tortuosa – Magazine Office

Cuentas de Google atacadas y secuestradas por esta tortuosa falla de seguridad

John — Mon, 24 Apr 2023 21:45:59 +0000

La plataforma en la nube de Google (GCP) era vulnerable a una falla de día cero que permitía a los actores de amenazas acceder a las cuentas de las personas y a todos los datos encontrados allí (Gmail, Drive, Docs, Photos y más), dicen los investigadores.

Los expertos de Astrix Security descubrieron que un actor de amenazas podría crear una aplicación maliciosa de Google Cloud Platform y anunciarla a través de Google Marketplace o de proveedores externos.

Si un usuario instala la aplicación, la autoriza y la vincula a un token de OAuth, les dará a los atacantes acceso a su cuenta de Google.

Ocultar la aplicación de las víctimas

Los actores de amenazas podrían hacer que la aplicación sea invisible y ocultarla de la página de administración de aplicaciones de Google, lo que imposibilitaría que las víctimas aborden la vulnerabilidad. El método de «ocultar» la aplicación es donde se encuentra el día cero: al eliminar el proyecto de GCP vinculado, los atacantes harían que la aplicación entrara en un estado de «eliminación pendiente» y, por lo tanto, la harían invisible en la página de administración de la aplicación.

«Dado que este es el único lugar donde los usuarios de Google pueden ver sus aplicaciones y revocar su acceso, el exploit hace que el malicioso (se abre en una pestaña nueva) aplicación no se puede eliminar de la cuenta de Google», dijeron los investigadores.

Luego, cuando los atacantes lo consideraran oportuno, podrían restaurar el proyecto, obtener un token nuevo y recuperar los datos de la cuenta de la víctima. Además, podrían ser capaces de hacer esto indefinidamente. «El atacante, por otro lado, como quiera, puede mostrar su aplicación y usar el token para acceder a la cuenta de la víctima, y luego ocultar rápidamente la aplicación nuevamente para restaurar su estado inamovible. En otras palabras, el atacante tiene un ‘fantasma’ ficha a la cuenta de la víctima».

Astrix llamó a la falla – GhostToken.

También es importante mencionar que el impacto de la falla depende en gran medida de los permisos que las víctimas otorgan a las aplicaciones maliciosas.

La vulnerabilidad se descubrió en el verano de 2022 y se abordó en abril de este año. Ahora, las aplicaciones GCP OAuth pendientes de eliminación aún aparecen en la página «Aplicaciones con acceso a su cuenta».

Aquí está nuestro resumen de los mejores cortafuegos (se abre en una pestaña nueva) allí afuera

Vía: BleepingComputer (se abre en una pestaña nueva)

Source link-36

El malware de Python está utilizando una nueva técnica tortuosa

John — Mon, 19 Dec 2022 16:14:06 +0000

Los actores de amenazas que construyen el malware Python están mejorando y sus cargas útiles son más difíciles de detectar, afirman los investigadores.

Al analizar una carga útil maliciosa detectada recientemente, JFrog informó cómo los atacantes usaron una nueva técnica, el código anti-depuración, para dificultar que los investigadores analicen las cargas útiles y comprendan la lógica detrás del código.

Además de las herramientas y técnicas de ofuscación «regulares», los piratas informáticos detrás del paquete «cookiezlog» utilizaron código anti-depuración como una forma de frustrar las herramientas de análisis dinámico.

Primera vez

Según JFrog, esta es la primera vez que se detecta un método de este tipo en cualquier malware PyPI.

“La mayoría del malware PyPI actual intenta evitar la detección estática utilizando varias técnicas: desde la manipulación primitiva de variables hasta técnicas sofisticadas de aplanamiento de código y esteganografía”, explican los investigadores en una publicación de blog. (se abre en una pestaña nueva).

“El uso de estas técnicas hace que el paquete sea extremadamente sospechoso, pero impide que los investigadores novatos comprendan el funcionamiento exacto del malware utilizando herramientas de análisis estáticas. Sin embargo, cualquier herramienta de análisis dinámico, como un sandbox de malware, elimina rápidamente las capas de protección estática del malware y revela la lógica subyacente”.

Los esfuerzos de los piratas informáticos parecen inútiles, ya que los investigadores de JFrog lograron sortear las soluciones alternativas y echar un vistazo directamente a la carga útil. Tras un análisis, los investigadores describieron la carga útil como «decepcionantemente simple» en comparación con el esfuerzo realizado para mantenerla oculta. Sin embargo, sigue siendo dañino, ya que cookiezlog es un capturador de contraseñas capaz de robar contraseñas de «autocompletado» guardadas en cachés de datos de navegadores populares.

La inteligencia recopilada luego se envía a los atacantes a través de un enlace de Discord que actúa como un servidor de comando y control.

Desafortunadamente, JFrog no reveló el nombre del grupo detrás del malware, o las técnicas de distribución utilizadas para aterrizar el capturador de contraseñas en los puntos finales de las víctimas. Independientemente, las noticias sobre el malware PyPI son más frecuentes, lo que sugiere que los desarrolladores de Python se han convertido en un objetivo importante.

Source link-36

Esta tortuosa campaña de phishing utiliza mensajes de Facebook para engañar a sus víctimas

John — Sat, 17 Dec 2022 09:27:10 +0000

Se descubrió una campaña de phishing recientemente descubierta que utiliza avisos falsos de infracción de derechos de autor de Facebook para engañar a los usuarios para que revelen los detalles de su cuenta.

Según los analistas de la firma de seguridad cibernética Trustwave, estos mensajes falsos afirman que se eliminará la cuenta del usuario en 48 horas a menos que complete un formulario de apelación para protegerse.

Este formulario de apelación luego recopila datos personales clave sobre el usuario, lo que puede poner al destinatario involuntario en un riesgo mucho mayor de problemas como el robo de identidad.

¿Cómo funciona exactamente?

El ataque de phishing se envía a través de un correo electrónico a la bandeja de entrada del destinatario, que contiene un enlace a una publicación real de Facebook.

Luego, el usuario es redirigido a un sitio de atención al cliente falso y personalizado con la marca Meta.

Este sitio recopila el nombre real, el número de teléfono y la dirección del usuario, que, combinados con su dirección IP y ubicación, son supuestamente almacenados por el pirata informático y enviados a una cuenta de Telegram mediante HTTPS.

Según los informes, los usuarios son dirigidos a otra página falsa, donde se enfrentan a una verificación de contraseña de un solo uso, que inevitablemente falla.

Después de esto, si elige hacer clic en una ventana emergente que dice «¿Necesita otra forma de autenticación?», Se les redirigirá al sitio real de Facebook.

Trustwave aconseja a los usuarios que tengan cuidado si reciben avisos de violación de derechos de autor que pretenden ser de Facebook.

Facebook sigue siendo un vector de ataque extremadamente popular para los posibles ciberdelincuentes.

En octubre, los investigadores de ciberseguridad descubrieron una campaña conocida como «cola de pato».

Dirigido a empresas que ejecutan campañas publicitarias en Facebook, «ducktail» instala malware en la máquina de la víctima, que luego obtiene información valiosa, como direcciones de billeteras criptográficas.

¿Está interesado en mantenerse seguro en línea? Consulte nuestra guía de las mejores herramientas de privacidad (se abre en una pestaña nueva)

Source link-36

Microsoft afirma que esta tortuosa pandilla de ransomware está atacando escuelas

John — Thu, 27 Oct 2022 14:05:05 +0000

Un conocido ransomware (se abre en una pestaña nueva) El operador ha estado apuntando a escuelas en los Estados Unidos, utilizando un movimiento característico de intercambio de carga útil de ransomware, según afirman los expertos.

Un informe de investigadores de Microsoft afirma haber observado que Vice Society cambió las cargas útiles de ransomware en ataques contra escuelas en los EE. UU. entre julio y octubre de este año.

El último informe de seguridad cibernética de la compañía afirma que el grupo cambia regularmente entre BlackCat, QuantumLocker, Zeppelin y una variante de Zeppelin modificada para llevar la identidad de marca de Vice Society. Sin embargo, desde septiembre, también comenzaron a implementar una versión modificada de la carga útil de RedAlert, que agrega la extensión de archivo .locked a todos los archivos que encripta.

Robo de datos confidenciales

Según los informes, el grupo también ha estado usando el ransomware HelloKitty/Five Hands y, en algunos casos, agregó Microsoft, el grupo omite la parte de cifrado por completo y simplemente roba los datos. Más tarde, amenaza con liberarlo al público a menos que se cumpla con la demanda de rescate.

«En varios casos, Microsoft evalúa que el grupo no implementó ransomware y, en cambio, posiblemente realizó una extorsión utilizando solo datos robados exfiltrados», se lee en el informe de Microsoft. «El cambio de una oferta de ransomware como servicio (RaaS) (BlackCat) a una oferta de malware de propiedad total comprada (Zeppelin) y una variante personalizada de Vice Society indica que DEV-0832 tiene vínculos activos en la economía cibercriminal y ha estado probando la carga útil del ransomware. eficacia u oportunidades de extorsión posteriores al ransomware».

En septiembre de 2022, Vice Society publicó 500 GB de datos confidenciales pertenecientes al Distrito Escolar Unificado de Los Ángeles (LAUSD). El actor de amenazas logró encriptar los puntos finales de LAUSD, pero no sin antes deshacerse de las carpetas llamadas «SSN», «Secreto y confidencial», «Pasaporte» e «Incidente».

La organización confirmó que no tenía intención de pagar la demanda de rescate: «El Distrito Unificado de Los Ángeles se mantiene firme en que los dólares deben usarse para financiar a los estudiantes y la educación», había dicho la organización. «Pagar un rescate nunca garantiza la recuperación completa de los datos, y el Distrito Unificado de Los Ángeles cree que es mejor gastar el dinero público en nuestros estudiantes en lugar de capitular ante un sindicato del crimen nefasto e ilícito».

LAUSD abarca más de mil escuelas, 26,000 maestros y 600,000 estudiantes.

Vía: BleepingComputer (se abre en una pestaña nueva)

Source link-36