#CyberSecurityPulse: El boom de los minadores JavaScript

martes, 19 de diciembre de 2017

OWASP La pregunta más recurrente estos últimos meses derivado del repunte en el valor de numerosas criptodivisas es: ¿Invierto o no invierto? Sin embargo, como sabemos, existen diferentes formas de obtener criptodivisas y, una de ellas, es a través del minado. Una opción cada vez más costosa desde el punto de vista de los gastos incurridos para llevarlo a cabo. Es en este punto cuando sale a relucir la picaresca de ciertos atacantes. Investigadores de seguridad de F5 Networks han detectado una campaña de malware, denominada como Zealot, dirigida a servidores Linux y Windows para instalar mineros de Monero. Los expertos observaron que los threat actors trataban de escanear Internet en busca de servidores particulares no parcheados y los comprometían con dos exploits, uno para Apache Struts (CVE-2017-5638) y otro para el CMS DotNetNuke ASP.NET (CVE-2017-9822).

Otro caso reciente ha sido el detectado en el Starbucks de Buenos Aires donde los equipos de los clientes que se contectaban a su Wi-Fi comenzaban a minar de forma secreta. La notificación a la compañía fue realizada por el CEO de Stensul, Noah Dinkin, quien realizó el pasado 2 de diciembre una conculta a través de Twitter de si estaban al tanto de la situación. Dinkin comentaba en su tweet que se estaba utilizando el minero JavaScript que ofrece Coinhive para minar la criptodivisa Monero.

En este sentido, ElevenPaths ha publicado recientemente en su blog una investigación en la que se explica por qué se apuesta actualmente por minar Monero y no Bitcoin, así como cuáles son las webs más atractivas para aquellos que quieren aprovecharse de la capacidad de cómputo de terceros. Ante esta situación, se han publicado recientemente proyectos, como por ejemplo el de la extensión NoCoin para detectar si tu equipo se encuentra minando. Sin embargo, estos esfuerzos todavía son insufientes.

Más información en ElevenPaths

Noticias destacadas


FCC acaba con la neutralidad de la red

Imagen Tor 3 de cada 5 reguladores federales votaron el jueves pasado para controlar el futuro de Internet por parte de las compañías de cable y telecomunicaciones estadounidenses, dándoles poderes para acelerar el servicio de sitios web o ralentizar a otros. Como se propuso este verano, la Comisión Federal de Comunicaciones (FCC) de Estados Unidos ha retirado las reglas de neutralidad de red que requieren que los proveedores de servicios de Internet (ISP) traten todos los servicios y sitios web por igual y les prohíbe bloquear sitios o cobrar por un servicio de mayor calidad.

Más información en The Hacker News

El Pentágono retrasa la fecha para que los proveedores militares cumplan con las normas de ciberseguridad

Imagen oso pardo El Pentágono retrasará la fecha límite del 1 de enero para que todos sus proveedores cumplan con una serie de nuevas regulaciones diseñadas en gran medida para proteger mejor los datos militares. Para el final del año, las empresas deben simplemente mostrar que tienen un plan establecido para cumplir con la regulación destinada a evitar el robo de datos confidenciales. Esta medida viene después de que en octubre, los funcionarios de Estados Unidos reconocieran que información confidencial del F-35 Joint Strike Fighter de un proveedor militar australiano fue robada.

Más información en NextGov

Noticias del resto de la semana


Evento sospechoso enruta el tráfico de webs importantes a través de Rusia

El tráfico enviado hacia y desde Google, Facebook, Apple y Microsoft fue brevemente enrutado a través de un proveedor de Internet ruso previamente desconocido el miércoles en circunstancias que los investigadores dijeron que era sospechoso e intencional. El incidente, que involucra al protocolo de Internet Border Gateway, es el más reciente que plantea preguntas preocupantes sobre la confianza y la confiabilidad de las comunicaciones. El evento del miércoles se produce ocho meses después de que parte del tráfico de red pertenecientes a MasterCard, Visa y más de dos docenas de otros servicios financieros fueran enviados a través de una telco controlada por el gobierno ruso, también bajo circunstancias sospechosas.

Más información en Ars Technica

Dos 0-days descubiertos en el vBulletin Forum divulgados públicamente

Investigadores han descubierto dos vulnerabilidades críticas en una plataform de vBulletin que podrían permitir a un atacante de forma remota ejecutar código malicioso en la última versión del servidor de aplicaciones vBulletin. La primera vulnerabilidad se trata de un problema relacionado con la inclusión de archivos, lo que permitiría a un atacante que de forma remota pudiera incluir cualquier archivo en el servidor de vBulletin y ejecutar código PHP arbitrario. La segunda vulnerabilidad descubierta, que se le ha asignado el CVE-2017-17672, se describe como un problema de deserialización donde un atacante no autenticado puede aprovechar para eliminar archivos arbitrarios e incluso ejecutar código malicioso "en determinadas circunstancias".

Más información en The Hacker News

Un gestor de contraseñas preinstalado en Windows 10 permitiría robar contraseñas

A partir de Windows 10 Anniversary Update (Versión 1607), Microsoft agregó una nueva característica llamada Content Delivery Manager que instala nuevas aplicaciones sugeridas sin pedir permiso a los usuarios. Según el post publicado en el blog de Chromium el pasado viernes, el investigador Tavis Ormandy alertó de haber encontrado un famoso gestor de contraseñas preinstalado llamado Keeper en su Windows 10, que descargó directamente de Microsoft Developer Network. Posteriormente, Ormandy descubrió una vulnerabilidad crítica que conduce a un "compromiso total de la seguridad de Keeper, lo que permitiría que cualquier sitio web robe cualquier contraseña".

Más información en The Hacker News

Otras noticias


Tritón, el nuevo malware que ataca a sistemas industriales

Más información en FireEye

El nuevo objetivo de Lazarus APT Group, compañías de criptomonedas de Londres

Más información en Security Affairs

Script en Python que recupera registros de eventos ocultos

Más información en Github

No hay comentarios:

Publicar un comentario