Abrir sesión
logo

DEFENSA FRENTE A LAS CIBERAMENAZAS

Nivel de alerta
MUY ALTO
barra de nivel de alerta
barra-separadora
  • BUENAS PRÁCTICAS
  • LUCIA
  • ENS
  • Cursos 2016
  • Vídeo
  • Decálogo de Ciberseguridad

CARMEN

Herramienta de Detección de APTs

CCNDroid

Herramientas de Seguridad para Android

CLARA

Auditoría de Cumplimiento ENS/STIC en Sistemas Windows

INES

Informe de Estado de Seguridad en el ENS

LUCIA

Gestión de Ciberincidentes

PILAR

Análisis y Gestión de Riesgos


REYES

Intercambio de Información de Ciberamenazas

ALERTAS Y VULNERABILIDADES

Vulnerabilidad:
CCN-CERT-1608-19019

DSA-3655 mupdf - security update

EMPRESAS

Catálogo de Servicios

Sistema de Alerta Temprana, SAT de Internet 

Detección en tiempo real de amenazas e incidentes existentes en el tráfico que fluye entre la red interna a Internet

Detección de patrones de distintos tipos de ataque y amenazas mediante el análisis de tráfico y sus flujos.

Guías SCADA

Los sistemas SCADA o sistemas de Supervisión, Control y Adquisición de Datos, comprenden todas aquellas soluciones de aplicación que recogen medidas y datos operativos de equipos de control locales y remotos. Los datos se...

Seguridad al día

Primera botnet para Android controlada a través de Twitter

Investigadores de ESET han descubierto la primera botnet para Android controlada a través de Twitter.  Identificado por investigadores de ESET como Android/Twitoor se trata de la primera app maliciosa que usa Twitter en vez del tradicional servidor de mando y control (C&C) para recibir instrucciones.

Android/Twitoor es un backdoor (link is external) capaz de descargar malware en los dispositivos infectados, y está activo desde hace aproximadamente un mes. Esta app maliciosa no puede ser hallada en ninguna tienda oficial de Android; y lo más probable es que su método de propagación sea SMS o URLs maliciosas. Lo que Lukáš Štefanko (link is external), el investigador de ESET que ha descubierto la botnet,  ha dado a conocer es que se hace pasar por aplicaciones MMS para reproducir contenido pornográfico.

Después de ejecutarse, el troyano oculta su presencia al sistema y verifica la cuenta de Twitter definida en su código a la espera de recibir órdenes.  En función de las instrucciones que recibe  puede tanto descargar apps maliciosas como cambiar la cuenta C&C de Twitter a otro usuario.

El uso de Twitter para controlar una botnet es algo novedoso para la plataforma Android”, explica  Štefanko, investigador de ESET que ha encontrado la app maliciosa y que señala que los canales de comunicación basados en redes sociales son difíciles de descubrir e imposibles de bloquear en su totalidad. Sin embargo, resultan muy útiles para los ciberdelincuentes  a la hora de redireccionar comunicaciones a otra cuenta.

Twitter se utilizó como medio de control de botnets en sistemas Windows por primera vez en 2009. “Pero para el ecosistema Android, este tipo de técnicas de ocultación no se habían descubierto hasta ahora. Esto nos hace pensar que próximamente podríamos encontrarnos con ejemplos en los que los ciberdelincuentes usaran otras redes sociales como Facebook o Linkedin para controlar sus amenazas”, advierte Štefanko.

Android/Twitoor ha estado activo desde el pasado mes de julio y, según Štefanko, no se puede encontrar en ninguna tienda oficial de apps de Android, por lo que seguramente se difunde a través de SMS o de URLs maliciosas. El troyano se hace pasar por una aplicación de reproducción de contenidos para adultos o por una aplicación MMS pero sin su funcionalidad. En cambio, ha estado descargando diferentes variantes de malware pensados para afectar a las operaciones realizadas con la banca online desde el móvil. Aunque como señala Štefanko, quienes controlan este tipo de  botnets pueden empezar a distribuir cualquier otro tipo de malware en cualquier momento, incluyendo ransomware.

Twitoor es otro ejemplo más de cómo los cibercriminales están innovando en sus actividades delictivas. Los usuarios de internet deberían estar pendientes de proteger su actividad digital con buenas soluciones de seguridad tanto para los ordenadores como para los dispositivos móviles”, concluye Lukáš Štefanko.

ESET (25-08-2016)

Más información

 

Mischa y DMALocker, nuevos ransomware analizados por el CCN-CERT

  • En ambos casos, el malware ha sido diseñado para instalarse en el sistema, cifrar ciertos archivos y extorsionar a la víctima mostrando una notificación sobre el procedimiento de pago para recuperar los archivos cifrados.
  • El CERT Gubernamental Nacional publica los dos informes con IOC y regla YARA.

El CCN-CERT ha hecho públicos dos nuevos Informes de Código Dañino: CCN-CERT ID-18/16 Ransom.Mischa y CCN-CERT ID-19/16 Ransom.DMALocker, en los que analizada sendos malware diseñados para cifrar archivos y pedir un rescate por su recuperación.

En el primero de los casos, el Ransom.Mischa, se distribuyó inicialmente por correos electrónicos a departamentos de Recursos Humanos de ciertas organizaciones ubicadas en Alemania, aunque posteriormente su distribución se hizo masiva.

En cuanto al Ransom.DMALocker, en un principio se difundió en campañas usando otros códigos dañinos que dieran acceso remoto a la víctima. Posteriormente, se han usado campañas de correos electrónicos, de tipo Phishing, así como binarios que simulan ser otros ejecutables.

Los dos informes ahora publicados por el CCN-CERT incluyen además las siguientes secciones:

  • Información de versiones
  • Características y detalles generales
  • Procedimiento de infección
  • Cifrado y ofuscación
  • Persistencia en el sistema
  • Conexiones de Red (en el caso del DMA.Locker)
  • Archivos relacionados
  • Detección
  • Desinfección
  • Información del atacante
  • Reglas de detección (Regla Yara e IOC)

CCN-CERT (23-08-2016)

 

 

Volver

Esta web utiliza cookies, puedes ver nuestra política de cookies Si continuas navegando estás aceptándola Modificar configuración