ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
ElevenPaths ¿De verdad necesito un antivirus? La ciberseguridad es uno de los temas más en boga por su imparable crecimiento y desarrollo, cada vez es más frecuente su presencia en los medios de información, principalmente...
ElevenPaths ElevenPaths presenta DIARIO, el detector de malware que respeta la privacidad de los usuarios La herramienta escanea y analiza documentos de manera estática sin necesidad de conocer el contenido de los ficheros, respetando y garantizando su privacidad.DIARIO es un nuevo concepto de detección...
Área de Innovación y Laboratorio de ElevenPaths II edición del programa TUTORÍA: investigaciones de ciberseguridad orientadas a producto El interés de los jóvenes estudiantes lo demuestra: los retos tecnológicos vinculados a las tecnologías de la información son interesantes y despiertan en los alumnos una curiosidad y motivación...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Gonzalo Álvarez Marañón La fiebre por los NFT: la última criptolocura que está arrasando Internet En mayo de 2007, el artista digital conocido como Beeple se propuso crear y publicar una nueva obra de arte en Internet cada día. Fiel a su palabra, produjo...
David Barroso Pen-testing by design: seguridad, sigue al sol! La expresión ‘sigue al sol’ (follow the sun en inglés) es ampliamente utilizada en servicios 24×7, donde lo que se quiere describir es una operativa dispuesta en múltiples zonas...
ElevenPaths Accediendo (y “hackeando”) el registro de Windows Phone Aunque Microsoft se esfuerza en proteger Windows Phone 8 de los hacks de la comunidad, acceder al registro de los dispositivos todavía es posible con algunas limitaciones. Escribir en...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
ElevenPaths ¿De verdad necesito un antivirus? La ciberseguridad es uno de los temas más en boga por su imparable crecimiento y desarrollo, cada vez es más frecuente su presencia en los medios de información, principalmente...
ElevenPaths Cómo activar Cloud TOTP con Facebook, Google o Dropbox Hace unos días, como muchos sabréis, publicamos una nueva versión de nuestras aplicaciones de Latch permitiendo usar Latch como aplicación autenticadora para utilizarse con Dropbox, Facebook, Google. Desde entonces muchos nos...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 22-28 de agosto El ransomware Conti se distribuye tras Trickbot Conti es un ransomware aparecido por primera vez en ataques aislados en diciembre de 2019 pero que comenzó a ser una amenaza patente...
Malware que instala certificados raíz en Windows y Firefox automáticamenteElevenPaths 14 marzo, 2016 El malware y el mundo de los certificados parecen condenados a entenderse, y cada vez más. Aunque Avira ya ha hablado sobre una muestra parecida hace unos días, en ElevenPaths hemos encontrado otra evolución que le da una pequeña vuelta de tuerca a esta técnica de inyectar certificados raíz en el sistema. Veremos aquí en qué consiste el detalle y repasamos algunos incidentes anteriores. Los creadores de malware se están viendo obligados a utilizar técnicas ingeniosas para utilizar inteligentemente la oportunidad que brindan los certificados en todas sus dimensiones y hacer gala así de una legitimidad de la que carecen. Una de las muestras recientemente detectadas por Avira, instala un certificado raíz legítimo de COMODO en el sistema, pidiendo al usuario que sea él mismo quien lo valide. Entendemos que se trata de una primera fase de la infección en la que, una vez con el certificado en el sistema, el malware lo redirigirá a páginas falsas firmadas con certificados hoja que se verán perfectamente legítimas en el navegador de la víctima. Sin embargo, en ElevenPaths hemos observado una pequeña evolución en la que es el propio malware el que valida la instalación del certificado. O sea, se encarga de hacer desaparecer la ventana de seguridad, pulsando él mismo sobre “Sí” para que la víctima no perciba la instalación. Además, este malware también inyecta un certificado raíz no solo en el sistema, sino también en el TrustStore de Firefox (que no utiliza el de Windows). Por tanto, use el navegador que use, la víctima confiará en un certificado de un tercero. Esto permitirá que cuando visite un dominio real de su banco (pero alojado en un servidor falso) todo parezca perfectamente legal a ojos del navegador y del sistema. Mostramos aquí un pequeño vídeo explicativo del funcionamiento en el que se observa la ventana de instalación siendo eliminada rápidamente por el propio malware. En un sistema “normal” sin demasiada carga de trabajo, la ventana no llegaría ni a percibirse, puesto que sería instantáneamente interceptada por el malware. Esto es lo que debería ver el usuario, pero que el malware intenta evitar programando un clic rápido sobre el botón de aceptar Este tipo de ataque nos hace recordar incidentes similares en los que se ven involucrados certificados raíz instalados de serie, como los casos en portátiles Lenovo (Superfish) o eDellRoot. En esos casos, se hizo pública la clave privada, pero en este, la clave pertenece al atacante que además controla el sistema, por lo que el ataque es “personalizado” a la víctima y simplifica mucho la programación. Por ejemplo, al contrario que los míticos troyanos bancarios rusos tipo Zeus, aquí no debe acudir a técnicas de inyección en el navegador, sino que basta con montar un servidor falso para que la página troyanizada se vea bastante legítima. Sin resultar técnicamente espectacular, es una manera muy ingeniosa de mantener la simplicidad y la eficacia. Por lo demás, el malware resulta sencillo en cierta manera, y es bastante detectado por los antivirus. Puede tratarse de una especie de prueba de concepto o tanteo. Eso sí, el certificado no ha sido revocado aún y parece que está circulando desde hace ya cuatro meses. Algo muy curioso que realiza este malware es el uso de Powershell en general además de eliminar el proxy de Firefox. El registro que almacena el propio malware es bastante autoexplicativo. Instala un certificado y elimina las referencias a un potencial proxy en Firefox, lo que puede significar que el atacante no quiere que nada interfiera en la comunicación. Estas son algunas líneas interesantes. [Firefox::InstallCert(): Init OK]:[firefox]:[92] [Firefox::InstallCert(): Init find OK]:[firefox]:[98] [Firefox::InstallCert(): Profile: '%APPDATA%MozillaFirefoxProfiles5 [Firefox::InstallCert(): Init cert OK]:[firefox]:[118] [Firefox::InstallCert(): CERT_GetDefaultCertDB OK]:[firefox]:[131] [Firefox::InstallCert(): CERT_ChangeCertTrust OK]:[firefox]:[139] [Firefox::InstallCert(): Add cert OK]:[firefox]:[142] [Firefox::InstallCert(): Find OK]:[firefox]:[144] [Firefox::InstallCert(): Free OK]:[firefox]:[147] [Cert was added to Firefox!]:[core]:[209] Remove 'network.proxy.type' from '%APPDATA%MozillaFirefoxProfiles5prefs.js'] Remove 'network.proxy.autoconfig_url' from '%APPDATA%MozillaFirefoxProfiles5prefs.js'] [Pac was added to Firefox!]:[core]:[218] Certificado raíz del atacante, que intenta simular venir de Thawte El certificado en sí está firmado para poder hacer virtualmente cualquier cosa, pero entendemos que la intención del atacante es montar servidores maliciosos con certificados falsos (pero dominios verdaderos), creados para que validen contra esa CA que acaba de instalar en su víctima. El crimen perfecto. Es interesante comprobar cómo el malware aprovecha un viejo truco de pulsar las teclas por el propio usuario. Esto es algo ya resuelto en UAC por ejemplo con la atenuación de escritorio… pero no se hace con los certificados. Microsoft podría tomar nota y atenuar el escritorio cuando se va a aprobar la instalación de un certificado importante. Más detalles sobre el certificado que instala el malware Certificados: Authenticode y TLS Las razones por las que el malware necesita utilizar certificados son varias. Además desde dos perspectivas diferentes. Intentemos esquematizar las ideas más importantes, de por qué son dos mundos relacionados. Desde la perspectiva de Authenticode (código ejecutable firmado en Windows), la necesidad es clara. Hace ya algunos años que Windows obliga a que los drivers en 64 bits se encuentren firmados para poder ejecutarse. Esto hace que quien quiera instalar un rootkit necesite comprar un certificado específico y garantizar en cierta manera su identidad (falsa o no) o robar algún certificado de un tercero. De hecho, desde hace tiempo, el malware firmado en este sentido va en aumento. Los atacantes que optan por robar certificados de terceros, han visto tal nicho en este negocio, que ya cuentan con un servicio de “certificados robados” que pueden comprar. Hasta ahora, habíamos visto certificados robados y usados para ataques ad-hoc. El hecho de firmar un código, hoy por hoy, tiene cierto peso para los antivirus. Si hablamos de heurística, automáticamente un archivo firmado es menos sospechoso. También, los atacantes que se mueven en la zona gris (adware en general) utilizan certificados para firmar su código y darle un empaque del que carecen, pero que les cubre en cierta manera legalmente y les acerca un poco “más a la luz“. Desde la perspectiva de los certificados TLS, la relación con el malware es más indirecta, pero interesante, como muestra este mismo ejemplo, del que podemos sacar varias conclusiones: Podríamos estar ante una nueve tendencia interesante en la que el malware bancario intenta abusar de forma sencilla de los certificados raíz. Si bien esta muestra no es especialmente reciente, es pronto para saber la relevancia del alcance. Además, se podría reclamar a Microsoft, como medida de precaución, que exija la elevación con atenuación de escritorio para instalar certificados raíz. Firefox, por su parte, ni siquiera emite una advertencia de que se va instalar el certificado. También desde el punto de vista de TLS, el malware bancario sí que se ha dedicado desde hace mucho a robar certificados cliente instalados en el navegador de la víctima para autenticarse. Otras aproximaciones a los certificados Otra aproximación curiosa que realizaba un malware no hace mucho, era la de bloquear a los antivirus aprovechando de nuevo el “TrustStore” de Windows y la firma electrónica de los binarios de los antivirus. En resumen, instalaba como “no confiables” los certificados de varios motores y así conseguía que dejasen de funcionar. Algo de lo más curioso, y que demostraba de una forma ingeniosa cómo eliminar elegantemente de la ecuación al enemigo natural. Certificados de antivirus en el repositorio de no confiables, y un antivirus negándose a funcionar por ello. Sergio de los Santos ssantos@11paths.com @ssantosv [Nuevo informe] Análisis demográfico de Google PlayAuditoría Interna y los hackers
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Mónica Rentero Alonso de Linaje Sí, los cerebros femeninos están programados para la tecnología ¿Está la mente femenina programada para la tecnología? Sí, así, como suena. Esa fue la primera gran pregunta que sonó en mi cabeza en el primer año de carrera....
ElevenPaths ¿De verdad necesito un antivirus? La ciberseguridad es uno de los temas más en boga por su imparable crecimiento y desarrollo, cada vez es más frecuente su presencia en los medios de información, principalmente...
Gonzalo Álvarez Marañón La fiebre por los NFT: la última criptolocura que está arrasando Internet En mayo de 2007, el artista digital conocido como Beeple se propuso crear y publicar una nueva obra de arte en Internet cada día. Fiel a su palabra, produjo...
ElevenPaths Ciberseguridad en tiempos de pandemia, ¿cómo ha afectado el confinamiento a nuestra seguridad digital? La pandemia ha acelerado la transición a una vida digital, y con ello se han disparado los ciberataques contra usuarios y empresas. El ataque más frecuente, y que corresponde...
ElevenPaths ElevenPaths Radio 3×11 – Entrevista a Adán Sánchez Cada vez se habla más del Blockchain, una tecnología que, según muchos medios, va a revolucionar el mundo de los negocios mediante los contratos inteligentes o smart contracts y...
He quiero comprobar mi PC si me dieron algunos malwares un amigo de mi dicho de usar software espía removedor Pro desde este sitio: http://fixmypcerror.com/ tiene usted otro software recomendado en la detección de virus o malware en su PC ? Responder