Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
abril
(Total:
42
)
- Resumen Reporte de Kaspersky sobre ataques DDoS Q1...
- La actualización de Windows 10 interrumpe en direc...
- 7 millones de cuentas hackeadas de la comunidad Li...
- Hackeada la base de datos del Banco Nacional de Qatar
- Las ventas del iPhone caen por primera vez en su h...
- Disponible para la venta el nuevo Meizu Pro 5 Ubun...
- La mitad de los adultos británicos no saben distin...
- Mitigación de ataques DDoS Syn Flood con iptables-...
- Error de configuración en MongoDB expone los regis...
- Huawei confirma dos versiones del P9 Lite, fecha d...
- GoAccess es un analizador en tiempo real del log d...
- PenQ: navegador basado en Mozilla Firefox para rea...
- El creador ruso del Exploit Kit Blackhole condenad...
- Microsoft alerta de e-mails con adjuntos malicioso...
- Google presenta Informe anual de Seguridad en Andr...
- Hacker imprime cartel Neo-Nazi a impresoras abiert...
- La policía de Canadá espió más de un millón de men...
- Jornadas X1RedMasSegura 4ª Edición 20 y 21 de Mayo...
- Phineas Fisher explica cómo hackeó a Hacking Team
- La 2 estrena hoy sábado el programa sobre ciberseg...
- EastMadH4ck arranca en Arganda (sureste de Madrid)...
- Etiopía propone cinco años de prisión a quien mand...
- Departamento de Seguridad de Estados Unidos pide a...
- Un hombre borra todos los datos de su empresa al h...
- Presentados los nuevos terminales Meizu Pro 6 y HT...
- Jigsaw, el ransomware que va borrando a tus archiv...
- Google Chrome versión 50 deja sin soporte a Window...
- Cómo evitar que un ransomware cifre los ficheros e...
- Desarolladores de Google crean una API para accede...
- Zerodium, el traficante de exploits que compra vul...
- Tres ejemplos de incidentes reales de acoso utiliz...
- Un fallo informático permite ver el borrador de la...
- La historia detrás de la creación de WhatsApp
- Diferencias velocidad y clases tarjetas de memoria...
- WhatsApp activa el cifrado de extremo a extremo
- Nueva oleada del virus Crypt0l0cker con aviso de C...
- Un padre suplica a Apple para que desbloquee el iP...
- Los enfrentamientos por el peering llegan al IPv6
- Módulo Anti-DDoS para servidor web Nginx
- Herramientas automatizadas para ataques SQL injection
- Gestión de librerías compartidas en GNU/Linux
- Un alumno robó datos de 16.000 personas de la Univ...
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Microsoft alerta de e-mails con adjuntos maliciosos en JavaScript
jueves, 21 de abril de 2016
|
Publicado por
el-brujo
|
Editar entrada
Microsoft ha publicado una advertencia de mensajes de spam contenían un archivo adjunto JavaScript (.js, .jse) y tratan de infectar tu ordenador con malware, como el Ransomware Locky, Los archivos adjuntos de JavaScript pueden están de nuevo "envueltos" en un archivo rar o zip, explica Alden Pornasdoro de Microsoft.
Además de utilizar los archivos JavaScript, los ciberdelincuentes usan documentos de Office con macros maliciosas para difundir ransomware.
Se puede infectar rápidamente un ordenador a través de un archivo JavaScript.
Pornasdoro añade que se hizo es muy raro que las personas envíen archivos adjuntos de JavaScript.
Estos archivos adjuntos de correo electrónico maliciosos se distribuyen a través de campañas de spam. Las campañas de spam varían desde diferentes áreas de la ingeniería social, hacen un llamamiento a la curiosidad de la gente - lo suficiente para que tomen acción y hagan clic en lo que no se debe pulsar: desde temas relacionados con las finanzas como las cuentas de recibos, facturas y bancarias, a hojas de vida y notificaciones de envío, (ejemplo aviso carta correos certificada)
Los archivos adjuntos de JavaScript están fuertemente ofuscados para evitar detecciones del software antivirus. Suele consistir en una descarga y ejecutar la función emparejado con una o dos direcciones URL que hospedan el malware.
Quién recibe un archivo así no debería abrirlo. Por lo tanto, Pornasdoro aconseja a las organizaciones usar el software AppLocker para que los archivos dudosos no se puedan abrir. Además, se aconseja a los administradores deshabilitar las macros en los programas de Office.
En primer lugar: ¿Qué es AppLocker? AppLocker es un conjunto de configuración de directivas de grupo no se desarrolló de directivas de restricción de software, para restringir las aplicaciones que pueden ejecutarse en una red corporativa, incluyendo la capacidad para restringir basado en el número de versión de la aplicación o el editor.
Se usan para agrupar acciones repetitivas y rutinarias.
Sirven básicamente para automatizar las tareas realizadas con más frecuencia.
Los Programas de Microsoft Office siempre han sido uno de los blancos más vulnerables desde el primer virus de macro
Habilitar o deshabilitar Macros en documentos de Office (Word, Excel, Access, Outlook, PowerPoint, Visio y Publisher)
Si su entorno requiere VBA entonces no permitas que las macros de fuentes no confiables se puedan ejecutar.
En lugar de habilitar la característica directamente como le sugiere el documento malicioso, examinar el código del documento primero a través de la ficha Programador (Developer)
La ficha Programador se puede activar a través de Archivo> Opciones. En el cuadro de diálogo Opciones de Word seleccione Personalizar cinta de opciones de la izquierda y poner una marca al lado de desarrollador.
En Word 2007, la opción para activar la ficha Programador se puede encontrar bajo Popular en el cuadro de diálogo Opciones de Word. En pocas palabras una marca de verificación junto a Mostrar ficha Programador en la cinta de opciones. Haga clic en la ficha Programador y seleccione Visual Basic en la barra de herramientas. Con ello se abre la interfaz de programador de VBA y revelar el código de la macro.
Si no desea infectarse con un virus de macro, mantenga presionada la tecla MAYÚS cuando abra un archivo que podría estar infectado con un virus de macro. Si presiona MAYÚS evitará que se ejecuten las macros automáticas; si hay algún virus de macro presente, no se cargará.
La empresa finlandesa F-Secure ha dado consejos de cómo deshabilitar Windows Script Host para desactivar archivos JavaScript para que no puedan ser abiertos.
Numerosas campañas de spam están usando varias familias ransomware a través de archivos adjuntos .zip. Y los archivos .zip contienen Normalmente, un JScript (.js / .JSE) o VBScript (archivos .VBS y .VBE) Un archivo que, si se hace clic, se ejecutará a través de Windows Script Host.
Se puede editar el registro de Windows para desactivar WSH.
Inicio, ejecutar, Regedit
Aquí está la clave (carpeta).
Crear un nuevo valor DWORD denominado "Enabled" y establezca los datos de valor a "0".
Y después, si hace clic en un archivo .js, se verá esto:
O ejecutar el script nombre.bat
Una aviso que es mucho mejor que ver a la nota de extorsión... o del pago de rescate por tus ficheros secuestrados.
En estos nuevos casos, estamos viendo objetos incrustados OLE y el contenido rodeadas de texto bien formateado e imágenes para animar a los usuarios para que el objeto o contenido, y así ejecutar el código malicioso. Hasta ahora, hemos visto estos archivos utilizan comandos Basic (VB) y JavaScript (JS) Visual maliciosos incrustados en un documento.
La secuencia de comandos o un objeto está rodeado de texto que anima al usuario a hacer clic o interactuar con el script (que por lo general se representa con un icono de secuencia de comandos similar). Cuando el usuario interactúa con el objeto, una advertencia indica al usuario si desea continuar o no. Si el usuario elige para proceder (haciendo clic abierto), el script malicioso se ejecuta y puede ocurrir en cualquier forma de infección.
Es importante señalar que la interacción del usuario y el consentimiento sigue siendo necesaria para ejecutar la carga maliciosa. Si el usuario no permite que el objeto o haga clic en el objeto - a continuación, el código no se ejecutará y no se producirá ninguna infección.
Por lo tanto, la educación es una parte importante de la mitigación - al igual que con los correos electrónicos de spam, sitios web sospechosos y aplicaciones no verificadas. No haga clic en el enlace, que el contenido o ejecutar el programa a menos que confíe absolutamente y pueda verificar su origen.
Para configurar los programas de Office 2007 para elegir que hacer cuando haya un objeto de empaquetador, se puede configurar una entrada den el registro PackagerPrompt en la siguiente subclave del registro:
Esta entrada del registro es una entrada REG_DWORD. Puede utilizar cualquiera de los valores siguientes con esta entrada del registro:
PackagerPrompt
Fuentes:
https://blogs.technet.microsoft.com/mmpc/2016/04/18/javascript-toting-spam-emails-what-should-you-know-and-how-to-avoid-them/
https://labsblog.f-secure.com/2016/04/19/how-to-disable-windows-script-host/
https://blogs.technet.microsoft.com/mmpc/2016/06/14/wheres-the-macro-malware-author-are-now-using-ole-embedding-to-deliver-malicious-files/
Además de utilizar los archivos JavaScript, los ciberdelincuentes usan documentos de Office con macros maliciosas para difundir ransomware.
Se puede infectar rápidamente un ordenador a través de un archivo JavaScript.
Es interesante observar los pasos necesarios con las macros maliciosas Por lo general, son necesarios dos o más clics para abrir el documento. Un clic para el documento y, otro clic para activar la macro. Por otro lado, el anexo de JavaScript, sólo es necesario uno o dos clicks para ejecutar.
Pornasdoro añade que se hizo es muy raro que las personas envíen archivos adjuntos de JavaScript.
Estos archivos adjuntos de correo electrónico maliciosos se distribuyen a través de campañas de spam. Las campañas de spam varían desde diferentes áreas de la ingeniería social, hacen un llamamiento a la curiosidad de la gente - lo suficiente para que tomen acción y hagan clic en lo que no se debe pulsar: desde temas relacionados con las finanzas como las cuentas de recibos, facturas y bancarias, a hojas de vida y notificaciones de envío, (ejemplo aviso carta correos certificada)
Los archivos adjuntos de JavaScript están fuertemente ofuscados para evitar detecciones del software antivirus. Suele consistir en una descarga y ejecutar la función emparejado con una o dos direcciones URL que hospedan el malware.
Quién recibe un archivo así no debería abrirlo. Por lo tanto, Pornasdoro aconseja a las organizaciones usar el software AppLocker para que los archivos dudosos no se puedan abrir. Además, se aconseja a los administradores deshabilitar las macros en los programas de Office.
AppLocker
En primer lugar: ¿Qué es AppLocker? AppLocker es un conjunto de configuración de directivas de grupo no se desarrolló de directivas de restricción de software, para restringir las aplicaciones que pueden ejecutarse en una red corporativa, incluyendo la capacidad para restringir basado en el número de versión de la aplicación o el editor.
- Haga clic en Inicio - Todos los programas - Herramientas administrativas - Administración de directivas de grupo.
- Crear o editar objetos de directiva de grupo.
- Expanda Configuración del equipo - Políticas - Configuración de Windows - Configuración de seguridad - Las políticas de control de aplicaciones - AppLocker.
- En el panel derecho, haga clic en la aplicación de las reglas Configurar.
- Normas ejecutables: .exe, .com
- Reglas de Windows Installer: MSI, MSP
- Normas Scripts: .ps1, .bat, .cmd, .vbs, .js
Fuente:
¿Qué es una macro?
Una macro es un conjunto de comandos o instrucciones enviados al programa, que se ejecutan secuencialmente una tras otra. De hecho macro es la abreviatura de macroinstrucción.Se usan para agrupar acciones repetitivas y rutinarias.
Sirven básicamente para automatizar las tareas realizadas con más frecuencia.
Los Programas de Microsoft Office siempre han sido uno de los blancos más vulnerables desde el primer virus de macro
Habilitar o deshabilitar Macros en documentos de Office (Word, Excel, Access, Outlook, PowerPoint, Visio y Publisher)
Desactivar Macros en Office
Si su entorno requiere VBA entonces no permitas que las macros de fuentes no confiables se puedan ejecutar.
En lugar de habilitar la característica directamente como le sugiere el documento malicioso, examinar el código del documento primero a través de la ficha Programador (Developer)
La ficha Programador se puede activar a través de Archivo> Opciones. En el cuadro de diálogo Opciones de Word seleccione Personalizar cinta de opciones de la izquierda y poner una marca al lado de desarrollador.
En Word 2007, la opción para activar la ficha Programador se puede encontrar bajo Popular en el cuadro de diálogo Opciones de Word. En pocas palabras una marca de verificación junto a Mostrar ficha Programador en la cinta de opciones. Haga clic en la ficha Programador y seleccione Visual Basic en la barra de herramientas. Con ello se abre la interfaz de programador de VBA y revelar el código de la macro.
Presionar MAYÚS al abrir un archivo
Si no desea infectarse con un virus de macro, mantenga presionada la tecla MAYÚS cuando abra un archivo que podría estar infectado con un virus de macro. Si presiona MAYÚS evitará que se ejecuten las macros automáticas; si hay algún virus de macro presente, no se cargará.
La empresa finlandesa F-Secure ha dado consejos de cómo deshabilitar Windows Script Host para desactivar archivos JavaScript para que no puedan ser abiertos.
¿Cómo desactivar Windows Script Host?
Microsoft Windows Script Host (WSH) es una tecnología de automatización para los sistemas operativos Microsoft Windows hizo Proporciona capacidades de scripting comparable a batchfiles, pero con un soporte de funciones ampliado. Originalmente fue llamado Windows Scripting Host, pero cambió de nombre en la segunda versión.Numerosas campañas de spam están usando varias familias ransomware a través de archivos adjuntos .zip. Y los archivos .zip contienen Normalmente, un JScript (.js / .JSE) o VBScript (archivos .VBS y .VBE) Un archivo que, si se hace clic, se ejecutará a través de Windows Script Host.
Se puede editar el registro de Windows para desactivar WSH.
Inicio, ejecutar, Regedit
Aquí está la clave (carpeta).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
Crear un nuevo valor DWORD denominado "Enabled" y establezca los datos de valor a "0".
Y después, si hace clic en un archivo .js, se verá esto:
El acceso Windows Script Host está desactivado en esta máquina. Póngase en contacto con el administrador para obtener más detalles.
O ejecutar el script nombre.bat
REG ADD "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /t REG_SZ /d 0
Una aviso que es mucho mejor que ver a la nota de extorsión... o del pago de rescate por tus ficheros secuestrados.
Deshabilitar objetos incrustrados OLE en Office
No sólo se puede usar una Macro para infectar al usuario. También se puede utilizar un archivos maliciosos que hacen un mal uso del objeto deOffice con el uso de incrustación de objetos (OLE) para engañar a los usuarios activar y descargar contenido malicioso. Anteriormente, hemos visto macros utilizadas en cuestión semejante, y este uso de OLE podría indicar un cambio en la conducta como administradores y empresas están mitigando contra este vector de la infección con una mayor seguridad y nuevas opciones en Office.En estos nuevos casos, estamos viendo objetos incrustados OLE y el contenido rodeadas de texto bien formateado e imágenes para animar a los usuarios para que el objeto o contenido, y así ejecutar el código malicioso. Hasta ahora, hemos visto estos archivos utilizan comandos Basic (VB) y JavaScript (JS) Visual maliciosos incrustados en un documento.
La secuencia de comandos o un objeto está rodeado de texto que anima al usuario a hacer clic o interactuar con el script (que por lo general se representa con un icono de secuencia de comandos similar). Cuando el usuario interactúa con el objeto, una advertencia indica al usuario si desea continuar o no. Si el usuario elige para proceder (haciendo clic abierto), el script malicioso se ejecuta y puede ocurrir en cualquier forma de infección.
Es importante señalar que la interacción del usuario y el consentimiento sigue siendo necesaria para ejecutar la carga maliciosa. Si el usuario no permite que el objeto o haga clic en el objeto - a continuación, el código no se ejecutará y no se producirá ninguna infección.
Por lo tanto, la educación es una parte importante de la mitigación - al igual que con los correos electrónicos de spam, sitios web sospechosos y aplicaciones no verificadas. No haga clic en el enlace, que el contenido o ejecutar el programa a menos que confíe absolutamente y pueda verificar su origen.
Para configurar los programas de Office 2007 para elegir que hacer cuando haya un objeto de empaquetador, se puede configurar una entrada den el registro PackagerPrompt en la siguiente subclave del registro:
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Program_name\Security
Esta entrada del registro es una entrada REG_DWORD. Puede utilizar cualquiera de los valores siguientes con esta entrada del registro:
PackagerPrompt
- 0: Por defecto, el valor de la entrada del registro PackagerPrompt se establece en 0. Cuando se utiliza este valor, no se le pide cuando un objeto de empaquetador. Este valor corresponde a la configuración del nivel de seguridad bajo de macros en Office 2003.
- 1: Cuando se utiliza este valor, se le pedirá cuando un objeto de empaquetador. Este valor corresponde a la configuración del nivel de seguridad de macros más altos en Office 2003. Sin embargo si un documento está en una ubicación de confianza, no se le pide cuando un objeto de empaquetador.
- 2: Cuando se utiliza este valor, objetos de empaquetador se bloquean. Es posible que desee utilizar este valor si desea impedir que todos los objetos de empaquetador se ejecute en su empresa u organización.
Fuentes:
https://blogs.technet.microsoft.com/mmpc/2016/04/18/javascript-toting-spam-emails-what-should-you-know-and-how-to-avoid-them/
https://labsblog.f-secure.com/2016/04/19/how-to-disable-windows-script-host/
https://blogs.technet.microsoft.com/mmpc/2016/06/14/wheres-the-macro-malware-author-are-now-using-ole-embedding-to-deliver-malicious-files/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.