Malware Bancario YA! en Colombia! [Botnet]

Como me temía, en Colombia las empresas y entidades no actúan hasta que en verdad no les pasa algo; y esto es para todo tipo de empresa y en cuestiones de seguridad de la información son peor!!!

Ya mucho se ha publicado y muchas de las entidades de seguridad informática y de la información dedicadas a investigar vulnerabilidades, ataques, etc., informaban o informan hoy en dia de que LatinoAmerica debe estar ya preparada ante ataques dirigidos, y mas aun las entidades bancarias. los laboratorios de eset, kaspersky, avira, symantec, y muchos mas, publican casi que a diario ataques informaticos en europa, EEUU, y siempre visionan a que en LatinoAmerica esto no tardara en llegar.

Hoy el departamento de Antifreude de HispaSec [@unaaldia] dio a conocer una Botnet IRC dirigida a entidades bancarias Colombianas; 

Este malware (troyano) se esta propagando mediante el uso de correo electrónico, tratando de infectar a cada usuario con un falso Email de factura, como podemos observar en la siguiente imagen:

Fuente: http://unaaldia.hispasec.com 

Hasta el momento no he podido localizar el Email que llega con este troyano, pero les comparto lo publicado por Hispasec.

Segun el analisis realizado por HispaSec esto fue lo que encontraron:

Este malware, xe3u, cuenta con un "dropper" que comprueba que no se esté depurando el binario. Es éste el que descarga el binario malicioso, y realiza comprobaciones similares al "dropper" anteriormente mencionado. Una vez la victima está infectada, comienza a monitorizar los sitios web que el usuario visita, esperando a que entre en algún sitio de interés, esto es un banco. Además, de esta manera, evita atacar sobre sitios innecesarios para no levantar sospechas. Se comunica a través de un servidor IRC; que mantiene similitudes con el script por defecto que podemos encontrar a continuación:

Fuente: unaaldia.hispasec.com

A pesar de ser similar a éste archivo de configuración, su principal uso en este caso no es el de organizar una botnet para hacer ataques de denegación de servicio sino para la transmisión y robo de credenciales. A continuación podemos observar como modifica el login una vez estamos infectados. En la primera captura, podemos ver un fallo legítimo, sin embargo en el segundo saca al usuario de la sesión sin estar autenticado.

Fuente: unaaldia.hispasec.com

Fuente: unaaldia.hispasec.com

El troyano detecta que el usuario ha entrado en la web del banco, y comienza a monitorear la actividad que ocurre dentro. Una vez el cliente se autentica, recibe un falso mensaje de error en el login, y será entonces cuando el troyano reciba el OK para poder transmitir las credenciales:

Fuente: Unaaldia.hispasec.com

Una vez ha robado la información, la envía a través de IRC al atacante; que recibe los datos obtenidos durante el proceso de autenticación.

Entre las entidades afectadas, se encuentran:

https://www.bancocorpbanca.com.co

https://www.lifemiles.com

www.grupobancolombia.com

www.banco.colpatria.com.co

https://www.avvillas.com.co

https://www.bbva.com.co

https://www.bancodebogota.com

www.bancoagrario.gov.co

https://www.citibank.com.co

https://www.bancopopular.com.co

Como se puede observar, las entidades afectadas son bancarias y de las mas reconocidas en el Pais, por lo que se trata de un troyano dirigido específicamente a entidades Bancarias en Colombia.

Si has recibido un e-mail como se muestra anteriormente, y además has ejecutado el binario que acompaña adjunto a este correo, entonces has caído en la infección de este troyano bancario.

¿Como protegernos de este Malware (troyano)?

1. Nunca abras correos electrónicos de destinatarios desconocidos.

2. Recuerda siempre que ninguna entidad financiera te solicitara información privada o cambios de la misma mediante correo electrónico. 

3. Protección de antivirus actualizada

4. Análisis periódico de antimalware

5. Capacita a todo el personal que mas puedas, enseña, genera conciencia, genera cultura de seguridad, entre mas personas conozcan de estos temas, menos efectos tendrán estos malware.

¿Creo que abri un correo similiar, estoy infectado? que debo hacer?

6. Cambia inmediatamente tus datos de acceso, realizando una llamada a la entidad bancaria, no lo hagas via Web.o si lo realizas via web ejecutalo desde otro computador (seguro) y el navegador en modo privado o incognito. 

7. Formatea, reinstala tu sistema operativo ¿porque? debido a que puedes ejecutar software antimalware, antivirus que pueden ayudarte a la desinfeccion, no conocemos si este malware nos ha dejado alguna puerta trasera abierta, es decir, una conexion entrante para el ciberdelincuente.

8. Repite los pasos 1 al 5.

Saludos, 

Recuerda compartir, comentar, y disfrutar. 

VPN: Phantom de Avira

Bueno esta ves les traigo otro software grauito para lograr un poco de anonimato en internet.

Luego de probar el HostpotShield, que me parecio muy bueno, aunque no funciona muy bien en smartphone con OS android, debido a ello trate de buscar otro servicio gratuito y de alguna entidad conocida, en este caso me fui por Avira, hace rato que no utilizaba servicios de esta empresa y decidi ver si tenian algun software de VPN y/o Proxy.

Me encontre con el software Phantom VPN, lei sus caracteristicas y me parecio muy bueno en su version "Gratuita", y decidi descargarlo.

Lo llevo utilizando ya mas de hace un mes, y me ha parecido fantástico, funciona en android sin problemas y mucho mejor en PC, me parecio mejor que hostpotShield, debido a que te identifica la red y realiza un breve analisis de seguridad, y si esta no es segura te ofrece inmediatamente conectarte mediante la VPN, genial!, ademas de ello es multidispositivo, solo necesitas registarte no te lleva mas de 2 minutos, tendras acceso a todos tus dispositvos y verificar sus conexiones.

Avira emplea la norma Advanced Encryption Standard de 256 (AES-256), que es la que se usa en todo el mundo para cifrar datos.  

El número 256 tiene que ver con el tamaño de la clave. Cuanto mayor sea esta, más combinaciones posibles habrá. Probar todas las combinaciones posibles requeriría un enorme esfuerzo: el cifrado de 256 bits ofrece más posibilidades de combinación que estrellas hay en el universo (un septillón de estrellas), y mil millones de equipos tardarían más tiempo en hallar la combinación que la edad que tiene nuestro universo (casi 14 000 millones de años).

Bueno y como todo lo que se dice "GRATIS" no es gratis, la recopilacion de tu informacion a terceros depende de:

Depende de la legislación en la que se ubiquen los servidores de AVIRA. Es posible que los metadatos, recopilados al nivel nacional, puedan ser recogidos por proveedores de servidores. Dado que hay muchísimos individuos que se conectan al mismo tiempo desde un mismo país, estos datos no pueden asociarse con usuarios individuales.

y que obtiene AVIRA por prestarnos este servicio, os sorprenderás:

Empecemos por contarte qué es lo que no rastrean:

• Los sitios web que visitas
• Las ubicaciones virtuales (direcciones IP) que usas para navegar (Estoy analizando e investigando si es real que no guardan este dato)
• Tu dirección IP real (Estoy analizando e investigando si es real que no guardan este dato)
• Cualquier información que pueda vincularte con una acción; como descargar un archivo o visitar un sitio web determinado

Esto es lo que si rastrean:

• Datos de diagnóstico que les "ayudan a mejorar el producto" (si encuentran errores, por ejemplo). El seguimiento de estos datos es totalmente opcional y puedes desactivarlo desde la interfaz del producto.
• Si eres usuario del producto gratuito o de pago. 
• La cantidad de datos que consumes. 

Bueno y aqui os dejo las caracteristicas que tiene este producto:

Características

Anonimato web

Cambia tu dirección de IP

Cifrado seguro

Protege sus conversaciones confidenciales

Desbloquea contenidos

Ve tus programas favoritos desde cualquier parte

VPN rápida

Se ejecuta silenciosamente en segundo plano

Sin registros

Avira no supervisa qué sitios web visitas

Fácil de usar

Encender. Apagar. Encender. Apagar. Así de simple.

Conexiones simultáneas

Conecta tantos dispositivos como desees

Prevención de filtraciones DNS

Compatible con los protocolos IP v4 y v6

Ubicaciones de los servidores

Conéctate desde cualquiera de nuestros servidores en 20 países

Requisitos

Funciona para OS: Windows, MAC, Android, IOS

Phantom VPN lo puedes descargar AQUI

o copia este enlace en tu navegador web

https://package.avira.com/package/oeavira/win/int/avira_es_vpnb0_58a8405c8eb2b__ws.exe

Saludos, recuerda comentar, compartir y disfrutar.

Check List ISO 27001:2013 [Lista de Chequeo]

Buscando en la Internet lista de chequeo [check list] para la norma ISO 27001:2013 no encontré alguna que fuese completa, hay de todo para 9001 pero muy poco para 27001 esto me parece muy raro...

....O nadie quiere compartir jejeje o nadie esta trabajando bastante en esta norma o simplemente se basan en lo básico....

.... pero bueno me di a la tarea de realizar un check-list completo de la norma incluyendo el Anexo A por tal motivo lo comparto en el blog para que todos aquellos que inician en el tema de consultoría o investigan sobre ello basados en la norma ISO 27001:2013 puedan realizar una identificación completa de los requisitos que esta nos solicita para la certificación o para cumplir simplemente como buenas practicas en la empresa.

sin mas aqui os dejo el enlace de descarga. (archivo excel).

Actualizacion: 22 de febrero 2017: luego varias solicitudes de que modificara el archivo con algun tipo de seguimiento, he actualizado el archivo para poder ver el seguimiento de los controles o numerales cumplidos.

Clic aqui para descargar [Download]

o copia este enlace en tu navegador web

https://mega.nz/#!PgImRAoB!dRIW2Cu_ut0fB_DyHlsPb5GF7v9Z5w_Yp0D4nMKiWzk

Saludos,

No olvides comentar, compartir y disfrutar.