La publicación por parte de ShadowBrokers el año pasado de herramientas pertenencientes a la Agencia de Seguridad Nacional sigue dando que hablar. Un nuevo malware que utiliza la herramienta EternalRomance ha aparecido en escena con Monero-mining. Según el laboratorio FortiGuard de Fortinet, el código malicioso lo han denominado PyRoMine al estar escrito en Python y ha sido descubierto por primera vez este mes. El malware puede descargarse como un archivo ejecutable compilado con PyInstaller por lo que no hay necesidad de instalar Python en la máquina donde se vaya a ejecutar PyRoMine. Una vez instalado, roba silenciosamente recursos de la CPU de las víctimas con el fin de obtener las ganancias en Monero.

“No sabemos con seguridad cómo llega a un sistema, pero teniendo en cuenta que este es el tipo de malware que necesita ser distribuido masivamente, es seguro asumir que llega mediante spam o drive-by-download”, dijo el investigador de seguridad de FortiGuard Jasper Manuel. De forma preocupante, PyRoMine también configura una cuenta oculta predeterminada en el equipo infectado con privilegios de administrador en el sistema, utilizando la contraseña “P@ssw0rdf0rme”. Es probable que esto se utilice para la reinfección y otros ataques, según Manuel.

PyRoMine no es el primer minero en usar las herramientas de la NSA. Otros investigadores han descubierto más piezas de malware que utilizan EternalBlue para la minería de criptodivisas con gran éxito, como Adylkuzz, Smominru y WannaMine.

Noticias destacadas

El gobierno de Estados Unidos y Reino Unido alegan que Rusia se encuentra detrás del crecimiento de ataques a su infraestructura de red

En la primera declaración conjunta de este tipo, las autoridades de ciberseguridad de Estados Unidos y Reino Unido han emitido una alerta técnica para advertir a los usuarios de una campaña en curso por parte de atacantes procedentes de Rusia para atacar la infraestructura de red. Los objetivos son dispositivos a todos los niveles, incluidos routers, switches, firewalls, sistemas de detección de intrusiones en la red y otros dispositivos que soportan las operaciones de la red. Con el acceso que han obtenido, son capaces de enmascararse como usuarios privilegiados, lo que les permite modificar las operaciones de los dispositivos para que puedan copiar o redirigir el tráfico hacia su infraestructura. Este acceso también podría permitirles secuestrar los dispositivos para otros fines o apagar por completo las comunicaciones de red.

Más información en US CERT

Facebook: “Cumplir con las nuevas leyes de privacidad y ofrecer nuevas protecciones de privacidad a todos, sin importar dónde vivas”

Así es cómo ha anunciado Facebook sus últimos pasos respecto a la privacidad de sus usuarios con el objetivo de otorgarles más control sobre sus datos como parte del Reglamento General de Protección de Datos (GDPR) de la UE, incluyendo actualizaciones de sus términos y política de datos. En este sentido, se pedirá a todos, independientemente de dónde vivan, que revisen la información importante sobre cómo Facebook utiliza los datos y sobre su privacidad. Los temas a revisar versarán sobre anuncios basados en datos de socios, información sobre los perfiles, tecnología de reconocimiento facial, presentación de mejores herramientas para acceder, eliminar y descargar información, así como ciertos aspectos especiales para los jóvenes.

Más información en Facebook

Noticias del resto de la semana

Atacantes aprovechan un error no corregido en Internet Explorer

Se ha identificado que un 0-day en Internet Explorer (IE) se está utilizando para infectar equipos Windows con malware. Investigadores de Qihoo 360 afirman que se está utilizando a escala global mediante la selección de objetivos a través de documentos maliciosos de Office cargados con lo que se denomina una vulnerabilidad “double-kill”. Las víctimas deben abrir el documento Office, el cual lanza una página web maliciosa en background para distribuir malware desde un servidor remoto. Según la empresa, la vulnerabilidad afecta a las últimas versiones de IE y otras aplicaciones que utilizan el navegador.

Más información en ZDNet

La publicación de un exploit para el nuevo fallo de Drupal pone bajo alerta a numerosas webs

Apenas unas horas después de que el equipo de Drupal publicara las últimas actualizaciones que corrigen un nuevo fallo de ejecución de código remoto en el software de su sistema de gestión de contenidos, atacantes ya empezaron a explotar dicha vulnerabilidad en internet. La nueva vulnerabilidad descubierta (CVE-2018-7602) afecta al core de Drupal 7 y 8 y permite a los atacantes de forma remota lograr exactamente lo mismo que antes descubrieran el fallo de Drupalgeddon2 (CVE-2018-7600) permitiendo comprometer los sitios web afectados.

Más información en The Hacker News

Firefox 60 soportará Same-Site Cookies para evitar ataques CSRF

La semana pasada Mozilla anunció que la próxima versión de Firefox 60 implementará una nueva protección contra ataques Cross-Site Request Forgery (CSRF) proporcionando soporte para el atributo same-site cookie. Los expertos introducirán el atributo same-site cookie para prevenir este tipo de ataques. Dichos atributos sólo podrán tener dos valores. En el modo “estricto”, cuando un usuario hace clic en un enlace entrante de sitios externos a la aplicación, inicialmente se le tratará como “no haber iniciado sesión”, incluso si tienen una sesión activa con el sitio. El modo “laxo” está implementado para aplicaciones que pueden ser incompatibles con el modo estricto. En dicho modo, las cookies del mismo sitio se retendrán en las subpeticiones de dominios cruzados (por ejemplo, imágenes o frames), pero se enviarán siempre que un usuario navegue desde un sitio externo, por ejemplo, siguiendo un enlace.

Más información en Security Affairs