Los investigadores de Sophos han descubierto una campaña de malware que no sigue los patrones de comportamiento típicos y es que su tarea es la de bloquear a usuarios cuando intentan acceder a sitios web donde se pueden descargar contenidos y software sin licencia.

De acuerdo con ZDnet, los medios de distribución de este malware varían. Algunas muestras estaban enterradas en archivos disfrazados de paquetes de software a través del servicio de chat Discord, mientras que otras se distribuyen directamente a través de torrent.

Para engañar, usa los nombres de numerosas marcas de software, juegos, herramientas de productividad y soluciones de ciberseguridad.

Así se esconde este curioso malware

Los paquetes maliciosos se nombran en formatos comunes que se usan cuando se distribuye software sin licencia, como "Minecraft 1.5.2 Cracked [Full Installer][Online][Server List]". Los archivos se etiquetan para que aparezcan como subidos desde The Pirate Bay.

De acuerdo con Sophos los que se distribuyen a través de Bittorrent se han empaquetado de este modo: añadidos a un archivo comprimido que también contiene un archivo de texto y otros archivos auxiliares, así como un archivo de acceso directo a Internet.

En Genbeta

Qué es el cryptojacking y cómo puedes evitar que te usen de forma ilícita para minar criptomonedas

Si se hace doble clic en el ejecutable del malware, aparece un mensaje emergente que afirma que al sistema de la víctima le falta un archivo .DLL. En segundo plano, el malware realiza una modificación del archivo HOSTS de la víctima a través de ProcessHacker. De esta forma, si se logran escalar los privilegios para escribir en ese archivo, los atacantes pueden hacer que un equipo deje de poder conectar a las direcciones contenidas en él.

Se trata de una forma muy rudimentaria de bloquear, pues cualquiera puede modificar el archivo HOSTS y limpiar las direcciones bloqueadas o cambiarlas por otras. Pero en muchos casos, será efectiva y la víctima no sabrá que ha ocurrido.

Microsoft hace pocas horas que ha lanzado su clásico Patch Tuesday de Windows 10 con un total de 87 vulnerabilidades corregidas. Problemas que afectaban tanto al sistema operativo en sí como a otros productos de la compañía.

La más preocupante de todas es la identificada como CVE-2020-16898. Un error crítico de ejecución de código remoto que podría provocar uno de los ataques de red más antiguos, el conocido como ping de la muerte o ping of death.

No es un ataque funcional, pero podría serlo

El error corregido se describe como una vulnerabilidad de ejecución remota de código en la pila TCP/IP de Windows. Sucede cuando este elemento del sistema maneja incorrectamente ciertos paquete de enrutador ICMPv6. "Un atacante que explotara con éxito esta vulnerabilidad podría obtener la capacidad de ejecutar código en el servidor o cliente de destino", indica Microsoft.

En la práctica, podría producirse un ping de la muerte. Si el atacante actúa de una determinada manera, como han demostrado los investigadores de Sophos, pueden terminar echando abajo el sistema. Veríamos una pantalla azul de la muerte y el trabajo no guardado probablemente lo perderíamos para siempre.

En Genbeta

Algunos de los antivirus más usados en Windows tenían vulnerabilidades que permitían a los atacantes aumentar sus privilegios

En otros tiempos, una vulnerabilidad así no solo serviría para provocar errores, sino también para inyectar programas maliciosos.

Tanto Microsoft como Sophos han intentado revelar la información justa sobre esta vulnerabilidad, pero es más que previsible que haya ciberdelincuentes trabajando duro para explotar esta vulnerabilidad dado su difusión tras el Patch Tuesday. Por eso es tan importante actualizar cuanto antes dado para que la falla quede solventada.

Un equipo de investigadores de ciberseguridad de Sophos ha hecho pública la existencia de una nueva variedad del ransomware Snatch que hace uso de un comportamiento nunca antes visto en esta clase de malware: reinicia el PC infectado en 'Modo seguro' antes de iniciar el cifrado del disco duro.

Los investigadores afirman que el motivo de tan novedosa estrategia sería sortear los antivirus instalados en dichos equipos, pues la protección en tiempo real de los mismos no se inicia en el 'Modo seguro' (en dicho modo Windows inicia sólo los componentes estrictamente necesarios para funcionar, prescindiendo de numerosos servicios y drivers).

La (única) buena noticia es que Snatch no se dirige al usuario doméstico

Además, este nuevo Snatch (la versión original se conoce desde hace ya un año) recurre una clave del Registro de Windows para programar el proceso de encriptación, lo que hace imposible para el antivirus detectarlo o detener el cifrado.

Otra de las particularidades de Snatch es que no sólo cifra la información del disco duro de las víctimas para exigirles un rescate a continuación, sino que roba información personal del mismo. Esto lo convierte en una de las variedades de ransomware más peligrosas que circulan ahora mismo por Internet.

En Xataka

Modo Seguro de Windows 10: qué es, qué puedes hacer con él y cómo iniciarlo

Nuestro único consuelo es que no está siendo usado para atacar a usuarios domésticos mediante campañas masivas de spam, sino que sus creadores atacan objetivos gubernamentales y corporativos cuidadosamente seleccionados, a los que luego exigen rescates de entre 2.000 y 35.000 dólares en bitcoins.

Este malware sólo funciona en Windows, desde la versión 7 en adelante, tanto en ediciones de 32 como de 64 bits. Está programado con el lenguaje Go de Google y empaquetado mediante UPX para ocultar su contenidos. Utiliza herramientas como Cobalt Strike para explotar las vulnerabilidades de cada sistema y se instala como un servicio de Windows llamado SuperBackupMan, que es el responsable de instalar la clave de Registro antes mencionada y de reiniciar en Modo Seguro.

Para evitar ser víctima de Snatch, desde Sophos recomiendan no dejar desprotegida nuestra interfaz de Escritorio remoto, y asegurar herramientas similares como VNC y TeamViewer, además de utilizar sistemas de autenticación de múltiples factores para dificultar ataques de fuerza bruta.

Vía | TechRepublic

Esta no ha sido tampoco una buena semana para las actualizaciones de Windows, los usuarios de Windows 10 ya sufrieron con la última actualización acumulativa de la versión 1809 que causa ralentización del sistema y hasta cuelgues, pero las versiones antiguas de Windows tampoco se salvan.

Varios vendedores de antivirus, como Avast, Sophos, ArcaBit, y Avira han advertido sobre problemas críticos en los ordenadores con Windows 7 y 8.1 que usan sus herramientas de seguridad tras instalar los últimos parches de ambos sistemas operativos.

En Genbeta

Un ingeniero de Microsoft explica cómo es Windows 10 por dentro: el código ocupa 0,5 TB y se extiende por 4 millones de ficheros

Hasta ahora Microsoft ha confirmado problemas críticos con cuatro antivirus diferentes tras instalar los parches

Los reportes están relacionados con ordenadores viejos que están ejecutando Windows 7 o Windows 8.1 y que están sufriendo cuelgues, se bloquean o simplemente no inician tras instalar las actualizaciones KB4493472, KB4493448, KB4493467, y KB4493446. Aunque Sophos también identificó problemas con Windows Server 2012.

Microsoft parece haber comenzado a bloquear temporalmente las actualizaciones con estos parches en máquinas que tengan Sophos Endpoint instalado. Para los usuarios que se vieron afectados, Sophos ha publicado un proceso paso a paso para solventar el problema, y no es nada sencillo.

En el caso de Avast, la empresa han dicho estar trabajando en resolver el problema y ha liberado una actualización de emergencia que debería tener efecto de forma automática, y si esto no funciona Avast recomienda reiniciar en modo seguro y enviar un ticket a atención al cliente.

Para lidiar con el problema en Avira, Microsoft también ha bloqueado temporalmente las actualizaciones en esos dispositivos y dicen estar investigando para ofrecer una solución. La recomendación para los usuarios que se han visto afectados es seguir las recomendaciones de su proveedor de antivirus y si aún no has actualizado el sistema, ir con cuidado.

Es bastante complicado sopesar aquí entre recomendar lo obvio que es siempre instalar parches de seguridad tan pronto como sea posible, y los riesgos impredecibles de encontrar problemas dada la cantidad de traspiés que ha venido sufriendo Windows en general con sus última actualizaciones.

Sophos, empresa fabricante de productos software destinados a la seguridad en entornos Windows ha lanzado una versión en Klingon de su producto estrella: su antivirus.

Para ello han dispuesto además de la versión de la herramienta completamente traducida al lenguaje klingon (el lenguaje de una de las razas más conocidas del universo Star Trek) han puesto una web del producto completamente hilarante, con frases desternillantes que hacen un montón de referencias a la mítica saga galáctica y que sería demasiado largo enumerar y explicar, si sois fans de la serie y habláis un poco inglés (francamente mucho más fácil de aprender que el klingon) no dudéis en dar una vuelta por la página del producto.

Además tenemos la ventaja que es una aplicación gratuita y como no, la hay en versiones "para humanos".

¡Gracias Jon por pasarnos el enlace! ¡QaPla'!

Vía | downloadsquad Descarga | Sophos en klingon Más información | Wikipedia

Sophos Application Control es un añadido de Sophos Antivirus 6 que permite, utilizando las mismas tecnologías que se usan para la detección de virus y spyware, el bloqueo del uso de programas que no son malignos pero que no pueden ser usados en los ordenadores según políticas de empresa.

Por ejemplo, permite el bloqueo de aplicaciones P2P, de programas de mensajería,... Esto puede hacerse, además de forma selectiva, con lo que los usuarios del grupo de ventas podrían utilizar Skype mientras los programadores no (es un ejemplo, no se me enfaden los programadores).

Sophos anuncia ahora que incorpora soporte para bloquear juegos de ordenador de más de 15 fabricantes, entre los que se incluyen Eidos Interactive, SEGA y Electronic Arts. Esto significa bloquear juegos como Age of Empires, FIFA '07, Need for Speed o The Sims.

Además, seguirán actualizando el programa para que detecte juegos de muchos otros fabricantes.

Vía | Net Security. Más información | Sophos.