Durante su jornada laboral, uno de los empleados de 2gether, plataforma española especializada en criptodivisas, se descargó una película a través de una página web no muy fiable al parecer. Y es que la película contenía el troyano 'NanoCore', un malware que, ya instalado en la red de la empresa, se encargó de recopilar todo tipo de información: contraseñas, perfiles, números de teléfono, etc.
#1:
Pregunto, ¿Se descargó una pelicula, o "lo que parecía una película que en realidad era un exe o un zip con un exe"?
Desconozco que una pelicula pueda tener malware si no es un ejecutable.
Pregunto, ¿Se descargó una pelicula, o "lo que parecía una película que en realidad era un exe o un zip con un exe"?
Desconozco que una pelicula pueda tener malware si no es un ejecutable.
#1 Las cosas de la prensa nunca tienen pies ni cabeza. Es absurdo pensar que una empresa de criptomonedas descargue archivos ejecutables de paginas dudosas y encima los ejecute sin tener un antivirus o proteccion similar.
#1 Pues no es necesario que sea un ejecutable. Si hay una vulnerabilidad en el reproductor, un archivo de vídeo convenientemente manipulado podría aprovecharla para conseguir acceso al ordenador. Pasa más de lo que pensamos con los PDFs y similares.
#1 No se si sera este el caso, pero si se puede. Aqui [1] tienes en detalle un ejemplo de un mode de ataque de ejecucionde codigo remoto con cero-clicks en iMessage usando un archivo GIF
En resume funciona asi:
1. iMessage tiene una función para enviar y recibir GIF
2. Estos GIF se copian en una ruta específica al principio del pipeline del procesamiento de mensajes (incluso antes de que se muestre el mensaje)
3. Pero el código de copia no solo copia el GIF. Utiliza las API de CoreGraphics que renderiza la imagen en un nuevo archivo GIF en la ruta de destino.
4. El código usa ImageIO lib para adivinar el formato de la imagen, ignorando la extensión de archivo .gif. Entonces puede engañar a este código para que acepte un archivo que no sea GIF.
5. Puede usar lo anterior para invocar uno de los más de 20 códecs de imagen que no estaban destinados a ser invocados en este código, incluido el analizador de PDF de CoreGraphics.
6. El analizador de PDF CoreGraphics tiene una vulnerabilidad muy específica en su códec de imagen JBIG2.
7. JBIG2 toma una imagen de texto, identifica glifos repetidos y usa ese hecho para una mejor compresión. Para evitar confundir glifos ligeramente diferentes en cosas como imágenes de impresiones de baja calidad tiene una forma de aplicar una diferencia sobre cada instancia de un glifo repetido identificado.
8. Esta lógica tiene un error de desbordamiento de enteros: la variable 'número de símbolos' es un entero de 32 bits, que se puede desbordar utilizando un archivo cuidadosamente diseñado. Ahora el atacante puede configurar el búfer para símbolos en un valor mucho más pequeño.
9. Para resumir, esto permite sobrescribir la memoria de la pila, estableciendo valores arbitrarios en los objetos usados en la lógica JBIG2.
10. La lógica JBIG2 usa las operaciones AND, OR, XOR y XNOR al iterar a través de estos objetos (para aplicar la 'diff' en los glifos). El atacante puede crear un archivo que encadene estas operaciones lógicas para que básicamente forme un circuito lógico de software.
11. ¡Entonces, este exploit básicamente emula una arquitectura de computadora dentro de un códec de imagen, que puede usarse para operar en una memoria arbitraria!
Es increible .... y ademas esto es por lo que nadie me invita a sus fiestas
#13 Sin ser imposible los requisitos para ejecutarlo son muy específicos y la gran mayoría de las veces ese troyano no se ejecutará aún viendo la película.
Por contra engañar a usuarios con doble extensión u otras técnicas para engañar al usuario para que lo ejecute suele ser mucho más fácil de conseguir. Hay más usuarios que cometerán ese error que equipos que serán vulnerables al troyano de ese vídeo.
#16 En ningún momento he negado que se pueda hacer ni he insinuado que sea una técnica reciente, lo que explico es que es mucho más fácil engañar al usuario para que abra un ejecutable que encontrar un sistema vulnerable a correr ejecutables incrustados en vídeos o imágenes.
Y como no sabemos cómo ha ocurrido lo más probable es que sea de la forma más habitual, que no es con ejecutables incrustados en vídeos o fotos.
¿Cuando dices "lo he hecho infinidad de veces" te refieres a distribuir troyanos por ese método y que el usuario de destino acabe infectado? ¿O simplemente a incrustar datos en vídeos o imágenes para acceder tú a ellos posteriormente?
#18 Así, es, eso dije y eso mantengo. La mayoría de veces significa que la mayoría de sistemas no tendrán las vulnerabilidades necesarias para la ejecución.
Estas empresas que manejan cryptos, aun no han escarmentado y no saben guardar la mayoría de las wallets offline y tener solo lo justo online para los movimientos del dia a dia?
Es como si la sucursal del banco de tu barrio tiene todo el dinero en efectivo ahi en la caja fuerte, esperando a que venga cualquier pandilla de ladrones con pistolas.
Comentarios
Pregunto, ¿Se descargó una pelicula, o "lo que parecía una película que en realidad era un exe o un zip con un exe"?
Desconozco que una pelicula pueda tener malware si no es un ejecutable.
#1 o se descargó el troyano mientras se descargaba la película
#1 Y no funciono el firewall?
#3 no le habrian hecho el ritual de mantenimiento con largatijas y canticos
#3 La mayoría de RAT's (troyanos) funcionan por conexión inversa. ¿Cuántas empresas utilizan firewall y filtran o bloquean tráfico de salida?
#1 Las cosas de la prensa nunca tienen pies ni cabeza. Es absurdo pensar que una empresa de criptomonedas descargue archivos ejecutables de paginas dudosas y encima los ejecute sin tener un antivirus o proteccion similar.
#1 Pues no es necesario que sea un ejecutable. Si hay una vulnerabilidad en el reproductor, un archivo de vídeo convenientemente manipulado podría aprovecharla para conseguir acceso al ordenador. Pasa más de lo que pensamos con los PDFs y similares.
#1 No se si sera este el caso, pero si se puede. Aqui [1] tienes en detalle un ejemplo de un mode de ataque de ejecucionde codigo remoto con cero-clicks en iMessage usando un archivo GIF
En resume funciona asi:
1. iMessage tiene una función para enviar y recibir GIF
2. Estos GIF se copian en una ruta específica al principio del pipeline del procesamiento de mensajes (incluso antes de que se muestre el mensaje)
3. Pero el código de copia no solo copia el GIF. Utiliza las API de CoreGraphics que renderiza la imagen en un nuevo archivo GIF en la ruta de destino.
4. El código usa ImageIO lib para adivinar el formato de la imagen, ignorando la extensión de archivo .gif. Entonces puede engañar a este código para que acepte un archivo que no sea GIF.
5. Puede usar lo anterior para invocar uno de los más de 20 códecs de imagen que no estaban destinados a ser invocados en este código, incluido el analizador de PDF de CoreGraphics.
6. El analizador de PDF CoreGraphics tiene una vulnerabilidad muy específica en su códec de imagen JBIG2.
7. JBIG2 toma una imagen de texto, identifica glifos repetidos y usa ese hecho para una mejor compresión. Para evitar confundir glifos ligeramente diferentes en cosas como imágenes de impresiones de baja calidad tiene una forma de aplicar una diferencia sobre cada instancia de un glifo repetido identificado.
8. Esta lógica tiene un error de desbordamiento de enteros: la variable 'número de símbolos' es un entero de 32 bits, que se puede desbordar utilizando un archivo cuidadosamente diseñado. Ahora el atacante puede configurar el búfer para símbolos en un valor mucho más pequeño.
9. Para resumir, esto permite sobrescribir la memoria de la pila, estableciendo valores arbitrarios en los objetos usados en la lógica JBIG2.
10. La lógica JBIG2 usa las operaciones AND, OR, XOR y XNOR al iterar a través de estos objetos (para aplicar la 'diff' en los glifos). El atacante puede crear un archivo que encadene estas operaciones lógicas para que básicamente forme un circuito lógico de software.
11. ¡Entonces, este exploit básicamente emula una arquitectura de computadora dentro de un códec de imagen, que puede usarse para operar en una memoria arbitraria!
Es increible .... y ademas esto es por lo que nadie me invita a sus fiestas
[1] https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html
#7 Ciertamente es posible, pero muy improbable...... en este caso y en Windows casi seguro que era un ejecutable y no un fichero de vídeo
#1 pensé exactamente lo mismo, la "película" sería un "exe", no un mp4, ni un avi......
#1 Hoy los troyanos , puedes estar en un .jpg. en un pdf, en un .doc o un .xls.
#1 Puedes crear un fichero con la película totalmente visible y que a su vez tenga un troyano.
#13 Sin ser imposible los requisitos para ejecutarlo son muy específicos y la gran mayoría de las veces ese troyano no se ejecutará aún viendo la película.
Por contra engañar a usuarios con doble extensión u otras técnicas para engañar al usuario para que lo ejecute suele ser mucho más fácil de conseguir. Hay más usuarios que cometerán ese error que equipos que serán vulnerables al troyano de ese vídeo.
#15 Lo he hecho infinidad de veces con videos e imágenes de hecho es algo que se hace desde hace mas de 20 años.
#16 En ningún momento he negado que se pueda hacer ni he insinuado que sea una técnica reciente, lo que explico es que es mucho más fácil engañar al usuario para que abra un ejecutable que encontrar un sistema vulnerable a correr ejecutables incrustados en vídeos o imágenes.
Y como no sabemos cómo ha ocurrido lo más probable es que sea de la forma más habitual, que no es con ejecutables incrustados en vídeos o fotos.
¿Cuando dices "lo he hecho infinidad de veces" te refieres a distribuir troyanos por ese método y que el usuario de destino acabe infectado? ¿O simplemente a incrustar datos en vídeos o imágenes para acceder tú a ellos posteriormente?
#17 Dijiste --> "y la gran mayoría de las veces ese troyano no se ejecutará aún viendo la película."
#18 Así, es, eso dije y eso mantengo. La mayoría de veces significa que la mayoría de sistemas no tendrán las vulnerabilidades necesarias para la ejecución.
#19 Discrepo totalmente. Windows sigue siendo un coladero y la gente sigue sin tener ni puta idea. Este sistema se sigue usando y sigue funcionando.
#1 Hace tiempo me salió un aviso urgente en el vlc para actualizar, y por lo que leí era un fallo que permitía ejecutar código al abrir una película.
Estas empresas que manejan cryptos, aun no han escarmentado y no saben guardar la mayoría de las wallets offline y tener solo lo justo online para los movimientos del dia a dia?
Es como si la sucursal del banco de tu barrio tiene todo el dinero en efectivo ahi en la caja fuerte, esperando a que venga cualquier pandilla de ladrones con pistolas.