Noticias Antivirus - zonavirus.com http://www.zonavirus.com/noticias/ Noticias relacionadas con la seguridad informatica, virus, antivirus, zonavirus.com es Copyright 1998 2017 Tue, 27 Mar 2017 16:27:45 GMT Tue, 27 Mar 2017 16:27:45 GMT http://www.zonavirus.com Noticias :: zonavirus.com http://www.zonavirus.com http://www.zonavirus.com/imagenes-antivirus-virus/cabecera/logo-zonavirus-rss.jpg <![CDATA[Las ideas más curiosas de esta temporada, gracias a los ganadores del android experiments object]]> Tan solo son prototipos, pero estas ideas originales y divertidas nos hablan de un futuro que aúna ciencia, aplicaciones móviles y tecnología.
android-experiments-object.jpg

Los premios Android Experiments Object surgieron para trasladar la imaginación de la plataforma Android al mundo físico de las formas. Aplicaciones móviles conectadas a objetos capaces de hacernos más fácil el día a día. O podríamos decir que es también una manera de darle un cuerpo real al simpático marciano de Android.



Imaginemos un calendario de pared que no haya que desechar nunca. Eso es Magic Calendar, el calendario completamente digital y uno de los cuatro experimentos premiados por Android. El proyecto ha sido realizado por el equipo Kosho Tsuboi Design y consiste en una pantalla de tinta electrónica conectada al Calendario de Google y a otras aplicaciones (relacionadas con la agenda y usos del hogar). Los días y los eventos se irían modificando automáticamente según los datos que incorporásemos a las distintas aplicaciones.



Magic Calendar, además, podría adoptar distintas formas y podríamos encontrar un modelo de mesa y un modelo de pared, con autonomía de hasta tres meses.



Ahora pensemos en un profesor de inglés particular que podamos llevar a cualquier parte y que nos vaya guiando al final del día sobre las conversaciones que hemos tenido. Eso es ELI (English Learning Intelligence), un dispositivo con micrófono que se puede enganchar a la ropa. El dispositivo estaría conectado a aplicaciones Android para aprender inglés y registraría y analizaría las conversaciones que hayamos tenido en nuestro idioma nativo para, posteriormente, darnos lecciones de las mismas en inglés. Un modo de seleccionar el contenido más práctico para nosotros.



Y ahora imaginemos un telescopio con el que podamos mirar un lugar y ver cómo fue en otra época o en otra estación del año. Eso es Chronoscape, un dispositivo en forma de tubo con una sección rotativa que nos iría mostrando fotografías que habrían tomado anteriormente otros usuarios. También estaría conectado a una aplicación y sería una forma de enriquecer las experiencias y el encanto del lugar al máximo.



Por último tendríamos Maternity Intelligence Mark, un dispositivo que nos avisaría, por medio de una aplicación, que en el mismo lugar hay una mujer embarazada para que podamos cederle nuestro asiento. Cuando la mujer encendiera el dispositivo, el mismo mandaría una señal a los teléfonos inteligentes de alrededor que tuvieran instalada la aplicación móvil.



http://www.pcworld.es/actualidad/las-ideas-mas-curiosas-de-esta-temporada-gracias-a-los-ganadores-del-android-experiments-object]]>
http://www.zonavirus.com/noticias/2017/las-ideas-mas-curiosas-de-esta-temporada-gracias-a-los-ganadores-del-android-experiments-object.asp http://www.zonavirus.com/noticias/2017/las-ideas-mas-curiosas-de-esta-temporada-gracias-a-los-ganadores-del-android-experiments-object.asp Noticias Tue, 27 Mar 2017 16:27:45 GMT
<![CDATA[Whatsapp dejará borrar mensajes dos minutos después de enviarlos]]>


http://o.aolcdn.com/dims-shared/dims3/GLOB/crop/3500x1753+0+0/resize/630x315!/format/jpg/quality/85/http%3A%2F%2Fo.aolcdn.com%2Fhss%2Fstorage%2Fmidas%2F769dcc66e97ae74241cee37af2df230%2F203646560%2FRTX196EU.jpeg

El logo de WhatsApp. REUTERS/Dado Ruvic



Cuenta los segundos porque son claves: 120. Dos minutos exactos. Ese es el tiempo máximo que WhatsApp va a dar para borrar un mensaje que haya sido enviado a través de su sistema de mensajería.



Por ahora la aplicación no lo ha hecho oficial, sino que la información la ha dado una cuenta de Twitter llamada WhatsApp Beta Info, especializada precisamente en adelantar información sobre la app.





"WhatsApp cambia el límite para anular el envío de mensajes: con el nuevo cambio, será posible desahacerlos en dos minutos", anunciaba en un mensaje en Twitter. Y cuando dice "cambia" es porque, hasta el momento, lo anunciado (más bien lo filtrado) hablaba de que se iban a tener hasta 29 minutos para borrar un mensaje enviado.



Todavía se desconocen muchos detalles sobre este cambio, entre otros cuándo va a llegar de forma oficial. Es posible que sea en próximas actualizaciones, en la que también volverán los antiguos estados de WhastApp, que por petición popular convivirán con los nuevos.



Tampoco se sabe cómo va a ser el proceso de borrado, pero es posible que haya que pulsar sobre lo escrito y entonces aparecerá una opción de borrado. Tampoco se sabe si, cuando se borre el mensaje desaparecerá todo rastro de él o quedará un cartel que anuncie Mensaje borrado. Aunque lo primero y principal, supuestamente, será que el usuario al que se le envía no deberá haber leído lo que le hemos mandado: si no, de poco servirán esos 120 segundos.





Ver información original al respecto en Fuente:

http://www.huffingtonpost.es/2017/03/27/whatsapp-dejara-borrar-mensajes-dos-minutos-despues-de-enviarlos_a_22013303/]]>
http://www.zonavirus.com/noticias/2017/whatsapp-dejara-borrar-mensajes-dos-minutos-despues-de-enviarlos.asp http://www.zonavirus.com/noticias/2017/whatsapp-dejara-borrar-mensajes-dos-minutos-despues-de-enviarlos.asp Noticias Tue, 27 Mar 2017 14:10:15 GMT
<![CDATA[Desde jalisco, mexico, recibimos la muestra de una nueva variante del malware elex]]> ElistarA 36-52 de hoy pasamos a controlar esta nueva variante de este adware que se introduce como Shared Task Scheluder



Dicho adware se introduce en el oredenador al instalar programas freeware o downware, aparte de poder recibirlo anexado a emails no solicitados.



Una vez instalado va a cambiarnos la configuración del navegador, nos cambiará la página de inicio y el motor de búsqueda predeterminado. Va a espiar nuestros movimientos y nuestros hábitos de navegación para mostrarnos enlaces y anuncios promovidos por sus autores, pero que están modificados para atraer nuestra atención. El motivo es ganar dinero gracias a la publicidad mostrada y mejorar el posicionamiento web gracias a técnicas maliciosas. Puede instalarnos extensiones maliciosas en nuestros navegadores.

Puede redirigirnos a sitios web maliciosos donde podemos infectarnos con otros virus, asi como robarnos todo tipo de datos privados e incluso hasta hasta nuestras credenciales (bancarias o de cualquier otro tipo).



El preanalisis de virustotal ofrece el siguiente informe:



MD5 6baf9e102ad5a625328df9e0922d9480

SHA1 23aa5aa4c5ec1e4b68b588472b522aa9835c4fc8

Tamaño del fichero 126.0 KB ( 129024 bytes )

SHA256: 08a9d0f1596c28ae5caeb5d2f3143d472cdfbc3d0edd10af4c7daaf26cdb10ed

Nombre: SHOTILY.DLL (SharedTaskScheduler)

Detecciones: 34 / 62

Fecha de análisis: 2017-03-27 13:37:45 UTC ( hace 1 minuto )





https://www.virustotal.com/es/file/08a9d0f1596c28ae5caeb5d2f3143d472cdfbc3d0edd10af4c7daaf26cdb10ed/analysis/1490621865/





Dicha versión del ElistarA 36.52 que lo detecta y elimina,e stará disponible en nuestra web a partir del 28.3 prox.





saludos



ms, 27-3-2017]]>
http://www.zonavirus.com/noticias/2017/desde-jalisco-mexico-recibimos-la-muestra-de-una-nueva-variante-del-malware-elex.asp http://www.zonavirus.com/noticias/2017/desde-jalisco-mexico-recibimos-la-muestra-de-una-nueva-variante-del-malware-elex.asp Noticias Tue, 27 Mar 2017 13:48:23 GMT
<![CDATA[Coste de los ataques ddos]]>


La conclusión del informe de Kaspersky Lab es muy preocupante, ya que indica que es posible lanzar un ataque con un coste mínimo de 6,5 euros por hora, mientras que para la empresa víctima los costes pueden llegar a suponer los miles o incluso los millones de euros perdidos.



· Los cibercriminales que organizan ataques DDoS consiguen alcanzar un beneficio de más de 16 euros por hora



· El coste de una página desprotegida se sitúa entre los 46 y 92 euros, frente a un mínimo de 370 si la página está protegida



· El precio medio de un ataque DDoS alcanza los 23 euros por hora. En el caso de ataque de un botnet integrado por 1.000 ordenadores de sobremesa es de 6,5 euros



Ver mas info en PDF anexo:



http://blog.satinfo.es/wp-content/uploads/2017/03/NP_KL-coste-de-un-ataque-DDoS-.pdf





saludos



ms, 27-3-2017]]>
http://www.zonavirus.com/noticias/2017/coste-de-los-ataques-ddos.asp http://www.zonavirus.com/noticias/2017/coste-de-los-ataques-ddos.asp Noticias Tue, 27 Mar 2017 13:10:28 GMT
<![CDATA[Petrwrap, una nueva familia de malware que explota el módulo de ransomware original de petya]]>


Los creadores de PetrWrap crearon un módulo especial que modifica el ransomware de Petya original "sobre la marcha", dejando a sus autores indefensos contra el uso no autorizado de su malware. Este hecho es indicativo de la creciente competitividad que existe en el mercado negro del ransomware.



· Los grupos de ciberdelincuentes están empezando a atacarse unos a otros, muestra de la fuerte competencia que existe



· Con el fin de proteger a las organizaciones contra estos ataques, los expertos en seguridad de Kaspersky Lab ofrecen una serie de consejos segun puede verse en el PDF anexo:



http://blog.satinfo.es/wp-content/uploads/2017/03/NP_KL-Petwrap.pdf







saludos



ms, 27-3-2017]]>
http://www.zonavirus.com/noticias/2017/petrwrap-una-nueva-familia-de-malware-que-explota-el-modulo-de-ransomware-original-de-petya.asp http://www.zonavirus.com/noticias/2017/petrwrap-una-nueva-familia-de-malware-que-explota-el-modulo-de-ransomware-original-de-petya.asp Noticias Tue, 27 Mar 2017 13:07:03 GMT
<![CDATA[Corregidas dos vulnerabilidades en openssh]]>
vulnerabilidades que podrían permitir descifrar mensajes o crear o

modificar archivos en los sistemas afectados.



OpenSSH es una implementación libre de la familia de protocolos SSH, que

ofrecen una alternativa segura a los servicios telnet, rlogin, rsh, rcp,

ftp y similares. Todo el tráfico entre un servidor SSH y un cliente SSH

se realiza de forma cifrada y se aplican fuertes mecanismos para

garantizar la autenticación.



El primer problema corregido reside en la corrección de una variante de

u ataque corregido en la versión 7.3 por una debilidad que puede

permitir la medición de tiempo en las contramedidas contra ataques de

Padding Oracle en CBC (Cifrado por bloques). Hay que señalar que los

cifrados CBC están desactivados por defecto en los clientes OpenSSH y

solo se incluyen por compatibilidad. En sshd se ofrecen como opción de

preferencia más baja y se eliminarán por defecto completamente en la

próxima versión.



Por otra parte un nuevo problema reportado por los investigadores de

Project Zero de Google. Solamente afecta a la versión OpenSSH portable y

podría permitir a un servidor remoto autenticado aprovechar una escalada

de directorios (o directorio transversal) en sftp-client en Cygwin para

crear o modificar archivos fuera del directorio destino.



OpenSSH ha publicado la versión OpenSSH 7.5 que corrige estos problemas

y algunos otros fallos no relacionados directamente con la seguridad.



Ver información original al respecto en Fuente:

http://unaaldia.hispasec.com/2017/03/corregidas-dos-vulnerabilidades-en.html]]>
http://www.zonavirus.com/noticias/2017/corregidas-dos-vulnerabilidades-en-openssh.asp http://www.zonavirus.com/noticias/2017/corregidas-dos-vulnerabilidades-en-openssh.asp Noticias Tue, 27 Mar 2017 10:43:44 GMT
<![CDATA[Wikileaks filtra nuevos documentos secretos sobre cómo "hackeaba" la cia cualquier iphone o mac]]> http://www.elmostrador.cl/media/2017/03/iPhone12312312_816x544.jpg



Wikileaks filtra nuevos documentos secretos sobre cómo

Bajo el nombre "Dark Matter" Wikileaks publicó una nueva tanda de documentos secretos, en los que detalla varios proyectos de la CIA para lograr infectar y "hackear" cualquier iPhone o Mac.





Wikileaks, el sitio creado por Julian Assange que publica informes anónimos y documentos filtrados con contenido sensible en materia de interés público, sacó a la luz una serie de documentos, con nueva información de la CIA, sobre proyectos de la agencia de inteligencia estadounidense para "hackear" cualquier Mac o iPhone.



Puede interesarte: ¿De verdad puede la CIA leer tus mensajes de Whatsapp como dice la filtración de WikiLeaks? ¿Cuánto debería preocuparte?



Dark Matter es su nombre y revela herramientas que, como señalan los documentos, la CIA ha utilizado, en productos de Apple, desde 2008.



https://upload.wikimedia.org/wikipedia/commons/d/d4/Mac_Book_Pro.jpg



"Sonic Screwdriver" es uno de los proyectos y, tal como cuenta Wikileaks, permite ejecutar un "malware" o programa malicioso en las entradas periféricas de un Mac (memorias USB, disco duro externo, etc.) de forma que cuando se enciende el computador, dicho programa es capaz de infectar el equipo.



¿Cómo se logra este cometido? Según detallan los documentos a través de un adaptador infectado de Thunderbolt a Ethernet entonces, cuando este se conecta al computador, la CIA tendría acceso a la información almacenada en su Mac.



https://cdn.shopify.com/s/files/1/0197/5952/files/mac-pro-inside_large.jpg?3243



Y lo peor es que al estar presente a nivel de "firmware" es imposible eliminar el programa malicioso.



"DarkSeaSkies" es otro de los proyectos y consiste en un kit de diferentes 'malware' denominados "DarkMatter" (de ahí el nombre de los documentos), bautizados como "SeaPea" y "NightSkies", los cuales funcionan igual al anterior; imposible librarse de ellos.



Según publica El Confidencial, NightSkies es el documento más alarmante, ya que es capaz de afectar un iPhone recién salido de fábrica, incluso antes de llegar a las manos de su dueño, "La función de NightSkies es enviar la ubicación, subida y bajada de archivos, y la ejecución de comandos remotos a la CIA, usando cualquier conexión a internet y pasando totalmente desapercibida para el usuario", explica el informe.





La respuesta de Apple ante esta nueva filtración que pone en duda la seguridad de sus productos está todavía pendiente.



Esta es la segunda filtración de documentos que involucran productos de Apple, quienes reaccionaron a la primera asegurando que los fallos, que podrían dar a lugar a "hackeos", ya estaban cubiertos. Sin embargo esta nueva información afecta también a los Mac. Y todo apunta a que no será la última filtración de Wikileaks al respecto.





Ver información original al respecto en Fuente:

http://www.elmostrador.cl/vida-en-linea/2017/03/26/wikileaks-filtra-nuevos-documentos-secretos-sobre-como-hackeaba-la-cia-cualquier-iphone-o-mac/]]>
http://www.zonavirus.com/noticias/2017/wikileaks-filtra-nuevos-documentos-secretos-sobre-como-hackeaba-la-cia-cualquier-iphone-o-mac.asp http://www.zonavirus.com/noticias/2017/wikileaks-filtra-nuevos-documentos-secretos-sobre-como-hackeaba-la-cia-cualquier-iphone-o-mac.asp Noticias Tue, 27 Mar 2017 10:22:22 GMT
<![CDATA[Whatsapp y telegram: un 'malware' se ha infiltrado en la versión web de estos dos servicios de mensajería instantánea]]> http://www.eluniversal.com.mx/sites/default/files/styles/f03-651x400/public/2017/03/15/privacidad_whatsapp.jpg



La explotación de esta vulnerabilidad comienza con un archivo de aspecto inocente, enviado por el atacante a la víctima, y el cual contiene un código malicioso. En el momento en el que el usuario hace clic en la fotografía, da acceso a los datos almacenados en WhatsApp o Telegram.



El delincuente puede enviar el archivo malicioso a todos los contactos de la víctima, lo que potencialmente permite un ataque a gran escala.



El hallazgo se dio por cuenta de una prueba hecha por la empresa Check Point Security, que encontró un proceso a través del cual un atacante podía tomar el control de la cuenta de un usuario de WhatsApp o de Telegram a través de una imagen.



"Esto no es verdad, Telegram nunca tuvo este problema", informó la plataforma respecto de un error supuestamente descubierto por "una compañía llamada Check Point", según el cual un hacker podría hacerse con el control de una cuenta ajena enviándole una foto a la víctima, quien solo debía abrir la imagen para ser infectada.



WhatsApp y Telegram usan el cifrado de mensajes de extremo a extremo, y ese fue el origen de la vulnerabilidad, ya que los mensajes se cifran por parte del emisor, WhatsApp y Telegram no pudieron ver el contenido, y por tanto no pudieron ver que lo enviado es malware. A su vez, las empresas señalaron que ya resolvieron el problema de seguridad. La versión web de la compañía está disponible en todos los navegadores y plataformas compatibles con WhatsApp, incluyendo Android, iPhone (iOS), Windows Phone 8.x, BlackBerry, BB10 y teléfonos inteligentes Nokia.



Dado que los mensajes se cifran sin ser validados por WhatsApp y Telegram, en afán de resguardar la seguridad, no tenían acceso al contenido y no había manera de veficar que el contenido no tuviese un software malicioso. Sin embargo, esta técnica fue el origen de la vulnerabilidad.



Ambas versiones web recogen todos los mensajes enviados y recibidos en la aplicación para móviles, y están totalmente sincronizadas con los dispositivos de los usuarios. Tribu Magazine http://tribumagazine.net/2017/03/virus-permit-a-hackear-cuentas-en-whatsapp-y-telegram/





Ver información original del informe en Fuente:

http://tribumagazine.net/2017/03/virus-permit-a-hackear-cuentas-en-whatsapp-y-telegram/]]>
http://www.zonavirus.com/noticias/2017/whatsapp-y-telegram-un-malware-se-ha-infiltrado-en-la-version-web-de-estos-dos-servicios-de-mensajeria-instantanea.asp http://www.zonavirus.com/noticias/2017/whatsapp-y-telegram-un-malware-se-ha-infiltrado-en-la-version-web-de-estos-dos-servicios-de-mensajeria-instantanea.asp Noticias Tue, 27 Mar 2017 10:14:00 GMT
<![CDATA[Nuevas variantes de ransomware cerber 4 que pasamos a controlar con elistara]]> ElistarA 36.52 de hoy, ofrecemos los datos de los MD5 de dichas muestras:





"42BF09DA691209C30EF85AC1E0E2B78D" -> 42bf09da.exe 286578

"581909EF50DA0850C8E56A15F18383A0" -> 581909ef.exe 614825

"5EF90B20546EA7D18551157C0051A91B" -> 5ef90b20.exe 254665

"FE42E81C042DC052FC1283D2EF0DB664" -> fe42e81c.exe 319858





El preanalisis de virustotal de la ultima analizada, ofrece el siguiente imforme:



MD5 581909ef50da0850c8e56a15f18383a0

SHA1 f9ebf4c081f639000e7964ef6b88e16f46d27ca5

Tamaño del fichero 600.4 KB ( 614825 bytes )

SHA256: c97418565fae9a999245851446b05825bfe01cf1800f495ee8e6788e04df8e03

Nombre: 581909ef.exe

Detecciones: 6 / 61

Fecha de análisis: 2017-03-27 09:46:23 UTC ( hace 2 minutos )



https://www.virustotal.com/es/file/c97418565fae9a999245851446b05825bfe01cf1800f495ee8e6788e04df8e03/analysis/1490607983/





Dicha versión del ElistarA 36.52 que las detecta y elimina, estará disponible en nuestra web a partir del 28-3 prox



saludos



ms, 27-3-2017]]>
http://www.zonavirus.com/noticias/2017/nuevas-variantes-de-ransomware-cerber-4-que-pasamos-a-controlar-con-elistara.asp http://www.zonavirus.com/noticias/2017/nuevas-variantes-de-ransomware-cerber-4-que-pasamos-a-controlar-con-elistara.asp Noticias Tue, 27 Mar 2017 09:57:12 GMT
<![CDATA[Mail malicioso anexando malware que pretende venir de la agencia tributaria, pero muy mal escrito !]]>


"dectedado" en lugar de detectado , "jurata" en lugar de jurada , "deferencia" en lugar de diferencia ...



por no decir que la dirección de remite del mail es de <Tributos@mail.magclinic.com>



cuyo cliente de correo "magclinic.com" corresponde a "AL-MAGHLOUTH MEDICAL DISPENSARY", de Al Hofuf (Arabia Saudita), que no tiene nada que ver con nuestra Agencia Tributaria !!!



como puede verse en el texto entero del mail en cuestión:





MAIL MALICIOSO:

_______________



Asunto: Errores en su Declaracion de Renta

De: Agencia Tributaria <Tributos@mail.magclinic.com>

Fecha: 26/03/2017 8:23

Para: "destinatario"



Estimado contribuyente,



Se han dectedado irregularidades en su declaración jurata de

Renta correspondiente al 2016. Adjunto a este mensaje va su

factura con la deferencia que debe abonar. En caso de no realizar

el pago en fecha puede incurrir en cargos y multas extras.



Que tenga un buen día!



Agencia Tributaria

Av. de España, 8, 02002 Albacete. España.



anexado: Factura.doc




__________________

FIN MAIL MALICIOSO

__________________





El fichero anexado es un DOC con macros maliciosas, las cuales si son abiertas por el usuario, descargan el ejecutable que se instala e infecta con el downloader en cuestión.





El preanalisis de virustotal sobre el fichero anexado, ofrece el siguiente informe:



MD5 a68630ff2790eb9c321e395d071ed487

SHA1 c58082845e9ad260f8105e09ea089681060f941d

Tamaño del fichero 48.9 KB ( 50027 bytes )

SHA256: 2c67c321c42d6c2a95aad21d5d30d8ef534c5d25983a95a80f675921368ae3f1

Nombre: Factura.doc

Detecciones: 30 / 59

Fecha de análisis: 2017-03-27 07:52:57 UTC ( hace 2 minutos )





https://www.virustotal.com/es/file/2c67c321c42d6c2a95aad21d5d30d8ef534c5d25983a95a80f675921368ae3f1/analysis/1490601177/





NEUREVT



Info al respecto de ESET: "Este troyano ha sido diseñado para robar información sensible como credenciales de acceso a determinados servicios, datos del sistema operativo, de la computadora del usuario, entre otros.



En el siguiente gráfico es posible observar el porcentaje de detecciones de Neurevt con respecto a los países más afectados:



http://www.welivesecurity.com/wp-content/uploads/es-la/2013/04/Porcentaje-de-detecciones-de-Neurevt.png



Asimismo, cabe indicar que en un principio, Neurevt infectaba principalmente a países como Turquía, Rusia y Ucrania.



De todas formas, la aparición de recientes campañas de propagación como la de autos, demuestran que los cibercriminales están comenzando a utilizar este malware en otras partes del mundo.



Por último cabe indicar que el mismo malware que ha llegado anexado al mail indicado, nos acaba de entrar con otro mail, con distinta apariencia, esta vez agradeciendo una DONACION, aunque con el mismo remitente,







MAIL MALICIOSO

______________





Asunto: Gracias por su Donación

De: MagClinic Donaciones <no-reply@mail.magclinic.com>

Fecha: 25/03/2017 7:36

Para: "destinatario"



Estimado,



Agradecemos enormemente su donación. Adjunto a este mensaje va

su factura con los detalles de la donación y pago debitado ya se

su tarjeta de crédito. Si tiene alguna pregunta, no dude en

consultarnos.



Que tenga un excelente día!



MagClinic.com

Departamento de Donaciones:



ANEXADO: fACTURA.DOC



___________________

FIN MAIL MALICIOSO







Dicha versión del ElistarA 36.52 que lo detecta y elimina, estará disponible en nuestra web a partir del 28-3 prox.



saludos



ms, 27-3-2017]]>
http://www.zonavirus.com/noticias/2017/mail-malicioso-anexando-malware-que-pretende-venir-de-la-agencia-tributaria-pero-muy-mal-escrito.asp http://www.zonavirus.com/noticias/2017/mail-malicioso-anexando-malware-que-pretende-venir-de-la-agencia-tributaria-pero-muy-mal-escrito.asp Noticias Tue, 27 Mar 2017 08:55:14 GMT
<![CDATA[5 falsas aplicaciones de seguridad que debemos evitar para estar seguros]]>


Proteccion de antivirus



Los piratas informáticos son conscientes de la importancia de la seguridad informática para la mayoría de los usuarios. Por ello, además de crear distintas aplicaciones maliciosas, cada vez más complejas, también existen falsas aplicaciones de seguridad que buscan engañar al usuario con una serie de falsas amenazas de manera que este pague una licencia para eliminar estas inexistentes amenazas.



https://www.redeszone.net/app/uploads/2015/12/Proteccion-de-antivirus.png?x=634&y=309



A continuación, vamos a ver cuáles son estas aplicaciones para, en caso de encontrarnos con ellas, evitar instalarlas.



Los falsos antivirus y las falsas aplicaciones de seguridad para Windows



Una de estas aplicaciones maliciosas para conocidas y extendidas para Windows es Security Essentials 2010. Esta aplicación de origen ruso es muy similar al software de seguridad de Microsoft en el nombre y busca principalmente engañar a los usuarios para que instalen una supuesta actualización de Flash que, al hacerlo, instala distintos tipos de malware en el sistema, generalmente troyanos. Además, también muestra una serie de avisos sobre infecciones inexistentes de malware intentando que la víctima pague por la supuesta licencia para eliminarlos.



https://www.redeszone.net/app/uploads/2017/03/security-essentials-2010.png

security essentials 2010



Otra de estas falsas aplicaciones de seguridad es MS Antivirus, también conocida como ANG Antivirus, XP Antivirus, Total Security, PC Defender Plus y AVASoft Professional Antivirus. A diferencia de la anterior, esta no instala malware como tan en el ordenador de la víctima para robar sus datos, sino que simplemente bloquea una serie de aplicaciones y echa la culpa a un posible virus para hacer que los usuarios paguen por la supuesta licencia de este falso antivirus.



Privacy Center, también conocida como Safety Center o Privacy Components, es una aplicación de seguridad más, similar a las anteriores, pero bastante más avanzada ya que es la única capaz incluso de ejecutarse en el Modo Seguro de Windows. Cuando esta aplicación infecta a un usuario, automáticamente se ejecuta y hace que sea prácticamente imposible cerrarla. A partir de ahí empieza a mostrar una serie de avisos sobre falsas amenazas.





https://www.redeszone.net/app/uploads/2017/03/safety-center.png

safety center



Por último, otra de estas amenazas similares es WinFixer. Aunque actualmente no se encuentra activa, esta falsa aplicación de seguridad aún se encuentra disponible en Internet, y su funcionamiento se basa principalmente en mostrar una serie de falsos positivos de virus en nuestro ordenador para engañar al usuario y hacerle pagar una licencia para, supuestamente, eliminarlos.



Detectan varios modelos de móviles Android con malware preinstalado



Los falsos antivirus para macOS también existen



Durante mucho tiempo, los sistemas Mac han destacado principalmente por su seguridad y por no tener virus. Sin embargo, desde hace ya 10 años, esto no es así, y es que en estos sistemas han aparecido tanto un gran número de vulnerabilidades como una gran variedad de malware (incluso ransomware) que ha puesto en peligro a los usuarios de estos sistemas, sembrando así el miedo y haciendo que las falsas aplicaciones de seguridad ganen protagonismo.



Igual que los falsos antivirus de Windows, las falsas aplicaciones de seguridad para macOS se hacen falsar por antivirus u otras herramientas similares para engañar al usuario y hacerle pagar por una falsa licencia para que el programa funcione o elimine una serie de virus que ni siquiera existen.



Algunas de estas aplicaciones son Mac Defender, Mac Protector, Mac Security, Mac Guard y Mac Shield, aunque existen muchas más, y es que el número de ellas es cada vez mayor.



mac defender



Cómo podemos estar realmente seguros sin preocuparnos de la seguridad

El concepto de la seguridad informática ha cambiado mucho en los últimos años. La forma clásica de garantizar la seguridad de nuestro ordenador era confiando en aplicaciones de prestigio, como MalwareBytes, Avast, TrendMicro, AVG, ESET, FireEye y Kaspersky, entre otras, y evitando conectarnos a Internet sin una herramienta de seguridad adecuada.



Sin embargo, con la llegada de Windows 10, especialmente de Windows 10 Creators Update, y el gran número de vulnerabilidades descubiertas por Google en los principales antivirus del mercado, hoy en día la mejor forma de protegernos es instalando la última versión de Windows 10 y confiando en Windows Defender para proteger nuestro equipo, ya que este software de seguridad ha demostrado ser, actualmente, lo que mejor protegerá nuestro ordenador.



- Ver información original al respecto en Fuente:

https://www.redeszone.net/2017/03/25/evitar-aplicaciones-seguridad/#sthash.mhVyfxhr.dpuf]]>
http://www.zonavirus.com/noticias/2017/5-falsas-aplicaciones-de-seguridad-que-debemos-evitar-para-estar-seguros.asp http://www.zonavirus.com/noticias/2017/5-falsas-aplicaciones-de-seguridad-que-debemos-evitar-para-estar-seguros.asp Noticias Mon, 26 Mar 2017 15:57:20 GMT
<![CDATA[Corregidas dos vulnerabilidades en openssh]]>


https://1.bp.blogspot.com/-Df2-QvWX1ss/VpkR7flE20I/AAAAAAAAF1c/Xx3mOkoz5Cgxvy-CsK5FC-iqNO2FJTMhwCPcB/s1600/openssh2.gif



Se ha publicado una nueva versión de OpenSSH destinada a corregir dos vulnerabilidades que podrían permitir descifrar mensajes o crear o modificar archivos en los sistemas afectados.





OpenSSH es una implementación libre de la familia de protocolos SSH, que ofrecen una alternativa segura a los servicios telnet, rlogin, rsh, rcp, ftp y similares. Todo el tráfico entre un servidor SSH y un cliente SSH se realiza de forma cifrada y se aplican fuertes mecanismos para garantizar la autenticación.



El primer problema corregido reside en la corrección de una variante de u ataque corregido en la versión 7.3 por una debilidad que puede permitir la medición de tiempo en las contramedidas contra ataques de Padding Oracle en CBC (Cifrado por bloques). Hay que señalar que los cifrados CBC están desactivados por defecto en los clientes OpenSSH y solo se incluyen por compatibilidad. En sshd se ofrecen como opción de preferencia más baja y se eliminarán por defecto completamente en la próxima versión.



Por otra parte un nuevo problema reportado por los investigadores de Project Zero de Google. Solamente afecta a la versión OpenSSH portable y podría permitir a un servidor remoto autenticado aprovechar una escalada de directorios (o directorio transversal) en sftp-client en Cygwin para crear o modificar archivos fuera del directorio destino.



OpenSSH ha publicado la versión OpenSSH 7.5 que corrige estos problemas y algunos otros fallos no relacionados directamente con la seguridad.



Más información:



OpenSSH 7.5 has just been released

http://www.openssh.com/txt/release-7.5



OpenSSH on Cygwin: directory traversal in SFTP client

https://bugs.chromium.org/p/project-zero/issues/detail?id=1058&can=1&q=Openssh





Ver información original al respecto en Fuente:

http://unaaldia.hispasec.com/2017/03/corregidas-dos-vulnerabilidades-en.html]]>
http://www.zonavirus.com/noticias/2017/corregidas-dos-vulnerabilidades-en-openssh.asp http://www.zonavirus.com/noticias/2017/corregidas-dos-vulnerabilidades-en-openssh.asp Noticias Mon, 26 Mar 2017 08:16:51 GMT
<![CDATA[Mas de 14.000 certificados de let’s encrypt utilizados en sitios phishing de paypal]]>


https://www.redeszone.net/app/uploads/2016/05/Let%C2%B4s-Encrypt-en-tu-nas-synology.jpg?x=634&y=309





Las estafas es un tema muy delicado. Cada día, son miles las que se ponen en funcionamiento en Internet. Es un gran negocio que durante mucho tiempo se ha llevado a cabo y se ha perfeccionado. Con la llegada de servicios de seguridad, los ciberdelincuentes se han puesto las pilas y han sabido adaptar los phishing. Let’s Encrypt es el servicio afectado en esta ocasión.



Pero no de forma directa. Sus certificados SSL se están utilizando como soporte para páginas web falsas que simulan pertenecer al servicio PayPal. Sin lugar a dudas, este último es uno de los servicios más utilizados por los ciberdelincuentes para atacar el correo electrónico de los usuarios y así llevar a cabo ataques phishing.



Expertos en seguridad han contabilizado cerca de 15.000 certificados utilizados en este tipo de contenidos. Para ser más exactos, 14.766 es la cifra obtenida de un análisis realizado. Pero esta estimación es peor por parte de Let’s Encrypt, superando los 15.200 certificados.



Los expertos en seguridad informaron a la compañía de lo que estaba sucediendo con sus certificados SSL. Hay que tener en cuenta que en la actualidad son muchos los usuarios que se fijan en la seguridad de la página. Es una de las recomendaciones que se ha dado. Lo que queremos decir, es que aquellas páginas que hagan uso de formularios y HTTP no se pueden considerar seguras. Esto respondía a estafas, servicios técnicos falsos o scams.



Sin embargo, este patrón ya no sirve de acuerdo a lo que hemos visto con los certificados de Let’s Encrypt.



No se trata de una práctica que ha emergido en los últimos meses. El primer certificado falso que se detectó fue en enero de 2016. Hay muchos que no entienden el motivo que ha provocado que no se haya actuado antes.





Protege tus datos para evitar ser la víctima de un nuevo Fappening



PayPal, uno de los servicios favoritos



Aunque los servicios prestados por las entidades bancarias ofrecen un reclamo que los ciberdelincuentes no pueden desaprovechar, PayPal continúa marcando la pauta en lo que se refiere a phishing. De la cifra mencionada con anterioridad, solo 4 forman parte del servicio legítimo. Sigue siendo uno de los referentes en lo que se refiere a pagos y esto es algo que no pueden dejar escapar los estafadores existentes en Internet.



En la siguiente imagen se puede apreciar la diferencia entre un sitio de PayPal real y uno falso:



https://www.redeszone.net/app/uploads/2017/03/diferencia-entre-certificados-falsos-PayPal.png

PayPal certificados falsos



Por suerte, los navegadores nos ofrecen cierta información importante que permite determinar la legitimidad de un sitio web.



La cifra puede ascender a 35.000 certificados que serán revocados



Podría decirse que han intentado atajar el problema tarde. Aunque las estimaciones ya las hemos mencionado con anterioridad, ya sabemos que son más los servicios utilizados para estas prácticas. De ahí que desde el servicio hagan ver que este número puede crecer hasta superar los 35.000 certificados falsos.



Otros servicios entre el listado de certificados de Let’s Encrypt



Aunque en este artículo nos hemos focalizado en PayPal, la realidad es que no es el único. Analizando un número importante, expertos en seguridad han detectado que, en las descripciones de los certificados, además de encontrar el nombre del servicio de pagos, existen variantes relacionadas con servicios de correo electrónico o aplicaciones móviles. Amazon, Apple, Google Play Store, Gmail o Yahoo! son algunos de los nombres más encontrados.







- Ver información original al respecto en Fuente:

https://www.redeszone.net/2017/03/25/mas-14-000-certificados-lets-encrypt-utilizados-sitios-phishing-paypal/#sthash.0pMXAkXf.dpuf]]>
http://www.zonavirus.com/noticias/2017/mas-de-14000-certificados-de-let’s-encrypt-utilizados-en-sitios-phishing-de-paypal.asp http://www.zonavirus.com/noticias/2017/mas-de-14000-certificados-de-let’s-encrypt-utilizados-en-sitios-phishing-de-paypal.asp Noticias Mon, 26 Mar 2017 07:10:45 GMT
<![CDATA[Assange: "la cia perdió el control del arsenal de armas cibernéticas"]]>


Esa revelación explosiva no reveló sin embargo los programas completos que serían necesarios para intervenir teléfonos, computadoras y televisores conectados a Internet, para lo cual Assange prometió trabajar codo a codo con las firmas privadas que lo necesiten



http://llamamiento.net/wp-content/uploads/2017/03/cia.jpg



WikiLeaks asestó un golpe a la Agencia Central de Inteligencia a principios de mes, cuando publicó 9.000 documentos clasificados de la CIA que revelaban un supuesto sistema de ciberespionaje a usuarios a través de dispositivos electrónicos. Wikileaks quiere aumentar el conocimiento sobre esos métodos utilizados por las agencias de Inteligencia para que se cree una 'convención de Ginebra digital' que proteja a la población civil de los ciberataques, apuntó el periodista australiano.



El fundador de WikiLeaks, Julian Assange, dijo este jueves que su organización ofrecería a compañías de tecnología acceso exclusivo a las herramientas de piratería informática de la CIA para permitirles corregir defectos en los programas informáticos. UU. en Fráncfort (Alemania) "como una base encubierta para sus 'hackers' en Europa, Oriente Medio y África", de acuerdo con WikiLeaks. Según el programador la información fue recolectada en la reciente filtración sobre la CIA que realizó el grupo.



Se trata del "mayor arsenal de virus y troyanos del mundo".



"El presidente está muy preocupado por la publicación de informaciones confidenciales que debilitan nuestra seguridad nacional", declaró el vocero presidencial, Sean Spicer. "El hacer negocios con WikiLeaks y revisar documentos secretos representa un riesgo real para cuando menos sus dependencias que tienen contratos con el gobierno y sus empleados con autorización para ingresar".



WikiLeaks sostiene que la CIA ha ido aumentando sus capacidades en la lucha cibernética hasta rivalizar, "con incluso menos transparencia", con la NSA, la otra agencia de seguridad estadounidense.



Julian Assange dirigió la difusión de "Vault 7" desde su residencia en la embajada de Ecuador, donde se refugió el 19 de junio de 2012 para evitar su extradición a Suecia, que le reclama para interrogarle sobre un delito sexual que él niega.





Ver información original al respecto en Fuente:

http://equilibrioinformativo.com/2017/03/assange-la-cia-perdi-el-control-del-arsenal-de-armas-cibern/]]>
http://www.zonavirus.com/noticias/2017/assange-la-cia-perdio-el-control-del-arsenal-de-armas-ciberneticas.asp http://www.zonavirus.com/noticias/2017/assange-la-cia-perdio-el-control-del-arsenal-de-armas-ciberneticas.asp Noticias Sun, 25 Mar 2017 23:59:07 GMT
<![CDATA[Consideraciones sobre la actual expansion del ransomware cryptolocker]]>


A medida que los vamos recibiendo, comprobamos con la excelente herramienta VIRUSTOTAL, que ideó Hispasec y luego fue adquirida por Google, si los antivirus de McAfee y Kaspersky, conocen la variante en cuestión, y si no, se la enviamos para que la analicen y controlen en sus próximas versiones, ademas de incluir su MD5, si aun no lo está, en nuestra utilidad estrella para el control de dicho malware, el ElistarA.EXE, que a diario editamos para controlar las nuevas variantes de malwares que vamos recibiendo.



Además, conviene recordar que, con nuestra utilidad complementaria al respecto, CLRANSOM.EXE, se logra identificar el ordenador por el cual ha entrado en la red, y actualmente infectado, y asi poder erradicarlo del mismo, añadiendo .VIR a la extensión de dicho fichero y enviandonoslo a virus@satinfo.es para que lo controlemos con las nuevas versiones del ElistarA, y del cual ya sospecha el CLRANSOM gracias a no depender del MD5, que varía en cada variante, y buscar en el registro de sustema las claves que apuntan a ficheros potencialmente sospechosos, de los cuales informar y registrar en el informe de salida c:/infosat.txt , en caso positivo.



Ofrecemos esta información, vista la noticia de Trend sobre dicha familia de ransomwares, y que alerta de la expansión y consecuente peligrosidad del mismo:



http://www.silicon.es/ransomware-torrentlocker-europa-2331621



Y recordar además que, aparte de las innumerables incidencias aisladas sobre el Cryptolocker en general, han habido otras dos grandes plagas tristemente famosas de este ransomware, la que llegaba aparentando venir de Correos, en un mail avisando de un certificado, y otra mas reciente, aparentando venir de Endesa, ambas con phishings de dichas empresas, que junto con la racha de la factura que llega actualmente en un enlace del Dropbox, muchas veces en un mail minimalista sin apenas texto, son las principales maneras de como llega dicho malware a nuestros ordenadores, anexado a un mail recibido por internet, por lo cual recordamos una vez mas que NO SE DEBEN ABRIR FICHEROS ANEXADOS A MAILS NO SOLICITADOS, NI ACCEDER A ENLACES O IMAGENES QUE OFRECIERAN EN ELLOS !!!



Confiando que lo indicado sirva para evitar que se sufran las consecuencias de este u otro malware de los que llegan por correo, aconsejamos vigilar al maximo y evitar cualquier riesgo al recibir mails o acceder a paginas web de cualquier tipo.



saludos



ms, 25-3-2017]]>
http://www.zonavirus.com/noticias/2017/consideraciones-sobre-la-actual-expansion-del-ransomware-cryptolocker.asp http://www.zonavirus.com/noticias/2017/consideraciones-sobre-la-actual-expansion-del-ransomware-cryptolocker.asp Noticias Sun, 25 Mar 2017 07:40:38 GMT
<![CDATA[Mazain, un nuevo troyano bancario y su botnet asociada (y ii)]]>
nueva muestra de malware para Android que hemos encontrado en nuestro

Departamento Antifraude. Tal y como adelantamos en la noticia de hoy

vamos a analizar el C&C, las campañas, las diferentes muestras, las

entidades afectadas y el panel de control.



Seguimos nuestra investigación con la misma muestra que tratamos ayer,

buscamos el panel de control del troyano y vimos que solo afecta a

usuarios en Rusia:



https://3.bp.blogspot.com/-eyzfQvA8tK4/WNOkNuPVJ8I/AAAAAAAAIik/2f9bsFSNL8IAtd3Q6s6g_HmorbBpxBBOQCLcB/s640/mazin_C2_1.png



En este panel aparece información como el IMEI, si tiene ROM modificada,

la versión de Android, versión del APK, país del afectado, aplicaciones

de bancos que tiene en el dispositivo, modelo del dispositivo, si tiene

acceso root, si tiene la pantalla encendida, si tiene el dispositivo

encendido, fecha de infección y unos botones para ver la información

recolectada del dispositivo, incluidas las credenciales robadas del

banco.



https://4.bp.blogspot.com/-Nibt4F03e0o/WNOktJ_Ot3I/AAAAAAAAIis/YFwUK_DKJk4leEdD1_w6lWusILFMTUYcACLcB/s1600/mazin_C2_2.png



A través de una búsqueda rápida en Koodous descubrimos que hay casi 90

apks con el mismo nombre de paquete en el momento de escribir esta

entrada:



https://4.bp.blogspot.com/-TUir1-9qiBA/WNOlUNG_m1I/AAAAAAAAIi0/Jf69aWUZFIMkK2tNmWLGWAS9r2jp83iDQCLcB/s640/mazin_C2_3.png



Y la primera muestra de la que tenemos constancia en Koodous es de

finales del año 2016:



https://4.bp.blogspot.com/-CFiLk27N2Dk/WNOls6uRBJI/AAAAAAAAIi4/II7rkubxVGQgdNUAIDb9ixVmxiWAUXSkwCLcB/s640/mazin_C2_4.png



Hemos analizado todas las aplicaciones y hemos extraído tantos los

bancos afectados como los puntos de control, finalmente muchas de las

apps comparten el mismo punto de control:



https://1.bp.blogspot.com/-Dw3XDbZ62YE/WNOl8m0eQ9I/AAAAAAAAIi8/7JTakrKBOtIfq8BYPqv2_JZik-ygKP5zwCLcB/s640/mazin_C2_5.png



El dominio mcdir.ru pertenece a una compañía de hosting rusa llamada

MCHost. Nos ha llamado la atención este porque es el que mayor número de

C&C presenta.



La lista de nombres de paquetes monitorizados es la siguiente:

* ru.sberbankmobile

* ru.sberbank_sbbol

* ru.alfabank.mobile.android

* ru.alfabank.oavdo.amc

* ru.mw

* ru.raiffeisennews

* com.idamob.tinkoff.android

* com.paypal.android.p2pmobile

* com.webmoney.my

* ru.rosbank.android

* ru.vtb24.mobilebanking.android

* ru.simpls.mbrd.ui

* ru.yandex.money

* ua.com.cs.ifobs.mobile.android.sbrf

* ua.privatbank.ap24

* ru.simpls.brs2.mobbank

* com.ubanksu

* com.alseda.ideabank

* pl.pkobp.iko

* com.bank.sms

* ua.com.cs.ifobs.mobile.android.otp

* ua.vtb.client.android

* ua.oschadbank.online

* com.trinetix.platinum

* hr.asseco.android.jimba.mUCI.ua

* ua.pentegy.avalbank.production

* com.ukrgazbank.UGBCardM

* com.coformatique.starmobile.android



De la que se pueden extraer todas las entidades afectadas,

principalmente todas de Rusia, aunque también hay entidades de Ucrania,

Polonia y Croacia:

* Sberbank

* Alfa-Bank

* VISA QIWI

* Raiffeisen Bank

* Tinkoff Bank

* PayPal

* Webmoney Keeper

* Rosbank

* VTB Bank

* MTS Bank

* Yandex Money

* PrivatBank

* Russian Standard Bank

* ubank

* IdeaBank

* PKO Bank Polski

* Banco SMS (HandWallet)

* OTP Bank

* VTB Bank

* Oschadbank

* Platinum Bank

* Ukrsotsbank

* UkrSibbank



Para terminar, hemos generado una regla Yara en Koodous que iremos

actualizando y que contempla que el malware contenga alguna de las URLs

que ya se han visto anteriormente o el nombre de paquete.



https://1.bp.blogspot.com/-94dd2Ej6Jpc/WNUJrYewuOI/AAAAAAAAIjg/pG9UpYp8c2kjBwn1ks51D9I7r8U5_MMDQCLcB/s640/mazin_C2_6.png



Aunque este malware en este momento afecte principalmente a entidades

rusas, no debemos dejar de prestarle atención. En cualquier momento a

los atacantes puede resultarles muy sencillo enfocar su ataque a otro

punto, como ya hemos visto en otras ocasiones. Además las medidas y

recomendaciones son básicamente las mismas independientemente del

malware que tratemos.



De nuevo recordamos extremar la precaución, especialmente en nuestros

dispositivos móviles, donde con frecuencia tendemos a levantar nuestras

defensas. Recuerda que tu móvil es igual que un ordenador, aplica las

mismas prácticas de seguridad. El sentido común siempre es nuestra mejor

defensa, comprobar los permisos que pide la aplicación cuando se instala

y una red de seguridad por si falla nuestra intuición. Nuestra propuesta

pasa por la instalación de Koodous, un antivirus ideado por y para la

comunidad.



Por otra parte si recibís correos que consideréis falsos, con facturas

falsas, fraude o malware podéis enviárnoslo a report@hispasec.com



Ver información original al respecto en Fuente:

http://unaaldia.hispasec.com/2017/03/mazain-un-nuevo-troyano-bancario-y-su_24.html]]>
http://www.zonavirus.com/noticias/2017/mazain-un-nuevo-troyano-bancario-y-su-botnet-asociada-y-ii.asp http://www.zonavirus.com/noticias/2017/mazain-un-nuevo-troyano-bancario-y-su-botnet-asociada-y-ii.asp Noticias Sun, 25 Mar 2017 06:52:29 GMT
<![CDATA[Falsas estaciones base de móviles están difundiendo malware en china]]>


El malware para Android que se está difundiendo no es nuevo en China, lo conocen como el troyano maldiciente (Swearing Trojan) debido a las profanidades los comentarios del código, sus autores ya están bajo arresto. Pero las falsas estaciones base son una nueva vertiente, según esta investigación de Check Point.



Estas estaciones envían mensajes SMS de China Telecom o China Unicom ofreciendo una URL malintencionada, aparentemente respaldada por el operador del cliente. Check Point dice que China Tencent también ha visto un gotero de malware más convencional en aplicaciones infectadas.



El troyano reemplaza la aplicación SMS de Android con la propia, lo que significa que pueden robar mensajes basados en 2FA, como fichas bancarias, y se propaga desde el usuario infectado mediante el envío de mensajes phishing a los contactos de la víctima.



Check Point dice que también han visto al troyano maldiciente utilizar mensajes sobre documentos de trabajo, fotos/videos, notificaciones de actualización de aplicaciones y el mensaje perenne de celebridad desnuda.



En lugar de comandos y controles de servidores, el malware usa SMS para enviar la información a sus dueños, y desde que Tencent había informado de arrestos a personas asociados con el troyano maldiciente, parece que hay otros asociados con la campaña.



http://www.seguridad.unam.mx/noticia/?noti=3216]]>
http://www.zonavirus.com/noticias/2017/falsas-estaciones-base-de-moviles-estan-difundiendo-malware-en-china.asp http://www.zonavirus.com/noticias/2017/falsas-estaciones-base-de-moviles-estan-difundiendo-malware-en-china.asp Noticias Sat, 24 Mar 2017 18:47:38 GMT
<![CDATA[Nueva/s version/es de utilidad/es elistara 36.51]]> NUEVA/S VERSION/ES DE UTILIDAD/ES ElistarA 36.51





Para nuevas variantes víricas según muestras recibidas, hemos desarrollado

las nuevas versiones de:











ElistarA



---v36.51-(24 de Marzo del 2017) (Muestras de (5)Ransom.Cerber4

"*.exe", Ransom.Cryptolocker.Torrent "*.exe", (2)Ransom.Winlk "winlk.exe",

Worm.Kasidet.A, DDoS.Dofoil.QHV "****.EXE", (2)Boaxxe.BE "*.EXE y *.DLL" y

Malware.PHP(dldr) "image.jpg.exe")















Ya se han subido a esta web exclusivamente para pruebas de evaluación en

el foro de zonavirus





saludos



ms, 24-3-2017]]>
http://www.zonavirus.com/noticias/2017/nuevas-versiones-de-utilidades-elistara-3651.asp http://www.zonavirus.com/noticias/2017/nuevas-versiones-de-utilidades-elistara-3651.asp Noticias Sat, 24 Mar 2017 17:57:14 GMT
<![CDATA[Google revocará más de 30.000 certificados emitidos por Symantec]]>






Cada vez más páginas web ofrecen a sus usuarios conexiones seguras gracias a los certificados TLS. Estos certificados pueden ser emitidos por distintas entidades, muchas de pago y otras, como Let’s Encrypt, gratuitas. Sin embargo, las reglas de seguridad y validación en estas emisoras son para todas las mismas y, si una no las cumple, es necesario anular la validez de estos certificados, y eso es lo que le ha pasado a Symantec.



El pasado 19 de enero, Google empezó a investigar una serie de fallos de seguridad en el proceso de validación de certificados emitidos por Symantec. En un principio, Google encontró tan solo 127 certificados incorrectos, sin embargo, un estudio más en profundidad ha demostrado que el número total de todos estos ha ascendido a un total de 30.000 certificados emitidos por esta CA.



Estos certificados han sido emitidos durante varios años y, tal como ha podido comprobar Google, a medida que ha pasado el tiempo, la compañía ha ido relajando las políticas y prácticas de seguridad a la hora de emitir y validad estos certificados, llegando, actualmente, a haberse perdido esta por completo.



Por defecto, los certificados TLS se encargan de proteger el tráfico de los usuarios y evitar que este pueda ser tanto monitorizado como modificado en ataques MITM, sin embargo, no pueden verificar la identidad del emisor, ya que cualquiera podría suplantar los datos. Aquí es donde entra en juego el proceso de validación de los certificados de las CA, un proceso mediante el cual las emisoras garantizan que el sitio web es auténtico y no se trata de un usuario malicioso que está intentando suplantar otro sitio web diferente.





https://www.redeszone.net/app/uploads/2017/03/Certificado-Symantec-Amazon.png

Certificado Symantec Amazon





Por el momento, Google no ha dicho cuándo va a revocar por completo estos certificados, aunque lo hará relativamente pronto. Los usuarios que tengan comprado un certificado con esta compañía deberían pedir una nueva emisión del mismo para que su página web no sea considerada como potencialmente peligrosa por el navegador.



Shadow Brokers pone a la venta los exploits de la NSA para Windows



Google debe andar con cuidado. Revocar más de 30.000 certificados emitidos por Symantec puede causar estragos en la red



En 2015, más del 30% de todos los certificados emitidos eran por Symantec, por lo que revocar de golpe 30.000 certificados de esta entidad sería catastrófico. Por ello, Google tiene un plan con el que ir revocando poco a poco estos certificados hasta que, finalmente, queden totalmente depreciados, pero con el tiempo suficiente para que los administradores web puedan actualizarlos.



De esta manera, Google Chrome 59 limitará la vida de estos certificados a 33 meses y, progresivamente, irá disminuyendo este periodo de validez. Así, Google Chrome 60 los limitará a 27 meses, Chrome 61 a 21 meses, 62 y 63 (estable) a 15 meses y, finalmente, con Google Chrome 64 se limitará la validez de estos a tan solo 9 meses.



Google tiene los motivos para revocar la validez de estos certificados más que justificados, ya que la cantidad de certificados mal emitidos es muy grande y está poniendo en peligro a un gran número de webs. Además, el revocarlos progresivamente para causar el menor impacto posible es lo menos malo que podía ocurrir, ya que al menos todos, o casi todos los administradores podrán actualizar de nuevo los certificados, ya sea de nuevo con Symantec o a través de otras entidades certificadoras como Let’s Encrypt.







- Ver información original al respecto en Fuente:

https://www.redeszone.net/2017/03/24/google-revocara-certificados-symantec/#sthash.Ak8NxE3k.dpuf]]>
http://www.zonavirus.com/noticias/2017/google-revocara-mas-de-30000-certificados-emitidos-por-symantec.asp http://www.zonavirus.com/noticias/2017/google-revocara-mas-de-30000-certificados-emitidos-por-symantec.asp Noticias Sat, 24 Mar 2017 17:31:58 GMT
<![CDATA[Aparece un malware en forma de macro de microsoft word que ataca a windows y mac]]>




Después de no haber estado en primera línea durante mucho tiempo, el malware construido con marcos de Microsoft Word (u otras aplicaciones del suite ofimática Microsoft Office) está empezando a tener repercusión de nuevo.



¿A qué viene este repunte? Posiblemente algunas personas malintencionadas estén intentando sacar provecho de las capacidades multiplataforma de Microsoft Office, ya que además de ser un emblema del gigante de Redmond en combinación con el sistema operativo Windows, también tiene una fuerte presencia en Mac.



Investigadores de Symantec y Synack descubrieron el pasado mes de febrero la primera macro maliciosa de Word plenamente funcional sobre macOS. En aquella ocasión se descubrió la utilización de código Python embebido en un script de marco, el cual descargaba una carga útil (aunque maliciosa) desde un servidor remoto. Debido a que el servidor de mando y control estaba caído, los investigadores no pudieron averiguar la misión de la carga útil.



Más recientemente, concretamente la semana pasada, investigadores de Fortinet descubrieron otro fichero de Microsoft Word similar al descrito en el párrafo anterior y que también hace uso de código Python embebido en un script de marco. Sin embargo, en este caso la rutina ejecutada es diferente, ya que la macro comprueba el sistema operativo en uso (Windows o macOS), conteniendo dos versiones diferentes del código malicioso en Python.



Ambos scripts tienen comportamientos casi idénticos debido a que sus propósitos son los mismos, utilizando módulos del framework Meterpreter para contactar con el mando y control y realizar la petición final de descarga de la carga útil. Pero como en la ocasión anterior, los investigadores también se encontraron con un servidor de mando y control caído, por lo que no se puede saber qué misión llevaba a cabo la carga útil tanto en Windows como en Mac.



Algunos expertos están avisando que este documento malicioso es más peligroso en Mac que en Windows, no por motivos técnicos, sino porque los usuarios del sistema de Microsoft están más acostumbrados a lidiar con este tipo de cosas.



Por otro lado, esto es otra muestra más del avance del uso de las tecnologías multiplataforma para crear malware que afecte a varios sistemas operativos. Antes de este documento de Microsoft Word, ya comentamos sobre un ransomware hecho con JavaScript y otro malware multiplataforma hecho con Qt, una librería gráfica muy popular en Linux que también sirve para crear programas y aplicaciones para todos los sistemas operativos con presencia destacable en el mercado.



Ver información original al respecto en Fuente:

http://muyseguridad.net/2017/03/23/malware-macro-word-ataca-windows-mac/]]>
http://www.zonavirus.com/noticias/2017/aparece-un-malware-en-forma-de-macro-de-microsoft-word-que-ataca-a-windows-y-mac.asp http://www.zonavirus.com/noticias/2017/aparece-un-malware-en-forma-de-macro-de-microsoft-word-que-ataca-a-windows-y-mac.asp Noticias Sat, 24 Mar 2017 17:05:44 GMT