Injecció de codi

Alerta! Protegeix els teus dispositius de les injeccions de codi

Mentre tenim el mòbil a sobre la tauleta de nit i dormim tranquil·lament, o passegem per la rambla un dissabte de mercat, podem ser víctimes d’un frau des del nostre propi mòbil causat per una injecció de codi.

Avui en dia, els mòbils poden estar totalment controlats remotament sense que ens n’adonem, amb el risc de rebre una trucada del banc preguntant-nos si hem fet una transferència a l’estranger… i ens quedarem amb un pam de nas!

Què és una injecció de codi?

En el món dels hackers, la injecció es refereix a la injecció d’un codi maliciós que substituirà la pàgina web o l’aplicació instal·lada en el nostre dispositiu.

Aquest mètode utilitza el que es coneix per Phishing. La tècnica que consisteix a fer creure a l’usuari que la pàgina on es troba és verídica, que és la que s’utilitza habitualment, per finalment robar-li les credencials d’accés.

Una injecció és, doncs, una suplantació d’una pàgina web o aplicació dissenyada per tal de robar-nos les credencials de serveis, com poden ser bancs, xarxes socials, correu electrònic, paypal i un llarg etc.

La tècnica de la injecció permet als atacants incrustar a dins de les nostres aplicacions, pàgines que superposen les aplicacions o pàgines originals. No són pàgines externes sinó que resideixen en el nostre dispositiu.
Hem de recordar sempre, que les aplicacions i pàgines utilitzades per al Phishing són IDÈNTIQUES a les originals, i és molt, molt difícil detectar-les o imaginar-nos que és un engany.

No es fan així les injeccions de codi

Aparells afectats: ordinadors i mòbils!

En els ordinadors, les injeccions s’apliquen als navegadors Web: Chrome, Firefox, Internet Explorer. Un cop infectat l’ordinador, l’usuari en accedir a la pàgina web del banc La Caixa, Santander, BBVA… visita una pàgina dissenyada exactament igual a l’original que simula formularis on s’introdueix “usuari i contrasenya”, i estan específicament dissenyades per enviar les nostres credencials a un tercer.

La novetat: mòbils infectats

Fins fa poc les injeccions, només afectaven els ordinadors, però des de fa un temps, els mòbils són la mel per a tots els hackers. Com ja sabem, avui dia, tot ho fem amb el mòbil. Doncs bé, aquest fet els fa molt més interessants.

Milions de mòbils a tot el món estan infectats per malware que permet als atacants controlar-los totalment. Poden interceptar els SMS, llegir les aplicacions instal·lades, obrir-les remotament i interactuar-hi, consultar el nostre WhatsApp, correu electrònic, robar-nos les fotografies, utilitzar les targetes VISA, fer trucades…

Com funciona un frau amb la tècnica de la injecció

Els atacants infecten el nostre mòbil Android, injecten una aplicació que simula ser la de La Caixa, Santander o BBVA… l’obrim, hi posem les nostres credencials i finalment desistim. Amb això, ja hem donat als hackers tota la informació que necessitaven.

Mentrestant el hacker rep usuari i contrasenya, accedeix remotament al nostre compte bancari i executa una transferència per valor de 5000 € a un compte de l’estranger. Tot seguit rebem un missatge SMS “servei OTP” per confirmar la contrasenya de la transferència. El hacker, per descomptat, intercepta l’SMS i acaba confirmant la transferència.

Com podem evitar una injecció al nostre mòbil

Cada dia apareixen milers de noves aplicacions i jocs gratuïts al Google Play. Moltes d’aquestes aplicacions prometen ser gratuïtes i oferir-nos una molt bona estona amb una sopa de lletres, un sudoku, o uns efectes de càmera fotogràfica que deixarà les nostres fotos impecables. Moltes, moltíssimes d’aquestes aplicacions gratuïtes, no han superat grans controls de seguretat per ser accessibles per als usuaris, ja que Google no en té un control massa acurat.

En aquí és a on trobem gran part de les infeccions als mòbils Android. Usuaris que constantment descarreguen jocs o aplicacions gratuïtes per provar-les i després desinstal·lar-les, aquestes sovint porten adherit malware (codi maliciós) molt perillós que pot comprometre els nostres telèfons mòbils.

Recomanacions per evitar infeccions al mòbil

  1. Proveeix-te d’antivirus. Tenir un bon antivirus al mòbil no és cap broma, actualment és tant o més necessari que tenir-ne a l’ordinador.
  2. No descarreguis programes i jocs innecessaris, i en cas que ho facis comprova bé la procedència, les opinions dels altres usuaris, pregunta’t per la vida del programa/joc: “quan fa que existeix?”
  3. No facis transferències bancàries amb el mòbil, en la mesura del possible. Fes-ho des d’un ordinador. Per descomptat, l’ordinador, també amb un bon antivirus instal·lat.
  4. Fes manteniment al teu mòbil. Cada mes, revisa quins programes hi tens instal·lats, de quins pots prescindir i revisa si estan actualitzats.
  5. Fixa’t bé quins permisos et demana l’aplicació que et vols descarregar. En instal·lar aplicacions, se’ns informa que l’aplicació accedir al micròfon, trucades, i correu electrònic. Desconfia: a un Sudoku, per què li cal accedir a les nostres trucades?

Si vols ampliar els teus coneixements sobre la prevenció de virus i codi maliciós, pots llegir aquesta altra entrada del nostre blog:

EMOTET / TRICKBOT / RYUK – CAMPANYA VIRUS CORREUS

De que es Tracta

Com segurament sabreu, un virus molt maliciós conegut com a Emotet, ha reaparegut per robar dades financeres i registres de dades personals a Catalunya.

Feia uns mesos que semblava estar desaparegut, però una campanya de SPAM massiva ha fet saltar totes les alarmes a petites i grans empreses, també institucions governamentals, hospitals i particulars. Emotet es va descobrir per primera vegada al 2014 com a un Bot/Trojà utilitzat per robar credencials bancàries. Últimament, ha introduït varies capacitats avançades, entre d’altres, un mòdul d’ instal·lació, un mòdul bancari i un mòdul Dos. Emotet es distribueix principalment a través de correus electrònics de Phishing utilitzant diferents tècniques d’enginyeria social com són els clàssics “adjuntamos factura pendiente de pago”.

La importància i el fet diferencial que accentua la perillositat d’aquest Malware (stealer), resideix en el fet de que roba les credencials dels correus del Outlook, Thunderbrid, juntament amb l’historial de converses.

Com Actua

Actualment, la campanya de Emotet es centra en l’enviament de correus amb documents Word adjunts que, un cop s’obren, descarreguen i executen de manera transparent i totalment silenciosa el malware (stealer) que farà el següent:

  • Robarà les Cookies existents en el sistema operatiu per injectar-les als navegadors dels atacants i podrien entrar a pàgines com Gmail, Hotmail, Office 365 i d’altres que requereixin cookies.
  • Robarà documents de txt, o .Doc amb noms concrets pre-configurats. ( Passwords.doc, contraseñas.doc, datos bancarios.doc).
  • Robarà tots els contactes de correu que tinguem en els nostres gestors de correu Outlook i Thunderbird.
  • Recollirà l’historial de les converses que haguem tingut amb els nostres contactes de correu.
  • Robarà totes les credencials guardades en els navegadors i les utilitzades per “auto recordar-se” en Chrome, Firefox i Opera
  • Farà us de pàgines Webs amb Bots, des d’on enviarà correus als contactes suplantant l’ identitat del correu de la víctima.

La importància i el fet diferencial que accentua la perillositat d’aquest Malware (stealer), resideix en el fet de que roba les credencials dels correus del Outlook, Thunderbrid, com també converses de mails. peterpan@exemple.cat  pop3.exemple.cat , imap.exemple.cat  contrasenya: estemfotuts.

Robar l’historial de les converses que haguem tingut suposarà un problema gegant, ja que l’atacant podrà suplantar la nostra identitat, fer servir el nostre compte de correu per enviar als nostres contactes el mateix document Word maliciós. Tot plegat amb converses que ja haguem tingut referents a pressuposts enviats, factures, etc.

Aquest fet facilita a l’atacant propagar el Malware amb molta rapidesa. Les víctimes reben un correu on a la capçalera hi apareix un dels seus contactes, tot i que si ens hi fixem bé, veurem que el correu ha sigut enviat des d’altres comptes prèviament hackejades. És molt difícil no obrir un document que ens envia el nostre “gestor”  anomenat IVA_3er_trimestre.doc

També és important recordar que el Malware ens robarà les credencials dels navegadors. Entre aquestes credencials hi acostumen a aparèixer noms d’usuari i contrasenyes de pàgines de Paypal, Gmail, La Caixa, Santander, BBVA, Bankia…Si bé no disposen del nostre mòbil per rebre el OTP ( SMS de confirmació de transferències) o de la targeta de coordenades, poden utilitzar el SWIM SWAP, una tècnica que consisteix en clonar la nostra targeta SIM del mòbil per rebre els codis de les transferències bancàries.

Tipología i problemes afegits

Aquest Tipus del Malware és de la tipoligía “Stealer” (lladre), aquests es caracteritzen per la seva mida petita. Acostumen a ocupar molt poc, això permet que siguin descarregats amb el document Word ràpidament, executar-se i auto esborrar-se un cop robada tota la informació. En aquest cas però, el Emotec és persistent, s’injecta dins de processos del nostre sistema Windows permetent a l’atacant, després de revisar la informació obtinguda, decidir si enviar-nos i executar un altre Malware com TRICKBOT, que infectarà tota la nostra xarxa d’ordinadors o bé RYUK, que encriptarà totes les dades dels servidors de l’empresa per demanar-ne un rescat econòmic.

Que podem fer per protegir-nos ?

Actualment, aquest Malware viatja a través dels documents Word enviats entre 2-8 milions de comptes de correus, gairebé cap dels antivirus coneguts és capaç de detectar-lo ja que el Malware és xifrat a diari per evitar deteccions. Si bé existeixen diferents mètodes que ens podrien ajudar a atenuar la rebuda d’aquests correus amb aquests documents adjunts, ( Office 365, Gmail ), la millor prevenció és l’educació de l’usuari.

  • Cal revisar en tot moment qui ens envia el correu i si el text té sentit. És molt difícil no caure en els paranys, ja que els Hackers utilitzen enginyeria social molt ben estudiada.
  • La manera més fàcil en cas de dubte és posar-se en contacte per telèfon i verificar l’enviament del correu, o enviar un correu des d’un altre compte preguntant sobre la seva veracitat.
  • Tenir sempre els sistemes operatius dels nostres ordinadors actualitzats amb les ultimes versions.
  • Disposar de sistemes Antivirus de companyies conegudes, com ho són Kaspersky i Norton.

EN CAP CAS OBRIR L’ARXIU WORD/EXCEL que adjunta.

Phising a Correus – Virus Cryptolocker

Ja fa dies que s’ha detectat una campanya de PHISHING molt seriosa, i que no s’acaba de solucionar. Aquesta campanya, consisteix en enganyar als usuaris, gràcies a l’enginyeria social, per redirigir-los a una web maliciosa i instar a descarregar un virus  (Cryptolocker) que encripta totes les dades de l’equip.

Recursos i usuaris de risc:

Potencialment, qualsevol usuari que faci us del correu electrònic i rebi un correu maliciós amb les característiques que us descriurem, pot ser afectat per a aquest virus.

Conseqüències:

Aquest virus encripta totes les dades de l’equip on s’ha produït la descàrrega; això significa que les deixa totalment illegibles, de manera irreversible.

 

 

SOLUCIÓ

Per a una versió prèvia d’aquest tipus de virus (Criptolocker),  existia una solució. En aquesta nova versió, el virus actual d’una manera diferent, i de cap de les maneres fins a dia d’avui, és impossible oferir una solució definitiva, un cop el virus s’ha introduït al sistema.

Realitzeu còpies de seguretat, en un dispositiu que no estigui connectat al ordinador (excepte al fer la copia) de tota la informació que considereu important. D’aquesta manera, en el cas que el vostre ordinador es vegi afectat per algun incident de seguretat, no la perdreu. Si necessiteu ajuda per a realitzar aquesta tasca, no dubteu en posar-vos en contacte amb nosaltres. Programem còpies de seguretat diàries, i us formem per tal de que sigueu vosaltres els que configureu correctament les còpies.

 

 

NO HAS REBUT UN CORREU D’AQUESTES CARACTERÍSTIQUES?

No baixeu la guàrdia i estigueu atents. Si us arriba algun correu amb l’assumpte igual o similar al que descrivim a continuació, elimineu-lo directament. En cap cas accediu als enllaços que us pugui facilitar ni descarregueu i/o executeu possibles arxius que puguin dur adjunts.

El correu es presenta amb el següent pretext: “carta certificada no entregada a usted”, amb l’únic objectiu d’infectar els equips dels usuaris.

El missatge que suplanta la identitat de correus es el següent:

 

Cryptolocker_1

 

Si l’usuari accedeix al enllaç intern en el correu, serà redirigit a una pàgina d’aspecte MOLT similar a la legítima pàgina de Correus. Per a més credibilitat al frau, es convida al usuari a introduir un codi de verificació (CAPTCHA):

 

Cryptolocker_2

Una vegada introduït el codi, la descàrrega del malware s’iniciarà automàticament:

Cryptolocker_3

 

L’arxius decarregat està comptimit en format .ZIP i s’anomena CORREOS.ZIP, al descomprimir-lo s’obté un arxiu executable amb la icona canviada, que aparenta ser un arxiu PDF.

 

Cryptolocker_4

 

L’arxiu CORREOS.EXE conté una variant del temut Cryptolocker, un ransomware que encripta tot el contigut de l’equip infectat. Es demana un rescat a l’usuari en el cas de que vulgui desencriptar els arxius.

En el cas que usuari afectat segueixi els passos indicats a la web, i descarregui i instal·li el virus, l’ordinador i els arxius quedaran inutilitzables fins que es pagui el “suposat” rescat.

 

SI PAGO LA QUANTITAT DE DINERS QUE SOL·LICITEN, recuperaré els arxius?

No ho recomanem de cap manera, molts dels afectats han pagat diners i no han recuperat cap tipus d’arxiu. Hem de tenir en compte que es tracta d’estafadors, que ni de bon tros, ens podran garantir cap solució un cop pagat.

 

Per tant, és molt important realitzar còpies de seguretat periòdiques dels arxius per tal de prevenir una possible encriptació. Si necessiteu assessorament sobre dispositius i mètodes, o formació per a configurar les vostres còpies, a Informàtica i Més us podem ajudar.