Displaying items by tag: review - Arreglatupc.site

¿Qué sucedió con los datos de VisionDirect?

Credit Card

VisionDirect, un popular comerciante en línea de lentes de contacto en Europa, ha publicado un aviso que indica que su sitio web tuvo una violación de datos que llevó al robo de información de cuentas y tarjetas de crédito.

De acuerdo con la notificación, la información de cuenta y pago ingresada en el sitio entre el 3 de noviembre y el 8 de noviembre podría haber sido capturada y enviada a los atacantes. Estos datos incluyen toda la información de la cuenta, como direcciones de facturación, números de teléfono e información de tarjetas de crédito.

"La información personal se vio comprometida cuando se ingresó en el sitio e incluye el nombre completo, la dirección de facturación, la dirección de correo electrónico, la contraseña, el número de teléfono y la información de la tarjeta de pago, incluido el número de la tarjeta, la fecha de caducidad y el CVV", declaró el aviso.

VisionDirect declaró que las credenciales de pago de PayPal no se habrían robado.

Este ataque solo afectó a los visitantes que iniciaron sesión en sus cuentas e ingresaron o actualizaron la información de su cuenta durante el período afectado. Los usuarios que simplemente visitaron el sitio o utilizaron la información de facturación de la tienda no se habrían visto afectados.

VisionDirect dijo que contactarán a todos los clientes afectados en los próximos días.

El compromiso fue causado por la secuencia de comandos de MageCart
Esta violación de datos fue causada por un ataque de MageCart, que es cuando los atacantes agregan JavaScript malicioso a un sitio que captura el pago y la información de la cuenta cuando se ingresa en un formulario o se envía.

En este ataque en particular, se agregó una secuencia de comandos a varios dominios de VisionDirect que pretendían ser Google Analytics.

Eso es exactamente lo que era. Los datos fueron robados mediante un script falso de Google Analytics: https: // g-analytics [.] Com / libs / 1.0.16 / analytics.js: puede ver una copia de JS a través del archivo @urlscanio de https: / /t.co/TV22dxvCcK https://t.co/SFi5Wp4gm3 pic.twitter.com/rY13cMR2TL

- Informe de paquetes defectuosos (@bad_packets) 18 de noviembre de 2018
Si bien el script es muy similar al código normal de Google Analytics, el dominio g-analytics [.] Com no es realmente propiedad de Google. En su lugar, este dominio es propiedad de los atacantes que lo utilizan para almacenar la tarjeta de crédito y la información de la cuenta robada.

Malicious script pretending to be Google Analytics

El investigador de seguridad Willem de Groot le dijo a BleepingComputer que había descubierto que este dominio se estaba usando en los ataques de MageCart a principios de septiembre.

"En este caso, la infracción está relacionada con varios dominios de exfiltración de pagos que vimos anteriormente, como g-statistic .com, google-anaiytic .com, msn-analytics .com"

De Groot afirmó además que, aunque el aviso solo menciona a visiondirect.co.uk, los dominios de otros países también se vieron afectados.

Si bien el script está muy ofuscado, una parte que contiene una lista de cadenas utilizadas por el script se decodificó fácilmente. En la siguiente secuencia de comandos puede ver varias cadenas que se están monitoreando, como el pago, la verificación, la administración, el inicio de sesión, la contraseña, la cuenta y los envíos de carrito.

Decoded Strings

Recientemente informamos que la tienda en línea de Infowars.com también está comprometida con un ataque de MageCart. En ese ataque, el script malicioso también se hacía pasar por Google Analytics, pero en su lugar usaba el dominio google-analyitics [.] Org. Si bien el método de ataque es similar, el script en sí es bastante diferente.

Cuando BleepingComputer le preguntó a De Groot si había alguna conexión entre estos atacantes y el que atacó a InfoWars, dijo que no había forma de concluir que eran el mismo grupo.

"Podría ser, pero no he encontrado otros puntos en común hasta el momento", dijo De Groot a BleepingComputer. "Ciertamente usan diferentes tipos de malware. Lo siento, veo que sería bueno si pudiera vincularlos. Pero no puedo decirlo con seguridad".

Alex Jones, el propietario de Infowars, sintió que sus atacantes eran la China comunista, "Big Tech" y el partido demócrata de los Estados Unidos.

BleepingComputer se comunicó con VisionDirect con respecto a esta violación, pero no había recibido respuesta al momento de esta publicación.

Emotet Banking Trojan ama a los proveedores de Internet de EE. UU.

Emotet

Según los nuevos datos de TrendMicro, los atacantes que utilizaban el troyano bancario Emotet usaban predominantemente proveedores de Internet ubicados en los EE. UU. Para alojar su infraestructura de Comando y Control.

En una publicación reciente del blog, TrendMicro afirma que los Estados Unidos de América, con una participación del 45%, aloja más infraestructura Emotet C2 a través de Comcast, seguido de México y Canadá. Los 3 principales números de ASN que se utilizan para hospedar los servidores C2 son 7922 (Comcast Cable), 8151 (Telmex) y 22773 (Cox Communications). Esta infraestructura se determinó mediante el seguimiento activo de Emotet y con cerca de 15 mil artefactos que oscilaron entre junio y septiembre de 2018.

Top Countries hosting Emotet C&C servers

Emotet utiliza certificados RSA para la comunicación confidencial y, al analizar las muestras de malware de Emotet, se observó que, en promedio, una sola muestra contiene 39 direcciones C2 diferentes. Cada C2 utiliza uno de los seis certificados RSA y al rastrear las muestras y los certificados utilizados por el C2, TrendMicro pudo dividir los seis certificados en dos grupos; Con tres certificados por grupo.

Estos dos grupos muestran que son dos infraestructuras C2 separadas que operan en paralelo. TrendMicro afirma que esto hace que sea "más difícil rastrear a Emotet y minimizar la posibilidad de fallo". La correlación entre las campañas conocidas y los dos grupos de infraestructura muestra una clara distinción entre los dos e indica una agenda diferente que incluso puede ser controlada por diferentes operadores.

La investigación analiza más a fondo la revisión de las marcas de tiempo de compilación para hacer una hipótesis de que el autor puede operar en UTC +10, lo que los coloca en el este de Rusia o en el este de Australia. Sin embargo, TrendMicro admite que esto es una mera especulación, ya que al menos tres máquinas separadas se usan para empaquetar y operar zonas horarias variadas. También se ha sabido que los actores de amenazas cambian su ubicación y zonas horarias para confundir a los ingenieros inversos.

Mientras que gran parte del mundo se ve afectado por Emotet, Europa y los Estados Unidos han sido los más impactados. Es irónico que la infraestructura utilizada por Emotet se encuentre en las mismas regiones que las víctimas, pero indica además que estas regiones están bien conectadas y contienen alojamiento barato y nodos fácilmente comprometidos.

¿Aplicaciones falsas en Google Play?

Al menos una docena de aplicaciones móviles sin funcionalidad legítima llegaron a Google Play y se han instalado más de medio millón de veces. Instalarían silenciosamente otra aplicación y engañarían al usuario para que aprobara su instalación.

El juego final es ganar dinero al enviar anuncios no solicitados al usuario cuando desbloquea el dispositivo.

La aplicación real se descarga en el fondo.
El investigador de malware Lukas Stefanko de ESET encontró 13 aplicaciones fraudulentas que compartían el mismo comportamiento y que se publicaron con el nombre de desarrollador Luis O Pinto.

Posando como juegos, las aplicaciones eliminarían su icono de la pantalla inmediatamente después de la instalación y comenzarían a descargar otra aplicación en segundo plano desde una dirección codificada.

Aunque el deslizamiento en el nuevo paquete se realiza de forma encubierta, agregarlo al sistema requiere el consentimiento explícito del usuario. Aquí es donde el icono faltante del juego inicial puede tener un papel, ya que podría hacer que el usuario crea que la instalación falló y se reinició, lo que le pide que apruebe la acción.

Demostración de la funcionalidad de la aplicación pic.twitter.com/11HskeD56S

- Lukas Stefanko (@LukasStefanko) 19 de noviembre de 2018
Durante su análisis, Stefanko descubrió que el nombre del paquete descargado era Game Center; se ocultaría después del lanzamiento y mostraría anuncios cuando el dispositivo estuviera desbloqueado.

Tras la instalación, Game Center solicita permiso para acceder a la red en su totalidad y para ver todas las conexiones de red, y para ejecutarse en el inicio.

Las 13 aplicaciones infames eran solo depósitos vacíos que no cumplían con otro propósito que infiltrarse en Google Play y esperar a que las víctimas los instalen para empujar el Game Center en el host.

La prueba pública de que no hicieron nada para mantener el disfraz son las reseñas dejadas por los usuarios de Android, y algunos de ellos se dieron cuenta de que era una estafa.

Amenazas Sofacy, propone CANNON como una nueva táctica

El grupo avanzado de amenazas Sofacy ofrece una nueva muestra de malware llamada Cannon en un ataque de phishing que se dirige a organizaciones gubernamentales en América del Norte, Europa y en un antiguo estado soviético.

La última campaña del grupo se vio a fines de octubre y principios de noviembre, y se basó en documentos de Word que cargaron plantillas remotas incrustadas con un código de macro malicioso.

Dejando caer el cañon
Uno de los archivos recuperó una nueva herramienta que no se ha visto en uso por el actor Sofacy. El método de entrega se basa en una técnica poco común que ayuda a evitar el análisis en un entorno de caja de arena automatizada: la macro utiliza la función de cierre automático, que permite a Word retrasar la ejecución completa del código incorrecto hasta que el usuario cierre el documento.

De acuerdo con el análisis de la Unidad 42 de Palo Alto Networks, Cannon funciona como descargador y utiliza la comunicación por correo electrónico para obtener instrucciones del servidor de comando y control (C2).

Su lista de capacidades incluye agregar persistencia y crear un identificador único del sistema, recopilar detalles del sistema, capturar instantáneas del escritorio. También puede iniciar sesión en una cuenta de correo electrónico POP3 para obtener acceso a los archivos adjuntos.

Comunicación por correo electrónico del cañón
Cannon envía correos electrónicos a través de tres cuentas alojadas en un proveedor de servicios checo llamado Seznam. Estos mensajes se mueven a la dirección de correo electrónico 'sahro.bella7 [at] post.cz', controlada por el adversario, que actúa como el punto C2.

Es posible obtener los comandos iniciando sesión en una cuenta diferente, 'Trala [.] Cosh2', alojada en Seznam.

"El propósito general de Cannon es utilizar varias cuentas de correo electrónico para enviar datos del sistema (información del sistema y captura de pantalla) a los actores de amenazas y, en última instancia, obtener una carga útil de un correo electrónico de los actores", explican los investigadores.

Víctimas atraídas con documento de accidente de avión.
Parece que Sofacy, también conocida por los nombres de Fancy Bear, APT28, Sednit y Strontium, aprovechó el accidente del avión Lion Air para ejecutar su ataque. Uno de los archivos de armas utilizados tenía el nombre 'lista de fallos (Lion Air Boeing 737) .docx'.

En un informe compartido con BleepingComputer, los investigadores de la Unidad 42 afirman que la capitalización de un evento catastrófico para implementar una campaña de phishing es algo inusual para este grupo en particular.

Debido a que se basa en plantillas remotas, el éxito de Sofacy con este esfuerzo depende de la disponibilidad del servidor C2. Si el servidor no está en línea cuando se ejecuta la macro, no se hace ningún daño.

Hackers, Rocky y 97 Otras películas son gratis en YouTube

Hackers

Justo a tiempo para las vacaciones, si busca ocupar su tiempo viendo películas como Hackers, la serie Rocky y Terminator, puede hacerlo gratis en YouTube.

A partir de octubre, YouTube agregó 99 películas compatibles con anuncios al sitio que los usuarios pueden ver de forma gratuita. Si bien la lista de películas gratuitas no incluye muchos éxitos de taquilla, hay bastantes que no solo son sorprendentes, sino también clásicos de culto. Por ejemplo, hay Rocky I-IV, Terminator, Throw Momma from a Train y Hackers.

Algunas de las selecciones de más calidad que están disponibles incluyen:

Hackers
Serie rocosa
El terminador
Bio-domo
Tirar a mamá de un tren
Cuatro bodas y un funeral
El hombre en la mascara de hierro
Sinvergüenzas sucios
Salvado

Las películas gratuitas son compatibles con los anuncios que aparecerán como prerolls y banners en la parte inferior del video. Se mostrarán aproximadamente 9-13 anuncios durante una película, dependiendo de su duración. Cuanto más larga sea la película, más anuncios se mostrarán.

Desafortunadamente, este servicio no está disponible para todos y ciertas regiones geográficas no pueden ver las películas gratuitas. En una breve prueba, estas películas gratuitas no están disponibles en Francia, Alemania, España o la República Checa, pero están disponibles en Japón, el Reino Unido, los Países Bajos, Australia y México.

Si su región está bloqueada, recibirá un mensaje indicando que no está disponible en su país.

El navegador Edge ahora puede iniciar sesión en cuentas de Microsoft con claves de seguridad FIDO2

Security Key Header

En abril, Microsoft anunció su soporte para el estándar WebAuthn que llevaría la autenticación en línea sin contraseña a Microsoft Edge utilizando las claves de seguridad FIDO2. Hoy Microsoft ha habilitado esta función y los usuarios de Windows 10 ahora pueden usar Edge para realizar inicios de sesión sin contraseña en su cuenta de Microsoft usando una clave de seguridad compatible con FIDO2.

"Esta combinación de facilidad de uso, seguridad y amplio apoyo de la industria va a ser transformadora", declaró Microsoft en un anuncio. "Cada mes, más de 800 millones de personas usan una cuenta de Microsoft para crear, conectarse y compartir desde cualquier lugar a Outlook, Office, OneDrive, Bing, Skype y Xbox Live para trabajar y jugar. Y ahora todos pueden beneficiarse de este simple usuario. Con una experiencia y seguridad grandemente mejorada ".

Usando claves de seguridad como YubiKey o Feitian BioPass, los usuarios pueden iniciar sesión en los servicios de Microsoft que incluyen su cuenta de Microsoft, Outlook.com, Cortana, Skype, OneDrive, Office, Microsoft Store y Xbox Live en la PC. La clave Titan Security de Google no es compatible con FIDO2 y, por lo tanto, no funcionará con esta función.

Para usar esta nueva función, los usuarios deberán ejecutar Windows 10 Build 1809, también conocido como la Actualización de octubre de 2018. Microsoft también planea ofrecer esta característica a clientes empresariales y de educación integrándola en el Directorio Activo de Azure en el futuro.


Los dispositivos FIDO2 protegen su cuenta utilizando un par de claves de cifrado público / privado que se crea con la clave de seguridad.

Esta clave de cifrado privada se almacena y es conocida solo por el dispositivo que la creó y solo se puede desbloquear con un PIN que usted conozca o con una señal biométrica como un gesto o el toque de un botón. La clave de descifrado pública, que se utiliza para descifrar la información cifrada por la clave privada, se envía a Microsoft y se almacena como parte de su cuenta de Microsoft.

Cuando se produce la autenticación, Microsoft enviará a la clave de seguridad un número de uso único de corta vida útil, denominado nonce, a la clave de seguridad. Este dispositivo lo firma el dispositivo mediante la clave de cifrado privada y se envía de vuelta a Microsoft. Luego, Microsoft usará su clave de cifrado pública almacenada y verificará que puede descifrar el nonce usándolo.

Si es capaz de descifrar el nonce, entonces sabe que usted es el propietario y permite que la autenticación continúe.


Como se indicó anteriormente, para usar esta función en Microsoft Edge, debe ejecutar la compilación 1809 de Windows 10. Si usa esa versión o una versión posterior, puede configurar la autenticación de clave de seguridad en su cuenta de Microsoft realizando los siguientes pasos:

1. Abra la página de la cuenta de Microsoft.

2. Cuando esté en la página, inicie sesión y haga clic en Seguridad. Cuando se abra la página de Seguridad, en la parte inferior verá un enlace titulado más opciones de seguridad, en el que debe hacer clic. Cuando haga clic en este enlace, se le solicitará que ingrese su contraseña nuevamente, lo que se espera y debe hacerse.

3. En la página de Opciones de seguridad adicionales, desplácese hacia abajo y debajo de la sección "Hola de Windows y claves de seguridad", haga clic en el enlace

4. Configurar una clave de seguridad.

5. Ahora estará en una página preguntando qué tipo de clave de seguridad desea utilizar.

Amplificador de ataques de ataques XSS activos para WP WordPress Plugin

Header

Las vulnerabilidades se descubrieron recientemente en el popular complemento AMP para WP que permite a cualquier usuario registrado realizar acciones administrativas en un sitio de WordPress. Ahora se ha descubierto que está en marcha un ataque XSS activo que se dirige a estas mismas vulnerabilidades para instalar puertas traseras y crear cuentas de administrador deshonestas en un sitio vulnerable de WordPress.

Las vulnerabilidades en el complemento AMP para WP se debieron a la falta de comprobaciones de autorización de nonce al realizar acciones de administración en versiones anteriores del complemento. Como informamos ayer, hace dos semanas se lanzó una nueva versión (0.9.97.20) que soluciona estos problemas.

Desafortunadamente, como muchos usuarios no conocen las vulnerabilidades de seguridad o no han actualizado su software, esto sigue siendo un buen vector para los ataques.

Según una investigación realizada por el analista de amenazas de WordFence Mikey Veenstra, hay una campaña en curso que utiliza estas vulnerabilidades para realizar un ataque XSS contra los administradores del sitio al inyectar un script malicioso en sitios vulnerables de WordPress.

"Por lo que parece, estos ataques parecen estar automatizados", dijo Veenstra a BleepingComputer. "Dada la presencia de una cadena de User-Agent rota indicativa 'Mozilla / 5.0 (Windows NT 6.1; Win64; x64; rv' en todos los ataques identificados en esta campaña, así como el formato consistente de las cargas útiles a pesar de un gran número de IP de ataques , es poco probable que estos ataques se realicen manualmente ".

Este script malicioso se hospeda en la URL https: // sslapis [.] Com / asset / si / stat.js y cuando se ejecuta en el navegador de un administrador creará un nuevo usuario administrador deshonesto en el sitio.

"Después de crear un elemento iframe oculto en la página que está viendo el administrador afectado, la secuencia de comandos simula el proceso de completar el formulario de Nuevo Usuario", declaró la investigación de WordFence. "Como parte de este proceso, selecciona la función de administrador y envía un evento click () al botón de envío para crear un nuevo usuario con acceso de administrador".

Cuando se agregue la cuenta de administrador maliciosa, se configurará con el nombre de usuario supportuuser y con el correo electrónico Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. como se muestra en el fragmento de script a continuación.

Snippet of script that creates new user

Después de agregar un nuevo usuario, el script enumerará todos los complementos instalados e intentará inyectar una puerta trasera de PHP en cada uno.

Editing each plugin and injecting a backdoor

La puerta trasera agregada se confunde mediante la codificación base64, pero se decodifica como el siguiente código PHP que utiliza la función extract () para asignar datos ingresados por el usuario a variables de entorno que luego serán ejecutadas por la función die ().

Injected backdoor

Esta puerta trasera funciona leyendo las variables anexadas a la URL de un complemento que ha sido puerta trasera y asignándolas como variables de entorno utilizando la función extract (). La puerta trasera luego ejecutará la función die (), que invocará cualquier comando que se haya insertado como la fecha de la variable con un argumento a esa función de lo que se asigna a adate.

Debido a la popularidad del complemento de AMP para WP, la gravedad de las vulnerabilidades y los ataques en curso, se recomienda encarecidamente que todos los usuarios de este complemento comprueben y eliminen la cuenta de administrador de soporte fraudulento o cualquier otra cuenta de administrador desconocida. Luego deben actualizar a la versión 0.9.97.20 o superior del complemento AMP para WP.

Script también habilita el plugin WooCommerce
Curiosamente, si tiene instalado el complemento WooCommerce, el script XSS también contiene una función que intenta activarlo.

El script hace esto al conectarse a la página de plugins.php de WordPress, que contiene una lista de complementos y enlaces para activarlos. Luego busca el complemento WooCommerce y lo activa si se detecta.

Activate WooCommerce plugin

Emotet regresa con tema de Acción de Gracias y mejores trucos de phishing

Después de un breve descanso, se ha observado el malware Emotet oculto en documentos entregados a través de correos electrónicos que simulaban ser de instituciones financieras o disfrazados de saludos para los empleados relacionados con el Día de Acción de Gracias.

A principios de octubre, la actividad de Emotet desapareció del radar, solo para regresar al final del mes con un nuevo complemento que filtra los temas de correo electrónico y 16KB de los cuerpos.

La nueva funcionalidad podría utilizarse para crear mejores plantillas de phishing, lo que parece ser el caso de las últimas campañas.

Pago del módulo de robo de correo electrónico
El proveedor de soluciones de defensa contra el phishing, Cofense, antes PhishMe, notó una nueva actividad relacionada con Emotet el 13 de noviembre. La pieza de malware llegó a través de elaborados mensajes de phishing que falsificaron a "una organización conocida y confiable".

Lo que se destacó en los mensajes fueron los enlaces legítimos que usaron la defensa de URL de Proofpoint, un servicio de escaneo que redirige la URL a los servidores de Proofpoint para su verificación cuando el usuario hace clic en ella; estos enlaces tienen una estructura específica, visible cuando se pasa sobre ellos y se agrega al engaño. Probablemente hayan sido robados con el nuevo módulo de raspado de correo electrónico de un usuario comprometido.

Emotet no es la carga útil final.
Según Cofense, los correos electrónicos venían con un documento de Word incrustado con un código de macro malicioso. Una vez ejecutado, el código descargado y ejecutado Emotet en el sistema. Sin embargo, el malware no es la carga útil final, ya que actúa como un descargador para otro. En este caso, fue IcedID, un troyano bancario que surgió hace un año, centrado en las instituciones financieras y de inversión, así como en varias compañías bancarias.

En lo que respecta a Emotet, la compañía de seguridad dice que sigue creciendo, con "al menos 20,000 credenciales agregadas a la lista de credenciales que utilizan los clientes de la red de bots cada semana junto con millones y millones de destinatarios".

Cofense notó una mejora drástica de los trucos de ingeniería social en la campaña más reciente y lo atribuye al módulo de rastreo de correo electrónico recién agregado.

El señuelo de Acción de Gracias de Emotet
Emotet ha sido parte de otra campaña que comenzó el 19 de noviembre y entregó más de 27,000 correos electrónicos en menos de diez horas, entre las 7:30 y las 17:00.

Aunque la operación sigue el patrón habitual, la parte impar es el tema del mensaje de Acción de Gracias, en contraste con los señuelos financieros regulares. Los asuntos del correo electrónico se refieren a las tarjetas, saludos, felicitaciones y mensajes de Acción de Gracias, y algunos de ellos incluyen el nombre de la víctima.

La empresa de seguridad cibernética Forcepoint que realiza el seguimiento de esta actividad dice en una publicación de blog de hoy que el documento malicioso que entrega Emotet no era un archivo de Word, sino un XML que pretendía ser un DOC.

Esta técnica ofrece una mejor ofuscación del código de macro con los comandos responsables de recuperar la carga útil.

MageCart Group sabotea el rival a arruinar los datos y la reputación

Los delincuentes cibernéticos en el negocio de skimming web están saboteando su competencia al envenenar los datos de pago que exfiltran de las tiendas en línea. Esto hace que la parte perdedora termine con una gran nada grande y una reputación arruinada en foros clandestinos.

Los grupos que chocan en el servidor de la víctima real son de la línea de cibercriminales de MageCart, identificados por el Yonathan Kliknsma de RiskIQ en orden de aparición, como grupo 3 y grupo 9. Obviamente, uno de ellos es mejor en este juego y ese es el último.

Da la bienvenida al grupo 3 de Magecart que está siendo intimidado por el grupo 9 de Magecart. Https://t.co/omO9D1Co3h

- Yonathan Klijnsma (@ydklijnsma) 20 de noviembre de 2018
El investigador independiente de seguridad Willem de Groot y Jérôme Segura de Malwarebytes publicaron dos informes sobre el código de skimming web del grupo 9 de Magecart que arruinó la operación de su competencia.

El 'playground' fue el sitio web de Umbro Brasil y la tienda de cosméticos en línea B.Liv.

La caza de dominios de exfiltración del rival.
Según los investigadores, el código utilizado por el grupo 9 está muy ofuscado y puede detectar la presencia de otros skimmers web en el servidor. Si se detecta un skimmer de la competencia, intercepta los datos de la tarjeta capturados por la competencia y cambia el último número de la tarjeta para que los datos pierdan su valor.

Para activar el mecanismo de envenenamiento de datos, el código verifica los nombres de dominio utilizados por el competidor para filtrar los detalles de pago. Si se detecta, genera un número aleatorio de 0 a 9 y reemplaza el último número de tarjeta con este.

Detecting competitor's exfiltration domain and changing card number

 

Segura dice que la ligera modificación del número de tarjeta puede ser suficiente para pasar la validación, pero la información de pago es inútil.

La venta de datos de tarjetas que no funcionan en el mercado negro es un serio golpe para la reputación del vendedor, explica de Groot.

"¿Por qué el sutil sabotaje, en lugar de simplemente matar al skimmer inferior? En los oscuros mercados web, la reputación lo es todo", declaró De Groot en un blog sobre los skimmers de la competencia. "Si uno vende tarjetas que no funcionan, los clientes enojados se quejarán públicamente y destruirá la" marca "de la competencia".

Sabotear la competencia es una estrategia vista en el pasado en las operaciones de criptometría. GhostMiner, el primer minero de criptomonedas sin archivos, escanea y detiene otros procesos que pueden estar minando en el host, un comportamiento adoptado posteriormente por CroniX.

Las operaciones de Magecart normalmente aprovechan las secuencias de comandos de terceros que se cargan al momento de pagar. Para protegerse, los propietarios de sitios web deben eliminar las páginas de información de pago de cualquier componente que no sea necesario para procesar la transacción o los datos del cliente. El riesgo de compromiso se reduce aún más al mantener los complementos actualizados a la última versión.

Actualización de Adobe Flash Player lanzada para la vulnerabilidad de ejecución remota de código

Adobe

Adobe lanzó una actualización de seguridad ayer que resuelve una vulnerabilidad crítica en Flash Player que podría permitir que sitios maliciosos ejecuten código en su computadora.

Según el boletín Adobe APSB18-44, esta vulnerabilidad tiene un ID de CVE de 2018-15981 y es una vulnerabilidad de Confusión de tipo que podría permitir la ejecución remota de código. Esto significa que un atacante puede crear un archivo SWF malicioso, alojarlo en un sitio web y explotar a los visitantes vulnerables cuando navegan por el sitio. Esto les permitiría ejecutar cualquier comando en la computadora, como descargar e instalar malware.

Una actualización de seguridad para Adobe Flash Player ya se lanzó este mes el 13 de noviembre junto con actualizaciones para otros productos. La razón por la que Adobe ha lanzado otra actualización es porque la información técnica sobre esta vulnerabilidad ya se ha publicado en línea y los atacantes podrían utilizarla para crear un exploit funcional.

Parece que el mismo día en que se lanzó la actualización del 13 de noviembre de Flash Player, se publicó una publicación en el blog que ofrecía una descripción detallada de una vulnerabilidad de tipo confusión en Flash Player.

"TLDR; hay un error en Adobe Flash", indica la publicación del blog. "El código de intérprete de la Máquina Virtual de Action Script (AVM) no restablece un puntero de alcance cuando se detecta una excepción, lo que lleva más adelante a un error de confusión de tipo y, finalmente, a una ejecución remota de código".

Según Eduard Kovacs, de Security Week, este blog pertenece a un investigador con sede en Israel llamado Gil Dabah. No se sabe por qué la vulnerabilidad fue divulgada públicamente.

Último, si para usted todavía está usando Flash por alguna razón, necesita actualizar inmediatamente para protegerse mientras navega por la web. Para resolver esta vulnerabilidad, los usuarios pueden actualizar a Adobe Flash Player 31.0.0.153.

Subscribe to this RSS feed