Noticias de Seguridad a nivel mundial: boletín nº215

Noticias de Seguridad a nivel mundial: boletín nº215

Noticias-Seguridad_C-Empresas.jpg

 

 

Nueva campaña de descarga de malware suplantando a DHL

 

Desde INCIBE se ha detectado una nueva campaña de correos electrónicos fraudulentos que suplantan la identidad de la empresa de paquetería DHL. El propósito de este correo es que el usuario descargue la factura comercial del paquete cuya apertura provocará la descarga de malware en el equipo.

Los ciberdelincuentes envían un correo electrónico simulando ser la empresa DHL con el asunto « FW: Su confirmación / notificación de envío de DHL Express». En el cuerpo del mensaje se informa de un intento fallido de comunicación vía telefónica por lo que se envía adjunta la factura comercial del paquete para que este sea recogido.

El archivo adjunto del mensaje, descarga un archivo comprimido en formato .rar que simula ser la factura del envío y que contiene malware. Este archivo malicioso compromete la seguridad del equipo, ya que podría facilitar al ciberdelincuente el acceso al mismo al modificar la configuración de seguridad del equipo infectado. Más información en https://www.incibe.es/protege-tu-empresa/

 

 

 

Expuestos datos de 200 mil falsos clientes que dejan reseñas en productos de Amazon

 

Una base de datos mal configurada ha expuesto lo que parece ser un esquema coordinado importante por los proveedores de Amazon para obtener opiniones falsas para sus productos.

En el equipo del sitio de revisiones av SafetyDetectives encontró el servidor de Elasticsearch con sede en China expuesto en línea sin ninguna protección con contraseña o cifrado.

 

El trove de 7 GB contenía más de 13 millones de registros, incluyendo las direcciones de correo electrónico y los números de teléfono de WhatsApp/Telegram de los contactos del proveedor, además de direcciones de correo electrónico, apellidos, PayPal detalles de la cuenta y perfiles de cuentas de Amazon de revisores. Más información en https://www.infosecurity-magazine.com/

 

 

 

Ataque de ransomware a uno de los oleoductos más importantes de Estados Unidos

 

La empresa energética estadounidense Colonial Pipeline se vio afectada el pasado viernes por un ataque de ransomware, como resultado del cual unos 8800 km de oleoductos que abastecían de crudo a la costa este han tenido que ser clausurados. Esta medida habría sido tomada preventivamente para evitar la propagación del malware pero, según indica la entidad, el ataque solo habría afectado a su red corporativa IT, y no a sistemas OT.

Varias fuentes especializadas atribuyen el incidente a la familia de ransomware conocida como DarkSide, quienes ya fueron responsables del ataque a la Escuela de Organización Industrial (EOI) en España. Este ransomware se adhiere a las tendencias actuales de doble extorsión (exfiltración de datos y su publicación en abierto). Por el momento, Colonial Pipeline no ha recuperado la normalidad operativa y, como consecuencia de ello, el gobierno estadounidense ha declarado el estado de emergencia con el objetivo de trasladar el crudo necesario para la población a través de carretera. Más información en https://www.eleconomista.es/internacional/noticias/

 

 

 

Falsos nodos de salida de Tor usados para robar criptomonedas

 

Durante más de un año, actores amenaza han estado añadiendo nodos de salida maliciosos a la red Tor con el objetivo de interceptar el tráfico de los usuarios y realizar ataques de "SSL stripping" en páginas de criptomonedas, lo que permite rebajar la comunicación cifrada de HTTPS a HTTP y así poder visualizar y modificar ese tráfico. El objetivo de los atacantes es reemplazar las direcciones de las carteras de criptomonedas con las de sus propias cuentas cuando el usuario realiza una transacción en una de estas webs. Desde enero de 2020, cuando comenzaron a detectarse los ataques, se ha logrado comprometer componer más de un cuarto de los nodos de salida de Tor, llegando al máximo número de servidores maliciosos en febrero de 2021, con un total de 27% de todos los nodos de salida. Más información en https://nusenu.medium.com/

 

 

 

Salto de autenticación en los routers Asus GT-AC2900

 

La vulnerabilidad descubierta, permite el acceso al panel de administración sin disponer de credenciales desde la configuración del router. El investigador de seguridad Chris Bellows de Atredis ha descubierto una vulnerabilidad en el mecanismo de autenticación del router GT-AC2900 de Asus, la cual afecta a la comprobación de la cookie de sesión. Este modelo pertenece a la serie ‘gaming’ de Asus, por lo que cuenta con funcionalidades avanzadas como puede ser el acceso remoto a través de IFTTT. Es en este componente, junto con el de la autenticación por sesión, donde reside la vulnerabilidad.

Para su explotación la vulnerabilidad identificada como CVE-2021-32030, aprovecha un fallo en la comprobación de la sesión cuando se emplea el carácter nulo (‘\0’) al comienzo de la sesión, lo cual provoca que se pase a la siguiente forma de autenticación posible, siendo esta el token de IFTTT. Más información en https://unaaldia.hispasec.com/2021

 

 

 

Análisis del troyano bancario Ousaban

 

Investigadores de ESET han publicado un análisis del troyano bancario latinoamericano con alcance brasileño Ousaban, también conocido como Javali, que lleva activo al menos desde 2018.  En su análisis determinan que este malware se distribuye principalmente mediante correos electrónicos de phishing, viendo que el esquema fraudulento puede distar entre campañas, en las cuales suele destacar el uso de DLLs para la ejecución de binarios maliciosos o el uso de archivos CAB, en vez de ZIP.

Ousaban está escrito en Delphi, siendo su capacidad principal el robo de credenciales de entidades bancarias y servicios de correo mediante la superposición de ventanas de acceso sobre aplicaciones verdaderas cuando estas últimas son ejecutadas por el usuario. También muestra capacidades básicas de puerta trasera como simular la actividad de ratón y teclado. Más información en https://www.welivesecurity.com/

 

 

 

Vulnerabilidad en Qualcomm afecta a dispositivos Android

 

Investigadores de Check Point han publicado los resultados del estudio de una nueva vulnerabilidad de desbordamiento de búfer catalogada como CVE-2020-11292, que podría permitir el acceso al registro de llamadas y mensajes de texto de un dispositivo móvil, desbloquear la SIM y escuchar las conversaciones del usuario. El fallo reside en un chip que contienen algunos dispositivos, conocido como Mobile Station Modem (MSM) creado por la compañía Qualcomm, el cual se encarga de conectar los dispositivos a la red y es administrado por el sistema operativo QuRT. Los investigadores determinan que la vulnerabilidad radica en el protocolo Qualcomm MSM Interface (QMI), el cual, tras recibir paquetes de tipo TLV mal formados, desencadena una corrupción de memoria y permite que un agente amenaza ejecute su propio código. Más información en https://research.checkpoint.com/2021/

 

 

 

Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición o mediante WhatsApp: 900 116 117.

 

 

¡Hasta pronto



Consulta las opciones disponibles para tu empresa: Fusion Empresas, Tarifas moviles, Fibra optica y Aplicaciones digitales


Realiza fácilmente trámites y gestiones desde la web y la App de Telefónica Empresas.


Tu negocio siempre seguro con Prosegur Alarmas.


Además, síguenos en Twitter, Facebook, YouTube, Instagram y Linkedln.



Mensaje 1 de 1
518 Visitas
0 RESPUESTAS 0