Malwares
Mostrando entradas con la etiqueta Malwares. Mostrar todas las entradas
Mostrando entradas con la etiqueta Malwares. Mostrar todas las entradas

Google retira 13 apps para Android con malware



Hemos conocido que Google acaba de retirar 13 apps para Android con malware.

Como ya te hemos comentado, el asunto de las aplicaciones en Google Play con malware es algo ya conocido y hace muy pocos días se dio un nuevo caso, concretamente dos aplicaciones fueron denunciadas a Google por estar ser presuntamente sospechosas de realizar actividades en nuestro teléfono perjudiciales.

Lista de aplicaciones afectadas

- Crazy Block.

- Cake Blast.

- Honey Comb.

- Jump Planet.

- Cake Blast.

- Jump Planet.

- Tiny Puzzle.

- Cake Blast.

- Jump Planet.

- Just Fire.

- Honey Comb.

- Cake Tower.

- Ninja Hook.

- Piggy Jump.

- Drag Box.

- Eat Bubble.

- Hit Planet.

Todas las apps nombradas en la lista anterior tienen el mismo o parecido malware que Brain Test, por lo que si la tienes instalada en tu teléfono te recomendamos que la desinstales cuanto antes.

Brain Test era una aplicación que estaba disponible en Google Play y que tenía malware que afectaba a nuestro teléfono de manera que podía acceder a los privilegios root e incluso resistir a eliminaciones y reseteo de fábrica del teléfono.

Aparte se descubrió que esa aplicación también podía copiar archivos de /system de manera que solo podrías librarte de el instalado una nueva ROM en tu teléfono. Las aplicaciones de la lista anterior estaría afectadas por el mismo o similar malware.

A pesar de las continuas medidas para la entrada de nuevas aplicaciones en Google Play lo cierto es que parece que todavía algunas apps infectadas logran poder estar en el catálogo de la tienda y por consiguiente ser expuestas a descargarse.

Fuente
Read More

Configurando EDA2


Hola a todos, a petición de varios usuarios, he realizado un tutorial básico y rápido de como configurar EDA2.

EDA2, es la versión actualizada de Hidden Tears, podéis obtener más información en estos post:

https://underc0de.org/foro/malware/hidden-tear-el-primer-ransomware-open-source/

https://underc0de.org/foro/malware/configurando-hidden-tear-(offline)/

https://underc0de.org/foro/malware/configurando-hidden-tear-(online)/

Repositorio oficial: https://github.com/utkusen/eda2

Al igual que Hidden Tears, EDA2 es un ransomware opensource con las siguientes características:
  • Utiliza ambos algoritmos RSA y AES.
  • Se coordina desde un C&C
  • Utiliza CSPRNG y phplibsec
  • Los archivos cifrados se pueden descifrar con el software de la versión anterior.
  • Cambia el fondo de escritorio al ejecutarse.

Funcionamiento

1. El ransomware envía una solicitud POST al C&C con la variable del nombre de usuario.
2. El C&C crea la key RSA pública /privada y envía la clave pública para al ransomware y guarda la clave privada en la base de datos
3. El programa crea una clave aleatoria para el algoritmo AES
4. El ransomware encripta los archivos con el algoritmo AES
5. El ransomware encripta la clave AES con la clave pública RSA y la envía al C&C vía POST.
NO FUNCIONA A mi no me funcionó y tuve que reprogramarlo para el tutorial (más bien hice una chapuza rápida). Parece ser que envía los campos en blanco.

6. El C&C guarda la clave cifrada AES dentro de la base de datos.
NO FUNCIONA  Al no recibir nada, no lo guarda.

Configuración

1. Lo primero con lo que nos encontramos, es la siguiente linea:

Desde esta, podremos modificar la longitud de la clave RSA.

2. Acto seguido, deberemos modificar estas 2 urls por las de nuestro hosting (habiendo subido previamente el panel).

En la siguiente línea podremos modificar la imagen que se pondrá de fondo de escritorio al ejecutar el ransomware:

3. Podremos modificar el directorio desde donde empezará a cifrar los ficheros en esta linea:

4. Además, como en Hidden Tears, podremos modificar la extensión de nuestros ficheros cifrados.

5. Obviamente, podremos decidir que extensiones queremos cifrar, pudiendo añadir o eliminar de la lista que viene por defecto.

6. Además, podemos modificar el algoritmo de creación de la clave, pudiendo poner una por defecto si queremos.

Nota: EDA2 utiliza .NET Framework 4.5, podremos modificar la versión desde aquí:

7. Una vez tengamos el ransomware modificado, debemos crear la tabla dummy en una base de datos llamada panel (obviamente estos nombres se pueden modificar desde el código php, pero son los que vienen por defecto).:

8. Ahora deberemos crear los siguientes campos en nuestra tabla:

Nota: No es necesario darles ese "tipo" de campo, requiere mucho menos espacio.

9. Una vez hecho esto, podremos logearnos en el panel de administración, cuya url sería dominio.com/panel/login.php, utilizando las credenciales por defecto, test:test

10. Este será el dashboard de nuestro panel, donde veremos la información de los infectados.

11.  Verificamos que nuestros ficheros no están cifrados (pues no hemos ejecutado aún el ransomware).

12. Ejecutamos EDA2 y veremos como cambia nuestro fondo de pantalla (por el que hemos seleccionado antes) y nuestros ficheros están cifrados.  

13. Accedemos al panel de administración para obtener la clave para descifrar los ficheros.

14. Pulsamos sobre el botón que dice "Decipher" (Descifrar) y obtendremos la clave necesaria para hacerlo.

15. Utilizamos la clave en el software y listo!

Saludos!
Blackdrake
Read More

Solución para el ransomware de Linux


Hola amigos y lectores de Underc0de

Hace pocos días  en el blog publicábamos sobre el ransomware que infectaba los repositorios y servidores Linux, el que fuera reportado por primera vez por la  empresa Doctor Web, llamándolo Linux.Encoder.1 

El objetivo del troyano  era buscar  hacerse de archivos, páginas, etc., exigiendo   un pago económico  a cambio de la recuperación de datos. 

Así, una vez ejecutado  buscaba el / home, / root y/ / lib / mysql var  y comenzaba el cifrado de contenido, mediante el algoritmo AES (cifrado de clave simétrica), que proporciona suficiente fuerza y velocidad, manteniendo el uso de recursos del sistema al mínimo. La clave simétrica se cifraba con un algoritmo de cifrado asimétrico (RSA) y se antepone al archivo, junto con el vector de inicialización utilizado por AES.

Una vez que los archivos han sido cifrados, el troyano intentaba cifrar también el contenido de la raíz (/), omitiendo sólo los archivos críticos del sistema, por lo que el sistema operativo sería capaz de arrancar de nuevo.

Sin embargo,  la amenaza ha durado poco, porque ya circula en las noticias de la red que el malware tiene un fallo en la generación de su cifrado que permite recuperar la clave ejecutando un script en Python sin tener que pagar nada.

La empresa de seguridad Bitdefender analizó el ransomware y detectó un fallo de diseño a la hora de generar la clave AES en el sistema infectado, ya que la misma no se producía de forma totalmente aleatoria y podía ser recuperada analizando la fecha y hora del momento del cifrado.

Bitdefender, ha hecho público en forma totalmente gratuita el script que ha desarrollado, y que permite automatizar el proceso de generación y recuperación de los datos cifrados.

Más información (en inglés) en: Doctor Web y  script gratuito de Bitdefender aquí 

Visítanos en Underc0de
Read More

Ransomware en servidores y repositorios Linux



Cada vez es más frecuente que los servidores Linux se conviertan en un objetivo para los ciberdelincuentes, a los que hay hay que sumar en esta ocasión los repositorios. Se está utilizando un ransomware para hacerse con el control de estos recursos y proceder al cifrado de su contenido o hacer uso de ellos de forma totalmente ilícita, bien sea para distribuir virus o alojar páginas web falsas.
Lo que se está analizando en primer lugar es la forma de infectar las máquinas, algo que por el momento no está muy claro y que algunos expertos apuntan a que un puerto abierto de la aplicación SSH podría ser la principal causa de que esto se produzca.  El ransomware que llega a los servidores se encarga de cifrar los archivos que se encuentran en él creando archivos con la extensión .encrypt y utilizando el cifrado AES. Aunque en un primer momento se desconocía cuál era la finalidad real de todo esto, ya que en ningún momento se pidió una recompensa por lo datos cifrados, después se pudo comprobar al analizar una de las máquinas afectadas que se utilizaban los recursos para almacenar contenido de los ciberdelincuentes.
Páginas web falsas para realizar ataques phishing y malware en el caso de los repositorios son los dos recursos que tienen cobijo en los sistemas afectados por este ransomware instalado vía SSH.
Como ya es sabido, cuando se produce la detección de una página web falsa que se distribuye haciendo uso de correos electrónicos, los responsables de los servicios de hosting enseguida proceden a su eliminación gracias a la información de los usuarios y de las propias empresas afectadas. De esta forma, los ciberdelincuentes han conseguido un servicio de alojamiento totalmente gratuito y que además tendrá un rendimiento muy bueno.

El ransomware afecta a los archivos que se utilizan para el desarrollo web


.js, .css, .properties, .xml, .ruby, .php, .html, .gz, .asp, .rar, .7z, .xls, .pdf, .doc, .avi, .mov, .png, .jpgy así hasta completar un largo listado de archivos que se ven afectados por este. Tal y como se puede observar, además de archivos multimedia también se realiza el bloqueo de archivos de desarrollo web.
Adicionalmente también se ha detectado en algunos casos que los ciberlincuentes solicita 1 Bitcoin en un fichero de texto para que se realice la liberación de los archivos. Sin embargo, lo peor es que estos se han hecho con el control del servidor y en algunos casos del repositorio.

Los expertos alertan a los usuarios sobre la seguridad de los NAS domésticos


Aunque todavía no existe ningún caso conocido, se pide extremar la precaución a los usuarios poseedores de un servidor NAS, ya que podrían ser el próximo objetivo de los ciberdelincuentes. Por este motivo se pide no utilizar contraseñas triviales y cerrar los puertos para evitar este tipo de ataques, por no decir que se debe cuidar qué archivos se almacenan en este para no guardar un malware de forma accidental.
Fuente: redeszone.net

 Visítanos en Underc0de
Read More

RAT a la módica suma de 25 dólares


Hola users y lectores de Underc0de!

En varias webs de noticias de seguridad informática se habla de OmniRAT  un troyano de acceso remoto (RAT), que permite control total a distancia (o espiar) dispositivos Android, y equipos Windows, Mac o Linux. Y todo por el módico precio de 25 dólares, por el cual podremos hacernos de él.

La herramienta de control remoto fue detectada por AVAST, pero como sabemos  en sí misma no es ilegítima si hay consentimiento del usuario. 

Ahora, el mal uso que pueda hacerse de ella que es bien diferente. Como es usual el eslabón más débil de la cadena es el propio user, por lo que la ingeniería social está a la cabeza para esta infección. 

Se cuenta  que la  víctima recibe un sms de texto y que para visualizarlo debe bajar la aplicación:

“Una vez instalado, recupera información detallada sobre los servicios y procesos que se ejecutan en el dispositivo, registra llamadas o mensajes o las realiza, visualiza lo grabado por las cámaras, lo transmitido por el micrófono,  puede ver y borrar el historial de navegación, controlar la ubicación mediante el GPS, ejecutar comandos etc. Absolutamente todo.”

La eliminación del malware se dice que es muy complicada para usuarios comunes, pero en definitiva,   el mayor problema que plantea es su bajo costo.

Visítanos en Underc0de
Read More

Configurando Hidden Tear (Online)



Siguiendo con las publicaciones sobre este ransomware de código abierto, si no has leído las anteriores, te recomiendo que lo hagas:

Configurando Hidden Tear Offline

Información sobre Hidden Tear

Para comenzar a configurar este malware, debemos descargar su código source, podemos hacerlo desde su repositorio oficial en github: https://github.com/utkusen/hidden-tear

Para poder modificarlo y compilarlo, necesitaremos Visual Studio. Abriremos el proyecto que hay en el directorio "hidden-tear", no tendremos problemas para entenderlo y modificar las cosas que queramos, pues el código está perfectamente comentado y muy bien estructurado.

Lo primero que vemos, es a que url enviará el ransomware la información del ordenador y la contraseña, para ello, debemos poner nuestra url y tener el archivo php que se encargue de recibir los datos correctamente creado y con los permisos adecuados.







Ambos ficheros deberán tener permisos de escritura.

En ese paso, podremos modificar la contraseña que queremos que cree aleatoriamente, aunque se puede modificar para dejarla fija.


Aquí podremos elegir que se envía a nuestro fichero php y por tanto se guarda en los logs.


El método de cifrado de ficheros y la extensión que se utilizará.


Extensiones que se encriptarán, podemos suprimir alguna o bien, añadir más.


En que directorio se guardará el txt con el mensaje que queremos dejar y empezará a ejecutar el ransomware, es muy importante que exista el directorio o dará un error cuando la víctima lo ejecute. 


Compilamos y se lo enviamos a la víctima.

Por desgracia, Hidden-Tear ya no es fud (Fully UnDetectable).


Como cualquier malware, se puede pasar por un crypter para evitar que sea detectado.




Ejecutamos Hidden Tear y comprobamos que nuestros ficheros se han cifrado con la extensión .locked


Vamos a nuestro fichero de logs y conseguimos la contraseña para recuperar nuestros ficheros.


Utilizando otro proyecto llamado hidden-tear-decrypter (también en github), podremos recuperar los ficheros, utilizando esta contraseña.

Nota: Si alguien le editó la extensión .locked, deberá modificar esta línea escribiendo la extensión que utilizó.




Y tenemos nuestros ficheros de nuevo!
Read More

Configurando Hidden Tear (Offline)






Sigo con las publicaciones sobre este ransomware de código abierto, si no has leído la anterior, te recomiendo que lo hagas, puedes acceder desde aquí.


Para comenzar a configurar este malware, debemos descargar su código source, podemos hacerlo desde su repositorio oficial en github: https://github.com/utkusen/hidden-tear


Para poder modificarlo y compilarlo, necesitaremos Visual Studio. Abriremos el proyecto que hay en el directorio "hidden-tear-offline", no tendremos problemas para entenderlo y modificar las cosas que queramos, pues el código está perfectamente comentado y muy bien estructurado.

Lo primero con lo que nos encontraremos, será donde se guardará la contraseña dentro del pc o usb, ya que el método que emplearemos es offline, en próximas publicaciones, explicaré en online.


A continuación, nos encontraremos con esta línea, en la que deberemos de escribir el nombre del fichero pdf que queremos que se abra, haciendo creer a la víctima, que realmente ha ejecutado el pdf.


En ese paso, podremos modificar la contraseña que queremos que cree aleatoriamente, aunque se puede modificar para dejarla fija.

Extensiones que se encriptarán, podemos suprimir alguna o bien, añadir más.


Este será el mensaje que dejaremos al usuario en el escritorio, dentro del fichero Read_it.txt


El método de cifrado de ficheros y la extensión que se utilizará.


Una vez sabemos como funciona, lo compilamos y comenzamos a probarlo.


Justo cuando lo ejecutamos, se nos abre nuestro fichero pdf (se me abre en el navegador pues en la virtual no tengo ningún visor.)




Una vez el malware hace su trabajo (dependiendo de los ficheros que tengamos, tardará más o menos), podremos comprobar que tenemos nuestros ficheros cifrados.


Puesto a que este es el método offline del ransomware, iremos al directorio de nuestro usuario, en mi caso: C:\Users\Pentesting y ahí encontraremos un txt con la contraseña que necesitamos para recuperar nuestros ficheros.




Utilizando otro proyecto llamado hidden-tear-decrypter (también en github), podremos recuperar los ficheros, utilizando esta contraseña.

Nota: Si alguien le editó la extensión .locked, deberá modificar esta línea escribiendo la extensión que utilizó.





Y tenemos nuestros ficheros de nuevo!




Agradecimientos: Windux por haberme pasado el enlace de github de este proyecto.

En la siguiente entrega, explicaré como modificar y configurar el malware con su método Online.
Read More
Suscribirse a: Entradas (Atom)