Evadiendo SSL Pinning en Android

Las pruebas en aplicaciones de Android son un reto para los consultores de seguridad en el software, debido a que la mayoría de las veces el cliente proporciona un archivo .apk con validación de certificados o SSL Pinning, de manera que no es posible capturar las peticiones HTTP con alguna herramienta proxy. Sin embargo, existen formas de evadir esta técnica de protección, por ejemplo, añadir un certificado personalizado a los certificados de confianza, sobre escribir un certificado empaquetado con uno personalizado, hacer reingeniería inversa al código del certificado o, una de las más efectivas, utilizar Frida Server y un dispositivo Android “rooteado” o un emulador de Android. […]

Leer más…

Riesgos en la configuración de archivos de Cross-Domain

El archivo crossdomain es un documento XML usado por aplicaciones Flash y Silverlight (aunque no limitado a estas tecnologías) que permite acceder a la información o funcionalidades de un aplicativo desde un dominio diferente, evadiendo la política Same-Origin (SOP). La política Same-Origin es una regla que define cómo los documentos o scripts pueden interactuar, controlando […]

Leer más…

MedusaLocker Ransomware

MedusaLocker es una familia de ransomware descubierta en 2019 que se ha caracterizado por ser una amenaza bastante agresiva. Existen algunas características y TTPs que hacen a este ransomware diferente a otros. Estas le brindan la capacidad de cifrar tanta información como sea posible, realizar mapeos a unidades de red accesibles desde el dispositivo víctima, […]

Leer más…

Campaña Cosmic Banker sigue activa y revela vínculo con Banload

(Click here to read the English version) SCILabs identificó un nuevo ataque de la campaña Cosmic Banker que coincide con varias fases de otros ataques de esta misma observados desde marzo de 2019. Uno de los aspectos más interesantes es que el ejecutable de última fase contiene comentarios en idioma portugués que son muy específicos […]

Leer más…

Ataques Coordinados de Ransomware

En los últimos meses se han observado diferentes ataques coordinados de ransomware tanto en México como alrededor del mundo, en particular durante el fin de semana y este lunes se ha hablado mucho de ataques a una organización gubernamental, sin embargo, más allá de aquellos ataques que se están volviendo mediáticos, es importante entender que […]

Leer más…

Ataques a Empresas Españolas

La semana pasada se observaron múltiples ataques a empresas españolas, se habló de que dos tipos de ransomware estuvieron involucrados en estos ataques coordinados, uno fue Ryuk y el otro BitPaymer/iEncrypt, ambos conocidos por un muy alto nivel de sofisticación. En el documento que se muestra a continuación generado por SCILabs, se pueden observar algunos […]

Leer más…

Vulnerabilidad en Windows RDP CVE-2019-0708

Una nueva vulnerabilidad que permite la ejecución remota de código sin autenticación ha sido dada a conocer por Microsoft. La vulnerabilidad tiene el nivel de riesgo más alto posible y su exitosa explotación podría llevar a que un atacante tome control total del equipo y su información. La vulnerabilidad tiene asignado el CVE-2019-0708 y Microsoft […]

Leer más…

Campaña de Malware Cosmic Banker, mayo 2019

SCILabs detectó una nueva campaña de malware que se propaga mediante correos electrónicos que suplantan al Sistema de Administración Tributaria (SAT) y que tienen la intención de que el usuario habilite un código malicioso que comprometerá su equipo de cómputo con el malware. Los correos electrónicos maliciosos contienen un archivo PDF que descarga de Internet […]

Leer más…