Anatsa, un troyano bancario persistente para Android, ha participado en una nueva campaña de malware para dispositivos móviles. En noviembre de 2021, el mismo troyano Anasta participó en otra campaña. Esta campaña se localizaba en Google Play e imitaba una serie de apps descargables. Estas apps, como escáneres de PDF, escáneres de QR, apps de Adobe Illustrator y apps de rastreadores de fitness se descargaron más de 300.000 veces. El lanzamiento de la nueva campaña de Anatsa en marzo de 2023 se dirigió a pagos bancarios en línea y a usuarios de Estados Unidos, Reino Unido, Austria, Alemania y Suiza.
Ahora, los atacantes están modificando su enfoque mediante el lanzamiento de publicidad maliciosa a través de Google Play. Incluyen aplicaciones dañinas en la categoría de ofimática o productividad dirigidas a profesionales, como Anatsa PDF Viewer, una aplicación de edición y una suite ofimática. Aunque Google ha retirado muchas de estas aplicaciones maliciosas, Anatsa ha seguido eludiéndolas. Publican nuevas aplicaciones con códigos legítimos que se alteran una vez subidas a la tienda de aplicaciones. Si un usuario descarga la aplicación maliciosa, aparece una alerta emergente que le pide que permita un host secundario en GitHub. Una vez que el usuario acepta, el código infectado se libera en su dispositivo pero aparece como un complemento adicional en la app.
Utilizando Anatsa, esta campaña es capaz de recuperar toda la información financiera de los usuarios, como credenciales bancarias e información de tarjetas de crédito. El troyano ha tenido éxito en la recuperación de esta información mediante la colocación de páginas de phishing cuando los usuarios cambian a su aplicación bancaria. Las mulas de dinero reciben la información robada una vez convertida en criptomoneda. Actualmente, Anatsa está atacando a más de 600 bancos, incluidos E*TRADE, J.P. Morgan, Capital One y Schwab, entre otros.
(Fuente: BleepingComputer)
Pilot Credentials, una empresa utilizada para contratar pilotos en Texas, ha sufrido una filtración de datos de más de 8.000 solicitantes de Southwest y American Airlines. La base de datos violada contiene información como números de la seguridad social, números de pasaporte y números de carné de conducir y de piloto. La filtración se descubrió el 3 de mayo, pero se había producido unas semanas antes. Ninguna de las dos ha visto actividad fraudulenta alguna, pero están trasladando su proceso de operaciones internamente como método directo a la aerolínea.
Los expertos en seguridad afirman que este tipo de información permite a los atacantes realizar robos de identidad, fraudes financieros y ataques de phishing. No es la primera vez que las aerolíneas sufren ataques de actores de amenazas. En 2022, American sufrió un ataque de phishing contra los correos electrónicos de sus empleados que dejó vulnerables los datos sensibles de sus clientes. Debido a la nueva atención de los atacantes hacia esta industria, la Administración de Seguridad en el Transporte (TSA) está aplicando nuevas normas de ciberseguridad en los aeropuertos, así como en el software operativo del avión.
(Fuente: DarkReading)
La inyección de procesos, un tipo de ejecución de código arbitrario utilizado por los atacantes, permite a los hackers ejecutar códigos dañinos en un sistema de software de confianza sin ser advertidos. En la mayoría de los casos, los actores utilizan llamadas a la API de Window para alterar la autorización del sistema e iniciar hilos o asignar memoria en el programa. Normalmente, las herramientas de seguridad pueden ver este comportamiento y señalarlo. Sin embargo, Mockingjay, una nueva forma de este método de ataque, permite a los atacantes encontrar una ruta alternativa para entrar en estos sistemas. Comprometerlos sin alertar a ninguna medida de seguridad de detección y respuesta de puntos finales (EDR). En su lugar, los actores de amenazas que utilizan Mockingjay son capaces de insertar código malicioso en sistemas remotos. Esto se consigue leyendo, escribiendo y produciendo secciones en la biblioteca de vínculos dinámicos, lo que no alerta al EDR.
Para idear esta nueva técnica y biblioteca de vínculos dinámicos, los investigadores utilizaron una sección RWX preexistente y emplearon sus protecciones de memoria del sistema para eludir cualquier gancho EDR que se hubiera colocado. Este método permite a los investigadores alterar el código y llevar a cabo dos métodos de inyección diferentes. El primero fue la autoinyección. Con diferentes llamadas a la API de Windows, la biblioteca de vínculos dinámicos infectada se cargó en la aplicación personalizada de los investigadores, nightmare.exe. Esto permitía acceder a la sección RMW sin necesidad de realizar acciones de memoria o permisos. NTDLL.DLL se utiliza para limpiar el sistema mediante la eliminación de los números de syscall y la utilización de Hell's Gate's EDR unhooking enfoque, permitiendo que el shellcode para ejecutar sin ningún tipo de banderas. El segundo método fue la inyección remota de procesos para insertar un payload en el proceso remoto ssh.exe como proceso hijo con msys-2.0.dll en la sección TWX. Utilizando ssh.exe, desbloquea los procesos objetivo, permitiendo que el código malicioso se transfiera a la sección de memoria RMW de la DLL. El shellcode inyectado es engañado por el archivo DLL, MyLibrary.dll, un shell inverso. Los investigadores descubrieron que este ataque elude las medidas EDR sin generar ningún proceso.
(Fuente: BleepingComputer)
En julio de 2020, la agencia gubernamental europea Europol cerró EncroChat, una red de comunicación cifrada. Los suscriptores de esta red disponían de un cifrado muy duradero que mantenía ocultos a los usuarios. La plataforma contaba con funciones como un servicio de borrado de datos y herramientas de arranque a prueba de manipulaciones para mayor seguridad. El martes, las fuerzas del orden hicieron público que el éxito de esta operación se ha saldado con más de 6.500 detenciones en todo el mundo y la obtención de 900 millones de euros (982 millones de dólares) procedentes de sus tramas clandestinas. En las detenciones, casi 200 de los sospechosos estaban implicados en grupos de delincuencia organizada de alto nivel. Las ganancias de los delincuentes se repartían en ingresos que luego se destinaban a campañas de otros atacantes.
Tras una investigación más detallada, las autoridades descubrieron más de 115 millones de conversaciones a través de 60.000 abonados al proveedor de comunicaciones. Además, más allá de los beneficios económicos de la empresa, los organismos gubernamentales se han incautado de más de 30 millones de pastillas de drogas químicas, 270 toneladas de otras sustancias ilegales, 1.365 viviendas, vehículos, embarcaciones y aviones utilizados por delincuentes, y más de miles de armas y otros equipos.
Tras esta operación de gran éxito, los miembros no detenidos se cambiaron a otra empresa de cifrado, Sky ECC, que fue cuidadosamente observada y desmantelada. Intervinieron organismos gubernamentales europeos, franceses, holandeses y estadounidenses, ya que esta plataforma se utilizaba a escala mundial y albergaba 27 millones de mensajes entre atacantes de numerosas bandas diferentes para comunicarse.
(Fuente: CyberSecurityNews)
LetMeSpy es una aplicación de rastreo de teléfonos Android creada para que los padres puedan controlar qué usan sus hijos y con qué frecuencia, y para que las empresas limiten el tiempo de uso de los dispositivos de sus empleados. Esta aplicación almacena mensajes de texto, llamadas y ubicaciones de usuarios.
El 21 de julio, el profundo nivel de información de esta app llevó a los atacantes a hackear el sistema y obtener datos de los usuarios hasta 2013. La compañía afirma que su sistema elimina automáticamente los datos tras dos meses de inactividad de la cuenta de usuario, pero no es así. Un equipo de investigación de seguridad identificó esta brecha y alertó a la aplicación de rastreo de dispositivos. Sin embargo, la amenaza desconocida respondió al mensaje y declaró la toma de control del dominio de la aplicación. Por el momento, se sabe que los "actores de la amenaza" han comprometido más de 13.000 dispositivos, sin revelar públicamente mucha información sobre lo que han obtenido. Las fuerzas del orden y las agencias de datos de seguridad están vigilando cuidadosamente este asunto e intentan captar toda la información que la banda pueda compartir.
(Fuente:DarkReading)
