De acuerdo con
Trend Micro Labs en las últimas semanas, han recibido varios informes de ataques dirigidos a varias vulnerabilidades de aplicación para infiltrarse en diversas organizaciones. Similar a la Campaña Safe, se observa que las campañas pasaron inadvertidas. Los atacantes que dirigen la campaña conocida como Campaña Siesta utilizaron malware multicomponente para elegir ciertas instituciones del diversos sectores tales como Bienes y servicios de consumo y servicio, Energético, Financiero, Sanidad Pública, Medios de comunicación y telecomunicaciones, Administración pública, Seguridad y defensa y Transporte y tráfico. Hoy en día los actores amenaza no siempre confían en vectores de ataque complejos para infiltrarse en la red de una organización, si no que los atacantes también pueden hacer uso de técnicas de ingeniería social básica para que sus víctimas muerdan el anzuelo, como aparece en el caso de estudio de Trend Labs. Actualmente están investigando un incidente que involucró a los atacantes enviando mails spear-phishing dirigidos a ejecutivos de una empresa desconocida. Estos mails fueron enviados desde direcciones de correo electrónico falsas de personal dentro de la organización. En lugar de utilizar los archivos adjuntos y exploits de documentos, esta campaña específica sirve su malware a través de un enlace de descarga de archivos de apariencia legítima. El modo de operación de este ataque está basado en descargar el archivo, el atacante lo sirve en una ruta de URL como está:
http://{Dominio malicioso} / {nombre de la empresa} / {legítimo nombre de archivo} .zip Este archivo contiene un archivo ejecutable
(TROJ_SLOTH) con la apariencia de un documento PDF. Cuando se ejecuta se abre un archivo PDF válido, que probablemente fue tomado del sitio web de la organización elegida, así junto con este archivo PDF válido, también se ejecuta otro componente malicioso en el fondo. Este componente de puerta trasera se llama
google {BLOCKED} .exe. (Lamentablemente, durante las investigaciones en curso y por el momento esta es toda la información disponible). Esta puerta trasera se conecta a
http://www.micro { BLOCKED }. com/index.html, servidores de comando y control (C & C). Trend Micro identifica estas muestras como
BKDR_SLOTH.B. En este punto, el malware comienza a esperar comandos adicionales desde el atacante. Los comandos cifrados que se aceptan son:
•Sleep: Ordena a la puerta trasera dormir durante un número de minutos específico. Durante el análisis de Trend Micro han recibido una orden de
“sleep: 120″ que significa que el malware esperará 2 horas antes de volver a establecer una conexión con el servidor  C&C •
Download: < download_url > Ordena a la puerta trasera descargar y ejecutar un archivo (probablemente otro ejecutable Win32) desde una dirección URL específica. El servidor C & C utilizado en esta campaña es nuevamente registrado por poco tiempo, por lo que nos resulta difícil seguir el comportamiento de malware. Siguiendo la investigación, existen dos variantes del malware utilizado en esta campaña. Aunque no exactamente iguales, los comportamientos son casi idénticos. Una de las muestras similares es un archivo llamado
Concerning the Spread of Superbugs Febrero 2014.exe (SHA1: 014542eafb792b98196954373b3fd13e60cb94fe). Esta muestra arroja el archivo UIODsevr.exe, su componente backdoor que se comporta de manera similar aBKDR_SLOTH.B además de comunicar a su C & C en skys com {BLOCKED}.
Estas muestras son identificadas por Trend Micro como BKDR_SLOTH.A. Ambas variantes utilizan excesivamente llamadas de sueño, que representa el malware inactivo durante distintos períodos de tiempo, de ahí el nombre de la campaña
“Siesta”. Las órdenes se sirven a través de páginas HTML usando diferente palabras clave que se enumeran a continuación: Variant 1 prefix: “>SC<” Variant 2 prefix: “longDesc=” suffix: “.txt” Los comandos
backdoor que se encontraron en el análisis son: Variant 1 “run1” – open a remote shell “run2” – pipe shell commands from URL1 “run3” – pipe shell commands from URL2 “http” – pipe shell commands from C2 “x_” – sleep for specified number of minutes Variant 2 “sleep:” – sleep for specified number of minutes “download:” – download and execute another executable from C2 A menudo es difícil atribuir las campañas y los métodos de ataque. El equipo ha sido capaz de identificar esta nueva campaña a través de inspección de hashes, C & c, los registradores, comandos y obtener información adicional. siesta_attribution2
Dibujo 1. Gráfico de atribución (haga clic en la imagen para agrandarla) Cabe mencionar que durante el curso de la investigación, se enfocaron en el malware. Rápidamente identificaron que la persona registrada como sky {BLOCKED} .com es también la que se registra como micro { BLOCKED } .com y ifued { BLOCKED } .net. Este individuo utiliza el nombre de Li Ning y otros con una dirección de correo electrónico de xiaomao{BLOCKED}@163.com. Así mismo también había registrado 79 dominios adicionales. Hay un total de aproximadamente 17.000 dominios registrados con esta misma dirección de correo electrónico. domains-siesta 2
Dibujo 2. Dominios registrados bajo el nombre de Li Ning, basado en datos de Whois Para concluir, debemos tener en cuenta que es un hecho que la detección temprana es crucial en la prevención de ataques de datos confidenciales de la empresa. Las organizaciones y las grandes empresas necesitan una plataforma de protección avanzada frente a las amenazas  como Deep Security que puede mitigar los riesgos de ataques a través de sus diversas tecnologías de seguridad e inteligencia de amenaza global. En el corazón de la solución 
Custom Defense  dentro de
Deep Discovery con Trend Micro se proporciona inteligencia local y global en tiempo real a través del ciclo de vida del ataque. Esto puede ayudar a entender la naturaleza del ataque están tratando con los administradores de TI.
Trend Micro bloquea todas relacionadas con amenazas, mensajes de correo electrónico y URL asociados a estos ataques. Como siempre el equipo de Trend Labs aconseja a los usuarios que tengan precaución al abrir mensajes de correo electrónico y enlaces. Para más información visita trendmicro.es Nataly Mejía Marketing

Un día después del segundo debate de candidatos de la república, Josefina.mx quedó inhabilitada con un mensaje a favor de López Obrador Josefina.mx quedó inhabilitada con un mensaje a favor de López Obrador y Anonymous se deslinda del ataque. La página Josefina.mx fue hackeada esta mañana y en su lugar se colocó un mensaje que apoya al abanderado presidencial de la izquierda, Andrés Manuel López Obrador, subido supuestamente por un algún simpatizante. El sitio oficial de la abanderada presidencial del PAN, Josefina Vázquez Mota, sufrió un ataque por parte de hackers al dejar inhabilitada la página y un “Defacement”, que es una palabra inglesa que significa desfiguración, usado en informática. Al entrar a la página de la panista se desplegó un mensaje en el que decía "Vota por un gobierno diferente. Vota por AMLO". En el mensaje publicado en el sitio de Vázquez Mota se leía: “Mensaje al pueblo de México, por esta vía les informamos que en caso de no ganar Andrés Manuel López Obrador, vamos a tomar las principales calles y ciudades del país, los perredistas vamos a cerrar las entradas al Distrito Federal, cerraremos el Zócalo y Reforma, pero esta vez no será pacíficamente, tendremos un plantón en cada rincón del México.

Como bien hemos publicado en otras ocasiones, hay una batalla constante entre nuestra tranquilidad en la red y las amenazas que hay a diario. Esta semana, hackers rusos publicaron millones de contraseñas al hackear la red social LinedIn, y así, una hora después eHarmony, la cual anunció que una fracción de sus usuarios se vieron involucrados en un ataque similar. Ésta invasión a la privacidad, puede ponernos a dudar en qué podemos confiar y de que manera podemos estar exentos de estos ataques. Primero, tenemos que asegurarnos de tener una contraseña la cual sea difícil para los hackers, evitando fechas de nacimiento, iniciales, etc. Hay que probar con combinaciones de letras y números, así como caracteres para poder tener una contraseña mas segura. Después del ataque, Linkedin publicó en su página una disculpa a las personas afectadas, habiendo sido reveladas 6.5 millones de contraseñas la cual estaban en encriptación “hash” por lo tanto, difíciles de descodificar. Han seguido medidas activas para proteger a los miembros que se creía que corrían mayor riesgo, mandando un mensaje informando como restablecer sus contraseñas. “A partir de ahora, como medida de precaución, desactivaremos las contraseñas de aquellos miembros que pudieran verse afectados potencialmente. Nos estamos poniendo en contacto con dichos miembros desde LinkedIn con indicaciones sobre cómo restablecer sus contraseñas. También estamos trabajando con las autoridades, las cuales están investigando este asunto. Además de encriptación "hash", hemos aplicado a nuestra base de datos actual de contraseñas "sal", lo que proporciona un nivel extra de seguridad.” Dice Vicente Silveira, Director de LinkedIn Hay que tener en cuenta el cambio de contraseñas continuamente para poder evitar este tipo de ataques, así como en cada red social y mail, una contraseña diferente.   Carolina Guerra (cguerra@smartekh.com)

Partimos de la premisa ¿QUE PUBLICAMOS EN REDES SOCIALES?

   En estos días, para infectar un dispositivo móvil, se requiere crear una aplicación maliciosa, postear la aplicación y esperar que los usuarios lo descarguen e instalen. Existen amenazas más sofisticadas, pero a la vez “ligeras” que permiten a los atacantes obtener un beneficio financiero de forma más rápida.