Nueva técnica, phishing más sencillo y difícil de detectar.

 

Investigadores han detectado una nueva técnica usada por los phishers (cibercriminales encargados de hacer phishing) la cual podría engañar aún más a los usuarios, haciéndoles creer que están ingresando su información en un formulario web legítimo.

En lugar de replicar lo más fielmente posible una página web legítima, por ejemplo, un sitio de comercio electrónico, los atacantes sólo necesitan configurar una página de phishing con un proxy que haga la función de intermediario de la página legítima, además de crear un par de páginas falsas para cuando los usuarios necesiten ingresar su información personal y financiera.

"Siempre y cuando las posibles víctimas estén navegando en la página, verían el mismo contenido como en el sitio original. Es solamente cuando se ingresa información de pago se muestran las páginas modificadas a los usuarios", explica Noriaki Hayashi, investigador senior de amenazas de Trend Micro.

"No importa el dispositivo (PC, laptop, teléfono, tableta) o navegador usado,  ya que el ataque usa el proxy para todas las partes de la petición HTTP de la víctima y todas las partes de la respuesta del servidor legítimo."

En el ataque detectado, los usuarios son direccionados al sitio malicioso, haciendo clic en un resultado de búsqueda del nombre del producto. Los atacantes usaron un gran número de técnicas blackhat SEO (técnicas ilegales para dar buen posicionamiento a páginas web en los buscadores) para hacer que la URL apareciera en los resultados. Pero los correos electrónicos y mensajes de spam también se pueden utilizar para atraer víctimas potenciales al sitio malicioso.

El ataque real empieza cuando el usuario da clic sobre el botón de "Add to Basket" del sitio legítimo, el atacante ha reescrito la función para que el usuario sea redirigido a una página falsa de carrito electrónico que lleva a más páginas falsas, simulando el proceso de compra.

La primera página pide a la víctima que ingrese su información personal (nombre, dirección, número telefónico) así como su correo electrónico y su contraseña. La segunda pide que ingrese la información de su tarjeta de crédito (incluyendo el código de seguridad). La tercera solicita información adicional que algunas veces es requerida para autorizar la transacción.

Una vez que las víctimas han mandado toda esa información, recibirán un correo falso de confirmación por la compra a la cuenta proporcionada anteriormente, así se completa la ilusión.

"Hasta ahora, solamente hemos identificado este ataque contra una tienda en línea específica en Japón. Sin embargo, si se vuelve más prominente, podría convertirse en un desarrollo muy preocupante: esto hace más difícil a las páginas de phishing ser detectadas por los usuarios finales, también, las páginas falsas serán idénticas a las páginas originales", notó Hayashi.

Este enfoque hace a las páginas de phishing mucho más fáciles de configurar y más difíciles de detectar para los dueños de las páginas web legítimas.

Fuente: Help Net Security DV

WireLurker, nuevo malware para iOS y OS X

Palo Alto Networks ha descubierto una nueva familia de malware para Apple OS X y dispositivos iOS, bautizada como WireLurker.

WireLurker se ha extendido originalmente a través de Maiyadi (http://app.maiyadi.com), una tienda de aplicaciones China no oficial. El sitio Maiyadi es un portal chino de noticias y recursos relacionados con Apple. La tienda de aplicaciones Maiyadi es un sitio conocido por albergar aplicaciones para Mac, iPhone eiPad pirateadas. En los pasados seis meses, se han detectado 467 aplicaciones infectas que se han descargado un total de 356.104 veces, lo que implica miles de usuarios infectados.

WireLurker infecta sistemas OS X y se queda a la espera de que se conecte un dispositivo iOS. Momento en el que instalará aplicaciones de terceros o generará de forma automática aplicaciones maliciosas en el dispositivo conectado, independientemente de si tiene jailbreak o no. Cualquier dispositivo iOS que se conecte a un sistema OS X infectado, también quedará infectado. Esta es la razón del nombre "Wire Lurker" ("fisgón de cable").

Según Palo Alto Networks WireLurker, para evitar la ingeniería inversa este malware exhibe una estructura de código compleja, múltiples versiones de componentes, ocultación de archivos, ofuscación de código y cifrado personalizado.

Este es el primer malware que automatiza la generación de aplicaciones iOS maliciosas, a través de reemplazar el archivo binario. También es el primer malware conocido que puede infectar aplicaciones iOS instaladas en un dispositivo de forma similar a la de un virus tradicional.

Como no podía ser de otra forma, WireLurker es capaz de robar una variedad de información de los dispositivos móviles infectados y pide regularmente actualizaciones desde un centro de comando y control de los atacantes.Este malware está en desarrollo activo y el objetivo último de su creador no es todavía claro. En cualquier momento puede recibir una actualización que cambie su forma de actuación en los dispositivos infectados.

No existe una única versión de WireLurker, desde el 30 de abril al 17 de octubre de 2014 se han detectado tres versiones distintas de WireLurker (A, B y C). Cada una de las versiones ha significado una evolución y nuevas funcionalidades. Mientras que la primera versión no descargaba ninguna aplicación, la versión B descargaba dos aplicaciones: "lszr2" (un juego para iOS) y "pphelper" (un cliente de una tienda de aplicaciones iOS no oficial). Por su parte, WireLurker.C descarga una aplicación "7b9e685e89b8c7e11f554b05cdd6819a" (un lector de comics). Los nombres mostrados en el teléfono son todos en caracteres chinos.

WireLurker troyaniza aplicaciones OS X e iOS mediante el reemplazo de archivos ejecutables reempaquetados.Esta técnica es simple de implementar y efectiva, por lo que seguramente nuevo malware para OS X e iOS empleará esta técnica en el futuro. De forma similar a la del aumento de APKs maliciosas reempaquetadas por los creadores de malware.

El ataque de dispositivos iOS sin jailbreak a través de conexiones USB, no es nuevo, ya existían pruebas de concepto disponibles desde hace algo más de un año. Ni siquiera se trata del primer malware en emplear esta técnica, en junio de 2014 los laboratorios Kaspersky descubrieron una versión iOS del spyware Mekie que usaba conexiones USB en Windows y OS X para infectar dispositivos iOS (con  jailbreak). WireLurker se trata de la segunda familia que usa esta estrategia para infectar los dispositivos, sin embargo la diferencia entre Mekie y WireLurker es que el nuevo malware también infecta dispositivos sin jailbreak.

Palo Alto Networks destaca el incremento de malware destinado a atacar dispositivos iOS con jailbreak, durante 2014 se han detectado seis nuevas familias contra dispositivos con esta modificación.

Al ejecutar una aplicación iOS infectada pedirá confirmación
Fuente: Palo Alto Networks

Pero la gran novedad de WireLurker está en la infección a dispositivos sin jailbreak. Para ello emplea un perfil de aprovisionamiento empresarial, característica destinada a la distribución de aplicaciones creadas por empresas para su uso interno. El uso de aprovisionamiento empresarial explica cómo se pueden instalar aplicaciones en dispositivos iOS sin jailbreak. Sin embargo, al ejecutar por primera vez la aplicación infectada en iOS, se presenta un diálogo que solicita confirmación para abrir una aplicación de terceros. Si el usuario opta por continuar, se instalará un perfil de aprovisionamiento empresarial de terceras partes y WireLurker habrá comprometido con éxito ese dispositivo sin jailbreak. Por lo demás, la aplicación infectada funcionará de igual forma que la aplicación legítima.

Palo Alto Networks confirma que ha enviado cinco archivos diferentes de WireLurker (de las tres versiones detectadas) a VirusTotal, sin embargo ninguno de los 55 antivirus ha detectado este nuevo malware.

Para la detección, los usuarios de Mac e iOS deben revisar los procesos y archivos en sus ordenadores Mac y dispositivos iOS. Palo Alto Networks ofrece un programa en Python para sistemas OS X para detectar archivos conocidos como maliciosos y sospechosos, así como las aplicaciones que muestran características de infección.

Esta herramienta está disponible desde:

https://github.com/PaloAltoNetworks-BD/WireLurkerDetector

Más información:

WireLurker: A New Era in iOS and OS X Malware

https://www.paloaltonetworks.com/resources/research/unit42-wirelurker-a-new-era-in-ios-and-os-x-malware.html

RKill v2.6.8 [2014] [Ingles]

 

 

RKill es una herramienta de seguridad encargada de finalizar los procesos en ejecución relacionados con diferentes clases de malware, de manera que posteriormente puedas pasar tu antivirus habitual para limpiar el sistema.

En ocasiones el malware que corre en segundo plano se oculta para no ser detectado e impide el correcto funcionamiento del antivirus. Con RKill creas de forma previa una buena base sobre la que tu antivirus sí puede actuar.

Características

• Acaba con los procesos maliciosos que corren en segundo plano.
• Importa archivos de registro para eliminar asociaciones de archivo incorrectas y fija políticas que impiden el uso de ciertas herramientas.
• Obtén un archivo de registro con todos los procesos eliminados tras usar el software.

Allanando el camino a tu antivirus

Una vez que RKill ha hecho su trabajo, es importante ejecutar inmediatamente el antivirus. RKill no puede eliminar el malware por sí solo; únicamente detiene y elimina los procesos. De eso se encargará tu utilidad de seguridad habitual, que se recomienda ejecutar inmediatamente después y muy importante, sin reiniciar el sistema, ya que nuestra infección podría estar configurada para ejecutarse automáticamente con cada reinicio.

Por otra parte, los desarrolladores te ofrecen diferentes nombres para el archivo del programa, ya que determinadas infecciones podrían no permitir la ejecución de procesos en función del nombre del archivo. Si es tu caso, sólo tienes que sustituir el nombre del ejecutable por alguno de los ofrecidos de forma alternativa.

IDIOMA  Inglés
AUTOR    Lawrence Abrams
SISTEMA OPERATIVO   Windows

Windows 10: Seguridad y protección de identidad

En el mundo de hoy, el mercado de ataques cibernéticos a los negocios tiene un gran alcance y éstos son cada vez más de un alto perfil y exitosos en su ejecución.  Estamos viendo violaciones a la red resultantes de técnicas tan simples como robo de nombre de usuario y contraseña.  En un par de casos recientes, los hackers se infiltraron en compañías enlistadas en Fortune 500 utilizando nombres de usuario y contraseñas robadas que les daba acceso a sistemas de punto de venta y datos de tarjetas de crédito que procesaban con los mismos.  El ataque resultó en el robo de millones de números de tarjeta de crédito que rápidamente terminaron en el mercado negro.  Recientemente, el New York Times reportó que tan sólo una de las organizaciones de crimen cibernético había robado 1200 millones de nombres de usuario y contraseña.  Lo cual es escalofriante considerando que sólo existen 1800 millones de personas en línea a nivel mundial.  Estas tenaces organizaciones criminales y algunos estados nacionales no son las únicas amenazas que enfrentamos.  Aún empleados bien intencionados representan un riesgo sustancial que requiere de una migración.  Un reporte de este año preparado por el despacho de seguridad Stroz Friedberg señaló que 87% de los gerentes senior admitieron cargar de manera regular archivos de trabajo a un correo electrónico personal o a una cuenta en la nube, mientras que el 58% de los usuarios admitió haber enviado de manera accidental información sensible a la persona equivocada.

Con Windows 10, estamos resolviendo de manera activa las amenazas modernas a la seguridad con avances que fortalecen la protección de la identidad y el control del acceso, protección de la información y resistencia a amenazas.  Con esta versión, tendremos casi todo instalado para olvidarnos del uso de opciones de autenticación de un solo factor, como las contraseñas.  Ofrecemos una prevención robusta a la pérdida de datos en la plataforma misma y, cuando se trata de amenazas en línea como malware, tendremos una gama de opciones para ayudar a que las empresas se protejan contra causas comunes de infección por malware en PCs.

Protección a la identidad y control del acceso

Para empezar, quisiera hablar sobre una solución que proporciona un enfoque muy moderno a las credenciales de identidad y usuario, algo que representa la siguiente generación de protección a la identidad.  Hablé un poco de esto en mi último blog post del 30 de septiembre.  Con esta solución, Windows 10 protege las credenciales del usuario cuando ocurre una violación en el centro de datos.  Protege a los usuarios de robo cuando se comprometen los dispositivos y hace casi totalmente infructuosos los ataques de phishing a identidades.  Es una solución que ofrece beneficios tanto a los negocios como a los consumidores, proporcionando toda la conveniencia de una contraseña junto con una seguridad que es verdaderamente de grado empresarial.  Representa el destino de nuestro viaje para eliminar el uso de opciones de identidad con un solo factor como las contraseñas.  Creemos que esta solución lleva a la protección de la identidad a un nuevo nivel, ya que toma la seguridad multifactor que hoy en día está limitada a soluciones como tarjetas inteligentes, creándolas dentro del mismo sistema operativo y dispositivo, eliminando la necesidad de periféricos adicionales de seguridad en hardware.

Una vez registrados, los dispositivos mismos se convierten en uno de los dos factores requeridos para la autenticación.  El segundo factor será un PIN o biométrico, como una huella digital.  Desde un punto de vista de seguridad, esto significa que un atacante necesitaría tener el dispositivo físico de un usuario –además de los medios para usar la credencial del usuario– lo cual requeriría acceso a la información de PIN o factor biométrico de los usuarios.  Los usuarios podrán registrar cada uno de sus dispositivos con estas nuevas credenciales o podrán registrar un dispositivo único, como un teléfono móvil, que se convertirá de manera efectiva en su credencial móvil.  Les permitirá iniciar sesión en todas sus PCs, redes y servicios Web siempre que estén cerca su teléfono móvil.  En este caso, el teléfono, utilizando Bluetooth o Wi-Fi, se comportará como una tarjeta inteligente remota y ofrecerá una autenticación de dos factores, tanto para inicio de sesión local como de acceso remoto.

Si analizamos con mayor profundidad este componente de Windows 10 y vemos tras bambalinas, los equipos de TI y de seguridad encontrarán que las cosas tienen una apariencia muy familiar.  La credencial misma puede ser una de dos cosas.  Puede ser un par de claves generadas criptográficamente (claves privadas y públicas) por Windows mismo o puede ser un certificado proporcionado al dispositivo desde infraestructuras PKI existentes.  Proporcionar estas dos opciones convierte a Windows 10 en una excelente opción para organizaciones con inversiones existentes en PKI y lo hace viable para escenarios Web y de consumidores en donde no es práctica una identidad respaldada por PKI.  Active Directory, Azure Active Directory y Microsoft Accounts brindarán soporte a nuestra nueva solución de credenciales del usuario directo de la caja, así que cuando las empresas y consumidores utilicen los servicios en línea de Microsoft rápidamente podrán dejar de usar las contraseñas.  Intencionalmente, se diseñó esta tecnología de tal manera que pudiera adoptarse de manera amplia en otras plataformas, la Web y otras infraestructuras.

La protección de identidades del usuario es tan sólo una parte de nuestro enfoque de protección a la identidad.  La siguiente parte es proteger los tokens de acceso al usuario generados una vez que sus usuarios han sido autenticados.  Hoy, estos tokens de acceso cada vez más están bajo ataque utilizando técnicas como Pass the Hash, Pass the Ticket, etc.  Una vez que un atacante tiene esos tokens, pueden acceder a recursos al volver impersonal de manera efectiva la identidad del usuario sin necesitar las credenciales reales del mismo.  Con frecuencia, esta técnica viene acompañada de amenazas persistentes avanzadas (APT) y, por tanto, es una técnica que definitivamente deseamos eliminar del repertorio de un atacante.  Con Windows 10, nuestro objetivo es eliminar este tipo de ataques con una solución arquitectónica que almacene tokens de acceso al usuario dentro de un contenedor seguro que se ejecute encima de la tecnología Hyper-V.  Esta solución evita que los tokens se extraigan de dispositivos aún en casos en donde el kernel mismo de Windows esté comprometido.

Protección a la información

Con Windows 10 se han logrado avances importantes en el frente de la identidad y encontrarán que estamos enfocados en la misma medida en la protección a la información.  Veamos primero algunos datos que ayudarán a explicar en dónde estamos invirtiendo.  BitLocker se ha vuelto una tecnología líder en la industria que protege datos mientras reside en un dispositivo; sin embargo, una vez que lo deja, ya no tiene protección.  Para proteger datos cuando sale el dispositivo, proporcionamos servicios Azure Rights Management y la Administración de derechos de información (IRM) en Microsoft Office, lo cual típicamente requiere que el usuario opte por activar la protección.  Esto deja a las compañías con una pequeña brecha, de tal forma que, si sus usuarios no son proactivos, es relativamente fácil que haya fugas accidentales de los datos corporativos.  En Windows 10, resolvemos este problema con una solución de prevención a la pérdida de datos (DLP) que separa los datos corporativos y personales, ayudando a protegerlos utilizando contenedores.  Creamos esta capacidad en la plataforma misma y la integramos dentro de la experiencia existente del usuario para permitir la protección sin las interrupciones vistas frecuentemente en otras soluciones.  No habrá necesidad de que sus usuarios cambien modos o aplicaciones para proteger los datos corporativos, lo que significa que los usuarios podrán ayudar a mantener los datos seguros sin cambiar su comportamiento.  La protección de los datos corporativos en Windows 10 permite la codificación automática de aplicaciones, datos, correo electrónico, contenidos de sitio Web y otra información sensible corporativa, ya que llega al dispositivo desde ubicaciones de la red corporativa.  Y, cuando los usuarios crean nuevos contenidos originales, esta solución de protección a los datos los ayuda a definir los documentos que son corporativos y los que son personales.  Si se desea, las compañías pueden designar incluso todos los nuevos contenidos creados en el dispositivo como corporativos por política.  Además, políticas adicionales pueden permitir a las organizaciones evitar que se copien datos de contenidos corporativos a documentos no corporativos o ubicaciones externas en la Web, como las redes sociales.

Windows 10 proporciona una solución avanzada de protección a los datos para el escritorio, pero ¿qué pasa con los móviles? Esta solución proporcionará la misma experiencia en Windows Phone como la vemos en el escritorio de Windows y proporcionaremos interoperabilidad de tal manera que los documentos protegidos puedan accederse en varias plataformas.  Un último punto sobre la protección a los datos en Windows 10 es que las organizaciones pueden definir las aplicaciones que tendrán acceso a los datos corporativos por medio de políticas.  Llevamos esta capacidad a un nivel más alto y ampliamos estas políticas para solucionar requisitos VPN que muchos de ustedes han compartido con nosotros. 

Al igual que usted, cuando estoy en el camino o trabajo en casa, necesito conectarme a datos y aplicaciones críticas para seguir siendo productivo.  Al brindar soporte a usuarios remotos, los profesionales de TI buscan formas de limitar los riesgos asociados con la conectividad a VPN, particularmente con dispositivos BYOD. Al dar un espectro de opciones de control de VPN, Windows 10 ayuda desde tener una conectividad constante hasta especificar las aplicaciones particulares que pueden tener acceso vía la VPN.  Las listas de aplicaciones permitidas y no permitidas dejarán que los profesionales de TI puedan definir las que están autorizadas para acceder a la VPN y se podrán administrar mediante soluciones MDM para aplicaciones tanto de escritorio como universales.  Para los administradores que requieran un control más detallado, pueden restringir aún más el acceso por medio de puertos o direcciones IP específicos.  Estas mejoras permiten a los profesionales de TI empresariales equilibrar la necesidad de acceso, con la de seguridad y control.

Resistencia a las amenazas

Además, Windows 10 proporciona a las organizaciones la capacidad de bloquear dispositivos, permitiendo una resistencia adicional contra amenazas y malware.  Debido a que, con frecuencia, los usuarios instalan malware de manera inadvertida en sus dispositivos, Windows 10 resuelve esta amenaza al sólo permitir aplicaciones confiables, lo que significa que son aplicaciones certificadas utilizando un servicio de certificación proporcionado por Microsoft, que se ejecutará en dispositivos especialmente configurados.  El acceso al servicio de certificación estará controlado utilizando un proceso de selección similar a la forma en que controlamos el acceso a publicaciones ISV en Windows Store y el OEM bloqueará los dispositivos mismos.  El proceso de bloqueo que utilizarán los OEMs es similar a lo que hacemos con los dispositivos Windows Phone.  Las organizaciones tendrán la flexibilidad de elegir las aplicaciones que son confiables –tan sólo las aplicaciones que sean certificadas por ellos mismos, especialmente aplicaciones certificadas de ISVs, aplicaciones de Windows Store o todas las anteriores.  A diferencia de Windows Phone, también se pueden incluir aplicaciones de escritorio (Win32), lo que significa que cualquier cosa que se ejecute en el escritorio de Windows también se puede ejecutar en estos dispositivos.  En última instancia, estas capacidades de bloqueo en Windows 10 proporcionan a los negocios una herramienta efectiva en la lucha contra amenazas modernas y esto trae aparejado la flexibilidad para que funcione dentro de la mayoría de los ambientes.

Existen muchas otras cosas que me encantaría hablar sobre el frente de la seguridad.  Y espero colocar más blogs sobre diferentes funciones y mejoras a la seguridad cuando ya estén integradas a los productos.  Continúe al pendiente de más información de mi parte sobre las formas en las que estamos trabajando para que Windows 10 sea un gran producto para los negocios.  Y, mientras tanto, si no lo han hecho aún, verifiquen la Vista técnica previa de Windows 10 y dígannos lo que piensan. 

Facebook ahora tiene su versión de Tor

 

 

Podrás conectarte anónimamente y mediante conexión cifrada a la mayor red social

Esto es muy real y sinceramente, uno de esos movimientos que jamás esperarías de Facebook. Pero confirmado, Facebook ya funciona bajo su propio enlace en las redes Tor. Para todos aquellos usuarios que quieren conectarse anónimamente en una red social particularmente conocida por captar todos tus datos y mercadear con ellos.

Si eres usuario de Tor y quieres usar la conexión anónima a Facebook, tan solo tienes que apuntar a la dirección https://facebookcorewwwi.onion/ para conectarte.

Tor anonimiza tu conexión gracias a su diseño descentralizado y cifrado, por el que tus datos pasan por una serie de pasarelas compartidas con otros usuarios, evitando que datos como tu IP sean visibles para otras personas.

Es destacable que Facebook ponga esfuerzo en conectar su red social a la red Tor, sobre todo porque Facebook sigue siendo una forma de dar a conocer problemas en muchas partes del planeta donde la conexión está censurada. Por ejemplo en China, donde Facebook lleva bloqueada desde 2008.

Manual de anonimato para teléfonos móviles

 

Se ha publicado un "Manual de telecomunicaciones anónimas" [PDF] sobre seguridad y privacidad en internet en formato pdf para lograr de forma práctica comunicaciones anónimas a través del móvil. Es un ejemplo práctico y real sobre cómo rootearlo, configurarlo y sobre qué programas son necesarios para tener todo lo que, en principio, sería imprescindible para conseguir cierta privacidad en las comunicaciones.

No es un manual de calidad agente secreto profesional, pero para la gente interesada puede ser un punto de partida, porque además de explicarlo con un modelo de móvil concreto y paso a paso, incluye enlaces a los ficheros necesarios, a las webs de los desarrolladores o al Google Play Store del software que indica, y los pasos necesarios para instalar TOR en el móvil, además de las aplicaciones generales: navegar, email, chat, documentos colaborativos, pero todo enfocado a mantener la privacidad.

Descarga del manual:

http://desconexioneconomica.com/wp-content/uploads/2014/03/manual_de_telecomunicaciones_anonimas.pdf

El verdadero peligro de BadUSB

 

En la última BlackHat USA se presentó una técnica de ataque llamada BadUSB que está dando mucho que hablar y que aunque no es totalmente nueva si ha sacado a la luz pública unos riesgos muy importantes para el mundo de la seguridad en relación a los dispositivos USB.
Un ataque de BadUSB consiste básicamente en reprogramar un dispositivo USB de uso común (normalmente un pendrive basado en algún microcontrolador reprogramable cuya arquitectura sea conocida) para que actúe de forma maliciosa.
Usar dispositivos USB para actividades maliciosas ya era una técnica ampliamente conocida, como fue comentado en la propia charla, por ejemplo:

1. Los ataques de CD-ROM virtual con Autorun mediante un pendrive de tipo USB U3.
2. Los ataques con teclado malicioso mediante el uso de herramientas de tipo USB Rubber Ducky o Teensy.

Los creadores de BadUSB proponen además de estas, otras tácticas bastante interesantes. Por ejemplo configurar un dispositivo USB para que se comporte como una tarjeta de red Ethernet y asigne por DHCP una nueva puerta de enlace o un nuevo servidor DNS para el equipo y así poder interceptar su tráfico posteriormente.
Todos estos ataques implican por si solos un riesgo para los equipos, pero existen ya múltiples medidas de seguridad para evitarlos.
El propio hecho de reprogramar un dispositivo USB legítimo para que actúe de forma maliciosa tampoco es nuevo, ya en 2013 se presentó una técnica para reprogramar el firmware de una Webcam y deshabilitar la luz que avisa cuando está grabando y además menciona la posibilidad de aprovechar esta actualización de firmware para llevar a cabo otras tareas maliciosas.
Pero extender esta técnica a cualquier dispositivo USB cuyo firmware cuente con capacidad para ser actualizado, es lo que empieza a convertir esta idea en peligrosa.
Y lo que acaba convirtiendo a un ataque BadUSB en algo realmente temible es la posibilidad de utilizar de forma combinada estas técnicas y reprogramar varios dispositivos USB legítimos aparentemente inocuos para convertirlos en un ataque combinado.
Estos ataques además conllevan una serie de dificultades técnicas a la hora de su detección:

1. La infección es más difícil de detectar en los equipos ya que el dispositivo modificado es algo externo al sistema principal.
2. Algunos dispositivos USB son portables de forma que pueden ser utilizados para extender la infección.
3. La infección se mantendrá incluso aunque se formatee el disco duro o se cambie la CPU del equipo.

Algunos dispositivos USB son incluso internos al PC (p.e. la mayoría de webcams, lectores de SD, lectores de smartcard, biométricos que van en los portátiles) y por tanto es más fácil conseguir la persistencia en ellos porque están fijos.
Combinando esta técnica con distintos tipos de dispositivos, podemos encontrar escenarios de ataque bastante serios, como por ejemplo utilizar un pendrive como el vector de entrada inicial para una infección y utilizar algún dispositivo que esté conectado de forma permanente al equipo (por ejemplo una webcam o una impresora) como vector de permanencia de la infección. Por ejemplo: haciendo que el dispositivo detecte cuando el equipo está arrancando para convertirse en un pendrive bootable que cargue una versión modificada del sistema operativo.
Se podría incluso hacer que trabajen en modo anti-forense, si el microcontrolador lo permite, el dispositivo podría pasar a funcionar en su estado original o borrarse a sí mismo una vez conseguida la infección.
Es por tanto probable que en poco tiempo empecemos a ver casos reales del uso combinado de varios dispositivos infectados de este tipo funcionando como implantes, al estilo de los sugeridos en el catálogo ANT de la NSA.