Hackers ganan $1,000,000 de dolares de recompensa por hack remoto en iOS 9

Un equipo de hackers ha recibido un pago de un millón de dólares por revelar un vulnerabilidad de día cero en iOS que podría permitir a un atacante hackear remotamente cualquier teléfono.

Malas noticias para los usuarios de Apple, un equipo de hackers ha recibido un pago de un millón de dólares por revelar una vulnerabilidad de día cero en iOS que podría permitir a un atacante remoto hackear cualquier teléfono ejecutando la última versión de iOS, es decir, iOS 9.

El grupo desconocido de hackers ha vendido una vulnerabilidad de día cero a Zerodium, la compañía de comercio de Exploit controlada por la firma de seguridad Vupen que está especializada en la compra y venta exploits de día cero.
En septiembre Zerodium ofreció un premio de un millón de dólares a cualquier persona que encontrara un exploit desconocido, sin parchar en IOS 9 con el objetivo principal de hacer jailbreak a los dispositivos Apple.

La compañía anunció el pago por un exploit que fuera capaz de llevar a cabo ejecución remota de código en un dispositivo iOS a través de safari/chrome o por SMS/MMS, también agregó que el exploit día cero/jailbreak "debe conducir a y permitir control remoto, instalación privilegiada, y persistente de una aplicación arbitraria (por ejemplo Cydia) en dispositivo iOS 9 totalmente actualizado".

El exploit día cero puede combinarse con otras vulnerabilidades para realizar un jailbreak sin la necesidad de un reinicio o una conexión a un dispositivo externo.

"Todo el proceso de explotación/jailbreak debe ser alcanzable de forma remota, de forma fiable, en silencio, y sin requerir ninguna interacción del usuario con excepción de visitar una página web o leer un SMS/MMS (de ataque como el acceso físico, Bluetooth, NFC, o de banda base no son elegibles para el Bug Million Dollar iOS 9 Bounty. ZERODIUM podrá, a su sola discreción, realizar una oferta distinta para adquirir dichos vectores de ataque.). "

 El exploit / jailbreak debe apoyar y trabajar de forma fiable en los siguientes dispositivos (32 bits y 64 bits en su caso):

     - 6s iPhone / iPhone 6s Plus / iPhone 6 / iPhone 6 Plus
     - iPhone 5 / iPhone 5c / 5s iPhone
     - iPad mini iPad Air 2 / iPad Air / iPad (4ª generación) / iPad (3ª generación) / 4 / mini iPad 2

Ahora parece que alguien ha encontrado la manera de hackear remotamente el nuevo iPhone.

Como hemos explicado anteriormente el jailbreak permite a los usuarios obtener acceso root en el sistema operativo de los dispositivos de Apple que permite pasar por alto todas las características de seguridad impuestas (por Apple).

Haciendo Jailbreak a un dispositivo se puede instalar y ejecutar software que de otra manera no podría ser instalado o ejecutado en ese dispositivo, o eliminar software preinstalado que normalmente no podría ser desinstalado.
Según Bekrar, los ganadores presentaron el exploit de día cero unas pocas horas antes de que se cerrara el concurso, hubo también otro equipo de hackers que reportó un jailbreak parcial y podría ganar una recompensa proporcional.

Los expertos en Zerodium están probando el exploit día cero, obviamente, sólo los clientes de Zerodium tendrán acceso al jailbreak, la compañía confirmó que el día cero no será compartido al público.

Our iOS #0day bounty has expired & we have one winning team who made a remote browser-based iOS 9.1/9.2b #jailbreak (untethered). Congrats!

— Zerodium (@Zerodium) noviembre 2, 2015

"Primero vamos a reportar las vulnerabilidades a nuestros clientes, y después podemos informar a Apple", añadió Bekrar.

¿Quiénes son los clientes de empresas como Zerodium y Vupen? ¿Cuál es el uso final de este tipo de ataques de día cero?

Estos exploits podrían ser adquiridos por los gobiernos totalitarios para utilizarlos en la vigilancia y para seguimiento de los opositores. Un atacante podría utilizarlo para instalar cualquier aplicación que podría permitir realizar un seguimiento de las personas, incluyendo spyware y software de vigilancia.

Los usuarios de Apple no tienen otra opción, que esperar a que los expertos en seguridad de Apple encuentren el fallo de día cero y lo arreglen antes de que alguien pueda explotarlo publicamente.

La página web oficial del popular foro vBulletin ha sido hackeada

La página web del software para foros vBulletin esta bajo mantenimiento después de una violación de datos que expuso la información personal de cientos de miles de usuarios

El domingo, el sitio web oficial vBulletin fue hackeado por un atacante usando el apodo de "Coldzer0." El sitio web ha sido desfasado y el foro vBulletin mostraba el mensaje "Hacked by Coldzer0."
Inmediatamente la página web se puso en mantenimiento y no hay detalles sobre el ataque, según DataBreaches.net, los foros de vBulletin Foxit Software han sido hackeados por Coldzer0 que ha robado cientos de miles de registros de los usuarios.

Las capturas de pantalla de hackers publicadas muestran que lograron subir un shell (consola) a la página web del foro vBulletin y obtener la información personal de los usuarios, incluyendo identificadores de usuario, nombres, direcciones de correo electrónico, preguntas y respuestas de seguridad, y contraseña con sal, es decir no en texto plano).
Les sugerimos a los usuarios cambiar sus contraseñas tan pronto como sea posible, especialmente si comparten las mismas credenciales a través de otros sitios web.

DataBreaches.net ha vinculado el apodo en línea "Coldzer0" con el analista de seguridad  e investigador de malware Mohamed Osama. El experto egipcio Osama ha eliminado con prontitud todas las referencias al ataque vBulletin de sus cuentas de redes sociales. Osama también ha borrado su página web personal, coldroot.com, después de que su nombre estaba en los titulares debido al ataque de vBulletin.

El hacker afirma haber explotado una vulnerabilidad de día cero que afecta al foro vBulletin para hackear la popular aplicación.

No es la primera vez que los hackers dirigen sus ataques hacia vBulletin, en 2013 expertos de la empresa de seguridad Imperva descubrieron que más de 35000 sitios web basados en vBulletin CMS fueron hackeados explotando una vulnerabilidad conocida.

Vulnerabilidad día cero en WinRAR expone millones de usuarios a hackers

El investigador de seguridad Mohammad Reza Espargham encontró una nueva falla de día cero que está amenazando millones de usuarios de la última versión de WinRAR.

WinRAR es un software ampliamente utilizado para comprimir/descomprimir archivos y carpetas, con una suma de más de 500 millones de instalaciones.

De acuerdo con el investigador de seguridad de Vulnerability-Lab Mohammad Reza Espargham, la última versión de WinRAR 5.21 para Windows OS es vulnerable a la ejecución remota de código (RCE).

 "Una vulnerabilidad de ejecución remota de código se ha descubierto en el software oficial v5.21 WinRAR SFX. La vulnerabilidad permite a los atacantes ejecutar código remoto específico no autorizado para comprometer un sistema de destino. El problema se encuentra en la función de 'Text and Icon' del modulo 'Text to display in SFX window'. Un atacante remoto es capaz de generar archivos comprimidos propios con payloads maliciosos para ejecutar códigos específicos y comprometer el sistema. Los atacantes guardan en la entrada del archivo sfx el código html malicioso. Así se ejecuta el código específico cuando un usuario o sistema objetivo está procesando para abrir el archivo comprimido. ", Afirma la descripción técnica prestada para la falla.

WinRAR SFX es un tipo específico de archivo comprimido ejecutable con capacidades de auto-extraer, el atacante puede explotar la falla para ejecutar código arbitrario cuando las víctimas abren un archivo SFX.

A continuación una prueba de concepto entregada por Espargham:


Un atacante puede desencadenar con éxito la vulnerabilidad con baja interacción del usuario, y poner en peligro el sistema, la red del sistema o el dispositivo.

"La explotación de la vulnerabilidad de ejecución de código requiere una interacción baja de usuario (abrir el archivo) aunque no tenga privilegios de sistema o siendo un usuario restringido. La explotación exitosa de la vulnerabilidad de ejecución remota de código del software WinRAR SFX expone al sistema, la red o dispositivo.", Continúa el reporte,

"La principal desventaja surge debido a que son archivos SFX, ya que empiezan a funcionar tan pronto como el usuario hace clic en ellos. Por lo tanto, los usuarios no pueden identificar y verificar si el archivo ejecutable comprimido es un módulo genuino o perjudicial de WinRAR SFX".

El experto destacó la ausencia de un parche y proporciona la siguiente sugerencia a los usuarios WinRAR:

• Utilice un software de compresión alternativo
• No haga clic en los archivos recibidos de fuentes desconocidas
• Utilice métodos de autenticación estrictas para proteger el sistema

Corea del Norte explota vulnerabilidades dia cero en el Procesador de textos principal de Corea del Sur

FireEye sospecha que Corea del Norte es responsable de una serie de ataques contra Corea del Sur que dependen de una vulnerabilidad dia cero en el procesador de textos más popular del Sur.

Los expertos en seguridad de FireEye especulan que Corea del Norte ha llevado a cabo ataques cibernéticos contra entidades de Corea del Sur mediante la explotación de una vulnerabilidad día cero (CVE-2.015-6585) en un programa de procesamiento de texto ampliamente utilizado en ese país, el procesador de texto Hangul.

De acuerdo con un informe publicado por FireEye, el procesador de texto Hangul es un software propietario utilizado principalmente por el gobierno y las instituciones públicas en Corea del Sur, por esta razón, Corea del Norte supuestamente explotó el vector de ataque.

La CVE-2015-6585 se arreglo hace unos días por el desarrollador del procesador de texto Hangul, Hancom.

Los expertos de FireEye han advertido que la atribución es definitiva, pero la circunstancia, el escenario de ataque y el objetivo elegido para dirigir la amenaza apunta a la investigación a creer que Corea del Norte está detrás de los ataques cibernéticos.

"Aunque no es concluyente, la focalización de un software de procesamiento de textos de propiedad de Corea del Sur sugiere fuertemente un interés específico en los objetivos de Corea del Sur, y con base en las similitudes de código y la superposición de infraestructura, la inteligencia de FireEye evalúa que esta actividad puede asociarse con actores de amenazas basadas en Corea del Norte . ", afirma el informe publicado por FireEye.
Los investigadores explicaron que una vez que una instancia maliciosa del procesador de textos Hangul se abre por las víctimas, se instala una puerta trasera en el blanco. FireEye apodo HANGMAN a esta puerta trasera, puesto que implementa funcionalidades comunes a dicha categoría de malware.

"Todos los documentos HWPX maliciosos instalan copias similares de un backdoor que llamamos HANGMAN. HANGMAN es capaz de cargar y descargar archivos, procesos y gestión del sistema de archivos, recopilar información del sistema, y ​​actualizar su configuración. La puerta trasera también encapsula su protocolo de comunicación con SSL. HANGMAN comienza comunicaciones mediante el envío de un handshake SSL legítimo a su servidor de mando y control (C2). Luego continúa comunicandose mediante mensajes de cabecera SSL, pero el payload del mensaje es un protocolo binario personalizado. "Continúa el informe.

Al analizar el código de la puerta trasera de HANGMAN los investigadores descubrieron la presencia de direcciones IP no modificables que pertenecen a la infraestructura de comando y control, estas direcciones IP se han relacionado con otros ataques sospechosos relacionados con Corea del Norte.

HANGMAN presenta varias similitudes con otra puerta trasera descubierta por FireEye apodada Peachpit, que se atribuyó por los expertos a Corea del Norte.

"Las variantes de HANGMAN esparcidas por los documentos HWPX utilizan funciones que son muy similares a las observadas en otras familias de malware utilizadas por presuntos actores basados ​​en Corea del Norte, como la puerta de atrás que llamamos Peachpit. Tanto Peachpit y HANGMAN incorporan una función donde se transmiten los comandos de Windows a la puerta trasera del servidor C2 remoto. ", Señala el informe.

Día Cero en Aplicacion de administración de Google en Android puede saltarse el Sandbox

Primero que nada, para algunos de nuestros lectores que se preguntaran:

¿Y qué es el Sandbox o Sandboxing? Este “cajón de arena” (traducción literal al castellano) es un aislamiento de procesos, es decir, un mecanismo que implementan varias aplicaciones para ejecutar aplicaciones y programas con seguridad y “aislarlas” del resto del sistema dentro de una especie de contenedor virtual desde el cual controlar los distintos recursos que solicita dicha aplicación (memoria, espacio en disco, privilegios necesarios, etc). Este férreo control al que se somete el proceso sirve para discernir si el código a ejecutar es malicioso o no puesto que, por norma general, se restringirá cualquier tipo de acceso a dispositivos de entrada o de inspección del sistema anfitrión.

Una vez aclarado esto, continuamos con la nota:

Imagen: ThreatPost

El equipo de seguridad de Android de Google está teniendo un mes muy ocupado. Primero las vulnerabilidades Stagefright que surgieron el mes pasado justo antes de Black Hat y ahora los investigadores de MWR laboratorios han publicado información sobre una vulnerabilidad sin parche que permite a un atacante eludir la caja de arena de Android.

La vulnerabilidad reside en la forma en que la aplicación del administrador de Google en los teléfonos Android se encarga de algunas direcciones URL. Si otra aplicación en el teléfono envía la aplicación de administración de un tipo específico de URL a un atacante puede pasar por alto la misma política de Origen y obtener datos de la caja de arena de administración.

"Una situación fue encontrado cuando la aplicación del administrador de Google recibió una URL a través de una llamada IPC desde cualquier otra aplicación en el mismo dispositivo. La aplicación de administración sería cargar esta URL en un webview dentro de su propia actividad. Si un atacante utiliza un archivo: // URL a un archivo que ellos controlaban, entonces es posible usar enlaces simbólicos para eludir Same Origin Policy y recuperar datos fuera de la caja de arena del administrador de Google ", dice el asesor de MWR laboratorios.

Un atacante puede explotar esta vulnerabilidad al obtener una aplicación maliciosa en el teléfono de la víctima. MWR Labs notifico a Google de la vulnerabilidad en marzo y Google reconoció el informe de inmediato y más tarde dijo que tendría un parche listo para junio. Pero la solución no fue publicada y la semana pasada Google informó a MWR Labs que planeaba lanzar su aviso, que fue publicado el jueves.

Google no respondió a una solicitud de comentarios sobre esta historia. La vulnerabilidad afecta a la versión actual de la aplicación, y puede afectar a las versiones anteriores también.

"La aplicación Google Admin (com.google.android.apps.enterprise.cpanel), tiene una actividad exportada que acepta una cadena extra llamada setup_url. Esta puede ser invocada por cualquier aplicación en el dispositivo creando de un nuevo intento estableciendo datos uri a http://localhost/foo y la cadena setup_url programada a una URL de archivos que pueden escribir en, como file://data /data/com.themalicious.app/worldreadablefile.html, " dijo el asesor de MWR.

"El ResetPinActivity entonces carga esto en el WebView bajo los privilegios de la aplicación del administrador de Google."

MWR dice que hasta que Google no despliegue el parche, los usuarios con la aplicación del administrador de Google no deben instalar ninguna aplicación de terceros que no sea de confianza, lo que es un buen consejo para cualquier usuario de teléfono móvil.

Fundador de VUPEN lanza nueva firma de Adquisicion de Vulnerabilidades Dia Cero llamada Zerodium

En las semanas desde el ataque a Hacking Team, el centro de atención ha brillado en ángulo recto hacia las pequeñas y a menudo sombrías empresas que están en el negocio de compra y venta de exploits y vulnerabilidades. Una de estas empresas, Netragard, esta semana decidió salir de ese negocio después fueron expuestos sus relaciones con Hacking Team. Pero ahora hay un nuevo competidor en el campo, Zerodium, y hay algunos nombres conocidos detrás de él.

La compañía fue lanzada por Chaouki Bekrar, fundador de VUPEN, un vendedor de vulnerabilidades y exploits que a menudo se encuentra en el centro de las discusiones acerca de la legalidad y la ética de este tipo de empresas. VUPEN es una de las empresas raras en ese campo que hace todo desde su propia investigación y desarrollo; no compra vulnerabilidades o exploits de fuentes externas.
Pero ahora, en un momento en que nunca ha habido más atención por parte de los legisladores, medios de comunicación y gobiernos, Bekrar ha creado una nueva empresa enfocada directamente a la compra de bugs y exploits.

Zerodium planea centrarse exclusivamente en la compra de vulnerabilidades de alto riesgo, dejando a un lado el extremo inferior del espectro. La compañía utilizará las vulnerabilidades que adquiere para compensar una fuente de vulnerabilidades, exploits, y medidas defensivas, que proporciona a los clientes.

"ZERODIUM paga recompensas de primera calidad a los investigadores de seguridad para adquirir sus descubrimientos de día cero y exploits que afectan a los sistemas operativos utilizados, software y / o dispositivos. Mientras que la mayoría de los programas existentes de recompensas de errores puede aceptar casi cualquier tipo de vulnerabilidades y PoCs pero paga recompensas bajas, en ZERODIUM sólo nos centramos en las vulnerabilidades de alto riesgo con exploits completamente funcionales y fiables, y pagamos recompensas más altas ", dice el sitio de la compañía.

Zerodium buscará vulnerabilidades y exploits para las plataformas y aplicaciones más utilizadas, incluyendo Windows, OS X, y Linux; los cuatro principales navegadores; Flash y Reader; Microsoft Office; Android, iOS, BlackBerry y Windows Phone; y los principales servidores de correo y web. Lo que la empresa no está interesado es en la compra de exploits o vulnerabilidades en servicios web como Google o Twitter funcionando parcialmente.

"ZERODIUM no adquiere vulnerabilidades teóricamente explotables o no explotables. Sólo adquirimos vulnerabilidades de día cero con un completo y funcional exploit de una sola etapa o múltiples etapas, por ejemplo exploit de navegador con o sin bypass de sandbox/escape son ambos elegibles ", según la compañía.

 La compañía dice que va a pagar precios más altos por los bugs y exploits que está buscando y no va a comprar a los investigadores que viven en países que son sancionados por las Naciones Unidas o de Estados Unidos. Zerodium no especifica a qué tipo de empresas u organizaciones venderá su servicio, pero Bekrar siempre ha dicho que VUPEN sólo vende sus exploits a los organismos policiales y clientes gubernamentales en los países no sancionados.

"Sólo vendemos a las democracias. Respetamos la normativa internacional, por supuesto, y sólo vendemos a los países de confianza y las democracias de confianza ", dijo Bekrar en una entrevista con Threatpost en 2012." Nosotros no vendemos a los países opresores. "

VUPEN ofrece un servicio de suscripción que suministra a clientes con datos de vulnerabilidades y exploits de día cero y otros bugs. Los clientes de la compañía han incluido la NSA.

La demanda de las vulnerabilidades de alta gama y hazañas no muestra signos de disminución. Las agencias de inteligencia, las organizaciones policiales y muchas otras agencias gubernamentales en países de todo el mundo están ampliando sus capacidades de seguridad ofensivas y un ingrediente clave en la forma en que estos equipos operan es el uso de días cero. Los exploits para vulnerabilidades reveladas a menudo se utilizan para comprometer los sistemas de destino como parte de las investigaciones policiales y operaciones de inteligencia, una práctica controvertida que se ha vuelto aún más a raíz de la exposición de Hacking Team hace tres semanas.

Cuatro Vulnerabilidades Día Cero para Internet Explorer Mobile Salen a la Luz

Como si todas las vulnerabilidades en Flash y Windows descubiertas en el caché de documentos de Hacking Team y los 193 errores de Oracle arreglados la semana pasada no fueran suficiente para las organizaciones, Zero Day Initiative de HP ha lanzado cuatro nuevas vulnerabilidades dia cero en Internet Explorer Mobile que puede provocar la ejecución remota de código en Windows Phones.

Fuente: ThreatPost

Las cuatro vulnerabilidades originalmente fueron reportadas a Microsoft apuntando que afectaba a Internet Explorer en el escritorio, y más tarde se descubrió que también afectaban a IE Mobile en Windows Phones. Microsoft ha parcheado todas las vulnerabilidades en la versión de escritorio del navegador, pero los fallos permanecerá abiertos en IE Mobile. Los reportes iniciales sobre estos defectos dijeron que eran dia cero en Internet Explorer, también. La compañía actualizó los avisos la noche del jueves para reflejar el hecho de que los errores sólo afectan a IE Mobile.

"Somos conscientes de los informes relativos a Internet Explorer para Windows Phone. Una serie de factores tendrían que entrar en juego, y no ha habido reporte de ataques. Seguimos monitoreando la situación y tomaremos las medidas apropiadas para proteger a nuestros clientes ", dijo un portavoz de Microsoft.

Cada una de las cuatro vulnerabilidades es en un componente diferente del navegador, pero todas ellas son explotables remotamente. Los reportes de ZDI dicen que los atacantes podrían aprovechar estas vulnerabilidades a través de ataques drive-by típicos.
La más grave de las cuatro vulnerabilidades es un error en el modo en que Internet Explorer maneja algunos arreglos específicos.

"La vulnerabilidad se refiere a cómo Internet Explorer procesa matrices que representan celdas en tablas HTML. Mediante la manipulación de los elementos de un documento un atacante puede forzar a Internet Explorer para utilizar la memoria más allá del final de una serie de células HTML. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del actual proceso ", el asesor de ZDI dice.

Esa vulnerabilidad fue descubierta como parte del concurso Mobile Pwn2Own en noviembre y ZDI comunico a Microsoft en el momento. ZDI tiene una política de divulgar las vulnerabilidades comunicadas de forma privada después de 120 días, incluso si el proveedor afectado no ha lanzado un parche. Microsoft no ha emitido parches para cualquiera de los cuatro vulnerabilidades descubiertas por ZDI esta semana.

Entre las otras vulnerabilidades que la empresa dio a conocer un defecto en la forma en IE maneja algunos objetos.

"Existe el defecto específico en el manejo de objetos CAttrArray. Mediante la manipulación de elementos de un documento un atacante puede forzar un puntero a trabarse para ser reutilizado después de que ha sido liberado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del actual proceso ", dice el aviso.

Las otras dos vulnerabilidades son similares, ya que implican el mal manejo de ciertos objetos. IE en algunas circunstancias falla al manejar objetos CTreePos y CCurrentStyle, lo que lleva a un puntero a que se cuelge y que un atacante puede reutilizarlo.

Colmena de Hackers: FBI confisca el foro Darkode

(telegraph) - Un destacado foro en línea dedicado a los productos y servicios utilizados para cometer delitos cibernéticos ha sido desmantelado tras una operación policial internacional, dijo la Agencia Nacional de la Delincuencia (NCA).

Darkode.com, un sitio abierto sólo a los que se les consideraba que tienen los niveles adecuados de pericia criminal, fue sacado de línea este miércoles por el FBI. El Fiscal federal David Hickton dijo: "A través de esta operación, hemos desmantelado un nido de hackers que se creía por muchos, incluidos los propios hackers, ser impenetrable".

Al mismo tiempo, se realizaron 28 arrestos en todo el mundo, con lo que el número total de personas detenidas por presuntos delitos vinculados al sitio es de 70, en 20 países.

Un hombre de 26 años de edad, de Coventry fue arrestado por la Unidad de Crimen Organizado Regional de West Midlands. Fue interrogado y posteriormente liberado quedando en espera de ser llamado para declarar sobre nuevas investigaciones, dijo que el NCA.

Los oficiales de policía de Escocia buscaron una dirección en Paisley y obtuvieron material para su análisis.

Agente especial del FBI J Keith Mularski muestra una captura de pantalla de la página web Darkcode

Otras cinco personas que se cree han sido miembros de Darkode han sido detenidas con anterioridad por agentes de la Unidad de Delito Cibernético Nacional del ANC, que ha dirigido y coordinado el elemento de operacion del Reino Unido.

Ellos son un hombre de 26 años de edad, de Biggin Hill, Kent, detenido en noviembre de 2013; un hombre de 25 años de edad, de Caterham, Surrey, detenido en julio de 2014; un hombre de 20 años de edad, de Barking, Essex, detenido en julio de 2014; un hombre de 23 años de edad, de Marlborough, Wiltshire, detenido en marzo de 2015, y una persona de 53 años de edad, no ciudadano británico, detenido en Essex en marzo de 2015.

Steven Laval, agente investigador senior de la Unidad Nacional de Delito Cibernético, dijo: "Esta ha sido una operación verdaderamente global, dirigidas tanto a la infraestructura de un punto en línea disponible para el crimen cibernético de gama alta, y presuntos miembros de la comunidad criminal.

"A pesar de la naturaleza exclusiva de Darkode y las habilidades técnicas de sus usuarios, esta acción muestra una vez más que podemos identificar y perseguir a aquellos que creemos que estan tratando de ofender a través de un entorno en línea aparentemente seguro, lejos de sus víctimas.

"La NCA continúa trabajando con socios en el Reino Unido y en todo el mundo para luchar contra la delincuencia cibernética internacional".

Darkode.com fue uno de los más destacados foros web del idioma Inglés que facilitaban el comercio de bienes y servicios, incluyendo malware (software malicioso), Exploits de Día Cero (ataques cibernéticos explotan fallos de software) y el acceso a servidores comprometidos.

Nuevo Mercado en la Dark Web Vendiendo Exploits Día Cero a Hackers

Los hackers llevan años comprando y vendiendo sus secretos en mercado de exploits día cero para los que no existe parche de software. Ahora, un nuevo mercado espera formalizar el comercio de armas digitales en un entorno en el que pudiera florecer: bajo la protección del anonimato de la Web Oscura.

En el último mes, un mercado en la darknet autodenominado Mercado TheRealDeal ha surgido; se centra ser intermediario entre los hackers y posibles compradores de vulnerabilidades día cero. Al igual que Silk Road y sus sucesores en línea del mercado negro, TheRealDeal utiliza el software de anonimato Tor y la moneda digital bitcoin para ocultar las identidades de sus compradores, vendedores y administradores. Pero mientras que algunos otros sitios se han vendido simples, herramientas de hacking de nivel básico y para robar datos financieros, los creadores de TheRealDeal dicen que están buscando negociar datos premium de hackers como los servicios de hacking codiciados día cero (es decir, que aun no hay parche para dicha vulnerabilidad), código fuente, y, en algunos casos, estos se ofrecen en una exclusiva, venta de una sola vez (lo cual es mas caro, debido a que el uso por una entidad asegura mas tiempo de vida de dicho exploit).

"Bienvenidos ... originalmente abrimos este mercado como 'mercado de código'-:" dice un mensaje de administradores anónimos del sitio. "Evitar completamente la estafa/escoria y disfrutar de verdadero código, información de bienes y productos reales."

Hasta el momento, el mercado no ofrece muchas vulnerabilidades a la venta, pero los pocos que aparecen en la lista son significativos: Uno, con un precio de $ 17.000 en bitcoin, pretende ser un nuevo método para hackear cuentas de Apple iCloud. "Se puede acceder a cualquier cuenta con una petición maliciosa de una cuenta de proxy", dice la descripción. "Por favor, arreglar una demostración indicandome una cuenta de su elección para hackear."

Otros incluyen una técnica para hackear configuración de varios sitios de WordPress, un exploit contra el navegador predeterminado de Android Webview , y un ataque de Internet Explorer que afirma que trabaja en Windows XP, Windows Vista y Windows 7, disponible por alrededor de $ 8.000 en bitcoin. "Encontrado hace 2 meses por fuzzing", el vendedor escribe, "Dispuesto a mostrar una demo a través de los medios habituales, mensaje de mí, pero no me hagas perder el tiempo!"

Apple, WordPress, Google y Microsoft no han respondido a las peticiones para hacer comentarios en el momento de su publicación.

Para ser claros, ninguno de los exploits que figuran en el sitio han sido confirmados que funcionen en realidad. Cualquiera de los anuncios podrían ser intentos de estafa hacia compradores incautos. La vulnerabilidad $ 17,000 iCloud, en particular, que pretende ofrecer el acceso a prácticamente todos los datos móviles sensibles de un usuario, incluyendo correos electrónicos y fotos, suena demasiado bueno para ser verdad. En comparación, vendedores de exploits día cero en 2012 afirman que una vulnerabilidad de iOS tpodría venderse hasta por US $ 250.000. En el 2013, el New York Times informó de que un individuo había vendido una a un gobierno por medio millón de dólares.

Casper Malware Vinculado a agencia de espionaje francés

Investigadores de seguridad han descubierto una nueva campaña de ataque dirigido patrocinada por el Estado, con lazos al programa espía francés Babar, que se utilizó el año pasado contra objetivos sirios.

Casper es una "herramienta de reconocimiento bien desarrollada" con varias características diseñadas específicamente para permanecer oculto en los equipos cautivos y ser más astuto que los productos antivirus, según el analista de Eset Joan Calvet.

Ella afirmó en un blog el jueves que la empresa fue capaz de estudiar dos exploits de flash día cero dirigidas a la vulnerabilidad CVE-2014-0515 y que fue encontrado en un sitio web del Ministerio de Justicia sirio.

Estas vulnerabilidades fueron "muy probablemente", desarrolladas por la gente detrás de Babar y otras dos piezas de malware francés relacionadas apodadas Bunny y NBOT, dijo.

Eset sabe porque todos comparten varias características, incluyendo el hecho de que se esconden las llamadas a funciones de la API "mediante el uso de un hash calculado a partir de los nombres de las funciones, en lugar de los propios nombres."

Las diferentes piezas de malware también recuperan información acerca del Antivirus que se ejecuta en una máquina específica a través de la misma solicitud WMI, y calculan el hash SHA-256 de la primera palabra del nombre de anti-virus, Calvet afirmó.

"Casper genera delimitadores para sus solicitudes HTTP rellenando una cadena de formato específico con los resultados de las llamadas a la función API GetTickCount. El mismo código está presente en algunas muestras de NBOT", añadió.

"Ninguno de estos signos solo es suficiente para establecer un vínculo fuerte, pero todas las características compartidas juntos nos hace valorar con alta confianza que Bunny, Babar, NBOT y Casper fueron desarrollados por la misma organización."

Todas las personas a quien se dirigio Casper se encontraban en Siria, pero Eset no logró determinar si habían sido redirigidos desde una página legítima de la misma página web del gobierno comprometido - jpic.gov.sy - o de otra fuente, como un enlace de correo electrónico malicioso o un sitio de terceros hackeado.

Calvet ha añadido:

"Esto nos lleva a una segunda hipótesis: la página web 'jpic.gov.sy' podría haber sido hackeada para servir como un área de almacenamiento. Esto tendría al menos dos ventajas para los atacantes: en primer lugar, la organización de los archivos en un servidor de Siria puede que sean más fácilmente accesibles desde Siria, un país cuya conexión con el mundo exterior a internet ha sido inestable desde el comienzo de la guerra civil ... En segundo lugar , sería engañar a los esfuerzos de atribución por levantar sospechas contra el gobierno sirio ".

 Sin embargo, no hay evidencia directa en Casper mismo "para señalar con el dedo a un determinado país," aunque está claro que sus autores pertenecían a una "poderosa organización", concluyó Calvet.

Descubierto el mes pasado después de haber sido mencionado en documentos filtrados por Edward Snowden, Babar se piensa que es la obra de la francesa Direction Générale de la Sécurité Extérieure.

Con informacion de InfosecurityMagazine

Hackers chinos comprometen Forbes.com usando vulnerabilidad dia cero de Flash en IE

Un grupo APT chino fue capaz de encadenar dos vulnerabilidades día cero, uno en contra de Flash Player de Adobe y otro en contra de Microsoft Internet Explorer 9, para comprometer un sitio de noticias populares a finales del año pasado.

El objetivo del grupo era obtener acceso a computadoras de varias empresas de defensa y financieras de Estados Unidos mediante la creación de un ataque agujero de agua (watering hole) en el sitio que descargaría un DLL malicioso al usuario.

Los investigadores de Invincea y iSIGHT Partners trabajaron en conjunto para desenterrar información sobre el grupo, que fue capaz de poner en peligro una parte de la página web de Forbes.com que aparece a los usuarios antes de que sean portados a artículos que han hecho clic. La parte de la web, el Pensamiento del Día de Forbes.com, es operado por un widget flash.

Según los investigadores de Invincea el grupo fue capaz de utilizar una vulnerabilidad de día cero para secuestrar ese widget por un corto período, del 28 de noviembre al 1 de diciembre A lo largo de esos cuatro días, el grupo se concentro en los visitantes al sitio que trabajan en firmas de defensa y financieras de Estados Unidos.
Los investigadores de iSight descubrieron que, además de la falla de Flash, los atacantes también explotaron una vulnerabilidad de Internet Explorer, un día cero que ayudó a los atacantes a saltarse la protección Address Space Layout aleatorización (ASLR) en IE 9.

Si bien el fallo de Adobe, un desbordamiento de memoria (CVE-2014 hasta 9163) fue parchado de nuevo el 9 de diciembre, la mitigación de bypass ASLR (CVE-2015 a 0071) fue uno de los muchos parches del pasado Microsoft Patch Tuesday, una actualización que fue especialmente fuerte en soluciones de Internet Explorer.

En una valoración crítica técnica del ayer ataque, Invincea explicó como sitio de Forbes fue capaz de redirigir a una dirección IP, cargar el exploit de flash, y soltar un archivo DLL, hrn.dll, para ser cargado en la memoria del equipo.

"Una vez en la memoria, el exploit obtiene privilegios administrativos y abre un símbolo del sistema," Resumen ejecutivo del Invincea dice: "A continuación, el sistema de la víctima fue escaneada para informar sobre sus actuales niveles de parches, la topologia de la red y la configuración IP completa, incluidas posibles conexiones VPN. "

Fuente: ThreatPost

Vulnerabilidad Dia-Cero (0-day) en Plugin de WordPress

Una vulnerabilidad día cero se ha descubierto en un plugin de WordPress popular, llamado 'FancyBox para WordPress', que está siendo utilizado por cientos de miles de sitios web que se ejecutan la plataforma más popular plataforma de blogs: Wordpress.

Vulnerabilidades Dia Cero Utilizadas en Internet

Los investigadores de seguridad de la firma Sucuri emitieron una advertencia ayer miercoles por la vulnerabilidad de día cero que se está "activamente explotando en internet" por hackers maliciosos para infectar el mayor número de víctimas.
Si bien hay más de 70 millones de sitios web en Internet actualmente ejecutan el sistema de gestión de contenidos WordPress, más de medio millón de sitios web utilizan el plugin 'FancyBox for WordPress', por lo que es uno de los plugins más populares de Wordpress para la visualización de imágenes, el contenido HTML y multimedia en la llamada "lightbox" que flota sobre la página Web.

Los Hackers Inyectan Malware en Wordpress

La vulnerabilidad permite a los atacantes inyectar un iframe malicioso (o cualquier script / contenido aleatorio) en los sitios web vulnerables que por lo general redirecciona las víctimas al sitio web '203koko'.

"Todas las infecciones tenían un iframe malicioso similar de '203koko' inyectado en el sitio web,"

Daniel Cid, fundador y director de tecnología de Sucuri que descubrió la vulnerabilidad, escribió en un aviso.

"En el análisis de los sitios web infectados, se encontró que todos los sitios web estaban usando el plugin FancyBox para WordPress."

FancyBox for WordPress Plugin ya ha sido retirado temporalmente del Directorio de plugins de WordPress, y los investigadores aconsejaron a usuarios/desarrolladores/programadores de wordpress que eliminaran el plug-in, ya que no ha sido actualizado desde hace dos años y constituye una amenaza para la seguridad de los usuarios.

Se libera Parche

Sin perder mucho tiempo, los desarrolladores lanzaron dos nuevas versiones del plugin hoy jueves para solucionar la falla. La versión 3.0.3 aborda la falla real, mientras que la versión 3.0.4, lanzada hoy por la tarde por José Pardilla, cambia el nombre del plug-in de configuración donde se originó el problema.
De acuerdo con el registro de cambios plugin, las últimas actualizaciones dejarán de ejecutar el código malicioso en las páginas web donde el plugin se actualiza sin eliminarlo. Los usuarios que tienen el plugin FancyBox for WordPress instalado en sus sitios se les recomienda aplicar el parche de inmediato.
WordPress es una herramienta de blogs de código abierto y un sistema de gestión de contenidos (CMS), con más de 30.000 plugins, cada uno de los cuales ofrece funciones personalizadas y cuenta permite a los usuarios adaptar sus sitios web a sus necesidades específicas. Es fácil de configurar y usar, y es por eso que decenas de millones de sitios web en todo el mundo opta por ella, y por lo tanto, los sitios de WordPress son un blanco favorito de los piratas informáticos.

Fuente: Sucuri

Nueva Vulnerabilidad Dia Cero (0-Day) en Adobe Flash usando Dailymotion.com En Campaña de Publicidad Maliciosa

Foto: ThreatPost

Adobe Flash Player ha visto de nuevo un exploit día cero que ha aparecido en internet debido a una vulnerabilidad crítica que permite infectar equipos con solo visitar una página web maliciosa. Los EE.UU. parece estar lleno de ataques basados en publicidad maliciosa que tiene sus fundamentos en la explotación.

Adobe Flash Player 16.0.0.296 y versiones anteriores para Windows y Mac son los sistemas afectados con Internet Explorer y Firefox en Windows 8.1 y anteriores. La vulnerabilidad ocasiona fallos del sistema y, posiblemente, permitiría a los atacantes tomar el control del sistema, dice Adobe.

Trend Micro informó que las personas que han visitado el conocido sitio "dailymotion.com" han sido redirigidos a una serie de sitios que finalmente terminan en el  URL hxxp://www.retilio.com/skillt.swf, donde el exploit está hospedado. La infección se produce automáticamente cuando los usuarios visitan el sitio. Esto es porque los anuncios están diseñados de tal manera en la que el anuncio se carga tan pronto como un sitio es visitado.
La empresa informó que la primera etapa de análisis que se produjo indicó que esto podría haber sido ejecutado por el funcionamiento del Angler Exploit Kit ya que ha habido partidos entre las técnicas de ofuscación y cadenas de infección. Asimismo, la firma dijo que hay una alta probabilidad de que esto no sólo se vio limitada a la página web Dailymotion como el contenido del sitio web no fue la razón para desencadenar la infección, sino que fue la plataforma de publicidad que fue responsable.

El ataque paso a ser algo recurrente desde al menos el 14 enero, dijo Trend Micro. Pero la situación empezó a ponerse realmente mal como 27 de enero ocupa con un aumento en los accesos a la zona afectada.

Se espera que una actualización de Flash Player para ser lanzado esta semana y que Adobe está trabajando activamente en el tema.

Esta es la tercer vulnerabilidad día cero para Flash en el mes de enero y es asombroso como el fallo anterior que infecta a cualquier versión de Internet Explorer o Mozilla Firefox en cualquier versión de Windows. De nuevo hay que subrayar que la explotación en la naturaleza se debe a la utilización de la Angler Exploit Kit que utiliza el tema en un ataque publicidad maliciosa. Angler estaba instalando el troyano Bedep. Este troyano está entonces siendo utilizado para secuestrar PC por fraude anuncio (el PC que es atacado se convierte como un zombi en la generación de botnet para conseguir clics falsos en los anuncios de los ingresos de pago por clic) y para la descarga de ransomware como CryptoLocker.

Fuente: HackRead

Nueva Vulnerabilidad Dia-Cero (Zero-Day) Adobe Flash es utilizada por el Prevalent Angler Exploit Kit en Internet

Foto: ThreatPost

El peligroso Angler Exploit Kit tiene una nueva arma en su arsenal de ataques: una vulnerabilidad Adobe Flash de día cero (Zero-Day). El kit está explotando una vulnerabilidad previamente desconocida en varias versiones de Internet Explorer se ejecuta en Windows 7 y Windows 8.

El investigador de seguridad francés Kafeine ha detectado una versión del Angler Kit que está lanzando exploits para varias vulnerabilidades en Flash, incluyendo dos errores conocidos. Pero el gran problema es que el equipo también tiene un código de explotación para lo que parece ser una de día cero en la última versión de Flash, versión 16.0.0.257. Kafeine dijo que vio por primera vez el exploit para el día cero en Flash el miércoles y que está siendo utilizado para instalar una pieza de malware conocida como Bedep.

Las versiones anteriores de Angler se han visto instalar Bedep en el pasado. El malware se utiliza para operaciones de fraude con anuncios, y ha sido utilizado por Angler en lo Kafeine llama infecciones "sin archivo" de máquinas específicas.

El investigador dijo que no todos los casos de Angler están utilizando el nuevo exploit Flash día cero, ni se están utilizando en contra de todos los navegadores populares. En sus pruebas, Kafeine encontró que Internet Explorer 10 en Windows 8, IE 8 en Windows 7 e IE 6.9 en Windows XP, todos están siendo explotados. Chrome no está en la mira y Windows 8.1 con todos los parches no es explotable  Internet Explorer 11 en Windows 8.1 con todos los parches tambien esta siendo explotado, dijo.

Kafeine no ha publicado el MD5 del nuevo exploit todavía, pero dijo que los usuarios deben tomar precauciones hasta que Adobe tenga una revisión disponible para la vulnerabilidad.

"Desactivar Flash Player por algunos días podría ser una buena idea", dijo.

Un portavoz de Adobe dijo que la compañía tiene conocimiento del informe y está investigando.

El equipo detrás de Angler parece tener una afinidad especial por vulnerabilidades para Flash. El kit tiene a menudo exploits para versiones recien actualizadas de Flash, dias despues de que Adobe publique sus parches.