Archivo de etiquetas Xhelper

PorLeón Ramos

37 – Si tu hijo usa Kali Linux deberás denunciarlo a las autoridades, dice el Reino Unido

Emisión 37

  1. No importa cuántas veces resetees tu celular, este malware volverá y volverá y volverá…
  2. Si tu hijo usa Kali Linux deberás denunciarlo a las autoridades, dice el Reino Unido
  3. Soldados israelíes fueron engañados para instalar malware en sus teléfonos por agentes de Hamas quienes se hacían pasar por mujeres
  4. Los ataques de Phising a PayPal buscan obtener algo más que tu información para hacer login
  5. HP puede bloquear tus cartuchos si no pagas una suscripción
  6. Hackers iraníes han estado hackeando servidores VPN para plantar puertas traseras en empresas de todo el mundo

 

En nuestra gustada sección… la evolución del mal… ahora tenemos que el trojano xHelper regresa a los celulares infectados a pesar de que se formateen los equipos… como muchos de ustedes saben, cuando encontramos un archivo infectado lo podemos borrar y listo o instalar un antivirus…. y ya en el peor de los casos, formateamos el equipo, pero ahora los expertos en seguridad se preguntan cómo es que este virus hace para volverse a instalar…. La investigación la está realizando Malwarebytes y ya más de 33 mil dispositivos han sido infectados tan solo en Estados Unidos… su propósito es ejecutar comandos remotamente e instalar otras aplicaciones… a pesar de que se borren los archivos infectados, aparece nuevamente en una hora y ya fue declarado como el malware más resistente que existe. Descubrieron que la fuente de las reinfecciones eran una serie de carpetas que al encender el móvil instalaban la APK de xHelper y aunque se borraran…volvían a salir… la solución temporal que se ha encontrado es desactivar la app Google Play Store de los ajustes del sistema y posteriormente eliminar las carpetas de xHelper de forma manual desde el sistema de archivos…Malwarebytes ha encontrado que de alguna manera el troyano xHelper se está implementando desde la propio Play Store.


[TheRegister] Pues la WMROCU que en inglés británico sería West Midland Regional Organised Crime Unit, ha publicado posters en donde se invita a los padres a reportar a los hijos si utilizan software como:
Tor el navegador que anonimiza
Máquinas virtuales con sistemas operativos Linux
Kali Linux porque es usado para hackear,
Si adquiere un kit pineapple para investigar la seguridad de la wifi
Si usa Discord, un chat gratuito con enfoque para gamers
Si usa metasploit para hacer pentesting a sus desarrollos.

Aunque en el póster aparece el logo de la NCA, National Crime Agency, dicha agencia hizo un distanciamiento público del poster.

Las agencias posteriormente actualizaron la información —Este poster se produjo para concientizar a los profesores, padres de familia y guardianes de la ley para apoyarlos a guiar a sus hijos sobre una navegación segura. El póster sólo lista algunas herramientas que sus hijos podrían estar usando en casa.

El software mencionado es legal y en la mayoría de los casos su uso es legítimo, aportando grandes beneficios a los interesados en desarrollar sus habilidades digitales. Sin embargo, como cualquier software, también puede ser usado con fines ilícitos. El propósito del poster era proveer una guía rápida de los tipos de software disponibles para que, los padres puedan iniciar una conversación sobre el uso seguro y legal de las computadoras y software—.


Soldados israelíes fueron engañados para instalar malware en sus teléfonos por agentes de Hamas quienes se hacían pasar por mujeres. Miembros del grupo palestino militar Hamas se hicieron pasar por mujeres jóvenes en redes sociales para hablar con soldados israelíes a quienes invitaban a instalar aplicaciones en sus teléfonos que contenían malware. Los engaños fueron a través de perfiles falsos creados en Facebook, Instagram y Telegram, a través de los cuales, tras algunas conversaciones les pedían a los soldados instalas aplicaciones como Catch & See, Grixy o Zatu para compartirles más fotografías y continuar con la conversación. Cuando los soldados instalaron las aplicaciones, aparecía un error de que se había producido un fallo durante la instalación y automáticamente eliminaba el ícono de la app para que la víctima creyera que se había eliminado automáticamente, sin embargo la app seguía corriendo en el background del teléfono y podía extraer fotografías, mensajes SMS, contactos, instalar otras aplicaciones, geolocalizar los teléfonos en tiempo real y tomar fotografías a través de la cámara del teléfono. Generalmente se considera una falla de seguridad de operación (OpSec) permitir que los soldados usen dispositivos personales mientras están desplegados en el campo. Por ejemplo, el Pentágono instruyó a las tropas estadounidenses que se desplegaban en el Medio Oriente para que dejaran sus dispositivos personales en casa.


Pues resulta que PayPal, Facebook, Microsoft, Netflix y Whatsapp fueron las marcas más utilizadas para hacer phishing en el último trimestre de 2019, de acuerdo a un reporte de Vade Secure. PayPal tiene un atractivo muy importante porque es la puerta a los movimientos bancarios de las víctimas… además cuenta con 305 millones de usuarios activos en todo el mundo y el hecho de recibir un pago de forma casi inmediata… hace que la trampa funcione de una mejor manera. Tenemos que destacar que las estafas se están expandiendo también al equipo operativo de la empresa cuando les llegan correos como “encontramos algo extraño en tu cuenta” … pero bueno, más allá de eso… el investigador Alex Birsan encontró que había un archivo JavaScript que parecía un CSRF token con un ID de session lo que hace más fácil que los delincuentes puedan obtener datos de información de tarjetas, números de cuenta, etcétera… desgraciadamente los correos de “actividad sospechosa” o “pagos retenidos” funcionan muy bien para los usuarios que están desesperados y dan toda su información personal, dirección y más detalles con tal de “desbloquear” sus cuentas… muchas de estas estafas han sido creadas por 16Shop Phishing Gang quienes se encuentran en el Sureste asiático… de acuerdo a la investigación de Zero FOX Alpha Team este grupo desarrolló un kit que manda un solucitud POST al servidor C2 con un password, domain y path… la información es enviada vía SMTP al correo del controlador y dicha información puede servir para construir más páginas de phishing en un mayor número de idiomas. Este desarrollo cuenta con tecnología anti-bot, anti-indexing y bloquea los crawlers que usan muchas empresas de threat hunting….La ventaja de este kit es que cualquier persona sin experiencia en cyberseguridad, podría usarlo


[Twitter] [Howtogeek] HP puede bloquear cartuchos para impedir tu impresión. ¿No sería fabuloso contar con un tinta suficiente para todas nuestras impresiones? Es decir, ¿pagar una renta y que todas nuestras impresiones estén aseguradas con esa renta? Pues ese tipo de arrendamiento puro existe en las empresas mexicanas desde hace mucho. Una empresa que se dedica a darte servicios de impresión, te lleva hasta tu oficina o negocio una foto/copiadora/impresora y se aseguro de surtirte todo el toner y todas las hojas blancas que necesites mensualmente. Obviamente cuando terminas el contrato, ellos pasan por la impresora y se llevan todo lo que haya sobrado de tinta y de hojas.

HP implementó el mismo esquema,. sin embargo, en esta variante, la impresora es de tu propiedad y HP te hace llegar cartuchos que podrás usar para imprimir el número de hojas que especifiques al realizar el primer setup.Y listo, tu puedes imprimir las hojas que quieras sin importar cuanta tinta lleven. Siempre y cuando no canceles la suscripción porque HP necesita que tu impresora esté en Internet todo el tiempo para saber si todavía tienes tinta o si cancelaste. Existe un DRM que es un administrador de derechos digitales con el que te pueden desactivar los cartuchos. Así que tienes tinta en los cartuchos pero como la compraste, no podrás usarla, tendrás que salir a comprar otros cartuchos para poder continuar imprimiendo.


Hackers iraníes han estado hackeando servidores VPN para plantar puertas traseras en empresas de todo el mundo. Los hackers iraníes se han dirigido a las VPN Pulse Secure, Fortinet, Palo Alto Networks y Citrix. Un reporte de la empresa de seguridad ClearSky ha revelado que el gobierno iraní está detrás de grupos APTs que están explotando vulnerabilidades en servicios VPNs horas después de que las vulnerabilidades fueron hechas públicas (1Day). Según el informe de ClearSky, el propósito de estos ataques es romper las redes empresariales, moverse lateralmente a través de sus sistemas internos y plantar puertas traseras para explotar en una fecha posterior. Mientras que la primera etapa de sus ataques apuntó a las VPN, la segunda fase (movimiento lateral) involucró una colección integral de herramientas y técnicas, que muestran cuán avanzadas se han vuelto estas unidades de APTs iraníes en los últimos años. Usan herramientas de hacking de código abierto, pero también usan software legítimo como Putty, Plink, Ngrok, Serveo o FRP. Además, en el caso de que no encontraran herramientas de código abierto o herramientas locales, también tienen el conocimiento para desarrollar malware personalizado. ClearSky dice que encontró herramientas como:

  • STSRCheck: bases de datos de desarrollo propio y herramienta de mapeo de puertos abiertos.
  • POWSSHNET: malware de puerta trasera de desarrollo propio para túneles RDP sobre SSH.
  • VBScripts personalizados: scripts para descargar archivos TXT del servidor de comando y control (C2 o C&C) y unificar estos archivos en un archivo ejecutable portátil.
  • Puerta trasera basada en sockets sobre cs.exe: un archivo EXE utilizado para abrir una conexión basada en sockets a una dirección IP codificada.
  • Port.exe: herramienta para escanear puertos predefinidos en busca de una dirección IP.

Escucha el podcast:

En ivoox:

En Spotify

iTunes

 

En Youtube