{"id":1521,"date":"2019-09-24T20:15:39","date_gmt":"2019-09-24T20:15:39","guid":{"rendered":"http:\/\/blogs.uo.edu.cu\/seginf\/?p=1521"},"modified":"2019-09-24T20:15:40","modified_gmt":"2019-09-24T20:15:40","slug":"phishing-afecta-a-la-web-de-denuncias-securedrop","status":"publish","type":"post","link":"https:\/\/blogs.uo.edu.cu\/seginf\/?p=1521","title":{"rendered":"Phishing afecta a la web de denuncias SecureDrop."},"content":{"rendered":"

\n\t\"\"<\/a>La web de denuncias SecureDrop, perteneciente a The Guardian, estaba redirigiendo a una web phishing que tenía como objetivo robar los codenames<\/em> de los usuarios. Además, esta web phishing anunciaba una aplicación móvil para Android que permitía a los atacantes realizar diversas actividades maliciosas en los dispositivos de las víctimas.\n<\/p>\n

\n\tSecureDrop es un servicio para compartir datos mediante la red TOR, esto permite a los denunciantes enviar información a las empresas de periodismo de forma anónima. Por ejemplo, podemos hacer uso del servicio en la dirección legítima de la web de noticias The Guardian en 33y6fjyhs3phzfjj.onion\n<\/p>\n

<\/p>\n

\n\t\"\"<\/a>\n<\/p>\n

\n\tCuando un usuario desea enviar información a los periodistas del medio de comunicación recibe un nombre en clave, codename<\/em>, que luego se puede utilizar para futuras comunicaciones. Este nombre en clave es privado, ya que cualquiera que lo conozca puede ver las comunicaciones realizadas con los periodistas.\n<\/p>\n

\n\t\"\"<\/a>\n<\/p>\n

\n\tUna vez que los atacantes obtienen los codenames<\/em> de los usuarios pueden iniciar sesión en la web legítima de SecureDrop y hacerse pasar por la fuente para robar información y comunicaciones.\n<\/p>\n

\n\tPoco después de anunciar que había sido descubierto el phishing<\/em> la web maliciosa fue desactivada. Sin embargo, no se sabe si el sitio fue desconectado por el equipo de seguridad de The Guardian, o por los atacantes.\n<\/p>\n

\n\tAplicación Android maliciosa
\n<\/h4>\n

\n\tLos atacantes estaban anunciando en la web phishing una aplicación Android que permitía a los usuarios «ocultar su ubicación».\n<\/p>\n

\n\tLos descubridores del phishing consiguieron descargar el malware<\/em> y todavía está disponible el enlace para su descarga desde la cuenta de Twitter de Elliot Alderson\n<\/p>\n

\n\tSegún nos muestra el análisis del APK en VirusTotal podemos ver una larga lista de permisos que asemejan la funcionalidad a la de un RAT. Entre los permisos solicitados encontramos el monitoreo de las llamadas, ubicación, mensajes de texto, grabar audios…\n<\/p>\n

\n\t\"\"<\/a>\n<\/p>\n

\n\tTras analizar el malware el investigador Lukas Stefanko dijo:
\n\t«La aplicación es un malware controlado de forma remota y ejecutará comandos enviados por el servidor. También puede obtener texto de notificaciones, enviar imágenes desde la galería y tomar capturas de pantalla si el dispositivo está rooteado».<\/em>\n<\/p>\n

\n\tAdemás, se cree que parte de la información robada del dispositivo puede utilizarse para realizar el secuestro de la tarjeta SIM. La aplicación envía la información a un servidor de comando y control con IP 213.188.152.96. Dicha dirección IP ha sido utilizada para distintas campañas de malware.\n<\/p>\n

\n\tMás información:\n<\/p>\n

\n\thttps:\/\/www.bleepingcomputer.com\/news\/security\/phishing-attack-targets-t…<\/a>\n<\/p>\n

\n\t <\/p>\n

Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"

La web de denuncias SecureDrop, perteneciente a The Guardian, estaba redirigiendo a una web phishing que tenía como objetivo robar los codenames de los usuarios. Además, esta web phishing anunciaba una aplicación móvil para Android que permitía a los atacantes realizar diversas … Sigue leyendo →<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2,49,6,13,14,15,20,28],"tags":[],"class_list":["post-1521","post","type-post","status-publish","format-standard","hentry","category-amenazas","category-ciberataque","category-codigos-malignos","category-hackers","category-incidentes","category-informaciones","category-phishing","category-seguridad-informatica"],"_links":{"self":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1521","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1521"}],"version-history":[{"count":1,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1521\/revisions"}],"predecessor-version":[{"id":1526,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1521\/revisions\/1526"}],"wp:attachment":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1521"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1521"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1521"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}