News

La nueva criptodivisa Bezop filtra información personal de 25 mil usuarios

Más información en Security Affairs

¡Regístrate a la newsletter!

ElevenPaths
ElevenPaths

Somos la unidad global de ciberseguridad del Grupo Telefónica, creemos que es posible un mundo digital más seguro. Apoyamos a nuestros clientes en su transformación digital, creando innovación disruptiva, aportando la privacidad y la confianza necesaria en nuestra vida digital diaria.

Te puede interesar

CodeTalks4Devs - Latch IoT
ElevenPaths

#CodeTalks4Devs – Latch IoT: controlando tu casa desde Latch por Álvaro Núñez-Romero

En esta nueva entrega de los webinars para desarrolladores, #CodeTalks4Devs, presentamos Latch IoT, un proyecto sobre hardware hacking que utiliza el nuevo firmware para Sonoff desarrollado por Itead y...
Fallo WhatsApp: grandes fallos peores conclusiones
Sergio De Los Santos

Fallo en WhatsApp: a grandes errores, peores conclusiones

Los sucesos que ocurren (malos o buenos) nos permiten avanzar y mejorar gracias a las conclusiones, enseñanzas o experiencias que podemos extraer de ellos. Sin aprendizaje, los eventos propios...
Por qué entregas tarde todos tus proyectos y qué puedes hacer para remediarlo
Gonzalo Álvarez de Marañón

Por qué entregas tarde tus proyectos y qué puedes hacer para remediarlo

«Cualquier persona que cause daño al pronosticar debe ser tratada como un tonto o como un mentiroso. Algunos pronosticadores causan más daño a la sociedad que los criminales.» —Nassim Taleb,...
Ciberseguridad para pymes
Diego Samuel Espitia

La importancia de la ciberseguridad en las empresas, tambien para las pymes

Los empresarios de hoy en día tienen en cuenta la ciberseguridad entre sus riesgos y sus necesidades de inversión. Sin embargo, para las empresas pequeñas sigue siendo un desafío...
Qué ha pasado con SHA-1 y el nuevo ataque. Una explicación sencilla.
Sergio De Los Santos

Qué ha pasado con SHA-1 y el nuevo ataque. Una explicación sencilla

Se ha anunciado “otro clavo en la tumba de SHA-1” en forma de estudio que demuestra, de otra manera y una vez más, su debilidad. Aunque suene complejo, no es...
Las modas en la superficie de ataque: se lleva lo retro
David García

Las modas en la superficie de ataque: se lleva lo retro

Lo queramos o no, el malware y todo el ecosistema que lo rodea es una industria más. Ilegal, pero con todas las características de una organización: maximizar beneficios con la menor inversión...

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *