Google Chrome: infostealers eluden la nueva protección del navegador para robar credenciales
Además: Telegram y Elon Musk ceden ante la ley, Crowdstrike pide perdón ante el Congreso de EE.UU. y una vulnerabilidad de 9.9 -pero difícil de ejecutar- alerta a la comunidad de Unix/Linux.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
20>27
sept
⚡ TL;DR
Luego de una semana cargada de piratería que incluyó un envío de último momento, migramos a un tema un poco más técnico pero crucial: los infostealers. Se trata de un aspecto central del panorama de amenazas actual: junto con el viejo y querido phishing, es una de las principales puertas de entrada al robo de credenciales de logueo.
En general, los stealers apuntan a los formularios “save this password” y el “session token”, una cookie que almacena los datos de inicio de sesión que, llevada a otro navegador, brinda acceso a cuentas personales. Y esta semana se supo que una protección que Google Chrome -el browser con el market share más grande del mercado- introdujo en julio, ya puede ser bypasseada. Hablé con el analista de malware g0njxa, que me contó sobre las pruebas que hizo y las charlas que tuvo con algunos developers de stealers populares como Lumma y Meduza.
A nivel local, hablé con la fiscalía especializada en ciberdelito porteña para ampliar sobre el desmantelamiento de una banda que creaba “enlaces mágicos” para desbloquear teléfonos iPhone robados y publiqué un reportaje en Clarín. En lo regional, Musk empieza a dar signos de perder la batalla legal contra Brasil.
En el plano global, Crowdstrike dio explicaciones ante el Congreso de EE.UU. por el incidente que afectó a millones de máquinas con Windows en julio y Telegram anunció que va a entregar IP y handles a la ley en caso de requerimientos.
Notas interesantes que crucé: un research de hace dos semanas asegura que la IA puede resolver captchas, en lo que replantearía la medida de seguridad, y esta nota de The Economist donde se cuenta cómo el encriptado de mensajes llegó a dominar las aplicaciones de mensajería encriptadas (WhatsApp, Signal) y qué problemas plantean para los Gobiernos en distintas partes del mundo.
La perlita que no viene fallando: la semana pasada habían puesto a la venta información interna del club de futbol Vélez Sarsfield de Argentina; esta semana apareció a la venta un lote con la foto del músico y productor Bizarrap.
Dos informaciones sobre conferencias. La semana pasada fue el VII Congreso de Ingeniería IEEE ARGENCON, donde hubo una sección de ciberseguridad. Destaco dos trabajos: el de Víctor Figueroa sobre framework en seguridad de e-Gobiernos y el de Santiago Trigo sobre ciberseguridad en infraestructuras críticas industriales.
Y ayer estuve en la conducción del track de seguridad de Nerdearla junto a la DevSecOps Jesica Lichtensztein, donde hubo algunas investigaciones interesantes que seguramente se vayan subiendo estos días. Si tienen chance de ir hoy o mañana, presencial, el evento es gratis y, más allá de las charlas, es un gran momento para conocer gente del ambiente tech.
Para cerrar: cambié la estructura de la introducción, que de TL;DR no tenía nada ya. Van a encontrar, al final de todo, una sección más ordenada con breaches, hacks, reportes y temas de privacidad, que puede funcionar tanto como un paneo general de lo que pasó en la semana como una fuente de recursos para quienes trabajen en ciberseguridad.
Dark News #104
Leer este correo te va a llevar 13 minutos.
Nerdearla, el evento de ciencia y tecnología gratuito más grande de América Latina, festeja su décimo aniversario del 24 al 28 de septiembre en modalidad híbrida con streaming y en el Konex. Más de 150 charlas y talleres de todas las ramas de tecnología, speakers destacados como Ken Thompson (creador de UNIX), Radia Perlman (creadora de STP) y muchos otros. Todavía quedan dos días: registrate gratis haciendo click en el banner.
🔑 Infostealers eluden la nueva protección de cookies de Google Chrome
Desarrolladores de algunos de los infostealers más populares encontraron la forma de bypassear la nueva función de seguridad de Chrome App-Bound Encryption. A mediados de julio, Google lanzó este sistema que, según la propia compañía explica, encripta la información relacionada a la identidad del usuario alojada en las cookies del browser al usar un servicio de Windows que corre bajo privilegios.
Las cookies conocidas como “session token” guardan la información de autenticación y, si se logran robar, es posible iniciar la sesión de una víctima en otro dispositivo (session hijacking).
Con este cambio, los developers de los stealers Meduza, WhiteSnake, Lumma, Lumar (PovertyStealer), Vidar, StealC y Rhadamanthys aseguraron que ya pueden saltear esta medida de seguridad.
Dijeron los desarrolladores de Lumma Stealer: “Se agregó un nuevo método de recopilación de cookies de Chrome. El nuevo método no requiere derechos de administrador y/o reinicio, lo que reduce las posibilidades de detección”.
Dark News contactó a g0njxa, analista de malware, para explicar cómo funciona este nuevo riesgo sobre la medida de seguridad de Chrome:
El bypass de los stealers simplemente ha conseguido eludir estas nuevas medidas de seguridad de Google Chrome para poder robar las cookies de sesión guardadas en el navegador, una función habitual de este tipo de malware que fue contrarrestada por este el app-bound encryption hasta que los desarrolladores introdujeron estas nuevas actualizaciones, donde los infostealers permiten robar las cookies como lo hacían antes.
El researcher habló con el developer de Rhadamanthys, quien le aseguró que “en 10 minutos de debugging” del código del browser pudo entender cómo funciona el método para luego bypassearlo. Agregó el analista:
Este problema alcanza a equipos y versiones en los que el malware se puede ejecutar como antes. Por ejemplo, probé con una build de Lumma Stealer en la versión v129 de Chrome (la más actualizada) y pudo robar sin problema las cookies de sesión de este navegador en un sandbox.
Sin embargo, es necesario aclarar que Google lanzó Chrome App-Bound Encryption con dos propósitos. El principal, ponerle una traba más a los stealers (algo que algunos de ellos ya demostraron que puede ser bypasseado). Pero también para que, al violar esta función, hiciera “ruido” y llame la atención de las soluciones de antivirus y EDR: “App-Bound Encryption aumenta el costo del robo de datos y hace que las acciones de los atacantes sean mucho más ruidosas en el sistema: ayuda a trazar una línea clara sobre lo que es un comportamiento aceptable para otras aplicaciones del sistema”, aseguró en el posteo del anuncio Will Harris, del equipo de seguridad de Chrome.
Estas idas y vueltas muestran también el avance en la seguridad del navegador, empujado por los infostealers, que todavía son un negocio rentable para developers y quienes compran sus servicios.
📲 “Operación Kaerb”: cae una banda que desbloqueaba iPhone robados
Una organización con operaciones en Argentina enviaba mensajes de texto con enlaces a quienes habían sido víctimas del robo de su iPhone. Bajo la idea de rastrear el teléfono robado, disfrazaban un link que en realidad era phishing: al tocarlo, engañaba al usuario para entregar sus credenciales para desbloquear el dispositivo para que el ladrón pueda venderlo.
Durante la semana pasada se dieron a conocer los resultados de una investigación liderada por el juez federal porteño Daniel Rafecas, la fiscal Paloma Ochoa y el titular de la Unidad Fiscal Especializada en Ciberdelincuencia (Ufeci), Horacio Azzolin, que terminó con una banda liderada por un santafesino que operaba en Argentina, Colombia, Perú, Chile, Ecuador y España. Hay al menos 17 detenidos, cinco de ellos, argentinos.
A partir de una investigación de una empresa de ciberseguridad, Group-IB, se llevó a cabo la “Operación Kaerb” (“break”, romper en inglés, al revés). La compañía detectó la plataforma “iServer”, un “phishing-as-a-platform”, o plataforma de phishing para poder contratar por terceros y operar.
El modelo bajo el que operaban es, según detalla el research, el del Crimeware-as-a-service. Fabio Assolini, director del Equipo de Investigación para América Latina en Kaspersky, recordó en diálogo con este medio cómo es este modelo del negocio cibercriminal:
Los ciberdelincuentes que proporcionan malware bajo el modelo Malware as a Service son llamados operadores de MaaS. Por lo general, son grupos organizados con roles internos claramente definidos, como desarrolladores de malware, administradores de sistemas, gerentes y soporte técnico. El servicio real proporcionado por los operadores de MaaS a menudo se llama un programa de afiliación, y un cliente que lo utiliza — un afiliado.
Como no pueden destrabarlo porque no saben el PIN, envían un falso enlace a la víctima una vez que esta suplantó la tarjeta y la insertó en otro dispositivo: motivada por encontrar el teléfono robado, la víctima inserta sus credenciales de acceso y le desbloquea el teléfono al delincuente.
Dark News se contactó con el titular de la Unidad Fiscal Especializada en Ciberdelincuencia (Ufeci), Horacio Azzolin:
El fenómeno del robo de celulares debería ser entendido en función del negocio que hay detrás: la reinserción del aparato en el mercado y el acceso a los datos que hay en su interior. Para lograr esos objetivos es necesario acceder al teléfono y para eso primero hay que desbloquearlo. Ahí entran en escena las organizaciones que se dedican a eso. Kaerb es una operación que apunta entonces al core del negocio.
Cierra el research de Group-IB: “Según los investigadores, la plataforma de phishing como servicio iServer, que estuvo activa durante cinco años, se dirigió a más de 1.2 millones de teléfonos móviles y se cobró aproximadamente 483.000 víctimas en todo el mundo”.
El operativo conjunto se aglutinó alrededor de EUROPOL y de AMERIPOL, con las distintas unidades de investigación de los países involucrados.
👮♀️ Telegram va entregar número de teléfono e IP en cuentas sospechosas
Telegram actualizó su política de privacidad e introdujo la posibilidad de entregar a las autoridades número de teléfono e IP de cuentas sospechadas de actividad criminal.
En el nuevo texto, dice la empresa fundada por Pavel Durov:
Si Telegram recibe una orden válida de las autoridades judiciales que confirme que sos sospechoso en un caso relacionado con actividades delictivas que violen los Términos de Servicio, realizaremos un análisis legal de la solicitud y podremos revelar tu dirección IP y número de teléfono.
El cambio viene después de que Durov fuera arrestado en Francia, acusado de “complicidad en la difusión de material de abuso sexual infantil”. El mismo CEO lo dio a conocer en su canal de Telegram, donde explicó que es para “disuadir a los criminales de abusar de la función de búsqueda”: “No vamos a dejar que los actores maliciosos pongan en peligro la integridad de nuestra plataforma para casi mil millones de usuarios”.
Esta dinámica aplicaba antes sólo a “sospechosos de terrorismo”. Desde ahora, incluso, la información sobre cuentas entregadas se incluirá en los reportes de transparencia trimestrales.
Las políticas de moderación de Telegram, extremadamente laxas, fueron un terreno fértil para actividades ilegales, desde canales de venta de drogas hasta terrorismo, extremismo y material de abuso sexual infantil. Esto le valió una reputación dudosa entre las plataformas de chats, algo que llegó al punto más álgido con la detención de Durov.
Algunos reportes ya advierten que el cibercrimen se está yendo de la plataforma.
🐧 Una falla en sistemas Unix/Linux habilita ejecución de código remoto
Una cadena de vulnerabilidades en el sistema open source de impresión CUPS puede desencadenar una ejecución de código remoto (RCE) en sistemas Unix y Linux based.
El investigador Simone Margaritelli generó expectativas cuando anticipó que el próximo 30 de septiembre haría el full disclosure de la falla, pero se anticipó, lo publicó este jueves 27 y quedó registrado bajo los CVE-2024-47076 (libcupsfilters), CVE-2024-47175 (libppd), CVE-2024-47176 (cups-browsed) and CVE-2024-47177 (cups-filters).
CUPS, Common UNIX Printing System, es el sistema de impresión más usado en sistemas basados en Unix como FreeBSD y OpenBSD. La falla no afecta a los sistemas en sus configuraciones por default. Uno de sus componentes es “cups-browsed”, que busca impresoras en una red local y las identifica como habilitadas para imprimir.
Lo que descubrió Margaritelli fue que si cups-browsed está activado -algo que no es así por default en muchos sistemas-, se puede escuchar el puerto UDP 631, además de permitir conexiones remotas desde cualquier dispositivo en la red para crear una nueva impresora.
Una de las vulnerabilidades identificadas tendría 9.9 de criticidad, aunque otros relativizaban el impacto: “Es un bug de CUPS que puede causar un RCE indirectamente si imprimís algo y sólo puede ser explotado en un a red local que tenga el puerto 631 abierto, además de que la mayoría de las distribuciones lo tienen apagado por default”, comentó un usuario en un foro.
El artículo publicado por el investigador parece ser la primera parte de tres, con lo cual es probable que haya más información en los próximos días.
Todavía no hay parches disponibles.
🏛 Crowdstrike se disculpa ante el Congreso de EE.UU. por “la tormenta perfecta”
Crowdstrike dijo que lamenta “profundamente” la “tormenta perfecta” que provocó su actualización defectuosa que bloqueó millones de equipos con Windows, con impacto en las industrias aeronáutica, bancaria y de las telecomunicaciones el pasado 19 de julio. Lo hizo en una audiencia ante el Congreso de los Estados Unidos, que se puede leer completa en este enlace.
Ante la negativa a testificar del CEO de la empresa, George Kurtz, el comentario se produjo el martes, cuando Adam Meyers, vicepresidente senior de operaciones, compareció ante una audiencia del subcomité de ciberseguridad de la Cámara de Representantes de Estados Unidos sobre el incidente.
Meyers relató hechos ya conocidos sobre el incidente del 19 de julio. Esta “tormenta perfecta” fue, según explicó, porque “la actualización tenía un desajuste entre los parámetros de entrada y las reglas predeterminadas”. En un esfuerzo por explicarlo de manera no técnica, usó la siguiente analogía:
Es como mover una pieza a un lugar donde no hay casillero en un tablero de ajedrez. Efectivamente, esto es lo que ocurrió en el sensor, así que cuando intentó evaluar una regla, no fue capaz de hacer lo que la regla le pedía, lo que desencadenó el problema dentro del sensor.
Quizás la parte más interesante de la audiencia fue la discusión sobre el acceso al kernel de Windows, un tema que fue muy discutido y que, en última instancia, fue la condición de posibilidad para que se desencadenara el incidente.
Meyers respondió con la advertencia de que sus productos podrían perder eficacia sin acceso al kernel. Según argumentó, los productos de seguridad como Falcon “tienen visibilidad de todo lo que ocurre en ese sistema operativo y por eso pueden prevenir amenazas y evitar el tampering”.
La mención no fue casual: cuando fue el incidente, Microsoft cargó contra la Unión Europea por las regulaciones que la la obligan a darle privilegios de acceso al kernel en Windows a empresas de detección de amenazas como Crowdstrike, donde Microsoft compite con su propio servicio, Microsoft Defender.
👨⚖️ Elon Musk pierde la batalla en Brasil
Twitter (X) dio marcha atrás en su pelea contra la Justicia de Brasil, tras acatar las órdenes judiciales que llegaron a bloquear a la red social a los usuarios brasileños y ceder ante una de las demandas principales: designó un representante legal -luego de haber cerrado oficinas- y pagó las multas pendientes, además de banear a las cuentas que el tribunal había ordenado eliminar por considerar que “amenazaban la democracia” del país.
En agosto de este año, la Corte Suprema de Brasil ordenó el bloqueo de X debido a su negativa a cumplir con regulaciones locales. La semana pasada, la red social reapareció tras una actualización de software que, según explicó la empresa, había sido un “restablecimiento involuntario y temporal del servicio a los usuarios brasileños”.
Pero el juez Alexandre de Moraes dijo que había sido “deliberada, ilegal y persistente”, e impuso una multa de 5 millones de reales (casi un millón de dólares), que se suman a los 18,3 millones de reales (3.3 millones de dólares) que ya se le habían impuesto.
Musk se enfrenta con el juez del Tribunal Supremo Alexandre de Moraes desde abril, después de que ordenara a la empresa retirar más de 100 cuentas de redes sociales que cuestionaban si el presidente de derecha Jair Bolsonaro había perdido realmente las elecciones de 2022.
🔓 Breaches y hacks
El hackeo a Trump siguió al menos hasta la semana pasada
La ciudad de Arkansas (EE.UU.) pasó toda la operación a manual por un ciberataque
El hacker de Snowflake sigue operando
💣 Exploits y malware
ESET arregla una vulnerabilidad en su software
CISA advierte sobre un bypass de autenticación en Ivanti Virtual Traffic Manager (vTM)
Una vulnerabilidad en ChatGPT pudo haber habilitado spyware durante todo este tiempo
🔍 Threat intel
Palo Alto encontró una nueva versión del malware RomCom: SnipBot
WhiteSnake: entrevistan (g0njxa) al developer del stealer
Reportes: HP Wolf Security, Kaspersky, LendingTree, Searchlight Cyber y Shadowserver Foundation