PODEC, un troyano SMS que sabe la forma de esquivar los CAPTCHA

El 2014 fue sin lugar a dudas uno de los peores años que se recuerdan en lo referido a infecciones malware. Los ciberdelincuentes aprovechaban cualquier oportunidad para distribuir sus amenazas y para ello utilizaban cualquier vía. Uno de los virus informáticos que más llamó la atención de los investigadores fue un troyano SMS conocido como PODEC que permitía saltarse los sistemas de verificación CAPTCHA, utilizados en la actualidad en una gran cantidad de servicios.

A pesar de los esfuerzos de una gran cantidad de equipos de seguridad no se pudo obtener una versión de este que permitiese realizar un análisis exhaustivo. Sin embargo, este año la suerte ha sonreido al equipo de Kaspersky y han conseguido un ejecutable del virus denominado Trojan-SMS.AndroidOS.Podec. Este llamó la atención de los usuarios porque era capaz de esquivar las confirmaciones de los servicios de pago, provocando que el usuario enviase mensajes y archivos que implicaban un valor añadido. Aunque se llegó a rumorear de una versión disponible para el sistema operativo iOS, esta nunca se encontró y la que se ha analizado es la que se encuentra disponible para los usuarios de lo sistemas operativos Android.

Tras realizar un mapa de infecciones, se ha comprobado que la mayor tasa de infección se encuentra sobre todo en países pertenecientes a Europa del Este.

Cómo se extiende este PODEC

Principalmente se ha detectado que los ciberdelincuentes han recurrido a contenidos muy demandados por los usuarios, modificando la apariencia para así provocar que el usuario muestre curiosidad y descargue y ejecute el contenido.

Este es el listado de direcciones que permiten al acceso al archivo malicioso:

• http://vk.com/vzlomannye_igry_dlya_android
• http://vk.com/skachat_minecraft_0_9_0_android
• http://vk.com/minecraft_pe_0_9
• http://vk.com/vzlom_igry_android_mody
• http://vk.com/igry_android_cheats
• http://vk.com/android_mody_apk
• http://vk.com/novye_igry_na_android
• http://vk.com/skachat_hill_climb_racing_bpan
• http://vk.com/na_android_igry

Haciendo uso del ataque Flood HTTP el troyano es capaz de suscribir el número de teléfono del usuario a servicios de tarificación especial sin que este sea consciente de lo que está sucediendo, provocando la sorpresa en la factura a final de mes. Con este tipo de ataque lo que provoca es que se puedan modificar las apariencias de las páginas, evitando de esta forma que por ejemplo aparezca en la pantalla del terminal del usuario el texto que indica el importe que supondrá dicha suscripción.

Aunque podamos pensar que con un antivirus la situación está controlada, la realidad es muy distinta y el malware está capacitado para evitar este tipo de herramientas.

Fuente | viruslist

Un fallo en el SDK de Dropbox para Android permite robar los datos del servicio

Pocas veces hemos hablado de este servicio de almacenamiento por culpa de un fallo de seguridad. Sin embargo, en esta ocasión podría decirse que no resulta un problema directo sobre Dropbox, sino que más bien es un fallo que afecta al SDK utilizado por otras aplicaciones para hacer uso de este, permitiendo que una tercera persona pueda acceder a los archivos y manipularlos sin que el usuario sea consciente.

Sin embargo, después de analizar de forma minuciosa la vulnerabilidad, catalogada como CVE-2014-8889, se ha llegado a la conclusión de que el usuario no tendrá ningún problema siempre que la aplicación del servicio de almacenamiento se encuentre en el terminal, independientemente de que exista o no una cuenta configurada. La versión del SDK que está afectada por la vulnerabilidad es la 1.5.2., mitigándose el efecto de esta a partir de la 1.6.2, ya disponible para ser descargada.

Aunque pueda parecer todo lo contrario, el usuario no debe descargar ni instalar ningún paquete, ya que el SDK se utiliza por los desarrolladores de aplicaciones para comunicar esta con la cuenta del servicio de almacenamiento y así utilizar algunas funciones.

Dropbox recomienda la actualización del SDK

Desde que en enero se publicó la primera versión que resolvía el problema, los responsables del servicio de almacenamiento han tenido tiempo de sacar otra versión adiconal que integra mucho mejor la solución que la 1.6.2 y e insta a los desarrolladores a actualizar el SDK para evitar que las aplicaciones sean vulnerables y pongan en peligro los archivos de los usuarios. Los investigadores realizaron un análisis de 41 aplicaciones que hacían uso de este y se han encontrado con que al menos 31 están afectadas por el problema que nos ocupa.

Fuente | Softpedia

Una vulnerabilidad de WordPress SEO by Yoast afecta a millones de blogs

El CMS acostumbra a ser noticia por errores en complementos que afectan de forma negativa a la seguridad de los sitios web. En esta ocasión el problema es aún mayor porque es el complemento WordPress SEO by Yoast el que ha mostrado problemas de seguridad, afectando de forma directa a más de 14 millones de blogs. El plugin permitiría lainyección de código SQL, consiguiendo la ejecución de consultas no autorizadas.

Los responsables de este ya han publicado una nueva versión que resuelve el problema: la 1.7.3.3, o al menos eso han comunicado. Todas las anteriores están afectadas sin excepción por esta vulnerabilidad poniendo en peligro los datos almacenados en la base de datos y la seguridad de los usuarios que visitan el sitio web.

Las inyecciones de código en las bases de datos que permiten realizar consultas y la obtención de datos son uno de los mayores problemas de seguridad y también uno de los más extendidos, ya que los datos quedan comprometidos y se pueden filtrar, afectando sobre todo a nombres de usuario, contraseñas u otro tipo de dato de carácter personal.

La vulnerabilidad permite utilizar el complemento para disponer de acceso al archivo admin/class-bulk-editor-list-table.php. Este archivo no solo está autorizado para acceder a la configuración del panel de control del CMS, sino que está autorizado para realizar consultas a la base de datos.

Las versiones 1.7.3. y 1.7.4 de WordPress SEO by Yoast aún eran vulnerables

Aunque se publicaron con la finalidad de resolver el problema, los expertos en seguridad encargados de reportar el fallo se percataron de que las nuevas versiones aún eran vulnerables. Después de reportar la nueva incidencia a los responsables horas después se volvía a publicar la actualización pero esta vez de forma correcta, resolviendo el problema de forma satisfactoria.

Si disponer de WordPress 3.7 o superior, se puede configurar para que el complemento y todos los demás se actualicen de forma automática, sirviendo de gran ayuda si queremos mantener la seguridad de nuestro sitio web al día y libre de vulnerabilidades.

Fuente | The Hacker News

Las compañías empiezan a publicar parches para la vulnerabilidad FREAK

FREAK es un fallo de seguridad en las conexiones SSL/TLS que permite a un pirata informático que se encuentra controlando nuestras conexiones indicar al servidor que utilice un algoritmo de cifrado débil de manera que todo el tráfico pueda descifrarse, incluso en tiempo real, y permita a usuarios no autorizados acceder a toda la información que se envíe a través de Internet desde y hacia estos servidores.

Esta vulnerabilidad ya estaba siendo explotada desde el día de su descubrimiento, por lo que las diferentes compañías se han visto obligadas a actuar deprisa con el fin de poder solucionar este fallo lo antes posible y permitir que sus usuarios puedan seguir navegando por la red de forma un poco más segura que como hasta ahora y evitar que puedan ser víctimas de estos piratas informáticos.

Microsoft, por una parte, lazó el pasado martes lo que se conoce como “martes de parches“, un nuevo boletín mensual de actualizaciones donde soluciona diferentes vulnerabilidades que han sido detectadas en sus productos en los últimos días desde el lanzamiento de los boletines anteriores. Entre otras vulnerabilidades, en esta ocasión Microsoft se ha centrado en solucionar “FREAK“, un fallo en las conexiones SSL que permitía a un atacante forzar al software a utilizar algoritmos débiles e inseguros que comprometieran la seguridad de las comunicaciones. Al mismo tiempo Microsoft ha aprovechado para acabar con la vulnerabilidad que utilizaba el troyano Stuxnet en sus sistemas operativos, un paso más en el movimiento que la compañía está llevando a cabo con el fin de reducir la repercusión del malware en sus equipos.

Los sistemas operativos Linux y Mac OS X también han recibido las correspondientes actualizaciones de seguridad para solucionar FREAK tanto por parte de la comunidad como de las manos de Apple, por lo que estos sistemas operativos también permanecen seguros siempre y cuando tengan las últimas actualizaciones instaladas.

Google y Apple, por su parte, han solucionado la vulnerabilidad FREAK en las últimas versiones de sus respectivos sistemas operativos, concretamente con Android 5.1 y iOS 8.2 respectivamente. Aunque la mayor parte de los dispositivos de Apple podrá actualizar a esta nueva versión, en el caso de Google este aspecto es algo más complejo y depende directamente de los fabricantes. CyanogenMod, la rom más utilizada de Android, soluciona esta vulnerabilidad en la Nighty del día 12 de marzo y que en los próximos días llegará como actualización a las demás ramas de desarrollo, por lo que los usuarios que utilicen esta rom de Android en sus dispositivos podrán permanecer seguros frente a este tipo de ataques.

Por el momento habrá que seguir esperando y actualizando las diferentes aplicaciones que utilizamos en el día a día para garantizar su máxima seguridad y evitar que piratas informáticos puedan seguir utilizando la vulnerabilidad FREAK para secuestrar nuestras conexiones.

Fuente: REDESZONE

Twitter obliga a los usuarios de Tor a identificarse con un número móvil

La red social de microblogging ha decidido que los usuarios que se abran una nueva cuenta desde Tor estén obligados a dar un número de teléfono válido para poder registrarse. De esta manera Twitter podría saber quién está detrás de cada cuenta en una red como Tor, donde es prácticamente imposible saber la IP.

La semana pasada os hablamos de que Twitter quería dificultar la vuelta de los trolls expulsados temporalmente de la red social haciendo que tuvieran que dar un número de teléfono válido para volver a registrarse y así hacerles más difícil recuperar su cuenta en caso de una nueva expulsión.

Pues bien, ahora se ha sabido, sin que Twitter lo comunique, que a los nuevos usuarios que se registren a través del navegador Tor se les exige un número de teléfono móvil para poder enviarles un SMS de verificación antes de concederles una cuenta. Los motivos pueden ser diversos pero es curioso que se solicite un número de teléfono solo a los usuarios que entran mediante una red en donde sus identidades están bastantes bien protegidas.

Tor, una red donde hay de todo

Twitter todavía no ha dado una explicación al respecto, pero el hecho de que lo haya puesto en práctica únicamente con los nuevos usuarios de Tor da que pensar por dónde pueden ir los tiros. Parece que Twitter entiende que una red como Tor solo puede ser utilizada por alborotadores que se escudan en un navegador anónimo para poder seguir ‘liándola’ en Twitter sin prácticamente ningún control.  Pero esto no es del todo cierto. A estas alturas ya se debería saber que los usuarios de Tor son, como los es en prácticamente todos los órdenes de la vida, un grupo muy heterogéneo de personas donde las razones por las que quieren pasar desapercibidos pueden ser bastante diversas. Es decir, no todo el mundo que se esconde lo hace para realizar una acción ilegal que ponga en peligro a alguien. En Tor también se encuentran muchos activistas de los derechos humanos perseguidos por regímenes que los consideran molestos. Por poner un ejemplo, cuando en Turquía se bloqueó Twitter los usuarios de Tor aumentaron considerablemente para poder conseguir saltarse las barreras del gobierno.

La otra razón por la que Twitter puede haber hecho esto es que esté considerando implementarlo a todos los nuevos usuarios y que sea una simple prueba. Aunque también deberían saber que realizar esta prueba con usuarios de Tor implica que se levanten toda clase de sospechas, como así ha sido. Esperemos que Twiter lo aclare pronto.

Fuente: TechCrunch.