Datos de 500 millones de usuarios de Linkedin en venta

Días después de conocerse la fuga masiva de Facebook, se ha conocido una nueva filtración que afecta a la plataforma Linkedin. En esta ocasión, la fuga consiste en datos obtenidos a través de web scraping y contiene alrededor de 500 millones de perfiles de Linkedin, que han sido puestos a la venta en un conocido foro clandestino, de los cuales, dos millones han sido ofrecidos como muestra. Por el momento, se desconoce si los datos son actuales o si provienen de fugas anteriores. Esta nueva filtración contendría nombres completos, dirección de correo electrónico, LinkedIn ID, teléfono, género, enlace del perfil, enlaces a otras redes sociales e información relacionada con el trabajo, sin embargo, no se han encontrado datos financieros.

Esta información podría ser utilizada por actores maliciosos en ataques de phishing dirigidos, campañas de spam, ataques de fuerza bruta, ingeniería social o, incluso, suplantaciones de identidad. Más información en https://cybernews.com/news/.

Hackean los servidores de actualización de los teléfonos Gigaset para distribuir malware

Se ha descubierto malware en los teléfonos Android de la marca Gigaset, que se instalaba utilizando los servidores de actualización de la marca. Desde el pasado 27 de Marzo, varios usuarios de smartphones de la marca Gigaset comenzaron a quejarse de varias aplicaciones maliciosas que aparecían instaladas en sus dispositivos sin su consentimiento, la mayor parte de ellos son de origen alemán.

La aplicación maliciosa instalada utilizaba como nombre ‘easenf’, aunque también se han detectado casos en los que utilizaba los nombres ‘gem’, ‘smart’, y ‘xiaoan’. El principal problema de este malware era su desinstalación, ya que, aún haciéndolo, la aplicación aparecía de nuevo instalada en el dispositivo.

Los antivirus han detectado que la mayoría de las aplicaciones afectadas son tipo adware, es decir, malware cuyo principal objetivo es mostrar anuncios a los usuarios. Más información en https://unaaldia.hispasec.com/2021/04/

Nuevo malware para Android oculto en Google Play

Investigadores de Check Point Research (CPR) han descubierto un nuevo malware en Google Play, encubierto como una falsa aplicación de visualizar contenidos de Netflix llamada FlixOnline. Este Software malicioso tendría capacidades de propagación a través de las conversaciones de WhatsApp, enviando contenido fraudulento mediante respuestas automáticas a los mensajes entrantes en la extendida aplicación de mensajería. Según el análisis de los investigadores, la aplicación maliciosa obtiene permisos de superposición de pantallas, entre otros, que permitiría sobreponer una capa con una pantalla de login falsa para robar credenciales de la víctima.

Además, la aplicación evita ser detenida por la rutina de optimización de la batería del dispositivo y acceder a todas las notificaciones relacionadas con los mensajes enviados al dispositivo gracias a otros permisos obtenidos como ignorar optimización de la batería y acceso a notificaciones. En el transcurso de 2 meses, la aplicación FlixOnline se ha descargado cerca de 500 veces. Por su parte, Google ya ha eliminado la aplicación de la Play Store. Más información en https://research.checkpoint.com/2021/.

Campaña de phishing dirigida a usuarios de Office 365

Trustwave ha publicado el análisis de una campaña de phishing a través de correo electrónico dirigida a usuarios de Office 365 y cuya intención es recopilar credenciales corporativas de sus víctimas utilizando como pretexto la revisión del precio de una factura. En esta campaña, la página web de phishing se construye a partir de varios fragmentos de código HTML ocultos en ficheros JavaScript almacenados en local y en remoto, técnica conocida como HTML Lego. 

Se trata de correos electrónicos cuyo cuerpo está vacío y con el asunto "price revision | XXXXXX" (dónde XXXXXX es un número entero). A pesar de que en el nombre del fichero adjunto en el correo aparece la cadena de texto "xlsx", se trata de un fichero HTML que por defecto se abrirá con el navegador cargando la página web de phishing. En este caso, el fichero HTML realiza diversas peticiones contra una plataforma de servicio de hosting gratuito de JavaScript, yourjavascript[.]com, para descargar dos ficheros JS que permitirán construir el sitio web de phishing y capturar las credenciales de la víctima. Más información en https://www.trustwave.com/.

Vulnerabilidades críticas en la VPN de Fortinet 

El FBI y la CISA advierten de que grupos APT podrían estar explotando de manera activa algunas vulnerabilidades existentes en Fortinet FortiOS, estando directamente relacionadas con el servicio VPN de la compañía.

Ambas agencias han emitido un comunicado conjunto en el que detallan los fallos que están siendo explotados, por lo que se recomienda mantener actualizadas las herramientas que se utilizan:

• CVE-2018-13379: un atacante puede descargar archivos del sistema diseñando peticiones de recursos HTTP especiales, aprovechando una vulnerabilidad path-traversal. 
• CVE-2019-5591: un atacante en la misma subred puede capturar información sensible al hacerse pasar por el servidor LDAP legítimo. Esto se debe a un fallo en la configuración por defecto.
• CVE-2020-12812: se trata de un fallo de autenticación en FortiOS SSL VPN que permite a cualquier usuario iniciar sesión sin necesidad de FortiToken (el segundo factor de autenticación).

Más información en https://unaaldia.hispasec.com/.

Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.

¡Hasta pronto!