Daily Archives: April 18, 2019

Wipro Intruders Targeted Other Major IT Firms

Posted on by

The crooks responsible for launching phishing campaigns that netted dozens of employees and more than 100 computer systems last month at Wipro, India’s third-largest IT outsourcing firm, also appear to have targeted a number of other competing providers, including Infosys and Cognizant, new evidence suggests. The clues so far suggest the work of a fairly experienced crime group that is focused on perpetrating gift card fraud.

On Monday, KrebsOnSecurity broke the news that multiple sources were reporting a cybersecurity breach at Wipro, a major trusted vendor of IT outsourcing for U.S. companies. The story cited reports from multiple anonymous sources who said Wipro’s trusted networks and systems were being used to launch cyberattacks against the company’s customers.

In a follow-up story Wednesday on the tone-deaf nature of Wipro’s public response to this incident, KrebsOnSecurity published a list of “indicators of compromise” or IOCs, telltale clues about tactics, tools and procedures used by the bad guys that might signify an attempted or successful intrusion.

If one examines the subdomains tied to just one of the malicious domains mentioned in the IoCs list (internal-message[.]app), one very interesting Internet address is connected to all of them — 185.159.83[.]24. This address is owned by King Servers, a well-known bulletproof hosting company based in Russia.

According to records maintained by Farsight Security, that address is home to a number of other likely phishing domains:

securemail.pcm.com.internal-message[.]app
secure.wipro.com.internal-message[.]app
securemail.wipro.com.internal-message[.]app
secure.elavon.com.internal-message[.]app
securemail.slalom.com.internal-message[.]app
securemail.avanade.com.internal-message[.]app
securemail.infosys.com.internal-message[.]app
securemail.searshc.com.internal-message[.]app
securemail.capgemini.com.internal-message[.]app
securemail.cognizant.com.internal-message[.]app
secure.rackspace.com.internal-message[.]app
securemail.virginpulse.com.internal-message[.]app
secure.expediagroup.com.internal-message[.]app
securemail.greendotcorp.com.internal-message[.]app
secure.bridge2solutions.com.internal-message[.]app
ns1.internal-message[.]app
ns2.internal-message[.]app
mail.internal-message[.]app
ns3.microsoftonline-secure-login[.]com
ns4.microsoftonline-secure-login[.]com
tashabsolutions[.]xyz
http://www.tashabsolutions[.]xyz

The subdomains listed above suggest the attackers may also have targeted American retailer Sears; Green Dot, the world’s largest prepaid card vendor; payment processing firm Elavon; hosting firm Rackspace; business consulting firm Avanade; IT provider PCM; and French consulting firm Capgemini, among others. KrebsOnSecurity has reached out to all of these companies for comment, and will update this story in the event any of them respond with relevant information.

WHAT ARE THEY AFTER?

It appears the attackers in this case are targeting companies that in one form or another have access to either a ton of third-party company resources, and/or companies that can be abused to conduct gift card fraud.

Wednesday’s follow-up on the Wipro breach quoted an anonymous source close to the investigation saying the criminals responsible for breaching Wipro appear to be after anything they can turn into cash fairly quickly. That source, who works for a large U.S. retailer, said the crooks who broke into Wipro used their access to perpetrate gift card fraud at the retailer’s stores.

Another source said the investigation into the Wipro breach by a third party company has determined so far the intruders compromised more than 100 Wipro systems  and installed on each of them ScreenConnect, a legitimate remote access tool. Investigators believe the intruders were using the ScreenConnect software on the hacked Wipro systems to connect remotely to Wipro client systems, which were then used to leverage further access into Wipro customer networks.

This is remarkably similar to activity that was directed in 2016 and 2017 against Cognizant, one of Wipro’s competitors and likely the target of the same attackers. In May 2018, Maritz Holdings Inc., a Missouri-based firm that handles customer loyalty and gift card programs for third-parties, sued Cognizant (PDF), saying a forensic investigation determined that hackers had broken into Cognizant’s systems and used them to pivot attacks into Maritz’s loyalty program and siphon more than $11 million in fraudulent eGift cards.

That investigation determined the attackers also used ScreenConnect to access computers belonging to Maritz employees. “This was the same tool that was used to effectuate the cyber-attack in Spring 2016. Intersec [the forensic investigator] also determined that the attackers had run searches on the Maritz system for certain words and phrases connected to the Spring 2016 attack.”

According to the lawsuit by Maritz Holdings, investigators also determined that the “attackers were accessing the Maritz system using accounts registered to Cognizant. For example, in April 2017, someone using a Cognizant account utilized the “fiddler” hacking program to circumvent cyber protections that Maritz had installed several weeks earlier.”

Maritz said its forensic investigator found the attackers had run searches on the Maritz system for certain words and phrases connected to the Spring 2016 eGift card cashout. Likewise, my retailer source in the Wipro attack told KrebsOnSecurity that the attackers who defrauded them also searched their systems for specific phrases related to gift cards, and for clues about security systems the retailer was using.

It’s unclear if the work of these criminal hackers is tied to a specific, known threat group. But it seems likely that the crooks who hit Wipro have been targeting similar companies for some time now, and with a fair degree of success in translating their access to cash given the statements by my sources in the Wipro breach and this lawsuit against Cognizant.

What’s remarkable is how many antivirus companies still aren’t flagging as malicious many of the Internet addresses and domains listed in the IoCs, as evidenced by a search at virustotal.com.

from Krebs on Security http://bit.ly/2GuECzy
via IFTTT

Hisense Infinity H12, análisis: ¿es suficiente para competir en una gama media como la de 2019?

Posted on by

Hisense es una firma de la que no se ha hablado mucho durante los últimos años en el ámbito de la telefonía móvil. A pesar de ello, volvió a estar en primera plana de la actualidad durante el pasado CES de Las Vegas, donde presentó el Hisense U30, su primer terminal con agujero en la pantalla. La firma de origen chino también ha renovado su gama media durante estos primeros

Entra en Andro4all para leer el artículo completo

Puedes unirte a nosotros en Twitter, Facebook o en Google+

¡Suscríbete a nuestro canal de YouTube!

Publicado recientemente en Andro4all

from Andro4all http://bit.ly/2VWgcEg
via IFTTT

Tu privacidad y seguridad en Facebook no valen nada, la de Zuckerberg cuesta más de 20 millones de dólares

Posted on by

Según unos documentos presentados el pasado viernes a la Comisión de Bolsa y Valores​​ de Estados Unidos, Facebook ha incrementado el gasto de seguridad para su CEO Mark Zuckerberg así como para toda su familia. De acuerdo con la interpretación de dichos documentos, Facebook remuneró a Zuckerberg con aproximadamente 22 millones y medio de dólares en 2018, de los cuales 2 millones y medio fueron destinados para sufragar un avión

Entra en Andro4all para leer el artículo completo

Puedes unirte a nosotros en Twitter, Facebook o en Google+

¡Suscríbete a nuestro canal de YouTube!

Publicado recientemente en Andro4all

from Andro4all http://bit.ly/2GvbJ6j
via IFTTT

3 productos que Sony ha presentado este mes que han pasado desapercibidos para la mayoría

Posted on by

Sony es una firma que vive de mucho más que los smartphones. De hecho, a pesar de que las ventas de dispositivos móviles cayeron durante el paso 2018, la compañía nacida en Tokio siguió creciendo, motivada sobre todo por los ámbitos del audio y los videojuegos. Como podemos leer en el blog para prensa de Sony, la firma japonesa ha presentado 3 productos muy interesantes este mes. A pesar de

Entra en Andro4all para leer el artículo completo

Puedes unirte a nosotros en Twitter, Facebook o en Google+

¡Suscríbete a nuestro canal de YouTube!

Publicado recientemente en Andro4all

from Andro4all http://bit.ly/2UKulYs
via IFTTT

Slimbook trabaja para implementar Coreboot en sus equipos

Posted on by

Muchos usuarios lo estaban pidiendo a gritos y Slimbook ha escuchado sus peticiones. La empresa valenciana vuelve a sorprendernos con buenas noticias, ya que trabaja duro para integrar el sistema Coreboot en sus equipos y así hacerlos aún más abiertos. Sin duda un gran paso adelante en cuanto a deshacerse de ese firmware cerrado que tantas desventajas ofrece, ya no solo por cuestiones filosóficas o éticas, también por cuestiones técnicas como la velocidad de arranque y la seguridad.

Pero retrocedamos un poco para entenderlo mejor… El BIOS/UEFI son sistemas de firmare cerrados para poder arrancar los equipos. Ese código almacenado en una memoria ROM programable realiza una serie de rutinas para poder inicializar todos los dispositivos de hardware conectados y cederle el control al gestor de arranque para que localice un sistema operativo con el que arrancar.

Para ello, el UEFI consta de tres etapas o fases conocidas como:

  • SEC (Security): es la primera fase cuando se arranca el sistema y maneja todos los eventos iniciales y puede pasar alguna información básica para la fase PEI. Básicamente contiene el código necesario para la inicialización de la CPU en un estado de registros conocido.
  • PEI (Pre-Initialization): tras la fase anterior, se invocará a esta nueva fase que entra en marcha para configurar la plataforma entera para dejarlo todo preparado para luego ceder el control a DXE.
  • DXE (Driver eXecution Environment): cuando se cargan los drivers o controladores de los dispositivos o periféricos del equipo. Si es necesario, también monta discos, y busca y ejecuta el código de arranque del sistema. Tras este paso, se transfiere el control al sistema operativo localizado…

Todo esto es necesario para entender que Coreboot es un proyecto orientado a sustituir el firmware propietario del BIOS/UEFI por un código libre. Dicho de otro modo, Coreboot reemplaza las fases SEC y PEI. Pero no hay que confundirlo con otro proyecto del que ya hemos hablado, de LinuxBoot, que viene a sustituir la fase DXE para aportar mayor velocidad y seguridad. Coreboot por tanto, es un código que actúa en una fase mucho más temprana del proceso de arranque en comparación con LinuxBoot. Coreboot hace posible todo aquello que Linux no es capaz de hacer por sí mismo, como inicializar la plataforma (CPU, DRAM, ACPI, enumeración de dispositivos PCI, carga del bootloader o gestor de arranque…).

El artículo Slimbook trabaja para implementar Coreboot en sus equipos ha sido originalmente publicado en Linux Adictos.

from Linux Adictos http://bit.ly/2vbNnrS
via IFTTT