Descubren programa de ciberespionaje masivo que roba datos desde 2008

MADRID, ESPAÑA (24/NOV/2014).- Un programa de ciberespionaje altamente sofisticado y complejo denominado Regin ha sido utilizado sistemáticamente al menos desde 2008 para vigilar de forma masiva a individuos y pequeños negocios preferentemente, aunque también a empresas de telecomunicaciones y de sectores como la energía.

Sus objetivos durante estos seis años han incluido a personas, empresas privadas, entidades gubernamentales e institutos de investigación, precisa hoy en un comunicado la empresa de seguridad Symantec.

La compleja estructura de este código malicioso de vigilancia masiva muestra «un grado de competencia técnica apenas visto hasta ahora» sin apenas dejar rastro para evitar sospechas entre las víctimas.

Sus capacidades y nivel de recursos convierten a Regin en «una de las principales herramientas de ciberespionaje utilizada por un país o estado», según el comunicado.

Parece que Regin habría infectado a varias organizaciones entre 2008 y 2011, hasta que se retiró, para resurgir a partir de 2013 con una nueva versión.

Casi la mitad de las infecciones se dirigieron a individuos particulares y pequeños negocios; los ataques a compañías de telecomunicaciones supusieron el 28 por ciento y habrían sido diseñados para acceder a datos de llamadas a través de sus infraestructuras.

Las infecciones se han extendido por varios países: 28 por ciento en Rusia, seguida de Arabia Saudí (24 por ciento); en Europa, los ataques alcanzan el nueve por ciento en Irlanda, mientras que en Bélgica y Austria, las tasas son del cinco por ciento del total respectivamente.

Un error en Skype permite espiar a usuarios Android

Se ha encontrado un error en la aplicación de Skype para Android que permitiría, de una manera muy sencilla, espiar a un usuario que usara esta aplicación. No es necesario ni siquiera un malware para realizarlo, sino que manualmente es posible. Obviamente Microsoft ya lo sabe y se supone que en breve lanzará una actualización para solucionar el problema.

Los usuarios de Reddit han sido los que han dado a conocer el error. Por eso, si tienes un teléfono Android y utilizas la aplicación de Skype, ten cuidado porque puedes ser fácilmente espiado. Los pasos que hay que seguir son muy sencillos. Primero hacen falta dos dispositivos asociados a la misma cuenta Skype, un ordenador y un teléfono. Después hay que llamar a un teléfono Android a su cuenta de Skype. Antes de que el otro usuario lo coja, hay que desconectar el teléfono desde el que se llama de internet. Por defecto, la aplicación Skype de Android devuelve la llamada y esta es recogida por el segundo dispositivo, en este caso el ordenador.

Espiamos al otro usuario

Como la aplicación de Skype comprueba que la conexión se ha caído, intenta volver a conectar con el terminal que llamaba. De esta manera, al no haber sido finalizada nunca la llamada, esta se queda activa y el que llama puede encender el micrófono y la cámara del usuario sin que este se dé cuenta.

Varios usuarios de Reddit han conseguido recrear el error y hay que tener en cuenta que si la llamada se inicia desde un teléfono es importante dejarlo en modo avión, ya que al cortar internet Skype intentaría conectar antes mediante LTE, haciendo una llamada convencional.

Por eso, aquellos usuarios de Android que uséis Skype debéis de andar con cuidado. Es muy fácil entrar en vuestro micrófono o cámara. Eso sí, se supone que Microsoft lanzará una actualización en breve, aunque todavía no se ha pronunciado al respecto.

Fuente: Neowin.

Utilizan sitios web WordPress para distribuir una familia de malware

La fijación de los ciberdelincuentes en las páginas web que utilizan WordPress va en aumento, fomentado en parte por una seguridad que muchas veces deja que desear.

En esta ocasión, y al menos de momento, más de 100 blogs han sido comprometidos y se están utilizando para distribuir una familia de virus.

En esta ocasión, la falta de actitud por parte de los administradores de los sitios web ha permitido que los ciberdelincuentes se hagan con el ansiado botín, poniendo a su disposición más de un centenar de páginas que a día de hoy les sirve para distribuir contenido malicioso en forma de archivos comprimidos. Sin embargo, expertos en seguridad han detectado que a la hora de distribuir esta familia de virus los ciberdelincuentes también se ayudan de los correos electrónicos spam y de mensajes en diferentes redes sociales en forma de sorteos.

A modo de pista para identificar los sitios web afectados, hay que añadir que los expertos en seguridad se han percatado que todos los blogs de WordPress afectados por el problema contienen la siguiente cadena de texto al final de la dirección URL: /1.php?r.

El más pesado de todos los archivos se trata de un versión de Upatre, también conocido como el intermediario que sirve para que otro contenido malicioso pueda llegar al equipo. Los dos que poseen un tamaño apenas superior a 100 KB son los instaladores de dos variantes del troyano Rovnix, mientras que las dos restantes pertenecen a Zeus y Dyreza, conocidos para la mayoría de los usuarios que nos leen a diario ya que no es la primera vez que hacemos referencia a estos. Tal y como se puede ver los ciberdelincuentes juegan con los nombres y extensiones de los programas para hacer creer al usuario que se trata de los archivos indicados en la página, es decir, documentos de texto.

Sin embargo, Upatre no es el único instalador utilizado en esta ocasión, ya que se ha detectado la presencia también del malware Hencitor, otro instalador de software que no es tan conocido como el anterior pero que desempeña una función parecida. El problema es que este último posee una tasa de detección bastante baja, provocando que la mayoría de los equipos sean vulnerables a pesar de disponer de una herramienta de seguridad instalada.

Fuente: redeszone

Cómo eliminar el malware CryptoPHP

¿Cuál es CryptoPHP?

CryptoPHP es una amenaza que utiliza backdoored Joomla, WordPress y Drupal temas y plug-ins para comprometer servidores web a gran escala. Mediante la publicación de temas piratas y los plug-ins libre para que cualquiera lo use en lugar de tener que pagar por ellos, el actor es CryptoPHP sociales los administradores del sitio de ingeniería en la instalación de la puerta trasera incluida en su servidor.

Este malware puede ser controlado a través de un servidor remoto o de correo electrónico. Esta es una pieza bien escrito de código, puede tener,

Auto integrar en la mayor parte de la CMS como Joomla, WordPress, Drupal, etc ,.
Se encripta la comunicación de claves basado entre el servidor afectado y el servidor de control
Copia de seguridad y recuperación ante errores mechanisam en caso de apagado
Gestión manual remoto, actualización automática, etc ,.
Miles de servidores y sitios web afectados por este malware. Nuestros servidores clientes con una gestión proactiva ya se escanean y protegidos contra esta amenaza. Parece que el límite de la inspección es cada vez mayor.

Si usted tiene alguna experiencia de shell, por favor utilice los siguientes métodos para identificar el malware

1) Comprobación rápida para archivos sociales * .png,

———————————————————————————————–

find /home/ -type f -iname «social*.png» -exec grep -E -o ‘php.{0,80}’ {} \; -print
———————————————————————

si usted ve cualquier archivo del resultado anterior, debe eliminar los archivos de inmediato,

2) Revise todos los archivos PNG,

———————————————————————

find /home -type f -iname ‘*.png’ -print0 | xargs -0 file | grep «PHP script» > /root/cryptoinfected.txt
———————————————————————
Ahora compruebe todos los archivos listados en / root / crypto infected.text y retírela

3) Revise todos los otros archivos,

Usted debe necesitar para comprobar todos los otros archivos también, ya que no sólo se ve afectado por las multas png y archivos jpeg,

4) Uso clamav o maldetect

Es posible que por favor, actualice su base de datos y base de datos clamav maldetect. Después de que realizar un análisis, este detectará el malware

———————————————————————
freshclam
maldetect -U
———————————————————————

NOTA: La investigación adicional reveló que este malware parece estar unido a través de adjuntos de correo electrónico también, así que usted puede necesitar para analizar las cuentas de correo electrónico del servidor también.