martes, 31 de enero de 2017

Compruebe si el router Netgear también es vulnerable a esta contraseña omitir Defecto


Una vez más malas noticias para los consumidores con los routers Netgear: Netgear golpeado por otro problema de seguridad grave, pero esta vez los modelos de más de dos docenas de router se ven afectados.


Los investigadores de seguridad de Trustwave están advirtiendo de una nueva vulnerabilidad de autenticación en al menos 31 modelos de modelos de Netgear que potencialmente afecta a más de un millón de clientes Netgear.

La nueva vulnerabilidad, descubierta por el investigador SpiderLabs de Trustwave Simon Kenin, puede permitir a los hackers remotos obtener la contraseña de administrador para el router Netgear a través de un defecto en el proceso de recuperación de la contraseña.

Kenin descubrió la falla ( CVE-2017-5521 ) cuando intentaba acceder a la página de administración de su router de Netgear pero había olvidado su contraseña.

Explotar el insecto para tomar acceso total en los routers afectados

Compruebe si el router Netgear también es vulnerable a esta contraseña omitir Defecto
Por lo tanto, el investigador comenzó a buscar maneras de hackear su propio router y encontró un par de explotación a partir de 2014 que aprovechar para descubrir esta falla que le permitió consultar los routers y recuperar sus credenciales de acceso fácil, dándole acceso completo al dispositivo.

Pero Kenin dijo que la falla recién descubierto podría ser explotada de forma remota sólo si la opción de administración remota del router está activado.

Mientras que el proveedor del router afirma la opción de gestión remota está desactivada en sus routers por defecto, según el investigador, hay "cientos de miles, si no más de un millón" routers dejaron accesible de forma remota.
"La vulnerabilidad puede ser utilizada por un atacante remoto si la administración remota se establece que se está enfrentando a Internet. Por defecto no está encendido," dijo Kenin. "Sin embargo, cualquier persona con acceso físico a una red con un router vulnerables puede explotar de forma local. Esto incluiría espacios Wi-Fi públicos como cafeterías y bibliotecas utilizando el equipo vulnerable".
Si se explota por malos actores, la vulnerabilidad que evita por completo cualquier contraseña en un router Netgear podría dar a los hackers el control completo del router afectada, incluyendo la capacidad de cambiar su configuración, lo convierten en redes de bots o incluso cargar completamente nuevo firmware.

Después de probar su defecto en una gama de routers Netgear, Kenin se sorprendió al saber que más de diez mil dispositivos vulnerables utilizan el firmware defectuoso y se puede acceder de forma remota.

También ha publicado un  código de explotación  para el propósito de prueba, escrito en Python.

Lista de Modelos vulnerables NETGEAR Router


El investigador SpiderLabs hizo hincapié en que la vulnerabilidad es muy grave, ya que afecta a un gran número de modelos de router Netgear. He aquí una lista de routers Netgear afectados:
  • R8500
  • R8300
  • R7000
  • R6400
  • R7300DST
  • R7100LG
  • R6300v2
  • WNDR3400v3
  • WNR3500Lv2
  • R6250
  • R6700
  • R6900
  • R8000
  • R7900
  • WNDR4500v2
  • R6200v2
  • WNDR3400v2
  • D6220
  • D6400
  • C6300 (firmware lanzado al ISP)

Actualizar el firmware de su router NETGEAR Ahora!


Kenin notificó Netgear de la falla, y la compañía confirmó el problema afecta a un gran número de sus productos.

Netgear ha lanzado actualizaciones de firmware para todos sus routers afectados, y los usuarios se recomienda encarecidamente a actualizar sus dispositivos.

Esta es la segunda vez en alrededor de dos meses, cuando los investigadores han descubierto defectos en los routers Netgear. Apenas el mes pasado, los EE.UU.-CERT recomienda a los usuarios dejar de usar R7000 y R6400 de Netgear routers debido a un error grave que permite la inyección de comandos.

Sin embargo, en un esfuerzo por hacer que su producto seguro, Netgear se asoció recientemente con Bugcrowd poner en marcha un programa de recompensas de errores que pueden ganar recompensas investigadores en efectivo de hasta $ 15.000 para la búsqueda y responsablemente reportar fallas en el hardware, API, y las aplicaciones móviles

Más del 70% de circuito cerrado de televisión de Washington DC fueron cortados antes de la inauguración de Trump


Apenas unos días antes de la toma de posesión del presidente Donald Trump, los ciberdelincuentes infectaron 70 por ciento de los dispositivos de almacenamiento que registran datos de cámaras de vigilancia federales en Washington DC en un ataque cibernético.

Cualquier conjetura, ¿Qué tipo de virus podría haber golpeado los dispositivos de almacenamiento?

Una vez más, el culpable es ransomware, que se ha convertido en un juego de piratas informáticos nocivos para recibir el pago sin esfuerzo.

Ransomware es una pieza famosa de malware que se ha conocido para el bloqueo de seguridad de archivos de ordenador y luego exigir un rescate en bitcoins con el fin de ayudar a las víctimas desbloquear sus archivos.

Pero con el tiempo, la amenaza ha cambiado su forma de computadoras y teléfonos inteligentes para Internet-de-Cosa dispositivos (IO).

Ransomware Infected cámaras de vigilancia de 70% en Washington DC


Esta vez los hackers lograron ransomware planta en 123 de sus 187 grabadores de vídeo en red, cada uno controlando hasta cuatro circuitos cerrados de televisión utilizados en los espacios públicos a través de Washington DC, que finalmente los dejó desde la grabación de cualquier cosa entre 12 y 15 de enero.

Los funcionarios dijeron al Washington Post que el incidente les obligó a tomar el dispositivos de almacenamiento fuera de línea, eliminar la infección y reinicia los sistemas en toda la ciudad, pero no cumplió con las demandas de rescate por parte de los piratas informáticos.

Mientras que los dispositivos de almacenamiento se pusieron con éxito de nuevo a los derechos y las cámaras de circuito cerrado de televisión estaban de vuelta al trabajo, todavía no está claro si se había perdido todos los datos importantes o si la infección ransomware simplemente paralizado los dispositivos de la red de ordenadores afectados.

director de tecnología de Washington Archana Vemulapalli dijo que los funcionarios están investigando la fuente de la piratería informática, asegurando que el incidente se limitó a los dispositivos de almacenamiento atados al sistema de televisión de circuito cerrado y no afectó a otras redes gubernamentales de CC.

Aumento en el ransomware: tanto en número y sofisticación


Ransomware es que los hackers manera segura-shot para recibir el pago sin esfuerzo. La amenaza ha sido de alrededor de unos años, pero hoy en día se ha convertido en uno de los tipos más utilizados de métodos de hacking.

Recientemente, cientos de huéspedes de un hotel de lujo en Austria fueron encerrados fuera de sus habitaciones cuando el malware ransomware golpeado el sistema informático del hotel, y el hotel pagado a los atacantes a recuperar el control de sus sistemas.

Vimos un enorme aumento de las amenazas ransomware, tanto en número y sofisticación. Usted se sorprenderá de saber sobre KillDisk ransomware limpieza de datos que encripta archivos y pide una inusual gran rescate de alrededor de 218.000 $ en bitcoins, pero no proporcionó descifrado mantiene incluso después de que el pago se ha hecho.

Otra variante ransomware raro era palomitas de tiempo que fue diseñado para dar a las víctimas la posibilidad de pagar un rescate a los piratas informáticos o infectar a otras dos personas y hacer que paguen el rescate para obtener una clave de descifrado libre.

La prevención es la mejor práctica


La única forma segura de tratar con ransomware es la prevención. La mejor defensa contra el malware ransomware es crear conciencia dentro de las organizaciones, así como para mantener copias de seguridad que se rotan periódicamente.

La mayoría de los virus y las infecciones se introducen mediante la apertura de los archivos adjuntos infectados o al hacer clic en enlaces maliciosos lo general se sirve en los correos electrónicos de spam. Por lo tanto, no haga clic en enlaces que aparecen en los correos electrónicos y archivos adjuntos de fuentes desconocidas.

Además de esto, siempre se aseguran de que sus sistemas y dispositivos están ejecutando la última versión del software antivirus con las definiciones de malware actualizada.

martes, 24 de enero de 2017

Desagradable malware Android que infectado a millones devoluciones a Google Play Store


hummingwhale-android-ad-fraude-malware
HummingBad - un programa malicioso basado en Android que infectó a más de 10 millones de dispositivos Android en todo el mundo el año pasado e hizo su banda de unos US $ 300.000 por mes en su apogeo - ha hecho una reaparición.

Investigadores de seguridad han descubierto una nueva variante del el malware HummingBad en más de 20 aplicaciones de Android en Google Play Store.

Las aplicaciones infectadas ya se han descargado más de 12 millones de usuarios desprevenidos ante el equipo de seguridad de Google les quita de la Play Store.

Apodado HummingWhale por investigadores de la empresa de seguridad de Check Point, el nuevo malware utiliza nuevas técnicas de vanguardia que permiten que el software desagradable para llevar a cabo el fraude Ad mejor que nunca y generar ingresos para sus desarrolladores.

Los investigadores dijeron que los Check Point aplicaciones infectadas por HummingWhale se habían publicado bajo el nombre de los desarrolladores chinos falsos en Play Store con estructura de nombre común, com. [Nombre] .La cámara, pero con comportamientos sospechosos de inicio.
"Se ha registrado varios eventos en el arranque, como TIME_TICK, SCREEN_OFF y INSTALL_REFERRER la que [eran] dudosa en ese contexto," Check Point investigadores dijo en una entrada de blogpublicada el lunes.

HummingWhale Ejecuta aplicaciones malintencionadas en una máquina virtual

android-malware
El malware es HummingWhale complejo que HummingBad, ya que utiliza un archivo disfrazada apk (APK) que actúa como un gotero que descarga y ejecuta otras aplicaciones en el teléfono inteligente de la víctima.

Si los avisos de las víctimas y cierra su proceso, el archivo APK luego cae en sí en una máquina virtual en un esfuerzo por hacer que sea más difícil de detectar.

El gotero hace uso de un plugin de Android creada por el proveedor de seguridad chino popular Qihoo 360 para subir aplicaciones maliciosas para la máquina virtual, lo que permite HummingWhale que se instalen más otras aplicaciones sin tener que elevar los permisos, y disfraza su actividad maliciosa para llegar a Google Play.
"Este apk funciona como un cuentagotas, que se utiliza para descargar y ejecutar aplicaciones adicionales, similar a las tácticas empleadas por las versiones anteriores de HummingBad", dijeron los investigadores. "Sin embargo, este gotero fue mucho más lejos. Se utiliza un plugin de Android llamada DroidPlugin, desarrollado originalmente por Qihoo 360, para subir aplicaciones fraudulentas en una máquina virtual."

HummingWhale se ejecuta sin tener que arraigar el dispositivo Android


Gracias a la máquina virtual (VM), el malware HummingWhale ya no tiene que arrancar de raíz a diferencia de los dispositivos Android HummingBad y se puede instalar cualquier número de aplicaciones maliciosas o fraudulentas en los dispositivos de la víctima sin sobrecargar sus teléfonos inteligentes.

Una vez que la víctima se infecta, el mando y el control de servidor (C & C) envían anuncios falsos y aplicaciones maliciosas para el usuario, que se ejecuta en una máquina virtual, lo que genera un ID de referencia falsa utilizada para suplantar usuarios únicos con fines de fraude de anuncios y generar ingresos.

Al igual que el HummingBad original, con el fin de HummingWhale es hacer un montón de dinero a través de anuncios y el fraude instalaciones de aplicaciones falsas.

Además de todas estas capacidades maliciosos, el malware HummingWhale también trata de aumentar su reputación en Google Play Store a través de las calificaciones y comentarios fraudulentos, la táctica similar a la utilizada por el software malicioso Gooligan .

Nube-AI: Sistema de Inteligencia Artificial encontrado 10 errores de seguridad en LinkedIn


inteligencia artificial-vulnerabilidad-ciberseguridad-piratería
2017 es el año de la Inteligencia Artificial (IA), grandes volúmenes de datos, realidad virtual (VR) y Seguridad Cibernética con grandes empresas como Google, Facebook, Apple, IBM y Salesforce y pioneros de la tecnología como fundador de SpaceX, Elon Musk invertir en estas tecnologías calientes.

Dado que todo el mundo parece estar hablando de la tendencia más caliente - la inteligencia artificial y aprendizaje automático - en términos generales, el 62 por ciento de las grandes empresas va a utilizar tecnologías de IA en el año 2018, según un informe de Narrativa Ciencia.

Pero, ¿por AI se considera que es la próxima gran tecnología? Debido a que puede mejorar y cambiar todo acerca de la manera en que pensamos, interactuamos, fabricación y entrega.

El año pasado, vimos un número significativo de los cortes de alto perfil de orientación grandes organizaciones, gobiernos, pequeñas empresas e individuos - Lo que es más preocupante?

Se va a empeorar, y necesitamos ayuda.

Sin duda, nosotros, los humanos, puede encontrar vulnerabilidades, pero no puede analizar millones de programas con miles de millones de líneas de código a la vez.

Pero lo que si tenemos un sistema autónomo que detecta y corrige vulnerabilidades en los sistemas informáticos antes de que los criminales cibernéticos a explotar, incluso sin ninguna participación de los humanos?

Sistema de nube-AI que interactúa con Web como los humanos

Un inicio indio llamado Cloudsek , empresa Infosec La evaluación de riesgos, está trabajando en la misma dirección, que tiene como objetivo proporcionar soluciones basadas en la inteligencia de aprendizaje automático para ayudar a las organizaciones a identificar y hacer frente a las amenazas en línea, en tiempo real.

La compañía ha desarrollado tecnología de Cloud-AI, un sistema de inteligencia artificial basada en un modelo de aprendizaje semi-supervisado que puede navegar e interactuar con la Internet como un ser humano inteligente.

Nube-AI está diseñado para aprender por sí mismo con una capacidad de recopilar automáticamente información sobre las cajas de entrada, botones y enlaces de navegación con un mínimo de falsos positivos.
"Esto se debe a que los seres humanos han generado una gran cantidad de datos sobre la forma en que han interactuado con la web", Rahul Sasi , Co-fundador y CTO de CloudSek dijo en su entrada de blog publicada hoy.
"Utilizamos estos datos para entrenar a nuestros modelos para lograr nuestras tareas con éxito. Este método también nos ayuda a completar tareas difíciles que de otro modo es muy lento para los muchos modelos de refuerzo".
poderes de la tecnología cloud-AI dos de los productos de la compañía:
  • CloudMon - un sistema que monitorea diversas infraestructuras expuestos en Internet, incluyendo aplicaciones y sitios web basados en la nube, por problemas de seguridad críticos.
  • x-Vigil - un sistema que monitorea varias fuentes de Internet, foros de metro / discusión, las plataformas de medios sociales, infiltrado datos, junto con el descubrimiento de una amplia gama de amenazas y proporcionar alertas en tiempo real y sin ninguna intervención manual.
Además de esto, los investigadores de seguridad en Cloudsek también están trabajando para actualizar las cualificaciones de su tecnología Cloud-AI con una capacidad de encontrar nuevas vulnerabilidades mucho más rápidamente de lo que la gente detrás del teclado.

Nube-AI igual que las vulnerabilidades descubiertas  Hacker de Inteligencia Artificial


Dando una demostración exitosa de su tecnología de Cloud-AI, los investigadores descubrieron 10 " inseguro objeto directo de referencia vulnerabilidades" en la mayor red profesional LinkedIn en línea del mundo.

Un defecto de referencia de objeto directo se produce cuando no seguras en cualquier aplicación con frecuencia usa el nombre real o la clave de un objeto, mientras que la generación de páginas web, pero no siempre se verifica si el usuario está autorizado para el objeto de destino.

Los problemas corregidos en LinkedIn incluyen:
  • Filtración de correo electrónico de un usuario ID en LinkedIn
  • Fuga de usuarios de correo electrónico y número de teléfono y curriculum vitae
  • Eliminación de solicitud de cada usuario en LinkedIn
  • La descarga de cada transcripción de vídeos de Lynda
  • Descarga de archivos de ejercicios cada Lynda sin una membresía premium
Para detectar tales defectos, todo un atacante tiene que hacer es manipular valores de los parámetros. Sin embargo, encontrar un fallo de seguridad tales fácilmente identificable es imposible que una herramienta automatizada debido a la dificultad para alcanzar el punto final defectuosa, mientras que hacer manualmente el proceso consume mucho tiempo.
"Sistema de Cloud-AI tuvo que llenar varios formularios y seguir patrones válidos para llegar a los puntos finales vulnerables. Estos puntos finales a menudo se pierden por las herramientas automatizadas existentes, así como el análisis manual," explica CloudSek.
La Inteligencia Artificial es bueno en romper códigos CAPTCHA, pero me pregunto, e incluso creer que este sistema podría pronto tener la capacidad de superar el último sistema reCAPTCHA de Google, que también está impulsado por un sistema de inteligencia artificial sofisticada para defenderse contra los robots de sitios web.

Cómo AI Tecnología de cara al futuro de la seguridad cibernética

La seguridad informática es una de las mayores amenazas en el mundo de hoy, y es un hecho conocido que no hay suficientes profesionales expertos en seguridad cibernética para hacer frente a las crecientes amenazas de Internet.

Internet ya ha estado luchando para defenderse contra el crimen organizado, los hackers patrocinados por el Estado, la vigilancia y, por supuesto, el terrorismo - pero los expertos creen que la tecnología AI nos puede ayudar en la protección de los datos sensibles y la infraestructura crítica de los atacantes.

Ya sea en su nube-AI de CloudSec o OpenAI , respaldado por Tesla y del Espacio X CEO Elon Musk, todos los jugadores en este dominio quiere construir una tecnología que eventualmente crear inteligencia digital en la manera de beneficiar a la humanidad en su conjunto.
"En un futuro próximo, Nube-AI se actualiza a ayudar a los usuarios mientras que ordena cualquier cosa en Internet, así puede realizar tareas complejas para ganar un tiempo precioso." Sasi a The Hacker News
Por otra parte, con el surgimiento de la Internet de los dispositivos de los objetos (IO) , las amenazas de seguridad cibernética han crecido de forma exponencial, por lo que una amplia investigación sobre los sistemas de prevención y detección de estas tecnologías se está considerando fuertemente a nivel mundial.

Dado que la IA es una parte fundamental del concepto de la Internet de las cosas, donde las máquinas y dispositivos se comunican entre sí para conseguir el trabajo hecho, es sólo el aprendizaje AI y la máquina que va a ser increíblemente útil para defender nuestra red antes de que los explota.

El año pasado, investigadores de seguridad en el MIT desarrollaron también una nueva plataforma basada en Inteligencia Artificial seguridad cibernética , llamado ' AI2 ', que tiene la capacidad de predecir, detectar y detener el 85% de los ataques cibernéticos con gran precisión.

¿No es idea revolucionaria para la seguridad en Internet?

Al mismo tiempo, no debemos olvidar que las tecnologías más inteligentes no están exentas de riesgos. Mientras que AI podría proporcionar a las organizaciones una valiosa arma en su arsenal, el riesgo es que la tecnología no cayera en manos equivocadas.

domingo, 22 de enero de 2017

Este dispositivo puede arreglar el mal Wi-Fi en su hogar




Comcast está tomando medidas para mejorar el valor que los clientes reciben de sus routers. Este año Comcast comenzará el despliegue de un servicio a sus 10 millones de clientes actuales de Xfinity Internet durante la primera mitad de este año que cuenta con una serie de beneficios que hemos visto de compañías como Eero y estrellada. No le costará nada extra. Los nuevos clientes podrán obtener el nuevo router de gateway también. Comcast también comenzará a ofrecer un nuevo router con velocidades de conexión más rápidas y otras mejoras internas para mejorar la WiFi.

He aquí un resumen de las cosas más importantes que usted será capaz de hacer con su servicio Comcast Xfinity cuando se inicia el despliegue de pronto:

Relacionados con la India - Reliance Jio para proporcionar acceso gratuito a Internet del 5 de septiembre al el 31 de de diciembre de

Configurar fácilmente su red: El router de Comcast tiene un código QR que se toma una foto de la aplicación de Comcast. Esto le guiará a través de un proceso de instalación fácil.
Supervisar las conexiones y activar los controles parentales: Con la aplicación de Comcast, puede controlar quién tiene acceso a la red mediante la creación de perfiles para cada persona y sus dispositivos. Para los padres, puede desactivar la conexión de un dispositivo cuando se supone que a sus hijos a estar haciendo la tarea, cenar, ir a la cama, o cualquier otra actividad aburrida que se pueda imaginar. Enloquecer.
Solucionar problemas de conexión y extender el rango de su Wi-Fi: Si usted vive en una casa grande o uno con paredes gruesas que interrumpen su conexión Wi-Fi, aplicación de Comcast puede ayudar a optimizar su red. También puede añadir extensores que aumentan automáticamente la señal del router principal a las zonas más difíciles de alcanzar de su casa. Es muy similar a lo que hemos visto con los routers de Google y Eero.

Relacionados con Mozilla Con Tor para mejorar la privacidad en Internet



Comcast estima 15 millones de clientes tendrán el servicio este año. El usuario no puede ahorrar dinero como usted puede usar su propio módem o router, pero sí le dará una tranquilidad de saber que va a ser mucho más fácil de manejar su WiFi, sobre todo porque esos productos similares de Google, Eero, y estrellada puede ser bastante caro

Nuevas técnicas de Phishing usando documentos borrosos piden credenciales para visualizarlos

Las técnicas de Phishing evolucionan y mucho a lo largo del tiempo. Una nueva modalidad que está resultando muy efectiva es mostrar un documento que una vez abierto se ve borroso y una ventana - imagen donde debes introducir tus credenciales para poder leer o desbloquear el documento. Y en realidad lo único que haces es enviar tu nombre de usuario y contraseña al atacante...







Inteligente Truco de Phishing
A pesar de la creciente complejidad de los ataques cibernéticos y del código malicioso, los ataques de phishing y phishing siguen siendo el punto de entrada inicial en muchas de las brechas de seguridad actuales.

En la mayoría de los ataques de phishing, los delincuentes aprovechan un tema común, pidiendo a los usuarios que actualicen la información de su perfil en varios perfiles, pero redirigir a los usuarios a páginas alojadas en dominios similares.

Como los usuarios se han acostumbrado a este truco básico de phishing en los últimos años, los atacantes encontraron otras formas creativas de phishing para las credenciales de inicio de sesión.

Un truco, visto por primera vez en junio de 2016, se observó de nuevo el mes pasado. Este inteligente ataque de phishing se basa en decir a los usuarios que recibieron un archivo importante o seguro, y necesitan visitar una página web para verla.




El verdadero truco tiene lugar en la página del ladrón, que muestra un documento borroso en el fondo. Para ver el documento, los usuarios deben introducir sus credenciales.




El documento borroso visto en el fondo de la página actúa como una promesa para lo que los usuarios van a recibir si se autentican. De hecho, estos no son más que simples páginas web que muestran una imagen de un documento borroso, y nada más. Lo único que funciona en la página es el formulario de inicio de sesión que registrará las credenciales de inicio de sesión que ingrese en su interior.



Al igual que los ataques de 2016, los delincuentes no especifican qué credenciales de inicio de sesión los usuarios tienen que rellenar, y dejan que el usuario ingrese lo que cree que debe haber ingresado. Un usuario descuidado podría introducir cualquier cosa, desde sus detalles de Intranet hasta los inicios de sesión de Google.

Adobe PDF nos alerta de los datos que estamos enviando a otra página:




En este momento, basados en los incidentes de 2016 y 2017, estos ataques son bastante fáciles de detectar. Si los ladrones detrás de estas páginas de phishing resultaran menos descuidados y pasaran más tiempo en detalles de refinamiento, este tipo de ataques podrían ser bastante efectivos y más difíciles de detectar por lo que realmente son.

A continuación se presentan algunas capturas de pantalla de la campaña de junio de 2016.

Algunos ejemplos:

Confirma tu identidad, etc







Fuente:
https://www.bleepingcomputer.com/news/security/clever-phishing-trick-you-need-to-be-aware-of/



Montón de correos electrónicos de phishing que tratan de robar las credenciales de las víctimas. Bueno, nada nuevo pero, esta vez, el escenario es muy diferente: El correo electrónico malicioso contiene un cuerpo HTML con bonitos logotipos y textos que pretenden ser de una empresa de renombre o proveedor de servicios.


Hay un enlace que abre una página con un documento falso pero borrosa con una página emergente de inicio de sesión en la parte superior de la misma. La víctima es tentada a ingresar sus credenciales para leer el documento. Encontré muestras para la mayoría de los documentos de oficina conocidos.

El hecho extraño es que no está claro qué credenciales están dirigidas: Google, Microsoft o cuentas corporativas? El éxito de un phishing eficiente es tomar a la víctima de la mano y "obligar" a él / ella a revelar lo que estamos esperando. Por lo tanto, nada de fantasía detrás de este tipo de phishing, pero siempre es interesante realizar más investigaciones y, para uno de ellos, era una buena idea. Todo el mundo comete errores y atacantes también!

La página de phishing estaba alojada en un sitio web brasileño. Normalmente, dicho material está alojado en un CMS comprometido como, sin mencionar nombres, sino Wordpress, Joomla o Drupal.

El servidor Apache tenía habilitada la función 'indexación de directorios' haciendo que todos los archivos estuvieran disponibles públicamente y, entre los archivos .php y .js, un archivo zip que contenía el "paquete" utilizado por los atacantes para construir la campaña de phishing. Era demasiado tentador verlo. El efecto "borroso" se implementó de una manera muy sencilla: el documento falso es una captura de pantalla de baja resolución


function emailCheck(emailStr) {
...
var checkTLD=1;
var knownDomsPat=/^(com|net|org|edu|int|mil|gov|arpa|biz|aero|name|coop|info|pro|museum|ws)$/;
...
if (checkTLD && domArr[domArr.length-1].length!=2 &&
domArr[domArr.length-1].search(knownDomsPat)==-1) {
alert(errmsg);
return false;
}
...
errmsg="Please enter a valid email address.";Los datos HTTP POST y la información adicional se envían a los malos a través de un script 'mailer.php'.

Los datos enviados son:


Detalles de GeoIP basados en $ REMOTE_ADDR
Agente de usuario
FQDN / IP
E-mail y Contraseña de Email
A continuación, se realiza una redirección HTTP a una segunda página: "phone.html" que imita una página de autenticación de Google y solicita el número de teléfono del usuario. Aquí otra vez, los datos del POST se procesan vía "phone.php" que envía un segundo email con el número de teléfono de la víctima. Los correos electrónicos se envían a dos direcciones (no divulgadas aquí):

Una cuenta de @ gmail.com
Una cuenta de @ inbox.ru

Para concluir en un hallazgo divertido: hay un script PHP específico 'imp.php' que crea una copia del material en un nuevo directorio. El nombre del directorio se basa en una combinación de un número aleatorio convertido en Base64 y hash. Al llamar a este script de forma automatizada, es posible llenar el sistema de archivos del servidor web con miles de nuevos directorios.


Un correo electrónico de un dominio de la escuela que pretendía ser VetMeds enviar un PDF "cifrado" que requiere un nombre de usuario y contraseña para iniciar sesión. El tema del correo electrónico fue "Documento de evaluación". El propio PDF fue creado con Microsoft Word e incluyó un enlace que sugirió que era un documento bloqueado y que tenía que hacer clic en un enlace para desbloquearlo

Y un cuadro de inicio de sesión que acepta felizmente. A continuación se presentan algunas capturas de pantalla, pero algunas notas. Versiones actualizadas de Acrobat deben preguntar antes de ir a sitios web malos. Lo que me pareció interesante fue que el atractivo era una evaluación de VetMeds, pero el documento subyacente en el sitio web ruso es para una transacción SWIFT, por lo que algunos mensajes de mezcla allí. Algunos consejos, tenga cuidado con los correos electrónicos de los dominios que no coinciden con el contenido, tenga en cuenta que los documentos PDF cifrados no están bloqueados de esta manera (y nunca le preguntará por su contraseña de correo electrónico real de todos modos), y buscar otras inconsistencias que dar estos lejos Como estafas. Asegúrese de que los usuarios son conscientes de los pequeños letreros a continuación para que puedan detenerse antes de convertirse en víctimas.

Fuentes:
https://isc.sans.edu/diary/Phishing+Campaign+with+Blurred+Images/21207
https://isc.sans.edu/diary/Mixed+Messages+:+Novel+Phishing+Attempts+Trying+to+Steal+Your+E-mail+Password+Goes+Wrong/21881