Cajero de Banco Itaú

Hace una semana publique un par de fotos tomadas de uno de los cajeros automáticos que Banco Itaú tiene en la sucursal número 0101 de la calle Buenos Aires 79 en la ciudad de Córdoba. Gracias a Cristian Borghello pudimos dar aviso a los responsable del área de seguridad del banco, y tres días después de ser informado este hecho nos enteramos de que el problema había sido solucionado supuestamente.

Luego de publicadas las imágenes, surgieron algunas preguntas en los comentarios de algunos sitios y listas de correo, las cuales cito a continuación porque creo que a varios nos intriga lo mismo:

¿Qué hará el BCRA con semejante asunto?
¿No hubo una auditoría en los últimos 14 meses que detecte semejante falla?
¿Qué tranquilidad puede tener el usuario si con todas las regulaciones pasa semejante cosas?
¿Cómo es posible que llegue un virus al cajero?
¿Qué impide que mañana sea un virus dedicado para robar datos de cajeros?

Leer más →

First iPhone worm discovered

Según informa Help Net Security, habría sido descubierto un gusano (virus, malware :P) que aprovecha un descuido en la configuración de ciertos dispositivos – IPhone o IPod Touch – que han sido jailbreakeados (liberados) y que no han cambiado la clave por defecto del SSH. Este se dedica a cambiar el fondo de pantalla por una imagen del cantante Rick Astley con la frase «ikee is never going to give you up«, haciendo alusión a la canción «Never Gonna Give You Up» generalmente utilizada para rickrollear gente en Internet.

El problema reside en que la mayoría de los usuarios descarga el paquete SSH desde Cydia para poder conectarse al teléfono y modificar archivos, y deja la clave por defecto «alpine». Cualquier persona que conozca tu dirección IP podría acceder remotamente como usuario root si así lo deseara.

Este gusano creado por «ikee» no parece ser más que una prueba de concepto, pero hay que tomarlo muy en serio y no confiarse tanto. Para cambiar esta clave solo basta conectarse al dispositivo y escribir el comando passwd; es recomendable utilizar algo complejo pero que puedan recordar luego. La otra opción es bajarse la aplicación MonileTerminal desde Cydia y ejecutar ese comando solamente.

Vía Help Net Security

Twitter Bot

Cuando un sistema es infectado, generalmente es controlado remotamente recibiendo comandos a través de canales de IRC, P2P ó HTTP. José Nazario (Arbor Networks) en cambio, encontró un interesante ejemplo de un botnet activa y real que hacía uso de Twitter como panel control.

Nada nuevo

Durante una de las presentación en Defcon 17, Tom Eston y Kevin Johnson mostraron una prueba de concepto de un bot llamado KreiosC2, cuyo funcionamiento es bastante sencillo, solo hay que crear una cuenta en Twitter y configurar el bot para que la siga (follow); cuando queremos que el bot haga algo solo basta con enviar una actualización en dicha cuenta de Twitter. Ejemplo: “cmd: look at 128.47.220.51” hará que ejecute el comando ping a la dirección IP 128.47.220.51.

Debido a que Twitter cuenta con la habilidad de detectar y filtrar texto entre las actualizaciones enviadas por sus usuarios, es posible modificar el lenguaje de los comandos dinámicamente así como también utilizar codificación Base64 y/o algún tipo de encriptación.

Es interesante ver como ya hay alguien haciendo uso de esta prueba de concepto para actividades fraudulentas; en este caso la botnet descubierta habría estado siendo utilizada por un troyano bancario cuyo objetivo serian entidades brasileras, Banco do Brasil seria una de ellas.

Actualización: Kaspersky Lab publica una entrada en su blog en donde muestran capturas y más información sobre este malware que también estaría haciendo uso de Jaiku, además de Twitter.

Jaiku Bot

Enlaces relacionados:

Más información sobre KreiosC2:
http://www.digininja.org/projects/kreiosc2.php

Using Twitter as a botnet: KreiosC2
http://securitybananas.com/?p=101

Vía Twitter-based Botnet Command Channel