VULNERABILIDAD DE FACEBOOK PERMITE ROBAR MÚLTIPLES CUENTAS

Miren porque algunos hackers prefieren explotar la falla que avisarla




Boton del canal para suscribirse

Que opinan dejen su comentario

Google añade dos herramientas nuevo a virus total

Google anunció la semana pasada que estaba añadiendo dos nuevos motores, CrowdStrike e Invincea, a su plataforma de análisis de malware VirusTotal.

Ambos son parte de la nueva ola de la próxima generación de productos anti-malware que se basan en algoritmos de aprendizaje automático para analizar el comportamiento y la actividad de la red con el fin de detectar anomalías y malware bandera.

La noticia es de gran importancia si tomamos un vistazo a cómo un anuncio de Google de mayo ha cambiado el mercado de antivirus en los últimos tres meses.

Google ha expulsado a los que cargan virus gratis a la herramienta

El 4 de mayo , Google publicó nuevas reglas de acceso a la API en el blog de ​​VirusTotal. Google expulsado todas las empresas de seguridad que estaban utilizando la API de VirusTotal para escanear los archivos sospechosos y presentar los resultados a sus clientes, ya que sería un verdadero antivirus.

Google acceso a la API completa VirusTotal limitado sólo para las empresas que tenían un producto que figure en su servicio de análisis. Esto significó que muchos de nueva generación de productos anti-malware que utilizan algoritmos de aprendizaje automático se quedaron fuera en el frío porque utilizaron VirusTotal para confirmar sus hallazgos.

Los vendedores de productos clásicos basados ​​en firmas dieron la bienvenida al movimiento. La mayoría de ellos se habían quejado a Google sobre la próxima generación de productos anti-malware que Robada su trabajo, integraron la API VirusTotal como parte de sus productos, pero luego participan en campañas de marketing agresivas contra los fabricantes de antivirus de edad, tratando de desacreditar a su credibilidad. Puede ver la ironía por sí mismo y por qué Google sintió la necesidad de hacer este movimiento.

Google dejó la puerta abierta para los productos AV de nueva generación

Google no cerró la puerta a la próxima generación de productos anti-malware para el bien. La compañía dijo que ningún proveedor puede integrar su producto en VirusTotal y le concederá el acceso a la API completa si proporcionaron datos de nuevo a la comunidad, y unirse a la Organización de Estándares de pruebas anti-malware (AMTSO).

El jueves , CrowdStrike de convirtió en el primer proveedor de próxima generación anti-malware para unirse a AMTSO, y su producto (ML) Falcon se convirtió en el primero en unirse a la fila de VirusTotal.

Un día más tarde , Invincea anunció que se unía a AMTSO y VirusTotal también. Producto de la compañía se llama X y se inició el uso de fondos de Estados Unidos DARPA.

La botnet de Kelihos se esta convirtiendo en algo preocupante

Esta botnet esta dando mucho de que hablar en los últimos días al parecer esta cogiendo mucha fuerza ver el video

Link del video : https://youtu.be/JJ2b0LA780I

Investigadores han conseguido rastrear pulsaciones del teclado a través de Wi-Fi

En teoría, es posible detectar con precisión las pulsaciones del teclado utilizando las señales Wi-Fi de un router normal, los científicos de la Universidad Estatal de Michigan y la Universidad de Nanjing en China han descubierto.

Los investigadores dicen que, en entornos con interferencia mínima de la señal, un atacante podría usar las interrupciones en las señales WiFi del router para detectar las teclas de un prensas individuales en su ordenador portátil y utilizar estos datos para robar sus contraseñas.

Este no es un escenario de ciencia ficción porque los científicos hicieron tecnologías de demostración en el pasado donde se utilizan las señales Wi-Fi para detectar la presencia y movimientos de una persona en una habitación.

señales Wi-Fi también se utilizaron anteriormente para leer gestos de las manos y los movimientos de los labios, por lo que la precisión de las señales Wi-Fi está bien establecida en los círculos científicos.

WiKey ataque utiliza el equipo fuera de la plataforma

Para su experimento, llamado WiKey, los investigadores emplearon equipos fuera de la plataforma, como por ejemplo un router TP-Link TL-WR1043ND WiFi y un ordenador portátil Lenovo X200.

Con el fin de recoger los pequeños cambios en las señales Wi-Fi, que solían del router MIMO capacidades (Multiple-Input y Multiple-Output), que se refieren a un conjunto de funciones que permiten a cada una de las antenas para enviar múltiples Wi-Fi indica en el mismo canal de radio.

Los investigadores utilizaron estas múltiples señales Wi-Fi como un escáner y barrieron la habitación para crear un mapa del entorno. Debido a esto, WiKey sólo funciona en las habitaciones con un mínimo movimiento y poca o ninguna presencia humana.

WiKey utiliza diminutos cambios en las señales Wi-Fi para detectar las pulsaciones de teclas

Cuando una persona se encuentra en frente de la computadora portátil y comienza a escribir, WiKey es capaz de recoger las interrupciones en las señales Wi-Fi causados ​​por el pequeño cambio de manos, dedos y las teclas del usuario.

"[W] i bien escribiendo una tecla determinada, las manos y los dedos de un usuario se mueven en una formación y la dirección única y por lo tanto generar un patrón único en la serie temporal de valores de canal estatal de Información (CSI), que llamamos CSI-forma de onda para esa clave ", explican los investigadores.

El equipo dice que, mediante la formación de un algoritmo informático especial, su programa sería capaz de detectar qué teclas son teclas para qué, y, finalmente, logran recuperar el texto introducido en el ordenador portátil.

La precisión varía del 77% al 97,5%

En un ambiente con poco movimiento y un usuario mecanografía lenta, la precisión del sistema fue del 97,5 por ciento. En un escenario del mundo real, con interrupciones campo Wi-Fi y un usuario más rápida de escribir, la precisión del sistema fue entre 77,43 por ciento (30 muestras de entrenamiento) y el 93.47 por ciento (80 muestras de entrenamiento).

A pesar de la menor precisión, muchos actores de amenaza sería más que feliz de saber las tres cuartas partes de su contraseña.

Otra desventaja de este ataque es que, en un escenario del mundo real, un atacante necesitaría tiempo para entrenar WiKey antes de ser capaz de robar contraseñas de un objetivo. Además, la colocación de 2-3 personas con un ordenador portátil cerca unos de otros hace que el ataque inútil, con WiKey incapaz de distinguir entre objetivos.

El trabajo de investigación titulado El reconocimiento de pulsaciones de teclas con señales de WiFi por Kamran Ali, Alex X. Liu, Wei Wang, y Muhammad Shahzad está disponible para su descarga.

Fuente: Softpedia

Opera ha sido hackeado

Opera, que recientemente acordó vender su negocio navegador a un consorcio chino, ha restablecer las contraseñas de los usuarios de uno de sus servicios después de que sus servidores fueron violadas por los hackers esta semana.

La compañía reveló que los atacantes tuvieron acceso a Opera Sync, un servicio que permite a los usuarios sincronizar sus datos del navegador y la configuración a través de múltiples plataformas. Se está investigando el incidente, pero en un principio cree que el ataque puede haber comprometido los datos del usuario, incluyendo contraseñas y nombres de usuario.

Opera cuenta con 350 millones de usuarios a través de su gama de productos, pero dijo que una pequeña parte de los que utilizan el servicio de sincronización. El mes pasado, por ejemplo, contaba 1,7 millones de usuarios activos de sincronización, pero más haya tomado el nombre de él y, al hacerlo, siempre y Opera con datos. La compañía ha restablecer todas las contraseñas y enviado por correo electrónico a todos los usuarios registrados de sincronización Opera con más detalles.

"Aunque sólo almacén de cifrado (para las contraseñas sincronizadas) o hash y salado (para la autenticación) contraseñas en este sistema, hemos restablecer todas las contraseñas de las cuentas de sincronización Opera como medida de precaución", explicó en un blog.

La noticia del ataque a Opera se produce un día después de Dropbox emitió un restablecimiento de contraseña para cuentas que no habían cambiado las contraseñas desde el año 2012. El proveedor de almacenamiento en la nube dijo que la medida entró responsable de los problemas de seguridad que surgieron de la corte masivo de LinkedIn en 2012, donde credenciales para 117 millones de cuentas fueron publicadas en línea.

El problema de la ópera no parece estar relacionado con eso, y es notable que el hack parece sólo han impactado uno de sus servicios de forma aislada. No hay duda de Opera tendrá más detalles una vez que ha terminado la investigación de lo sucedido.

Palabra del ataque se produce más de un mes después de la Opera anunció la venta de su negocio de navegador, aplicaciones de privacidad y chino conjunta a un consorcio de China dirigido por la firma antivirus Qihoo 360 por $ 600 millones. Las partes habían acordado con anterioridad a la venta de todas las operaciones de la ópera de $ 1.2 mil millones, pero, mientras que obtuvo la aprobación de los accionistas de la compañía noruega, se cortó un nuevo acuerdo después de las aprobaciones necesarias no fueron asegurados dentro de un plazo preestablecido.

Fuente: techchurch

Troyano Ramnit resurge de nuevo completamente actualizado

Ramnit se ha reactivado y los experto en seguridad han empezado a ver ataques mas cordiales y sus objetivos son los bancos.

Ramnit apareció en 2010, pero al principio era sólo un pequeño troyano con características wormable.

Se desarrolló en una peligrosa amenaza en 2011 cuando los investigadores de seguridad vieron a los desarrolladores agregar capacidades de Ramnit por lo general se ven en troyanos bancarios cuando lentamente comenzó a añadir características del código fuente troyano bancario Zeus filtrado.

La botnet de Ramnit fue tumbada en Febrero 2015

Con el paso del tiempo, Ramnit evolucionó, y para el año 2014, el troyano fue el cuarto troyano bancario más activo en el mercado, con el apoyo de una enorme red de bots de PCs infectados que le ayudó a enviar correo no deseado y realizar otro tipo de actividades ilegales gracias a Ramnit de modular y estructura versátil.

Este éxito llamó la atención de la policía, que en febrero el año 2015 sinkholed algunos de los servidores de Ramnit C & C en un intento de acabar con la red de bots.

Las cosas no salieron como esperaban, porque en noviembre y diciembre de 2015, el troyano como nuevo en acción, con sus desarrolladores ya están trabajando en una temprana v2

La surface de Ramnit esta enfocada en UK

Como 2016 llegó, se intensificaron los ataques y ataques Ramnit lentamente tomó fuerza una vez más. Los primeros ataques dirigidos bancos en Canadá, Australia, los EE.UU. y Finlandia.

Según IBM, los ataques actuales se enfocan en bancos del Reino Unido, pero la versión 2.0 de Ramnit parece estar listo para su distribución generalizada.

El troyano ha sufrido un pequeño lavado de cara, no importante, pero añadió más características para ampliar su superficie de ataque.

IBM informa que su módulo encargado de inyectar código malicioso en el navegador de la víctima infectada sigue siendo el mismo, así como su módulo de VNC exfiltración de datos, y su componente escáner de datos que identifica la información vale la pena robar.

"El lado configuración es donde podemos ver que Ramnit se ha estado preparando para la siguiente fase, con nuevos esquemas de ataque construidas para los ataques de fraude en tiempo real dirigidas a las sesiones de banca en línea," Limor Kessem, investigador de IBM, explica. "No todos los ataques tienen que suceder en tiempo real o desde el dispositivo de la víctima; operadores de Ramnit también pueden recopilar las credenciales de los usuarios infectados y utilizarlos para cometer fraude en cuenta adquisición de otros dispositivos en un momento posterior."

Dado que el desarrollo Ramnit v2 llega a su fase final, esperamos Ramnit correo no deseado y explotar el desarrollo kit para intensificar una vez más, posiblemente a los niveles observados en 2014, y ampliar la lista de objetivos para incluir más países.

Fuente: softpedia

Mozilla lanza un nuevo servicio gratuito para probar seguridad de websites

Ingeniero de seguridad de Mozilla abril rey dio a conocer un proyecto llamado Observatorio, una utilidad gratuita de análisis de seguridad web, similar a los laboratorios de SSL y otros servicios de escaneo de alta tecnología.

El servicio, que trabaja en la parte superior de una base de código Python disponible en GitHub, ha estado en desarrollo durante meses y fue aprobado para un lanzamiento público ayer.

Observatorio está dirigido a desarrolladores, administradores de sistemas y profesionales de la seguridad que deseen configurar sitios de utilizar protocolos de seguridad modernas.

El servicio cataloga de la A a la F

Observatorio analiza en busca de la presencia de las características básicas de seguridad y luego da un grado 0-130, que se convierte entonces en un A a F puntuación.

En su forma actual, las exploraciones de servicio para el siguiente: el estado [1] Contenido Política de Seguridad (CSP), [2] archivos cookie usando la bandera de seguro, [3] el estado de Cross-Origin Resource Sharing (CORS), [4] HTTP Pública que fija al estado de la clave (HPKP), [5] el estado HTTP estricta de Seguridad de Transporte (HSTS), [6] la presencia de una redirección automática de HTTP a HTTPS, [7] subrecurso Integridad (SRI) de estado, [8] X-Content estado tipo-Opciones, [9] el estado X-Frame-Opciones (XFO) de estado, y [10] X-XSS-Protección.

Todas las recomendaciones básicas de seguridad, aunque sea muy difícil de poner en práctica, una razón por la que muchos sitios web todavía no los utilizan.

Más del 91% de los sitios web actuales no superen las pruebas del Observatorio

Según King, quien realizó análisis automáticos de más de 1,3 millones de sitios web, más del 91 por ciento de los sitios web de hoy en día no superen las pruebas del Observatorio.

"Cuando nueve de cada 10 sitios web reciben un suspenso, está claro que este es un problema para todos y por." Todo el mundo ", estoy incluyendo Mozilla - entre nuestros miles de sitios, una gran parte de ellos no pasan" king escribió ayer, revelando que el Observatorio fue desarrollado para ayudar a Mozilla pone a prueba sus propios dominios en primer lugar.

Fuente: Softpedia

Los correo no deseados son la nueva forma de propagar troyano bancario

Los usuarios de los 13 bancos alemanes y sus filiales son el blanco de una nueva y mejorada versión del troyano bancario GozNym, IBM X-Force informa.

GozNym apareció en abril de 2016, e inicialmente dirigido a los usuarios en los EE.UU. y Canadá, el uso de los llamados "ataques de inyección Web", un proceso en el que el troyano se hace cargo el navegador del usuario y muestra el contenido falso cuando se accede a un portal bancario.

Esta es la técnica prevalente utilizado por la mayoría de los troyanos bancarios hoy en día, y su origen está en la banca troyano código fuente Gozi que se filtró en Internet en 2014. GozNym en sí es un troyano híbrida compuesta por código tomado de los troyanos y GOZI Nymaim.

GozNym desplazando a los ataques de redirección

Dos semanas después de GozNym fue visto en primer lugar, los ladrones detrás de malware comenzaron a experimentar con otra técnica llamada "ataque de redirección", que es cuando el malware se redirige a los usuarios a un portal bancario falso, alojado en los servidores de la banda GozNym.

Sólo el troyano bancario Dyre había utilizado previamente ataques de redirección. El troyano bancario Dridex también desplegó ataques de redireccionamiento en un punto, pero nunca fue su principal modo de operación.

La versión GozNym que utiliza ataques de redirección fue visto por primera vez en Polonia en abril y luego desplegado en masa contra los bancos en los EE.UU. en junio.

Las inundaciones masivas el spam da GozyNym troyano bancario

De acuerdo con los últimos datos de telemetría, la banda GozNym está desplegando versiones GozNym que utilizan redirecciones contra los usuarios en Alemania y están utilizando las inundaciones masivas de spam para hacerlo.

IBM informa que GozNym correo no deseado ha subido 3,550 por ciento en comparación con el mes anterior de julio. Sólo en el mes de agosto, la banda GozNym ha enviado cinco veces más spam en comparación con todo el sombrero ataques han tenido lugar en los cuatro meses anteriores juntos.

"En cuanto a la línea de tiempo GozNym, es evidente que la banda que opera el programa malicioso tiene los recursos y con experiencia para implementar sofisticadas tácticas de delitos informáticos contra los bancos", escribe Limor Kessem. "El proyecto es muy activo y evolucionando rápidamente, por lo que es probable que se extienda a otros países a través del tiempo."

Ransomware llamado ALMA LOCKER que viene con un kit de Exploit RIG

Un nuevo ransomware llamada Alma Locker ha sido descubierto por el investigador Proofpoint Darien Huss que encripta los datos de la víctima y luego exige un rescate de 1 bitcoin plazo de cinco días. Ha habido una gran cantidad de ransomware lanzado últimamente, pero por suerte la mayoría de ellos se han roto o han tenido implementaciones de servidores de comando y control en suspensión. Aunque Alma Locker todavía tiene algunos errores en su aplicación, es uno de los pocos publicado últimamente que tiene un sistema de mando y control de servidor que trabaja TOR y un algoritmo de cifrado seguro.

¿Cómo Alma Locker cifra un ordenador

El ransomware Alma Locker actualmente está siendo distribuido a través de la exploit kit RIG. Una vez instalado, Alma Locker generará una extensión aleatoria 5 caracteres que se añadirá a los archivos cifrados y un único carácter 8 vicitm ID. Este ID víctima se deriva del número de serie de la unidad C: \ y la dirección MAC de la primera interfaz de red.

Alma Locker ahora buscará las letras de unidad de la víctima para archivos con ciertas extensiones y encriptación de las mismas mediante el cifrado AES-128. Cuando se cifra un archivo se añadirá la extensión generada con anterioridad a los archivos cifrados. Por ejemplo, si la extensión asociada con una víctima se .a5zfn, a continuación, un archivo denominado test.jpg sería cifrado a un archivo llamado test.jpg.a5zfn.

Este nuevo ransomware se distribuye con el RIG Exploit Kit. Una vez instalado en el sistema de la víctima genera automáticamente una longitud aleatoria de 5 caracteres que se añade a los archivos cifrados y un identificador único de 8 caracteres para la víctima. Después de eso, los discos ransomware se buscan todos los archivos en línea con determinadas extensiones y se cifran utilizando cifrado AES de 128 bits.

LA RECUPERACIÓN DE LOS DATOS DEL RANSOMWARE  LOCKER PUEDE SER MUY COSTOSA

La unica manera hasta el momento de recuperar los datos, es pagando el costo, que se pida en el mensaje, pero los datos se pueden perder a traves de la red tor por un problema interno.

Todavia no hay solucion para el cifrado de este ransomware pero se esta trabajando en una solucion.

Fuente: bleepingcomputer

Ya están disponible dos herramientas para descifrar los archivos encriptados por WILDFIRE LOCKER

Intel McAfee y Kaspersky han publicado dos Decrypters que puede abrir archivos cifrados durante las infecciones ransomware Wildfire.
Ambas herramientas están disponibles para su descarga a través de la página web NoMoreRansom, una colaboración entre las dos empresas, la policía holandesa, y el Centro Europeo de Ciberdelincuencia Europol (EC3)."Wildfire apareció en la primavera y dirigido sólo los Países Bajos"
Incendio forestal es un ransomware que fue visto por primera vez a mediados de abril, bajo el nombre de GNL y luego Zyklon. El ransomware marcó de nuevo a finales de mayo, tomando el nombre Wildfire actual, que se sigue utilizando.
Durante junio, y más tarde de julio de desarrolladores Wildfire iniciaron una serie de inundaciones masivas de spam para distribuir su ransomware, sobre todo contra los usuarios que viven en los Países Bajos.
El investigador de seguridad MalwareHunterTeam dijo que las campañas de Softpedia ransomware Wildfire continuaron en el mes de agosto, aunque no se informó por los proveedores de seguridad como la ola inicial de correo no deseado.
Con base en los datos recibidos de Softpedia MalwareHunterTeam, y de un posterior análisis de OpenDNS, que presume que los desarrolladores rusos están detrás de esta nueva variante ransomware."La policía holandesa confisca servidores Wildfire C & C"
En el momento en que fue descubierto, los investigadores de seguridad dijeron que el ransomware no era descodificarse, ya que contó con un esquema de cifrado sólido.
Los investigadores que investigan esta amenaza atrapados un golpe de suerte cuando los ladrones detrás Wildfire decidieron registrar dominios holandeses de encargo y los servidores de acogida en los Países Bajos.
"Al trabajar en conjunto con la policía en este caso, teníamos algo mucho mejor en nuestras manos: El código botnetpanel" dijo de Kaspersky Jornt van der Wiel.
Después de que la policía confiscó los servidores de los ladrones 'y tuvieron acceso a las claves de descifrado del ransomware, los investigadores crearon dos Decrypters Wildfire libres. Además, debido a que tenían acceso a las estadísticas del servidor C & C, los investigadores de seguridad llegó a la conclusión de que durante los últimos 31 días, Wildfire infectado 5.309 ordenadores, con 236 usuarios pagar el rescate. Wildfire autores realizaron 136 Bitcoin ($ 79.000).

Fuente: softpedia