Press "Enter" to skip to content

5 de Enero de 2019

Detectado un nuevo tipo de ransomware utilizado para infectar a servidores Linux a través de IPMI.

Este nuevo ransomware, que recibe el nombre de ‘JungleSec‘, fue detectado en Noviembre y esta diseñado para infectar servidores Linux con IPMI (Intelligent Platform Management Interface) no securizado.

IPMI es un conjunto de especificaciones de interfaces que proporcionan capacidades de administración y monitorización en un ordenador independientemente de la CPU, firmware y sistema operativo. Esta incluido en las placa base de los servidores, aunque también puede instalarse como una tarjeta adicional si no la incluye la placa base.

Una interfaz IPMI no configurada, puede dar acceso remoto al sistema a los atacantes, lo que les daría control total sobre el servidor.

Investigadores de BleepingComputer que detectaron este malware, afirman que descubrieron que los atacantes habían usado una interfaz IPMI para acceder a los servidores y posteriormente instalar el malware. En algunos casos, la interfaz IPMI estaba configurada con la contraseña por defecto. En otros casos, las víctimas afirman que el usuario ‘Admin’ de la interfaz estaba desactivado, por lo que se sospecha que los atacantes pudiesen acceder usando alguna vulnerabilidad en el sistema IPMI.

Los atacantes, una vez accedían al sistema a través de la interfaz IPMI, descargaban y compilaban ccrypt, que finalmente usaban para cifrar todos los ficheros del servidor. Una vez cifrados los archivos, los atacantes dejaban un fichero llamado ‘ENCRYPTED.md’ con las instrucciones para realizar el pago del rescate.

Exobot (aka Marcher), un troyano bancario para Android en alza

Este pasado mes muchos troyanos bancarios para Android han recibido atención por parte de los medios. Uno de estos, cuyo nombre es Exobot (aka Marcher), parece estar especialmente activo, ya que aparecen samples diferentes de forma diaria.

Esta variante del malware bancario parece ser técnicamente superior a las otras, ya que puede usar su ataque de Overlay incluso en Android 6, donde se tomaron medidas para evitar este tipo de ataques.

El vector inicial de infección es mediante phishing vía SMS/MMS. El mensaje incluye un link de descarga de una presunta actualización de una aplicación popular (Whatsapp, Netflix o Runtastic). Cuando se instala, esta pide permisos de superusuario y de envío de mensajes SMS.

Este malware usa dos métodos de ataque distintos. Uno de ellos se basa en comprometer la autenticación en dos factores mediante SMS de los distintos bancos afectados, reenviando este SMS al atacante.

La otra, se realiza mediante Overlay, y muestra un phishing cuando una aplicación objetivo se ejecuta en el Smartphone. La ventana de Overlay resulta indistinguible a veces de la pantalla de login a la aplicación bancaria legitima, y es usada para robar las credenciales de banca electrónica de los usuarios.

La lista de aplicaciones y bancos objetivos pueden actualizarse de forma dinámica desde su panel de control, el cual aumenta significativamente la adaptabilidad y escalabilidad de este ataque.

Los muchos cambios que vemos en las formas en las que los ataques se llevan a cabo nos muestran que los atacantes están experimentando de forma agresiva con ellos para encontrar la mejor forma de infectar un dispositivo y abusar de funcionalidades ya existentes en el sistema para realizar ataques de phishing de forma satisfactoria.

La próxima etapa en esto puede llevar al uso de exploit kits y malvertising, los cuales serían muy efectivos dado a las muchas vulnerabilidades que presenta Android y de las cuales, muchas de las personas llevan un dispositivo sin parchear. También, como añadido, puede que los futuros troyanos hagan uso de exploits de root para evitar que se puedan eliminar y dar a los atacantes la habilidad de usar APIs a bajo nivel que son usadas por todas las aplicaciones bancarias, como en los vectores de ataque que se han usado en los dispositivos de escritorio durante años.

2 Comments

  1. oprol evorter
    oprol evorter 31 marzo, 2019

    Useful information. Lucky me I found your site by chance, and I am shocked why this accident didn’t happened earlier! I bookmarked it.

  2. oprol evorter
    oprol evorter 5 abril, 2019

    My coder is trying to convince me to move to .net from PHP. I have always disliked the idea because of the costs. But he’s tryiong none the less. I’ve been using Movable-type on several websites for about a year and am worried about switching to another platform. I have heard good things about blogengine.net. Is there a way I can import all my wordpress content into it? Any kind of help would be greatly appreciated!

Deja un comentario

Tu dirección de correo electrónico no será publicada.