Campaña fraudulenta telefónica suplantando a la CNMV
La Policía Nacional y la Comisión Nacional del Mercado de Valores (CNMV) han publicado un comunicado en el que informan sobre una campaña maliciosa realizada vía telefónica con el fin de obtener datos personales y credenciales bancarias. Según informan, estarían falseando el número de teléfono desde el que se realiza la llamada, haciéndolo coincidir con el de la propia institución, para conseguir una mayor legitimidad frente a la víctima. El objetivo de estos actores es la recopilación de información personal y el acceso a cuentas bancarias de sus víctimas, mediante la sustracción telefónica de sus claves personales. Esta modalidad de intento de fraude se une a otras tipologías de suplantación institucional que han afectado recientemente a la CNMV, como campañas de phishing contra entidades españolas. Más información en http://www.cnmv.es/Portal/
Autoridad Bancaria Europea víctima de ciberataque a su servidor Exchange
La Autoridad Bancaria Europea (EBA, por sus siglas en inglés) publicó un comunicado el pasado domingo en el que informaba haber sido víctima de los ataques reportados durante los últimos días por Microsoft, sobre la explotación de vulnerabilidades 0-day en Microsoft Exchange Server por la APT china HAFNIUM. La institución señalaba que habían desconectado sus sistemas de correo electrónico como medida mitigatoria mientras identificaban el origen y alcance del compromiso. Posteriormente, emitieron otro comunicado indicando que, tras un análisis interno el incidente habría sido contenido en exclusiva a sus servidores de correo, sin afectar a otros sistemas internos y sin producirse la exfiltración de datos sensibles. Por su parte, Microsoft ha publicado a través de su Github una serie de indicadores de compromiso en JSON y CSV asociados a la explotación de estas vulnerabilidades de Exchange. Más información en https://www.bleepingcomputer.com/news/
ObliqueRAT vuelve con una nueva campaña utilizando sitios webs secuestrados
Los investigadores de Cisco Talos han descubierto recientemente una nueva campaña de distribución del troyano de acceso remoto, ObliqueRAT. En esta nueva campaña, los atacantes han desarrollado nuevas técnicas para distribuir el RAT y una nueva cadena de infección para desplegarlo a través de páginas web comprometidas. Otra de las novedades previamente no observadas en esta amenaza, es la introducción de técnicas de estenografía como forma de ocultar payloads de ObliqueRAT en imágenes. Los objetivos en esta ocasión parecen haberse limitado a organizaciones en el Sur de Asia. En campañas previas, el equipo de Cisco Talos encontró conexiones entre este RAT y otro troyano denominado CrimsonRAT, vinculado al grupo APT Transparent Tribe. En esta ocasión, se han identificado coincidencias en la infraestructura del Command&Control de RevengeRAT y ObliqueRAT, lo que podría indicar una posible relación entre ambos troyanos y sus operadores. Más información en https://blog.talosintelligence.com/2021
Distribución de Gootloader ayudándose de técnicas de posicionamiento web en Google
Investigadores de Sophos han identificado nuevas técnicas de distribución del kit de troyanos bancarios conocido como Goot contra víctimas ubicadas en Corea del Sur, Francia, Alemania y Norte América. La novedad radica en que los actores estarían empleando técnicas de posicionamiento web en Google (SEO) para aumentar el tráfico hacia sitios de WordPress previamente comprometidos, siempre que la localización y la configuración del idioma del sistema de la víctima concuerde con las zonas de interés. De cumplirse estas condiciones, se accedería al contenido comprometido, que muestra un supuesto foro donde se responden preguntas relacionadas con la búsqueda realizada por el usuario, y un enlace del administrador desde el que se distribuiría ya el malware. La infección comenzaría con la descarga desde el enlace facilitado de un JavaScript malicioso que se ejecuta en la memoria del sistema, dificultando así la detección por parte de herramientas de seguridad tradicionales. Más información en https://news.sophos.com/en-us/2021/03/01/
Nuevo jailbreak para iPhone
El equipo de UnC0ver ha lanzado una nueva herramienta de jailbreak funcional para prácticamente todos los iPhone modernos. En concreto funcionaría a partir de iOS 11 y hasta iOS 14.3, versión lanzada el pasado mes de diciembre. Tan sólo unos días antes del anuncio de la nueva herramienta, el grupo confirmaba haber conseguido desarrollar un exploit funcional para CVE-2021-1782, una vulnerabilidad en el kernel corregida a finales de enero en un boletín de seguridad extraordinario de Apple en el que corregía ésta y otros dos 0-day que afectaban al WebKit y que estaban siendo explotadas de forma conjunta y de forma masiva. Así, se entiende que la nueva herramienta habría sido desarrollada sobre la base de la explotación de dichas vulnerabilidades. El nuevo jailbreak no funcionaría con la última versión de iOS 14, a la que se recomienda actualizar. Más información en https://techcrunch.com/2021/03/01/
Estudio sobre la ciberseguridad y confianza del ciudadano en la red: Enero-junio 2020
Este febrero se ha publicado el Estudio sobre la ciberseguridad y confianza del ciudadano en la red. En concreto los resultados del análisis correspondiente al primer semestre de 2020. Más información en https://www.ontsi.red.es/
Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.
¡Hasta pronto!
