Noticias

¿Espionaje a los países de América Latina?

Hispasec - Sáb, 20/12/2014 - 00:30
Hace una semana, la empresa de seguridad Blue Coat ha revelado un importante APT (Advanced Persistent Threat, Amenazas Persistentes Avanzadas) que ha afectado a entidades petroleras, financieras, embajadas y gobiernos. Gracias al tipo de infección y los idiomas usados, sabemos que se ha empleado para atacar a países como Rusia, Rumania, Venezuela, Paraguay, etc. El atacante ha podido recoger datos confidenciales a través de malware diseñados para la plataforma Windows y plataformas móviles como Android, IOS, y Blackberry. 
El ataque ha sido bautizado por Blue Coat como "The inception Framework". Kaspersky en cambio le ha dado el nombre de "Cloud Atlas", esta compañía ha destacado su gran parecido con un viejo conocido: Red October (Octubre Rojo). Realmente el formato de determinados correos de phishing empleados o de ciertas partes de código es muy semejante a aquel malware de hace dos años.
Sin embargo en esta ocasión lo que destaca especialmente es el uso de malware dirigido a dispositivos móviles. Nos han parecido especialmente interesantes los ataques realizados a plataformas Android, por lo que vamos a mostrar un análisis más detallado del malware empleado.
Infección
Los atacantes han usado el correo para llegar a sus víctimas. Abajo se muestra un ejemplo de un correo destinado al gobierno de Paraguay (".gov.py"). Al acceder desde un móvil Android sobre el enlace "http://bit.ly/1v7", el usuario descargaba la aplicación "WhatsAppUpdate.apk" que hacía crear al usuario que se trataba de una actualización para WhatsApp.


Análisis del malware
La siguiente imagen muestra la lista de permisos requeridos por la aplicación. A primera vista, vemos que el atacante está muy interesado por las comunicaciones de la victima (llamadas y registros de llamadas), los SMS recibidos, su ubicación, su calendario, su lista de contactos, los favoritos de su navegador y archivos. 

Según la fechas de los archivos contenidos dentro del malware fue programado el 13 de octubre 2014 (hace 3 meses que está activo). Además, la aplicación parece estar desarrollada por indios, por la presencia de comentarios en hindú. ¿Los indios estarían interesados en la recogida de información confidencial de países de América Latina?

Además, el malware tiene un servicio para grabar las conversaciones durante las llamadas telefónicas:
Iniciar la grabación
Finalizar la grabación
Recoger los comandos y enviar los datos robados
El atacante ha atacado y modificado tres blogs donde ha dispuesto un "payload" conteniendo el servidor donde recoger los comandos y enviar los datos robados. Ha infectado los 3 blogs siguientes para diseminar el payload:http://klarkvoplige.livejournal.comhttp://boberder.livejournal.comhttp://lindamenson.livejournal.com
Podemos ver un ejemplo del contenido de un blog con el payload:


El payload contiene una UrlTask ("http:// www.zlotelany. diecezja.bielsko.pl /components / indexxe.php") y las configuraciones de un proxy (ProxyData). El malware usa esa URL para recibir nuevas tareas como por ejemplo las actualizaciones del malware, pero también para enviar los datos robados (registros de llamadas, etc.). El servidor proxy detrás del servidor “www.zlotelany.diecezja.bielsko.pl” permite al atacante esconder el C&C que contiene las actualizaciones del malware, los datos robados, etc.
Mostramos un ejemplo de payload descifrado con las configuraciones del proxy contenidas dentro del ProxyData cifrado. Cada vez que la victima hace una petición al servidor “www.zlotelany.diecezja.bielsko.pl”, transmite también el ProxyData y la clave correspondiente. Pensamos que el atacante no ha incluido la configuración del proxy codificada dentro de la pagina "indexxe.php" para que sea mas difícil identificar el servidor proxy.
UrlTask: http://www.zlotelany.diecezja.bielsko.pl/components/indexxe.phpProxyData: 05ItUyVvS/Um6PtAgZhMgQAE0GWQJ97wKaUSrgcYr4B1uYwqm...ProxyKey: f522b4be764450ee
Cifrado de los datos
Cada vez que el malware roba datos (llamadas, etc.), los cifra antes de escribirlos en la carpeta personal de la aplicación. Es una manera de proteger los datos en caso de que se realice un análisis forense. El atacante usa el algoritmo simétrico AES "PBEWITHSHA256AND128BITAES-CBC-BC" con la contraseña
"hfsdvccnbn,klkufc czdgr332hgngcbgfgjjmjj,kkl;popi,jlkl...hk,hkj,nfjy,jjjyyjhmmhfjoiligmhgjhkik,jkgmhhfttfbvvczccxzsaaaaqqznmg" y la semilla "nhnfcfafssbgf,,hlou87766gfdsfdsvd" para inicializar el algoritmo.
Conclusión
Ese malware avanzado está destinado a grabar las llamadas telefónicas. El malware fue enviado directamente a empleados del gobierno de Paraguay, lo que nos sugiere que existe una entidad gubernamental detrás. Para evitar ser identificado, el atacante usa por lo menos un proxy para esconderse y así no revelar su existencia, identidad y el C&C donde guarda los datos robados.
Más información:
Blue Coat Exposes “The Inception Framework”; Very Sophisticated, Layered Malware Attack Targeted at Military, Diplomats, and Business Execs, https://www.bluecoat.com/security-blog/2014-12-09/blue-coat-exposes-%E2%80%9C-inception-framework%E2%80%9D-very-sophisticated-layered-malware
SHA256 de la muestra analizada: 21b7ab52098b8d3f90f6a36362cba6a68967ae318b07e3ac99757d2d21ba2479
Cloud Atlas: RedOctober APT is back in style
http://securelist.com/blog/research/68083/cloud-atlas-redoctober-apt-is-back-in-style/
una-al-dia (13/08/2013) Ataques dirigidos, un modelo de éxito http://unaaldia.hispasec.com/2013/08/ataques-dirigidos-un-modelo-de-exito.html
una-al-dia (17/01/2013) Operación octubre rojo: un malware muy "personal" (I)http://unaaldia.hispasec.com/2013/01/operacion-octubre-rojo-un-malware-muy.html
una-al-dia (18/01/2013) Operación octubre rojo: un malware muy "personal" (y II)http://unaaldia.hispasec.com/2013/01/operacion-octubre-rojo-un-malware-muy_18.html



Laurent Delosièresldelosieres@hispasec.com
Categorías: Seguridad

Suop, primer operador móvil basado en el concepto de “comunidad”, confía en el software libre para ofrecer sus servicios en España

Canal PDA - Vie, 19/12/2014 - 14:17
Suop Mobile, primer y único operador de telefonía móvil en España basado en la colaboración de los usuarios a través de su “comunidad”, ha culminado la implantación de un nuevo entorno de servicios web con el que la compañía ofrecerá todos sus servicios en nuestro país y gestionará las relaciones y la interacción dentro de […]
Categorías: PDA / PPC

La CNMC lanza una consulta pública sobre la regulación mayorista de los mercados de banda ancha

Canal PDA - Vie, 19/12/2014 - 14:10
La Comisión Nacional de los Mercados y la Competencia (CNMC) ha lanzado una consulta pública sobre el análisis de los mercados mayoristas de banda ancha (Mercados 3a, 3b y 4; antiguos Mercados 4 y 5). La propuesta de la CNMC para regular los mercados de banda ancha busca un equilibrio entre garantizar la competencia efectiva […]
Categorías: PDA / PPC

Samsung negocia la creación de un servicio de pago con móvil, rival de Apple Pay

Canal PDA - Vie, 19/12/2014 - 13:58
Samsung aspira a lanzar el año que viene un servicio de pago con el móvil, mediante una alianza con la firma estadounidense LoopPay, extendiendo así a un nuevo campo su rivalidad con Apple. Según Re/code, el acuerdo permitiría a los clientes de Samsung usar el smartphone para pagar sus compras en muchos establecimientos comerciales. A […]
Categorías: PDA / PPC

Wuaki.tv cierra el año cerca de los 2 millones de usuarios

Canal PDA - Vie, 19/12/2014 - 13:55
Wuaki.tv -compañía líder en servicio de streaming con películas y series en internet para ordenadores, Smart TV, tablets, smartphones y videoconsolas- ha anunciado hoy que cerrará 2014 con 1.850.000 usuarios a nivel global -un 85% de aumento respecto al 2013- y que los ingresos se han incrementado un 94% durante este año.En el mercado español […]
Categorías: PDA / PPC

BLU presenta un smartphone con pantalla de 7 pulgadas

Canal PDA - Vie, 19/12/2014 - 13:42
La marca estadounidense de smartphones BLU ha anunciado un nuevo modelo que lleva al límite la categoría de los tabletófonos o phablets, pues incorpora pantalla de siete pulgadas y “un diseño compacto que permite sostenerlo cómodamente con una sola mano para llamar por teléfono y que cabe en el bolsillo de los vaqueros”. “La tendencia […]
Categorías: PDA / PPC

Fitbit se defiende de las reclamaciones por sarpullidos en la piel

Canal PDA - Vie, 19/12/2014 - 13:24
El fabricante de ponibles Fitbit ha respondido a las informaciones de que su nuevo dispositivo Charge causa erupciones cutáneas en sus usuarios, recordando que ello “no es extraño tampoco en el caso de las joyas y de otros dispositivos ponibles que permanecen en contacto con la piel durante largos periodos de tiempo”. El asunto ha […]
Categorías: PDA / PPC

BlackBerry presenta el Classic para atraer a sus clientes veteranos

Canal PDA - Vie, 19/12/2014 - 13:12
BlackBerry ha presentado el BlackBerry Classic, un teléfono largamente esperado que John Chen, consejero delegado de la empresa, describe como “todo lo que usted ya conoce de BlackBerry, pero puesto al día”. El dispositivo marca el retorno del familiar teclado con trackpad, combinado con la plataforma BlackBerry 10 de la empresa. Comparando el nuevo terminal […]
Categorías: PDA / PPC

iYogi: regala un amigo “techie” estas navidades

Canal PDA - Vie, 19/12/2014 - 12:05
Cada vez resulta más difícil encontrar ese regalo diferente y único para nuestros seres queridos en una sociedad en la que tenemos de todo. Por ello, iYogi trae estas navidades a España un regalo de lo más original: Gurú, un amigo “techie” que soluciona todos los problemas tecnológicos de los dispositivos del hogar.Además de diferente, […]
Categorías: PDA / PPC

Kaspersky Lab descubre Chthonic: una nueva cepa del troyano ZeuS dirigido a bancos en todo el mundo

Canal PDA - Vie, 19/12/2014 - 10:53
Los analistas de seguridad de Kaspersky Lab han descubierto una nueva amenaza dirigida a sistemas de banca online y a sus clientes. Identificado como una evolución del troyano ZeuS, Trojan-Banker.Win32.Chthonic o Chthonic para abreviar, ha atacado más de 150 bancos y 20 sistemas de pago online diferentes en 15 países. Parece estar dirigido principalmente a […]
Categorías: PDA / PPC

Actualización del kernel para Red Hat Enterprise Linux 6

Hispasec - Vie, 19/12/2014 - 00:30
Red Hat ha publicado una actualización considerada importante del kernel de Red Hat Enterprise Linux 6y 6.6.z (cliente y servidor), que solventa ocho nuevas vulnerabilidades que podrían ser aprovechadas por un atacante para elevar sus privilegios en los sistemas afectados y provocar condiciones de denegación de servicio.
Existen vulnerabilidades de denegación de servicio por problemas en en la implementación SCTP (CVE-2014-3673, CVE-2014-3687 y CVE-2014-3688), en el sistema de archivos UDF (CVE-2014-6410) y en la implementación de red por el tratamiento de sockets raw (CVE-2012-6657).
Por otra parte existen vulnerabilidades de elevación de privilegios al recuperarse de un fallo en el segmento de pila (CVE-2014-9322) y en la función parse_rock_ridge_inode_internal() de la implementación ISOFS (CVE-2014-5471, CVE-2014-5472)
Además se han solucionado otros fallos de menor importancia. Ésta actualización está disponible desde Red Hat Network. Información sobre el uso de Red Hat Network para la instalación de la actualización está disponible en: https://access.redhat.com/articles/11258
Más información:
Important: kernel security updatehttps://rhn.redhat.com/errata/RHSA-2014-1997.html


Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categorías: Seguridad

Las operadoras de EEUU podrán prestar servicios de telecomunicaciones en Cuba

Canal PDA - Jue, 18/12/2014 - 23:55
El restablecimiento de las relaciones diplomáticas y comerciales entre Cuba y los EEUU, anunciado este miércoles por los presidentes de ambos países Raúl Castro y Barack Obama, tendrá efectos en el panorama de telecomunicaciones en la isla caribeña, donde la penetración de este tipo de servicios es de las más bajas del mundo y su […]
Categorías: PDA / PPC

Samsung lanza VidZone, el servicio de videoclips en streaming

Canal PDA - Jue, 18/12/2014 - 18:17
Samsung Electronics ha anunciado la disponibilidad en España de VidZone, el servicio líder de vídeos musicales. Presente en 16 mercados de todo el mundo, VidZone cuenta con más de 85.000 vídeos musicales de artistas como Katy Perry y Coldplay. Este servicio se encuentra disponible para usuarios de tablets, smartphones y televisores Smart TV de Samsung. […]
Categorías: PDA / PPC

Check Point desvela una nueva vulnerabilidad que podría ser usada para tomar el control de millones de routers domésticos y de pymes

Canal PDA - Jue, 18/12/2014 - 16:27
Check Point Software Technologies Ltd., líder mundial en seguridad para Internet, ha anunciado el descubrimiento de Misfortune Cookie (algo así como “galleta de la desgracia”, por oposición a las “galletas de la fortuna”), una vulnerabilidad crítica que permite a los intrusos tomar control de muchos de los gateways domésticos que dan acceso a Internet y […]
Categorías: PDA / PPC

Fundación telefónica presenta el primer libro interactivo para niños sobre la historia de las telecomunicaciones

Canal PDA - Jue, 18/12/2014 - 15:00
Aprender jugando es el objetivo que se marcan los protagonistas del primer cuento interactivo que Fundación Telefónica ha desarrollado con las jóvenes promesas de la U-tad, “Descubriendo las telecomunicaciones con Mobi y Fono”, un proyecto educativo que además de enseñar la historia, muestra a los más jóvenes que el mundo de los videojuegos supone una […]
Categorías: PDA / PPC

Lyrics ya está disponible en Deezer

Canal PDA - Jue, 18/12/2014 - 14:01
Deezer ha anunciado hoy el lanzamiento de la integración de la función Lyrics. Por primera vez en la historia, los usuarios podrán ver las letras de millones de canciones en el reproductor de música de Deezer, con sólo un click.Los usuarios podrán elegir desde hoy mismo entre dos modos: “sing-a-long”, que permite que los oyentes […]
Categorías: PDA / PPC

LG lanza en España dos nuevos smartphones: L Fino y L Bello

Canal PDA - Jue, 18/12/2014 - 13:59
LG lanza en España sus nuevos terminales de la serie L, L Fino y L Bello. Los dos nuevos smartphones de gama media cuentan con un procesador de cuatro núcleos y heredan la experiencia de usuario del exitoso LG G3, Premio EISA al Smartphone más avanzado de Europa 2014-2015.La cámara de los smartphones se encuentra […]
Categorías: PDA / PPC

Brothers in Arms 3 ya disponible en iOS y Android

Canal PDA - Jue, 18/12/2014 - 13:47
Tras el éxito de BiA2 con decenas de millones de descargas, la aclamada serie de la Segunda Guerra Mundial vuelve cargada de acción, cámaras espectaculares e increíbles armas experimentales.El juego está disponible en: iOS: http://gmlft.co/BIA3_iOS Android: http://gmlft.co/BIA3_GooglePlay y próximamente en Windows Phone. Los efectos visuales y los escenarios interiores y exteriores son impresionantes. La aclamada […]
Categorías: PDA / PPC

Comparte tus fotos esta Navidad con Lumia Storyteller y disfruta con los mejores juegos en Windows

Canal PDA - Jue, 18/12/2014 - 13:35
A estas alturas seguro que ya estás por completo en modo navideño. Cenas de empresa, quedadas con los amigos, reuniones familiares… Se avecinan unos días llenos de comidas, regalos y fotos, muchas fotos. ¿Sabías que con Lumia Storyteller puedes tener todas esas fotos organizadas como tú quieras y situadas en el mapa? Crea tus propias […]
Categorías: PDA / PPC

Lyrics ya está disponible en Deezer

Canal PDA - Jue, 18/12/2014 - 12:10
Deezer ha anunciado hoy el lanzamiento de la integración de la función Lyrics. Por primera vez en la historia, los usuarios podrán ver las letras de millones de canciones en el reproductor de música de Deezer, con sólo un click.Los usuarios podrán elegir desde hoy mismo entre dos modos: “sing-a-long”, que permite que los oyentes […]
Categorías: PDA / PPC
Distribuir contenido