Emisión 36

1. El troyano emotet evoluciona para infectar redes Wi-fi cercanas
2. TCL diversifica, aparte de teles produce spyware
3. Cómo hackers de la milicia China hackearon a EQUIFAX
4. Outlaw Hacking Group actualiza su malware para ser más rentable
5. La CIA es la dueña secreta de la firma que produce los equipos de encripción y puede escuchar todas las conversaciones
6. Huawei puede acceder secretamente a redes de telecomunicaciones según WSJ

Ahora Emotet es capaz de infectar redes Wi-Fi cercanas. Esto representa un problema que pone en riesgo a todos los que no protejan correctamente sus redes. llegar a comprometer los equipos que haya conectados. Es capaz de descargar malware adicional. Una de las variedades más comunes es Trickbot. Cuando Emotet infecta un equipo ahora tiene la capacidad de utilizar la interfaz wlanAPI y buscar redes Wi-Fi cercanas. Es capaz de probar contraseñas comunes si tienen clave….El troyano bancario Emotet fue identificado por primera vez por investigadores de seguridad en 2014. Fue diseñado originalmente como un malware bancario que intentaba colarse en su ordenador y robar información confidencial y privada. En versiones posteriores del software se añadieron los servicios de envío de spam y malware, incluidos otros troyanos bancarios.

[Technadu.com] TCL ahora produce spyware. TCL es una corporación tecnológica China que produce todo tipo de cosas, de hecho, hay varias televisiones de venta en nuestro país de dicha marca. Pues al parecer, no sólamente se dedican a hardware, también producen spyware. Investigadores de VPNPro descubrieron algunas aplicaciones en la playstore que piden a sus usuarios una serie de permisos que no necesitan.

Por ejemplo, aplicaciones de clima que piden acceso a tu cámara. O administradores de archivos que piden datos de GPS.

Otro punto extraño es que estas 24 aplicaciones descubiertas fueron desarrolladas por subsidiarias o empresas hijas de TCL.

De hecho ya se había presentado un problema con las apps desarrolladas por esta transnacional en enero del 2019, cuando encontraron una aplicación preinstalada “Weather Forecast – World Weather Acurate Radar” en los teléfonos Alcatel que enviaba datos personales de los usuarios como el IMEI y el correo electrónico a servidores localizados en China (Cerca de 250MB de datos diarios).

Pues después de eso, en Abril del 2019, volvió a ponerse en la mira al descubrirse que su aplicación de clima “Weather app” hacía compras de servicios premium sin el permiso de sus usuarios. Cuando la noticia salió a flote, la compañía le quitó el malware a la app.

La compañía niega rotundamente estar involucrada con estas prácticas y aparentemente continuará insistiendo en colocar spyware donde quiera que pueda. Recordemos que ellos fabrican equipo con su marca TCL, pero también fabrican equipos para Alcatel, Blackberry y otros.

Las aplicaciones con malware son las siguientes:
• Super Cleaner by Hawk App
• Hi Security by Hi Security
• Candy Selfie Camera by ViewYeah Studio
• Super Battery by Hawk App
• Gallery by Alcatel Innovative Lab
• Hi VPN by Hi Security
• Net Master by Hi Security
• Filemanager by mie-alcatel.support
• Apps (no en Play Store)
• Calculator (no en Play Store)
• Joy Recorder by mie-alcatel.support
• Weather by mie-alcatel.support
• Launcher developed by mie-alcatel.support
• Virus Cleaner 2019 by Hi Security
• Calendar Lite by mie-alcatel.support
• Sound Recorder: Recorder & Voice Changer Free by mie-alcatel.support

Si tienen estas apps instaladas, es buen momento de borrarlas y tal vez hacer una limpieza a valores de fábrica.

Cómo hackers de la milicia China hackearon a EQUIFAX En el 2017 Equifax hizo público que sufrió un hackeo en sus sistemas y habían sido robada información de 147.9 millones de sus clientes. Tras una investigación por más de 2 años, el pasado 10 de Febrero el Departamento de Justicia de los EE. UU. emitió los resultados y reveló quién está detrás del hackeo: China, 4 hackers chinos pagados por el Gobierno de China. Una de las principales sospecha de que fue un ataque pagado por China, fue que la información no fue puesta en venta o liberada en la Dark web como cualquier “Blackhat” lo hubiera hecho. En Marzo del 2017 la fundación Apache lanzó un parche contra una vulnerabilidad que permitía ejecutar código remotamente en el Apache Struts. Equifax ignoró estas indicaciones y pocas semanas después, hackers chinos ya estaban dentro de los sistemas de Equifax. A partir de ese momento, los 4 hackers se tomaron algunas semanas para su etapa de reconocimiento, familiarizandose con las bases de datos y la información que almacenaban Equifax en ellas corriendo queries SQL sobre las tablas y obtener algunas muestras de información. Posteriormente los hackers subieron una web shell para tener acceso al servidor web, ya estando en el servidor web comenzaron a recolectar credenciales de acceso que les dió acceso ilimitado a las bases de datos, corrieron ¡9,000 queries! Sin que nadie se diera cuenta y obviamente, sin que alguien los detuviera para encontrar información sensible, localizaron un repositorio con nombres, direcciones, números de seguro social y fechas de nacimiento de los clientes. ¿Pero como extrajeron toda la información? Los hacker aprovecharon las comunicaciones cifradas para extraer cada uno de los archivos, lo haría que las transmisiones fueran tráfico normal. Aunque por más que quisieran extraer la información inmediatamente, dividieron y comprimieron los archivos grandes, por ejemplo uno de ellos fue dividido en 49 partes de 600 megabyte cada uno, así cuando extraían la información no se generaba mucho tráfico. Los archivos los colocaron en temporales y cada que lograban descargar un archivo exitosamente, lo eliminaban de la carpeta del servidor de Equifax. También pensaron que el extraer la información desde una sola IP o un solo punto, podría ser sospechoso, por lo que colocaron 34 servidores en 20 países distintos. También… consideraron que esos servidores podrían ser investigados si alguien los detectaba, por lo que cada conexión a los servidores era cifrada y diariamente eliminaban los logs del servidor. Otros errores de Equifax que debemos de evitar: Almacenaban credenciales de los administradores en archivos en texto plano, Las bases de datos no estaban cifradas, Las bases de datos no estaban segmentadas, No existía un monitoreo de la integridad de los archivos en el servidor, Utilizaban certificados caducados.

La empresa de ciberseguridad Trend Micro ha detectado que el grupo de hackers Outlaw ha estado actualizando su kit de herramientas o toolkit para robar datos de empresas durante casi medio año. Los nuevos kits atacaron sistemas operativos basados en Linux y Unix, servidores vulnerables y dispositivos de Internet de las cosas. También utilizaron shells web simples basados en PHP —scripts maliciosos cargados en un servidor, con el objetivo de proporcionar al atacante un acceso remoto y la administración del dispositivo. Outlaw aparentemente explota códigos, scripts y comandos previamente desarrollados. Además utiliza una gran cantidad de direcciones IP como entrada para escanear actividades agrupadas por país. Esto les permite atacar regiones o áreas específicas dentro de períodos particulares del año.
Los nuevos desarrollos del grupo incluyen parámetros y objetivos de escaneo, técnicas avanzadas de vulneración utilizadas para las actividades de escaneo, mejores ganancias mineras al eliminar a la competencia y a sus propios mineros anteriores, entre otros.
En junio, Trend Micro afirmó haber detectado una dirección web que propagaba una botnet con un componente de minería de Monero (XMR) junto a una puerta trasera. La empresa atribuyó el malware a Outlaw, ya que las técnicas empleadas eran casi las mismas que se usaron en operaciones anteriores. El software en cuestión también viene equipado con capacidades de Denegación de Servicio Distribuida (DDoS), «permitiendo a los cibercriminales monetizar su botnet a través de la minería de criptomonedas y ofreciendo servicios DDoS para alquiler».

[Washington Post] La empresa Crypto AG es una de las responsables de la codificación de mensajes de alta importancia para gobiernos enteros y milicias. El Washington post y ZDF acaban de publicar una investigación conjunta en donde se descubre que Crypto AG, una empresa con sede en Suiza, en realidad era propiedad de una sociedad muy peculiar entre la CIA y la BND (La agencia de inteligencia de alemania del este).

Aparte de este descubrimiento, sale a la luz que, al poseer y fabricar la tecnología de encripción de mensajes la CIA y la BND podían monitorear todos los mensajes que sus aliados y gobiernos cercanos tenían.

Por ejemplo, filtraron información de los movimientos militares Argentinos a los Británicos en la guerra de las Malvinas. La mayoría de los clientes de Crypto AG no estaban en la zona de influencia rusa ni china porque esos gobiernos siempre sospecharon de los nexos de esa compañía con las agencias de inteligencia occidentales.
Las filtraciones se dividen en dos, uno es un documento de 96 páginas que habla de la relación de la CIA en este proyecto conocido con dos alias: Thesaurus inicialmente y Rubicon al final. La segunda filtración es un compendio de entrevistas anónimas a miembros de la inteligencia alemana occidental BDN.

Thesaurus o Rubicon es considerado uno de los más exitosos proyectos de espionaje, logrando recabar hasta el 40% de los cables diplomáticos en décadas como la de los ochentas.

Esta historia apenas comienza y hay que echarse un clavado a profundidad a los documentos liberados y a la nota completa publicada en el Washington Post. Pero una cosa es segura, esta nota confirma las sospechas de espionaje por parte de EUA para mantener su hegemonía. Y que este tipo de prácticas seguramente se repetirán con otros gobiernos, mucho ojo a Karspersky en Rusia y a Huawei con China.

Huawei puede acceder secretamente a redes de telecomunicaciones según WSJ. la denuncia proviene del prestigioso diario The Wall Street Journal que afirma en un reporte que Huawei supuestamente tiene acceso a la información de las redes de las operadoras móviles globales que usan su tecnología, y más aún, ha estado utilizando estos accesos secretos desde hace más de una década, cuyos accesos están diseñados para que los gobiernos monitoricen las redes. Los detalles fueron divulgados por Gran Bretaña y Alemania a fines de 2019 después de que Estados Unidos identificara estos accesos (backdoors o puertas traseras) desde 2009 en equipos para las redes 4G, los cuales son colocados en el equipo de las operadoras móviles, como estaciones, antenas o conmutadores, para que las fuerzas del orden público las usen, y que «fueron diseñados para que también Huawei pudiera penetrarlos». Los fabricantes de equipos de telecomunicaciones que venden productos a los operadores «están obligados por ley a construir en su hardware backdoors para que las autoridades accedan a las redes con fines legales», pero «también están obligados a construir equipos de tal manera que el fabricante no pueda obtener acceso sin el consentimiento del operador de red «.

Escucha el podcast:

En ivoox:

En Spotify

iTunes

En Youtube