Descubren programa de ciberespionaje masivo que roba datos desde 2008

MADRID, ESPAÑA (24/NOV/2014).- Un programa de ciberespionaje altamente sofisticado y complejo denominado Regin ha sido utilizado sistemáticamente al menos desde 2008 para vigilar de forma masiva a individuos y pequeños negocios preferentemente, aunque también a empresas de telecomunicaciones y de sectores como la energía.

Sus objetivos durante estos seis años han incluido a personas, empresas privadas, entidades gubernamentales e institutos de investigación, precisa hoy en un comunicado la empresa de seguridad Symantec.

La compleja estructura de este código malicioso de vigilancia masiva muestra «un grado de competencia técnica apenas visto hasta ahora» sin apenas dejar rastro para evitar sospechas entre las víctimas.

Sus capacidades y nivel de recursos convierten a Regin en «una de las principales herramientas de ciberespionaje utilizada por un país o estado», según el comunicado.

Parece que Regin habría infectado a varias organizaciones entre 2008 y 2011, hasta que se retiró, para resurgir a partir de 2013 con una nueva versión.

Casi la mitad de las infecciones se dirigieron a individuos particulares y pequeños negocios; los ataques a compañías de telecomunicaciones supusieron el 28 por ciento y habrían sido diseñados para acceder a datos de llamadas a través de sus infraestructuras.

Las infecciones se han extendido por varios países: 28 por ciento en Rusia, seguida de Arabia Saudí (24 por ciento); en Europa, los ataques alcanzan el nueve por ciento en Irlanda, mientras que en Bélgica y Austria, las tasas son del cinco por ciento del total respectivamente.

Un error en Skype permite espiar a usuarios Android

Se ha encontrado un error en la aplicación de Skype para Android que permitiría, de una manera muy sencilla, espiar a un usuario que usara esta aplicación. No es necesario ni siquiera un malware para realizarlo, sino que manualmente es posible. Obviamente Microsoft ya lo sabe y se supone que en breve lanzará una actualización para solucionar el problema.

Los usuarios de Reddit han sido los que han dado a conocer el error. Por eso, si tienes un teléfono Android y utilizas la aplicación de Skype, ten cuidado porque puedes ser fácilmente espiado. Los pasos que hay que seguir son muy sencillos. Primero hacen falta dos dispositivos asociados a la misma cuenta Skype, un ordenador y un teléfono. Después hay que llamar a un teléfono Android a su cuenta de Skype. Antes de que el otro usuario lo coja, hay que desconectar el teléfono desde el que se llama de internet. Por defecto, la aplicación Skype de Android devuelve la llamada y esta es recogida por el segundo dispositivo, en este caso el ordenador.

Espiamos al otro usuario

Como la aplicación de Skype comprueba que la conexión se ha caído, intenta volver a conectar con el terminal que llamaba. De esta manera, al no haber sido finalizada nunca la llamada, esta se queda activa y el que llama puede encender el micrófono y la cámara del usuario sin que este se dé cuenta.

Varios usuarios de Reddit han conseguido recrear el error y hay que tener en cuenta que si la llamada se inicia desde un teléfono es importante dejarlo en modo avión, ya que al cortar internet Skype intentaría conectar antes mediante LTE, haciendo una llamada convencional.

Por eso, aquellos usuarios de Android que uséis Skype debéis de andar con cuidado. Es muy fácil entrar en vuestro micrófono o cámara. Eso sí, se supone que Microsoft lanzará una actualización en breve, aunque todavía no se ha pronunciado al respecto.

Fuente: Neowin.

Cómo eliminar el malware CryptoPHP

¿Cuál es CryptoPHP?

CryptoPHP es una amenaza que utiliza backdoored Joomla, WordPress y Drupal temas y plug-ins para comprometer servidores web a gran escala. Mediante la publicación de temas piratas y los plug-ins libre para que cualquiera lo use en lugar de tener que pagar por ellos, el actor es CryptoPHP sociales los administradores del sitio de ingeniería en la instalación de la puerta trasera incluida en su servidor.

Este malware puede ser controlado a través de un servidor remoto o de correo electrónico. Esta es una pieza bien escrito de código, puede tener,

Auto integrar en la mayor parte de la CMS como Joomla, WordPress, Drupal, etc ,.
Se encripta la comunicación de claves basado entre el servidor afectado y el servidor de control
Copia de seguridad y recuperación ante errores mechanisam en caso de apagado
Gestión manual remoto, actualización automática, etc ,.
Miles de servidores y sitios web afectados por este malware. Nuestros servidores clientes con una gestión proactiva ya se escanean y protegidos contra esta amenaza. Parece que el límite de la inspección es cada vez mayor.

Si usted tiene alguna experiencia de shell, por favor utilice los siguientes métodos para identificar el malware

1) Comprobación rápida para archivos sociales * .png,

———————————————————————————————–

find /home/ -type f -iname «social*.png» -exec grep -E -o ‘php.{0,80}’ {} \; -print
———————————————————————

si usted ve cualquier archivo del resultado anterior, debe eliminar los archivos de inmediato,

2) Revise todos los archivos PNG,

———————————————————————

find /home -type f -iname ‘*.png’ -print0 | xargs -0 file | grep «PHP script» > /root/cryptoinfected.txt
———————————————————————
Ahora compruebe todos los archivos listados en / root / crypto infected.text y retírela

3) Revise todos los otros archivos,

Usted debe necesitar para comprobar todos los otros archivos también, ya que no sólo se ve afectado por las multas png y archivos jpeg,

4) Uso clamav o maldetect

Es posible que por favor, actualice su base de datos y base de datos clamav maldetect. Después de que realizar un análisis, este detectará el malware

———————————————————————
freshclam
maldetect -U
———————————————————————

NOTA: La investigación adicional reveló que este malware parece estar unido a través de adjuntos de correo electrónico también, así que usted puede necesitar para analizar las cuentas de correo electrónico del servidor también.