Joker, el troyano para Android, sigue colándose en Google Play

 No es la primera vez que Joker, el troyano para Android, se cuela en aplicaciones que se encuentran en Google Play. En este caso, el malware ha sido encontrado en 15 aplicaciones, algunas de ellas con más de 100.000 descargas.

Este troyano, descubierto por primera vez en 2017, realiza fraudes SMS a través del envío de mensajes a números no gratuitos. Además, puede suscribir a los usuarios a sitios webs que ofrecen servicios de pago, realizando así también el fraude mediante suscripciones premium. Algunas víctimas se han visto pagando más de 280 euros al año por estas suscripciones.

 

Ya en 2020, infectó a más de 500 mil móviles de la marca Huawei, y en esta ocasión, ha logrado colarse en varias aplicaciones que, a simple vista, parecen inofensivas. Sin embargo, estas contienen el peligroso malware. Dichas apps ya han sido retiradas de la Play Store pero lo más efectivo es eliminarlas del dispositivo en el caso de que se tengan instaladas. Las aplicaciones contaminadas serían las siguientes:

• Classic Emoji Keyboard
• EmojiOne Keyboard
• Dazzling Keyboard
• Smart TV remote
• Battery Charging Animations Battery Wallpaper
• Battery Charging Animations Bubble Effects
• Flashlight Flash Alert On Call
• Halloween Coloring
• Easy PDF Scanner
• Now QRcode Scan
• Blender Photo Editor-Easy Photo Background Editor
• Super Hero-Effect
• Super-Click VPN
• Volume Booster Louder Sound Equalizer
• Volume Booster Hearing Aid

Todo muestra que esta no será la última vez que veamos a este virus propagarse libremente en la Google Store, por lo que si no queremos convertirnos en víctimas de Joker, debemos tener mucho cuidado con las aplicaciones que descarguemos.

Lo más importante es asegurarnos de que el contenido que bajemos tenga una fuente real y un registro verificado, no solo de la tienda, sino también del propio desarrollador.

 Via | Hispasec

Nueva vulnerabilidad crítica en Linux denominada Sequoia

 

El grupo de investigación Qualys detectó una vulnerabilidad en el sistema de archivos de Linux que permite a los atacantes una elevación de privilegios. Ha sido denominada Sequoia.

La vulnerabilidad ha recibido este nombre debido a la forma en que se realiza la explotación del sistema de ficheros, creando una estructura de más de un millón de carpetas anidadas, haciendo la analogía al crecimiento de una secuoya.

Logotipo de GNU/Linux

Se ha verificado que esta vulnerabilidad afecta a las versiones 20.04, 20.10 y 21.04 de Ubuntu, Debian 11 y Fedora 34 Workstation. Otras distribuciones de Linux son vulnerables y probablemente explotables.

La metodología de ataque requiere que un usuario sin privilegios cree una estructura profunda de alrededor de un millón de directorios anidados, y posteriormente montar y desmontar un dispositivo. Para más información detallada de la explotación, consultar la seccción de Explotation overview explicada por el grupo de investigación Qualys.

El día 20 de Julio se lanzó un parche en la versión 5.13.4 del kernel de Linux que soluciona la vulnerabilidad.

Este grupo de investigación también ha detectado otra vulnerabilidad en los últimos días con el identificador CVE-2021-33910. Esta vulnerabilidad afecta a systemd que permite una denegación de servicio.

Referencias:

• https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-privilege-escalation-linux.txt
• https://blog.qualys.com/vulnerabilities-threat-research/2021/07/20/sequoia-a-local-privilege-escalation-vulnerability-in-linuxs-filesystem-layer-cve-2021-33909

Compártelo:

• Twitter
• Facebook
• LinkedIn
• Reddit
• Telegram
• WhatsApp
• 
  

Publicaciones relacionadas

Linux Rabbit: nuevo criptominero diseñado para infectar servidores Linux

17 diciembre, 2018

Se publica el kernel Linux 2.4.21

Se acaba de publicar la versión 2.4.21 del kernel Linux, que da solución a numerosos problemas de seguridad anunciados en las últimas semanas.Las vulnerabilidades eliminadas son, al menos, las siguientes:* Obtención de privilegios de administrador "root" utilizando lasfuncionalidades "ptrace".* Ataque de denegación de servicio por colisiones en la estructuraHASH de…

15 junio, 2003

Investigadores de seguridad descubren como mitigar las restricciones impuestas tras los ataques de Spectre en Linux

1 abril, 2021

Filed Under: Ataques, General, Vulnerabilidades Tagged With: linux, sequoia

 

FUENTE |  https://unaaldia.hispasec.com/2021/08/nueva-vulnerabilidad-critica-en-linux-denominada-sequoia.html

Roban más de 600 millones en criptomonedas de la plataforma Poly Network

 

Unos hackers han conseguido desviar unos 611 millones de dolares en diferentes criptomonedas de una red financiera basada en Blockchain, aprovechándose de vulnerabilidades en su código.

El pasado 10 de agosto, el twitter de Poly Network anunciaba que su plataforma había sido comprometida, y que parte de sus activos habían sido transferidos a una serie de direcciones controladas por el atacante:

Poly Network es una plataforma descentralizada que para el intercambio de tokens o cryptomonedas entre diferentes blockchains, como pueden ser Ethereum, Binance Smart Chain, Polygon, etc. Mediante una red de bloques propia y smart contracts desplegados en las redes participantes, permite la transferencia segura de activos entre las mismas.

Una transferencia de tokens entre dos blockchains consiste, por un lado, en el bloqueo de los activos en la red de origen, y posteriormente transferirlos a la cuenta en la red de destino. Este proceso requiere que los diferentes contratos dispongan de liquidez suficiente en la red de destino, que fue el objetivo del atacante.

Aunque en un principio se rumoreaba que las claves privadas de Poly Network habían sido filtradas, un análisis realizado por la empresa china SlowMist determinó que la causa del hackeo fue una vulnerabilidad en el código de los smart contracts que gestionan las llamadas entre cadenas, en concreto, la función _executeCrossChainTx del contrato EthCrossChainManager.

Tanto el contrato llamado, como su método o los aragumentos no son verificados adecuadamente y están bajo el control del usuario. Es posible, por tanto, realizar llamadas arbitrarias a otras funciones, obteniendo un nombre de método, mediante un proceso de fuerza bruta, cuya firma colisione con la de la función que se quiere llamar.

En las transacciones realizadas durante el ataque, se comprueba que el objetivo fue reemplazar la clave pública que controla el desbloqueo de fondos. Aunque ésta se encuentra definido en otro contrato, EthCrossChainData, su propietario es el contrato vulnerable. Una vez reemplazado, es posible realizar transacciones que envíen cantidades arbitrarias de fondos a cualquier dirección, que es lo que hizo el atacante.

Dada la repercusión que ha tenido este robo, el más grande del que se tiene referencia, y la dificultad de llegar a disfrutar de los fondos obtenidos, el hacker o grupo ha decidido devolver los tokens sustraidos.

Como ocurre con otras tecnologías, es fundamental auditar adecuadamente el código de aplicaciones críticas, especialmente cuando se confian en ellas cantidades de dinero tan elevadas.

Para los interesados en la auditoría de smart contracts, en la plataforma de retos Una al Mes (UAM) disponemos de un reto de iniciación.

Referencias

https://thehackernews.com/2021/08/hacker-steal-over-600-million-worth-of.html
https://slowmist.medium.com/?p=8112a35beb39

 

FUENTE |  https://unaaldia.hispasec.com/2021/08/roban-mas-de-600-millones-en-criptomonedas-de-la-plataforma-poly-network.html

Técnica permite modificar ficheros PDF con firma digital

Investigadores han demostrado una nueva clase de ataques que permitirían romper a la integridad de documentos PDF con firma digital

Denominada como “Shadow attacks” por los investigadores, la técnica no explota ningún bug en los clientes, sino que se aprovecha de la enorme flexibilidad del estándar PDF.

La idea principal detrás de este ataque es el concepto de capas. Diferentes conjuntos de contenido que pueden apilarse unos encima de otros, dentro de un mismo documentos PDF. Una vez firmado el documento, es posible realizar modificaciones que no afectan a la firma, pero que permiten alterar qué capa está visible.

Para llevar a cabo el ataque, se prepara un documento PDF con dos contenidos distintos: uno que será presentado a la persona que va a realizar la firma digital , y otro que será visible tras ésta, y que puede alterar la integridad del mensaje firmado.

La técnica fue presentada el pasado día 22 en el NDSS, y está disponible en un paper donde se analizan en detalle las diferentes maneras de alterar los documentos, abusando de características propias del estándar PDF y que, en el momento de su descubrimiento, afectaba a 16 de las 29 aplicaciones que se analizaron.

Las vulnerabilides en la aplicación de Adobe tienen asignados los CVE-2020-9592 y CVE-2020-9596, y fueron corregidos por la empresa el pasado mayo, según su boletín de seguridad.

Referencias
https://thehackernews.com/2021/02/shadow-attacks-let-attackers-replace.html
https://www.ndss-symposium.org/wp-content/uploads/ndss2021_1B-4_24117_paper.pdf
https://www.zdnet.com/article/new-shadow-attack-can-replace-content-in-digitally-signed-pdf-files/

Fuente | https://unaaldia.hispasec.com/2021/02/tecnica-permite-modificar-ficheros-pdf-con-firma-digital.html

Liberados parches de seguridad de Cisco que corrigen vulnerabilidades críticas y altas en varios de sus productos

 

Cisco ha publicado nuevos parches de seguridad que corrigen vulnerabilidades críticas que afectan a los productos Application Centric Infrastructure (ACI) Multi-Site Orchestrator (MSO), la familia de switches Cisco Nexus 3000 y Cisco Nexus 9000, y el motor de servicios Cisco Application Services Engine.

Algunas de las vulnerabilidades detectadas han sido establecidas con una puntuación de 10 (sobre 10) en el sistema de puntuación CVSS (Common Vulnerability Scoring System) v3.

El parche de seguridad que afecta a los productos ACI MSO, corrige un fallo de seguridad en el sistema de autenticación. La vulnerabilidad, con código CVE-2021-1388, ha sido clasificada con una puntuación de 10 en CVSS v3.

• CVE-2021-1388: Esta permite a un atacante, sin necesidad de estar autenticado, realizar un bypass del sistema de autenticación a través de una petición especialmente diseñada sobre la API de los productos ACI MSO. El parche de seguridad se encuentra disponible en el siguiente enlace.

Además, Cisco a publicado un parche para corregir un fallo en la implementación de la gestión de ficheros interna que afecta a la serie de switches Cisco Nexus 3000 y Cisco Nexus 9000. La vulnerabilidad ha sido identificada con el código CVE-2021-1361, con una puntuación de 9.8 en CVSS v3. La vulnerabilidad afecta a todos los productos de las series Cisco Nexus 3000 y 9000 por defecto.

• CVE-2021-1361: La vulnerabilidad permite a un atacante crear, borrar o sobreescribir ficheros con privilegios de administración (root), y por consiguiente, pudiendo crear cuentas de usuario del dispositivo afectado sin la autorización del usuario administrador legítimo. El parche de seguridad se encuentra disponible en el siguiente enlace.

Por último, se ha liberado un parche de seguridad sobre el motor de servicios Cisco Application Services Engine, que corrige un fallo de seguridad sobre el sistema de control de acceso basado en privilegios de la API. Las vulnerabilidades han sido identificadas con los códigos CVE-2021-1393 y CVE-2021-1396, con una puntuación de 9.8 en el sistema CVSS v3.

• CVE-2021-1393 y CVE-2021-1396: Ambas vulnerabilidades permiten a un atacante acceder a servicios privados con necesidad de privilegios sobre la API, evitando el sistema de control de acceso del mismo. El parche de seguridad se encuentra disponible en el siguiente enlace.

Además de las anteriores, Cisco ha publicado parches de seguridad sobre vulnerabilidades de riesgo alto que afectan a múltiples productos de la compañía. Las vulnerabilidades han sido identificadas con los códigos CVE-2021-3156, CVE-2021-1228, CVE-2021-1227, CVE-2021-1387 y CVE-2021-1230.

Desde Hispasec, y debido al alto riesgo de las vulnerabilidades detectadas, recomendamos aplicar los parches de seguridad de Cisco sobre los productos afectados a la mayor brevedad posible.

Más información:

Cisco – Boletín de parches de seguridad
https://tools.cisco.com/security/center/publicationListing.x

The Hacker News – Cisco Releases Security Patches for Critical Flaws Affecting its Products
https://thehackernews.com/2021/02/cisco-releases-security-patches-for.html

 Fuente | https://unaaldia.hispasec.com/2021/02/liberados-parches-de-seguridad-de-cisco-que-corrigen-vulnerabilidades-criticas-y-altas-en-varios-de-sus-productos.html

Progresión de Babuk, el primer ransomware del año

El año pasado ya pronosticaban los expertos que 2021 seguiría cargado de ransomware. No se hizo esperar con Babuk (Babuk Locker, Babyk Ransomware. Vasa Locker), un nuevo ransomware que asomó a nuestras vidas a principios de Enero de 2021, y que usa algunas de las técnicas presentes en otras familias.

Entra dentro de lo que conocemos como RaaS (Ransomware-as-a-Service), donde diferentes actores participan en la creación del código y su posterior distribución. Los atacantes por lo general pedirán rescate, pero también amenazarán con la publicación del contenido. Precisamente, como se describe en un artículo anterior de este mismo medio, el código de CyberPunk 2007 fue vendido este febrero justamente tras ser la compañía víctima de un ransomware. 

Conforme al informe publicado por McAfee el pasado 23 de Febrero, diferentes sectores se han visto afectados en todo el mundo por Babuk, entre los que destacan: servicios de asistencia sanitaria, instituciones bancarias y financieras, hosting y transportes. El mapa de severidad proporcionado por la herramienta MVISION de McAfee muestra que España y Chile son dos de los países más afectados en el momento de redacción de este artículo.  

Mapa de infección. Fuente: McAfee (MVISION Insights)

Los informes de los analistas indican que por lo general el código no se encuentra ofuscado, aunque las últimas variantes registradas en febrero aparecen empaquetadas. Algunos comentarios de autores vinculados con este malware (biba99, RAIDforums), apuntan a nuevas variantes para sistemas Unix.

Comentario de usuario biba99 en RAIDforums

Entre la operativa habitual comprueba los servicios en ejecución para detener aquellos que permitirían su detección o análisis. También incluye una lista de procesos que cerrar en caso de encontrarse en la máquina afectada. Tras preparar el entorno empleará comandos para cifrar los recursos de la máquina, afectando también a los recursos compartidos.

Babuk usa su propio esquema de cifrado. Emplea ChaCha8, una variante de Salsa20, cifrado de flujo usado por ejemplo en el malware  REvil (Sodinokibi), así como criptografía de curva elíptica (ECDH). Durante el cifrado lanzará múltiples hebras para cifrar los discos, variando la carga de las hebras conforme el tamaño del disco. 

Aunque no es un malware complejo de analizar, y tampoco emplea técnicas novedosas, ya hay empresas que han sido víctimas de este ransomware, por los mecanismos de engaño habituales. Los precios anunciados en la nota de rescate oscilan entre 65.000 y 85.000 dólares (algo menos de 70.000 euros). Como medidas preventivas más allá de la concienciación sobre ciberseguridad y la monitorización de los recursos, se encuentran la política de backups y la segmentación de la red de la organización. 

Más información: 

Technical Analysis of Babuk Ransomware. Alexandre Mundo, Thibault seret, Thomas Roccia y John Fokker. McAfee. https://www.mcafee.com/enterprise/en-us/assets/reports/rp-babuk-ransomware.pdf

Babuk Ransomware. Chuong Dong, 3 Enero 2021. http://chuongdong.com/reverse%20engineering/2021/01/03/BabukRansomware/

Babyk Ransomware won’t hit charities, unless they support LGBT, BLM. Lawrence Abrams, 2 Febrero 2021. https://www.bleepingcomputer.com/news/security/babyk-ransomware-wont-hit-charities-unless-they-support-lgbt-blm/

TOP Malware Series: REvil Ransomware. CRONUP. 16 Septiembre 2020. https://www.cronup.com/post/top-malware-series-revil-ransomware

 Fuente | Unaaldia