Campaña de phishing que intenta obtener tus credenciales de correo electrónico. ¡Mantente alerta!
Desde INCIBE hemos detectado una campaña de correos maliciosos de tipo phishing cuyo objetivo es robar las credenciales de acceso, usuario y contraseña, del correo de la empresa. El asunto identificado es «Re: Querido usuario». En dicho correo, los ciberdelincuentes indican que están actualizando el servicio de correo web (Office 365/Outlook) para aumentar la velocidad y el espacio.
En caso de recibir un mensaje con las características descritas en este aviso es recomendable eliminarlo directamente y poner en conocimiento de los compañeros el intento de fraude para evitar posibles víctimas.
Si has facilitado las credenciales de acceso es recomendable que las modifiques lo antes posible, y siempre que se pueda habilitar un doble factor de autenticación. También se deben modificar estas credenciales en cualquier otro servicio en el que se utilicen las mismas. Más información en https://www.incibe.es/protege-tu-empresa/
Campañas maliciosas utilizando Google Alerts
Bleeping Computer ha alertado acerca de distintas campañas maliciosas que utilizan Google Alerts, con el fin de impulsar una falsa actualización de Adobe Flash Player e instalar así otros programas maliciosos en los dispositivos de los usuarios. Los actores maliciosos crean noticias falsas con títulos que contienen palabras clave populares, de modo que Google Alerts avisará a aquellos usuarios que configuren estas keywords.
Las alertas se notifican utilizando enlaces de redireccionamiento de Google que llevan al usuario a un sitio web malicioso. Sin embargo, si se accede directamente al enlace de la noticia, el navegador indicará que esta página web no existe. En la campaña de Flash Player, tras seleccionar la opción de actualizar en el sitio web, se descargaría un archivo setup.msi que instalaría One Updater, el cual mostraría las actualizaciones que deberían instalarse y ofrecería programas potencialmente no deseados. Más información en https://www.bleepingcomputer.com/news/security/
Técnica permite modificar ficheros PDF firmados digitalmente
Investigadores han demostrado una nueva clase de ataques que permitirían romper a la integridad de documentos PDF firmados digitalmente.
Denominada como “Shadow attacks” por los investigadores, la técnica no explota ningún bug en los clientes, sino que se aprovecha de la enorme flexibilidad del estándar PDF.
La idea principal detrás de este ataque es el concepto de capas. Diferentes conjuntos de contenido que pueden apilarse unos encima de otros, dentro de un mismo documentos PDF. Una vez firmado el documento, es posible realizar modificaciones que no afectan a la firma, pero que permiten alterar qué capa está visible.
Para llevar a cabo el ataque, un agente malicioso prepararía un documento PDF con dos contenidos diferentes: por un lado, el contenido que se presenta a la persona que firma el documento, y por otro, un contenido oculto que será visible una vez que se firma el PDF, logrando alterar la integridad del mensaje firmado. Más información en https://unaaldia.hispasec.com/
Progresión de Babuk, el primer ransomware del año
El año pasado ya pronosticaban los expertos que 2021 seguiría cargado de ransomware. No se hizo esperar con Babuk, un nuevo ransomware que llegó a principios de Enero de 2021, y que usa algunas de las técnicas presentes en otras familias.
Entra dentro de lo que conocemos como RaaS (Ransomware-as-a-Service), donde diferentes actores participan en la creación del código y su posterior distribución. Los atacantes por lo general pedirán rescate, pero también amenazarán con la publicación del contenido.
Conforme al informe publicado por McAfee el pasado 23 de Febrero, diferentes sectores se han visto afectados en todo el mundo por Babuk, entre los que destacan: servicios de asistencia sanitaria, instituciones bancarias y financieras, hosting y transportes. Más información en https://unaaldia.hispasec.com/
Silver Sparrow: nuevo malware para macOS
En una colaboración entre Red Canary, Malwarebytes y VMware Carbon Black, los investigadores han detectado a principios de febrero una nueva cepa de malware que afecta a dispositivos macOS y que exhibe propiedades inusuales, incluido un componente compilado explícitamente para el nuevo chip Apple M1. Denominado Silver Sparrow, este malware aprovecha la API JavaScript del instalador de macOS para ejecutar comandos maliciosos en el equipo infectado y LaunchAgent para establecer persistencia.
Según los datos facilitados por Malwarebytes, Silver Sparrow habría infectado alrededor de 30.000 dispositivos macOS en 153 países distintos, entre los que destacan por su volumetría EE.UU, Reino Unido, Canadá, Francia y Alemania. A pesar de la gran cantidad de equipos afectados, existen dudas de cómo se distribuye el malware, siendo las principales teorías mediante anuncios maliciosos, aplicaciones ilegítimas o falsas actualizaciones de Flash. Más información en https://redcanary.com/blog/
Campaña, Phishing, Dominios DGA
Microsoft ha publicado un aviso sobre una campaña de phishing masiva que utilizaría dominios DGA, servicios de correo electrónico gratuitos e incluso cuentas de correo electrónico comprometidas para el envío correos electrónicos fraudulentos.
En el cuerpo del mensaje de dichos correos, se incluyen URLs que mantienen el formato "t[.]dominio[.]tld/r/?".
Según la investigación de Microsoft, en las notificaciones fraudulentas se estaría suplantando a varias herramientas de productividad, con el fin de engañar a la víctima con ayuda de los enlaces utilizados, aparentemente legítimos, que redirigen finalmente al sitio web de phishing. Asimismo, Microsoft señala que su herramienta de protección Microsoft Defender para Office 365 es capaz de detectar esta campaña, además, recomienda a las empresas revisar sus reglas de flujo de correo para afinar las capacidades de detección contra campañas de phishing.
Más información en https://twitter.com/MsftSecIntel/
Si estas interesado en temas de seguridad, no dejes de visitar el blog Think Big Empresas.
¡Hasta pronto!
