Raúl Alonso Por qué me aburro en los foros de empresa No consigo evitarlo, la sensación de déjà vu se repite en la mayoría de foros de empresa, conferencias y mesas redondas a las que acudo. Mi apretada agenda me...
Luis María Lepe Gamification & Banca: ¿jugarías con tu banco? «¡Bienvenido a tu banco!… ¡felicidades! acabas de conseguir un «badge» de «Explorador» por tu primer «check-in» en la oficina…. escala posiciones en nuestro «leaderboard» y obten puntos adicionales por hacer un...
Raúl Alonso 10 errores que debes evitar cuando hables en público Hasta que no te enfrentas a un auditorio, no compruebas la distancia que puede separar el pensamiento de las palabras. Día en que también se puede aprender que del...
Mario Cantalapiedra Radiografía del factoring en España El factoring en España, en base a los datos presentados por la Asociación Española de Factoring (AEF), creció el 13,5 por ciento durante 2018, alcanzando un volumen total de...
ElevenPaths ElevenPaths Radio – 1×04 Entrevista a Silvia Barrera ¡Nuevo capítulo de nuestro podcast: #ElevenPathsRadio! A través de entrevistas con los actores más relevantes del sector, os acercamos el apasionante mundo de la ciberseguridad. ¿Quién perpetra los ataques? ¿Qué...
Javier Esteban Zarza El marketing de las vulnerabilidades En el campo de la seguridad es habitual que grupos y la propia competencia deje al descubierto vulnerabilidades de terceros. Este tipo de noticias crean temor y promueven...
David Rodriguez Campos Telefónica Open Future abre convocatoria para seleccionar y acelerar 70 proyectos de emprendimiento Telefónica Open Future lanza la primera Call Open Future España 2020, en la que 9 Hubs de la red global Open Future unen sus propuestas de impulso al emprendimiento...
Innovation Marketing Team MYSPHERA, tecnología para reducir las listas de espera Liberar a los profesionales de la salud de utilizar su tiempo en cualquier cosa que no sea la atención al paciente es el principal objetivo de MYSPHERA. Esta startup,...
DIARIO ya detecta las macros “stomped” pero, ¿qué son exactamente?Área de Innovación y Laboratorio de Telefónica Tech 15 septiembre, 2020 Hace pocas semanas presentamos DIARIO, el detector de malware que respeta la privacidad de los usuarios, y seguimos mejorándolo para que detecte más y mejor. Recientemente añadimos la capacidad de detectar malware en documentos ofimáticos cuyas macros usan la técnica conocida como VBA stomping. ¿En qué consiste esta técnica y por qué es tan importante? Ya sabemos que el correo electrónico con adjuntos es una de las vías de entrada de malware más populares, concretamente los adjuntos de tipo ofimático. Esto es posible, en gran medida, gracias a la capacidad de programar código en las macros de los documentos ofimáticos. Las razones por la que esta técnica sigue funcionando dos décadas después de que se comenzase a utilizar son diversas: Las macros son fáciles de esconder.Las macros son legítimas. Aun deshabilitadas por defecto, es fácil que el usuario las habilite.Es más complejo el sandboxing para emularlas.Se envían por correo electrónico, por lo que habitualmente solo se analizan estáticamente.El usuario no piensa que un documento u hoja de cálculo pueda llegar a ser peligroso.Sigue siendo una vía muy lucrativa para los ciberatacantes. Y aunque haya pasado tanto tiempo, todavía se sigue innovando sobre esta técnica. La técnica del stomping es una prueba. Veamos primero de qué se compone una macro “reciente”. Encontraremos un archivo binario, de extensión .bin dentro del archivo .zip que hoy por hoy son los documentos. Al menos en las versiones más recientes de Office. Lo primero que hay que tener en cuenta es que en ese fichero .bin no se encuentran “las macros” como tal, sino todo un sistema listo para ser compilado y ejecutado por el propio Office. Sí, puede compararse a un proyecto cualquiera realizado con Visual Studio, donde tenemos el código fuente, las definiciones, el código compilado… El sistema Office de turno, como puede ser Word o Excel, disponen de un motor de compilación y ejecución de ese código. De hecho, dentro de este fichero .bin, encontramos (si lo analizamos con las herramientas adecuadas): PROJECT: flujo (fichero): es como el fichero de configuración.VBA_PROJECT: flujo con las instrucciones para el motor VBA. Sin documentar.Dir: comprimido y tiene el layout del proyecto.Module streams del tipo VBA/ThisDocument/NewMacros/…/__SPR_1/Module1, que contiene el código que se ejecutará. Cada módulo del código se compone a su vez de PerformanceCache y el CompressedSourceCode, que es el código fuente de la macro comprimido. ¿Para qué sirve todo esto? Esto sirve para la obsesiva retrocompatibilidad de Microsoft. Imaginemos que creamos un documento con macros en una versión de Office reciente, por ejemplo Word 2016. Creamos la macro y queda compilada en el sistema, pero también se almacena el código fuente con ella. La persona que recibe el documento puede disponer de un Office 2016, en cuyo caso para ir más rápido, se ejecutará la macro compilada directamente. Pero, ¿y si quiere abrir el documento con un Word 2003? Entonces, por compatibilidad, deberá tomar el código fuente VBA de la macro, compilarlo en su motor y ejecutarlo. Y esta es la razón por la que encontramos “en claro” el código fuente de las macros en los documentos. Esto ha supuesto históricamente una ventaja para quienes analizan este tipo de malware: pueden acceder al código fácilmente, analizarlo de forma más sencilla, etc. Los antivirus han confiado en este código fuente incluso para clasificar muestras. Pero a alguien se le ocurrió que el documento podía infectar igual si se mantenía el código compilado pero se borraba el código fuente. Y así fue. Esta técnica de borrado del código fuente es el VBA stomping, y permite pasar más desapercibido al malware sin apenas tener impacto en su capacidad de infección. Solo se librarían de la infección aquellos usuarios con versiones de motor VBA (versiones de Office al fin y al cabo) no compatibles o muy antiguas. Ya existe la herramienta Evil Clippy, capaz de facilitar el VBA stomping y automatizar todos los procesos necesarios. Como se puede ver, DIARIO ya detecta este tipo de documentos y muestra el código aunque se haya usado esta técnica: Nueva versión de TheTHE con plugins de URLScan y MalwareBazaarArchivos en la nube como la mejor forma de seguridad en la red
Telefónica Tech Boletín semanal de ciberseguridad, 25 de junio — 1 de julio Kaspersky investiga ataques a sistemas de control industrial Investigadores de Kaspersky han investigado una campaña de ataques que se centraba en diversos países del continente asiático, y que estaba dirigida...
Aarón Jornet Cómo funciona Lokibot, el malware que utiliza Machete para robar información y credenciales de acceso Machete es un grupo dedicado al robo de información y el espionaje. Utiliza distintas herramientas, entre las que se encuentra LokiBot.
Nacho Palou Lucía y Marina: #MujeresHacker que se lanzan a la piscina del campus 42 Lucía, experta tech, y Marina, estudiante de 42, comparten su experiencia e intercambian opiniones tras pasar por las Piscina del campus 42 de Telefónica
Telefónica Tech Boletín semanal de ciberseguridad, 18 — 24 de junio Caída de los servicios de Microsoft Office 365 y Cloudflare a nivel mundial A lo largo del pasado martes se vieron interrumpidos múltiples servicios web a nivel mundial. El origen...
Cristina del Carmen Arroyo Siruela Día de la mujer ingeniera: construyendo nuevos caminos El término “ingeniero” proviene del latín, ingenium, en castellano ingenio. Desde hace mucho tiempo, se ha asociado el mundo de la ingeniería con el sexo masculino. Pero ¿es el...
Cristina del Carmen Arroyo Siruela Los ataques más comunes contra las contraseñas y cómo protegerte Una credencial de acceso es básicamente un nombre de usuario y una contraseña asociada a esa persona y a los permisos de accesos que tiene otorgados para una aplicación,...
