La Universidad de Cambridge figura constantemente entre las mejores universidades del mundo, y su facultad de medicina y sus amplias instalaciones de investigación se encuentran entre las mejores. Pero durante el último mes, el trabajo del personal de la prestigiosa facultad de medicina se vio obstaculizado debido a una “actividad maliciosa” en su red informática.

Un “aviso al personal” enviado por correo electrónico visto por WIRED, que se cree que fue enviado a fines de febrero, alertó al personal sobre la interrupción y dijo que la universidad estaba trabajando para que los sistemas volvieran a estar en línea lo antes posible. Sin embargo, semanas después, el incidente continúa y se ha hecho pública poca información sobre la naturaleza del incidente.

«Los servicios de TI proporcionados por el Servicio de Computación Escolar Clínica (CSCS) se han visto interrumpidos por actividad maliciosa», dice el correo electrónico revisado por WIRED. «Apreciamos que algunos miembros del personal y estudiantes estén experimentando una interrupción significativa en su trabajo y estudios, y estamos agradecidos por su paciencia y comprensión».

La Universidad ha confirmado a WIRED que sus sistemas se han visto afectados, que algunos servicios se han desconectado voluntariamente y que, si bien ha «contenido» el incidente, la interrupción continúa y sus investigaciones probablemente tardarán algún tiempo en completarse. No se han tomado datos, dice. El organismo nacional de ciberseguridad del Reino Unido y el regulador de datos del país también están investigando los acontecimientos.

El mensaje de correo electrónico enviado al personal el mes pasado decía que se había creado un “Equipo de Gestión de Incidentes Críticos” para manejar la respuesta. En el momento en que se envió el mensaje, decía el correo electrónico, no había acceso a la red de TI local ni a Wi-Fi, y el acceso a Internet por cable se había desactivado en los edificios afectados, y el Wi-Fi estaba configurado para volver a encenderse en ese momento. mismo día.

El CSCS brinda soporte de TI al personal y a los investigadores de la Facultad de Medicina Clínica de la universidad. Una versión archivada de su sitio web dice que hay más de 5.800 dispositivos en su red y el equipo proporciona computadoras y servidores al personal. El correo electrónico visto por WIRED dice que el CSCS también presta servicios al Departamento de Zoología, Laboratorio Sainsbury, que investiga la vida vegetal; el Instituto de Células Madre; y el Instituto Milner de la Facultad de Ciencias Biológicas, que investiga terapias emergentes. Todos se han visto afectados.

Un portavoz de la Universidad de Cambridge confirmó el incidente a WIRED y dijo que el mes pasado se encontró “actividad maliciosa” en el Servicio de Computación de la Escuela Clínica. «Tomamos medidas inmediatas para contener el incidente, incluida la desconexión voluntaria de algunos sistemas», dijo el portavoz en un comunicado. «Como resultado, hay una interrupción continua de algunos servicios».

No está claro qué implica la “actividad maliciosa” o si la actividad es un ataque de piratas informáticos criminales o un incidente de diferente naturaleza. Varios miembros del personal de los departamentos universitarios no respondieron a las preguntas enviadas por WIRED sobre si su trabajo o investigación se había visto interrumpido, o dirigieron preguntas a la oficina de prensa porque no están autorizados a hablar sobre el incidente.

El portavoz de la universidad no describió la naturaleza del problema; sin embargo, dijeron que se ha implementado un plan de continuidad del negocio para minimizar las interrupciones y que todos los demás sistemas de TI de las universidades y facultades están funcionando con normalidad y no se ven afectados. «Es probable que tarde algún tiempo en completarse», dijo el portavoz sobre la investigación en curso. “Las investigaciones no han encontrado pruebas de que se hayan tomado o transferido datos sin autorización. También hemos recibido garantías de terceros de que el incidente está contenido”. Dicen que la situación ha evolucionado desde que se envió el correo electrónico visto por WIRED y no es posible caracterizar el nivel de interrupción en todos los departamentos.

Google ha sido sorprendido albergando un anuncio malicioso tan convincente que existe una buena posibilidad de que haya logrado engañar a algunos de los usuarios más conocedores de la seguridad que lo encontraron.

Al mirar el anuncio, que se hace pasar por una propuesta para el administrador de contraseñas de código abierto Keepass, no hay forma de saber que es falso. Después de todo, está en Google, que afirma examinar los anuncios que publica. Para hacer que el truco sea aún más convincente, al hacer clic en él se accede a ķeepass.[.]información, que, cuando se ve en una barra de direcciones, parece ser el sitio genuino de Keepass.

Sin embargo, una mirada más cercana al enlace muestra que el sitio está no el genuino. De hecho, ķeepass[.]info, al menos cuando aparece en la barra de direcciones, es solo una forma codificada de indicar xn--eepass-vbb[.]info, que resulta que está impulsando una familia de malware rastreada como FakeBat. Combinar el anuncio en Google con un sitio web con una URL casi idéntica crea una tormenta de engaño casi perfecta.

«Los usuarios son engañados primero a través del anuncio de Google que parece completamente legítimo y luego nuevamente a través de un dominio similar», escribió Jérôme Segura, jefe de inteligencia de amenazas del proveedor de seguridad Malwarebytes, en una publicación el miércoles que reveló la estafa.

La información del Centro de transparencia de anuncios de Google muestra que los anuncios se han estado publicando desde el sábado y aparecieron por última vez el miércoles. Los anuncios fueron pagados por una empresa llamada Digital Eagle, que según la página de transparencia es un anunciante cuya identidad ha sido verificada por Google.

Los representantes de Google no respondieron de inmediato a un correo electrónico, que fue enviado fuera del horario laboral. En el pasado, la compañía ha dicho que elimina los anuncios fraudulentos tan pronto como sea posible después de ser denunciados.

El juego de manos que permitió el sitio impostor xn--eepass-vbb[.]información para que aparezca como ķeepass[.]info es un esquema de codificación conocido como punycode. Permite representar caracteres Unicode en texto ASCII estándar. Si se observa con atención, es fácil detectar la pequeña figura parecida a una coma inmediatamente debajo de la k. Cuando aparece en una barra de direcciones, es igualmente fácil pasar por alto la cifra, especialmente cuando la URL está respaldada por un certificado TLS válido, como es el caso aquí.

Las estafas de malware mejoradas con Punycode tienen una larga historia. Hace dos años, los estafadores utilizaron anuncios de Google para dirigir a las personas a un sitio que parecía casi idéntico a valiente.com, pero que, en realidad, era otro sitio web malicioso que promocionaba una versión falsa y maliciosa del navegador. La técnica punycode llamó la atención por primera vez en 2017, cuando un desarrollador de aplicaciones web creó un sitio de prueba de concepto que se hacía pasar por apple.com.

No existe una forma segura de detectar anuncios maliciosos de Google ni URL codificadas en punycode. Publicación de eepass[.]La información en los cinco navegadores principales conduce al sitio impostor. En caso de duda, las personas pueden abrir una nueva pestaña del navegador y escribir manualmente la URL, pero eso no siempre es factible cuando son largas. Otra opción es inspeccionar el certificado TLS para asegurarse de que pertenece al sitio que se muestra en la barra de direcciones.

Así como las grandes empresas tecnológicas se esfuerzan por convencernos de que podemos confiar en sus chatbots de inteligencia artificial, han comenzado a aparecer anuncios maliciosos en los resultados de Bing Chat, exponiendo potencialmente a los usuarios a malware y otras amenazas de ciberseguridad.

En marzo, Microsoft comenzó a incluir anuncios en las conversaciones y respuestas de Bing Chat. Como era de esperar, esta medida ha alentado a los delincuentes a comprar anuncios que inducen a error a los usuarios desprevenidos a descargar malware.

Lo que necesitas saber

• Los piratas informáticos están aprovechando una nueva campaña de phishing denominada ‘DarkGate Loader’ para comprometer las cuentas de Microsoft Teams.
• La técnica está diseñada para engañar a usuarios desprevenidos para que descarguen y abran archivos .ZIP marcados «Cambios en el calendario de vacaciones‘ en sus dispositivos.
• El proceso de descarga disfrazado utiliza Windows cURL y el script precompilado hace que sea más difícil detectar el malware ya que el código está oculto.

---

Los piratas informáticos están aprovechando técnicas sofisticadas para engañar y atraer a usuarios desprevenidos a sus ataques maliciosos. Hacia finales de agosto, El equipo de investigación de Truesec comenzó a investigar un nuevo proceso denominado ‘DarkGate Loader’.

Esta campaña de phishing envía mensajes aparentemente inofensivos a Equipos de Microsoft usuarios. Los piratas informáticos utilizaron cuentas de Office 365 comprometidas para enviar mensajes con archivos adjuntos dañinos a usuarios desprevenidos y engañarlos para que descargaran y abrieran archivos ZIP marcados «Cambios en el calendario de vacaciones.‘

Tenga en cuenta que al hacer clic en este archivo ZIP se inicia automáticamente un proceso de descarga desde una URL de SharePoint que contiene un Archivo LNK disfrazado de documento PDF (a través de TecnologíaRadar.)

Trusec destacó las cuentas secuestradas utilizadas por los piratas informáticos: «Akkaravit Tattamanas» ([email protected]) y «ABNER DAVID RIVERA ROJAS» ([email protected]), enviando VBScript malicioso escondido dentro del archivo LNK. que a su vez implementa el malware conocido como DarkGate Loader.

Una nueva investigación de los investigadores de seguridad de HP Wolf afirma que desde marzo ha estado en marcha una nueva campaña de ChromeLoader que afecta a los usuarios de sitios web de piratería de películas y videojuegos.

El secuestrador del navegador engaña a las víctimas para que instalen una extensión maliciosa llamada Shampoo, que luego redirige las consultas de búsqueda de los usuarios a sitios web maliciosos.

Una aplicación que tuvo más de 50,000 descargas de Google Play grabó subrepticiamente el audio cercano cada 15 minutos y lo envió al desarrollador de la aplicación, dijo un investigador de la firma de seguridad ESET.

La aplicación, titulada iRecorder Screen Recorder, comenzó su vida en Google Play en septiembre de 2021 como una aplicación benigna que permitía a los usuarios grabar las pantallas de sus dispositivos Android, dijo el investigador de ESET Lukas Stefanko en una publicación publicada el martes. Once meses después, la aplicación legítima se actualizó para agregar una funcionalidad completamente nueva. Incluía la capacidad de encender de forma remota el micrófono del dispositivo y grabar sonido, conectarse a un servidor controlado por el atacante y cargar el audio y otros archivos confidenciales que estaban almacenados en el dispositivo.

Grabación subrepticia cada 15 minutos

Las funciones de espionaje secreto se implementaron utilizando código de AhMyth, un RAT (troyano de acceso remoto) de código abierto que se ha incorporado en varias otras aplicaciones de Android en los últimos años. Una vez que se agregó la RAT a iRecorder, todos los usuarios de la aplicación anteriormente benigna recibieron actualizaciones que permitieron que sus teléfonos grabaran audio cercano y lo enviaran a un servidor designado por el desarrollador a través de un canal encriptado. Con el paso del tiempo, el código tomado de AhMyth se modificó mucho, una indicación de que el desarrollador se volvió más experto con la RAT de código abierto. ESET nombró a la RAT recién modificada en iRecorder AhRat.

Stefanko instaló la aplicación repetidamente en los dispositivos de su laboratorio, y cada vez, el resultado fue el mismo: la aplicación recibió una instrucción para grabar un minuto de audio y enviarlo al servidor de comando y control del atacante, también conocido coloquialmente en seguridad. círculos como C&C o C2. En el futuro, la aplicación recibiría la misma instrucción cada 15 minutos indefinidamente. En un correo electrónico, escribió:

Durante mi análisis, AhRat fue activamente capaz de filtrar datos y grabar el micrófono (un par de veces eliminé la aplicación y la reinstalé, y la aplicación siempre se comportó de la misma manera).

La exfiltración de datos está habilitada según los comandos en [a] archivo de configuración devuelto por [the] C&C. Durante mi análisis, el archivo de configuración siempre devolvía el comando para grabar audio, lo que significa [it] encendió el micrófono, capturó el audio y lo envió al C2.

Sucedía constantemente en mi caso, ya que estaba condicionado a los comandos que se recibían en el archivo de configuración. La configuración se recibió cada 15 minutos y la duración del registro se estableció en 1 minuto. Durante el análisis, mi dispositivo siempre recibía comandos para grabar y enviar audio del micrófono a C2. Ocurrió 3 o 4 veces, luego detuve el malware.

El malware asociado a las aplicaciones disponibles en los servidores de Google no es nuevo. Google no comenta cuando se descubre malware en su plataforma más allá de agradecer a los investigadores externos que lo encontraron y decir que la empresa elimina el malware tan pronto como se entera. La compañía nunca ha explicado qué hace que sus propios investigadores y el proceso de escaneo automatizado pasen por alto las aplicaciones maliciosas descubiertas por personas externas. Google también se ha mostrado reacio a notificar activamente a los usuarios de Play una vez que se entera de que fueron infectados por aplicaciones promocionadas y puestas a disposición por su propio servicio.

Lo que es más inusual en este caso es el descubrimiento de una aplicación maliciosa que registra activamente una base tan amplia de víctimas y envía su audio a los atacantes. Stefanko dijo que es posible que iRecord sea parte de una campaña activa de espionaje, pero hasta ahora no ha podido determinar si ese es el caso.

“Desafortunadamente, no tenemos ninguna evidencia de que la aplicación se envió a un grupo particular de personas y, a partir de la descripción de la aplicación y la investigación adicional (posible vector de distribución de la aplicación), no está claro si se dirigió a un grupo específico de personas. o no”, escribió. “Parece muy inusual, pero no tenemos evidencia para decir lo contrario”.

Las RAT brindan a los atacantes una puerta trasera secreta en las plataformas infectadas para que puedan instalar o desinstalar aplicaciones, robar contactos, mensajes o datos de usuarios y monitorear dispositivos en tiempo real. AhRat no es la primera RAT de Android de este tipo en utilizar el código fuente abierto de AhMyth. En 2019, Stefanko informó haber encontrado una RAT implementada con AhMyth en Radio Balouch, una aplicación de transmisión de radio en pleno funcionamiento para entusiastas de la música Balochi, que proviene del sureste de Irán. Esa aplicación tenía una base de instalación significativamente menor de solo más de 100 usuarios de Google Play.

Un prolífico grupo de amenazas que ha estado activo desde al menos 2013 también ha utilizado AhMyth para hacer una puerta trasera a las aplicaciones de Android dirigidas al personal militar y gubernamental en la India. No hay indicios de que el grupo de amenazas, rastreado por los investigadores con los nombres de Transparent Tribe, APT36, Mythic Leopard, ProjectM y Operation C-Major, haya difundido la aplicación a través de Google Play, y el vector de infección sigue sin estar claro.

El ataque a la cadena de suministro en la aplicación de llamadas de voz 3CX se remonta a un empleado de la empresa que instaló un programa legítimo, pero cargado de malware, en su computadora personal.

Los resultados(Se abre en una nueva ventana) provienen del proveedor de seguridad cibernética Mandiant, que 3CX contrató para realizar la investigación sobre cómo las aplicaciones de escritorio de la compañía se manipularon el mes pasado para servir código malicioso a los usuarios de Windows y Mac.

Mandiant descubrió evidencia de que la violación comenzó con otra empresa, llamada Trading Technologies, el desarrollador de la aplicación de comercio de futuros X_Trader. El año pasado, se detectaron presuntos hackers norcoreanos.(Se abre en una nueva ventana) comprometer el sitio web de la empresa.

Los mismos piratas informáticos manipularon la aplicación X_Trader y se la ofrecieron a posibles víctimas en el sitio web de una empresa. Como evidencia, Mandiant dice que la carga de malware X_La aplicación Trader se firmó con certificados de firma de código válidos a nombre de «Trading Technologies International, Inc.» que vencían en octubre de 2022.

El año pasado, un empleado de 3CX instaló X_Trader en su propia computadora personal, lo que allanó el camino para que los piratas informáticos violaran 3CX hace meses. “Mandiant evalúa que el actor de amenazas robó las credenciales corporativas de 3CX del empleado de su sistema”, dijo 3CX en su propio informe.(Se abre en una nueva ventana).

(Crédito: mandante)

“La evidencia más temprana de compromiso descubierta dentro del entorno corporativo de 3CX ocurrió a través de la VPN usando las credenciales corporativas del empleado dos días después de que la computadora personal del empleado fuera comprometida”, agregó la compañía. Una vez dentro de la red de 3CX, los piratas informáticos procedieron a robar otras credenciales de inicio de sesión para obtener acceso a los sistemas de creación de software internos para la versión de Windows y Mac de la aplicación de escritorio de 3CX.

Al igual que otras empresas de ciberseguridad, Mandiant también sospecha que los piratas informáticos detrás del ataque estaban afiliados a Corea del Norte. En los últimos años, los piratas informáticos del país se han hecho famosos por apuntar a usuarios y empresas en un esfuerzo por robar criptomonedas y entrar en los bancos.

Mandiant agrega que el incidente muestra cómo comprometer a un solo proveedor de software puede convertirse en una amenaza mayor. “Los compromisos de la cadena de suministro de software en cascada demuestran que los operadores de Corea del Norte pueden explotar el acceso a la red de formas creativas para desarrollar y distribuir malware”, agregó el proveedor de seguridad cibernética.

Pío(Se abre en una nueva ventana)

No está claro cuántos usuarios terminaron infectando los hackers a través de los ataques 3CX. Pero el proveedor de antivirus Kaspersky detectó evidencia de que los presuntos norcoreanos solo implementaron una puerta trasera «en menos de diez máquinas infectadas» que tenían 3CX instalado. También se desconoce cuántos usuarios instalaron la aplicación cargada de malware X_Trader, pero los usuarios que lo hicieron deben desinstalar el software de inmediato. .

A pesar de la investigación, Trading Technologies indica que no tuvo necesariamente la culpa. De hecho, la compañía desmanteló el software X_Trader en 2020, aunque Mandiant afirma que todavía estaba disponible en el sitio web de la compañía hasta el año pasado.

“Nuestros clientes recibieron múltiples comunicaciones durante el período de extinción de 18 meses notificándoles que ya no daríamos soporte ni daríamos servicio a XTRADER más allá de abril de 2020”, dijo Trading Technologies. «No había ninguna razón para que alguien descargara el software dado que TT dejó de alojar, brindar soporte y brindar servicio a XTRADER después de principios de 2020. También enfatizaríamos que este incidente no tiene ninguna relación con la plataforma TT actual».

Trading Technologies agrega que solo se dio cuenta de los hallazgos la semana pasada. “No tenemos idea de por qué un empleado de 3CX habría descargado X_TRADER”, agregó.

Mientras tanto, 3CX sigue enfocada en reforzar la seguridad de la empresa tras el ataque a la cadena de suministro. La compañía ha creado nuevas aplicaciones de escritorio 3CX, que “han sido completamente revisadas y limpiadas y pueden considerarse seguras”. decía.

El equipo de soporte de 3CX, el proveedor de software de VoIP/PBX con más de 600.000 clientes y 12 millones de usuarios diarios, sabía que su aplicación de escritorio estaba siendo marcada como malware, pero decidió no tomar ninguna acción durante una semana cuando se enteró de que estaba en proceso de recepción. final de un ataque masivo a la cadena de suministro, muestra un hilo en el foro de la comunidad de la empresa.

«¿Alguien más está viendo este problema con otros proveedores de A/V?» preguntó un cliente de la empresa el 22 de marzo, en una publicación titulada «Alertas de amenazas de SentinelOne para la actualización de escritorio iniciada desde el cliente de escritorio». El cliente se refería a un producto de detección de malware de punto final de la empresa de seguridad SentinelOne. En la publicación se incluyeron algunas de las sospechas de SentinelOne: la detección de shellcode, la inyección de código en otro espacio de memoria de proceso y otras marcas comerciales de explotación de software.

¿Alguien más está viendo este problema con otros proveedores de A/V?

Publicar explotación
Se detectó un marco de penetración o código shell
Evasión
Se ejecutó el comando indirecto
Inyección de código a otro espacio de memoria del proceso durante la inicialización del proceso de destino
DispositivoHarddiskVolume4Users**NOMBRE DE USUARIO**AppDataLocalPrograms3CXDesktopApp3CXDesktopApp.exe
SHA1 e272715737b51c01dc2bed0f0aee2bf6feef25f1

También recibo el mismo desencadenante cuando intento volver a descargar la aplicación desde el cliente web (3CXDesktopApp-18.12.416.msi).

Por defecto para confiar

Otros usuarios intervinieron rápidamente para informar que recibieron las mismas advertencias de su software SentinelOne. Todos informaron haber recibido la advertencia mientras ejecutaban 18.0 Update 7 (Build 312) de 3CXDesktopApp para Windows. Los usuarios pronto decidieron que la detección era un falso positivo provocado por una falla en el producto SentinelOne. Crearon una excepción para permitir que la aplicación sospechosa se ejecutara sin interferencias. El viernes, un día después, y nuevamente el lunes y martes siguientes, más usuarios informaron haber recibido la advertencia de SentinelOne.

En una de las contribuciones más proféticas, un usuario escribió el martes: “Hemos implementado los mismos ‘arreglos’ que se describen aquí, pero una respuesta de 3CX y/o SentinelOne sería realmente útil ya que no me gusta confiar por defecto en el panorama de seguridad actual de los ataques a la cadena de suministro”.

Unos minutos más tarde, un miembro del equipo de soporte de 3CX se unió a la discusión por primera vez y recomendó que los clientes se comuniquen con SentinelOne, ya que fue el software de esa compañía el que provocó la advertencia. Otro cliente respondió, escribiendo:

Hmmm… cuantas más personas que usan 3CX y SentinelOne tienen el mismo problema. ¿No sería bueno que usted de 3CX se comunique con SentinelOne y averigüe si se trata de un falso positivo o no? – De proveedor a proveedor – así que al final, usted y la comunidad sabrían si todavía está sano y salvo.

El representante de soporte de 3CX respondió:

Si bien eso sonaría ideal, existen cientos, si no miles, de soluciones AV y no siempre podemos comunicarnos con ellas cada vez que ocurre un evento. Usamos el marco Electron para nuestra aplicación, ¿quizás estén bloqueando algunas de sus funciones?

Como probablemente comprenda, no tenemos control sobre su software y las decisiones que toma, por lo que no es exactamente nuestro lugar comentarlo. Creo que, al menos en este caso, tiene más sentido que los clientes de SentinelOne se comuniquen con su proveedor de software de seguridad y vean por qué sucede esto. Siéntase libre de publicar sus hallazgos aquí si recibe una respuesta.

Pasarían otras 24 horas antes de que el mundo supiera que SentinelOne tenía razón y que las personas que sospechaban un falso positivo estaban equivocadas.

Como se informó anteriormente, un grupo de amenazas vinculado al gobierno de Corea del Norte comprometió el sistema de compilación de software 3CX y usó el control para impulsar versiones troyanizadas de los programas DesktopApp de la compañía para Windows y macOS. El malware hace que las máquinas infectadas se dirijan a servidores controlados por actores y, según criterios desconocidos, el despliegue de cargas útiles de segunda etapa a objetivos específicos. En algunos casos, los atacantes llevaron a cabo «actividades prácticas en el teclado» en las máquinas infectadas, lo que significa que los atacantes ejecutaron comandos manualmente en ellas.

El desglose relacionado con la detección ignorada por 3CX y sus usuarios debería servir como una advertencia tanto para los equipos de soporte como para los usuarios finales, ya que generalmente son los primeros en encontrar actividad sospechosa. Los representantes de 3CX no respondieron a un mensaje en busca de comentarios para esta historia.

Los investigadores han detectado otra campaña maliciosa que abusa de Google Ads para robar datos confidenciales de las personas, específicamente las credenciales de inicio de sesión de Amazon Web Service (AWS).

Los expertos de Sentinel Labs descubrieron recientemente una campaña de Google Ads que anunciaba una página de inicio maliciosa que aparecía cerca de la parte superior de los resultados del motor de búsqueda para el gigante de la nube.

Si necesita otra razón para ser más cuidadoso en línea, intente esto: el FBI advierte a las personas sobre una nueva táctica sospechosa que los ciberdelincuentes están usando para engañar a las personas para que descarguen malware accidentalmente y cómo protegerse.

Según un PSA (se abre en una pestaña nueva) lanzado el mes pasado por el FBI (detectado por los foros Linus Tech Tips (se abre en una pestaña nueva)), algunos malhechores laboriosos están comprando espacios publicitarios en los motores de búsqueda y publicando anuncios engañosos con enlaces a sitios que parecen «idénticos a la página web oficial de la empresa suplantada».