Editado 11-05-2021 12:30
Editado 11-05-2021 12:30
Desde INCIBE se ha detectado una nueva campaña de correos electrónicos fraudulentos que suplantan la identidad de la empresa de paquetería DHL. El propósito de este correo es que el usuario descargue la factura comercial del paquete cuya apertura provocará la descarga de malware en el equipo.
Los ciberdelincuentes envían un correo electrónico simulando ser la empresa DHL con el asunto « FW: Su confirmación / notificación de envío de DHL Express». En el cuerpo del mensaje se informa de un intento fallido de comunicación vía telefónica por lo que se envía adjunta la factura comercial del paquete para que este sea recogido.
El archivo adjunto del mensaje, descarga un archivo comprimido en formato .rar que simula ser la factura del envío y que contiene malware. Este archivo malicioso compromete la seguridad del equipo, ya que podría facilitar al ciberdelincuente el acceso al mismo al modificar la configuración de seguridad del equipo infectado. Más información en https://www.incibe.es/protege-tu-empresa/
Una base de datos mal configurada ha expuesto lo que parece ser un esquema coordinado importante por los proveedores de Amazon para obtener opiniones falsas para sus productos.
En el equipo del sitio de revisiones av SafetyDetectives encontró el servidor de Elasticsearch con sede en China expuesto en línea sin ninguna protección con contraseña o cifrado.
El trove de 7 GB contenía más de 13 millones de registros, incluyendo las direcciones de correo electrónico y los números de teléfono de WhatsApp/Telegram de los contactos del proveedor, además de direcciones de correo electrónico, apellidos, PayPal detalles de la cuenta y perfiles de cuentas de Amazon de revisores. Más información en https://www.infosecurity-magazine.com/
La empresa energética estadounidense Colonial Pipeline se vio afectada el pasado viernes por un ataque de ransomware, como resultado del cual unos 8800 km de oleoductos que abastecían de crudo a la costa este han tenido que ser clausurados. Esta medida habría sido tomada preventivamente para evitar la propagación del malware pero, según indica la entidad, el ataque solo habría afectado a su red corporativa IT, y no a sistemas OT.
Varias fuentes especializadas atribuyen el incidente a la familia de ransomware conocida como DarkSide, quienes ya fueron responsables del ataque a la Escuela de Organización Industrial (EOI) en España. Este ransomware se adhiere a las tendencias actuales de doble extorsión (exfiltración de datos y su publicación en abierto). Por el momento, Colonial Pipeline no ha recuperado la normalidad operativa y, como consecuencia de ello, el gobierno estadounidense ha declarado el estado de emergencia con el objetivo de trasladar el crudo necesario para la población a través de carretera. Más información en https://www.eleconomista.es/internacional/noticias/
Durante más de un año, actores amenaza han estado añadiendo nodos de salida maliciosos a la red Tor con el objetivo de interceptar el tráfico de los usuarios y realizar ataques de "SSL stripping" en páginas de criptomonedas, lo que permite rebajar la comunicación cifrada de HTTPS a HTTP y así poder visualizar y modificar ese tráfico. El objetivo de los atacantes es reemplazar las direcciones de las carteras de criptomonedas con las de sus propias cuentas cuando el usuario realiza una transacción en una de estas webs. Desde enero de 2020, cuando comenzaron a detectarse los ataques, se ha logrado comprometer componer más de un cuarto de los nodos de salida de Tor, llegando al máximo número de servidores maliciosos en febrero de 2021, con un total de 27% de todos los nodos de salida. Más información en https://nusenu.medium.com/
La vulnerabilidad descubierta, permite el acceso al panel de administración sin disponer de credenciales desde la configuración del router. El investigador de seguridad Chris Bellows de Atredis ha descubierto una vulnerabilidad en el mecanismo de autenticación del router GT-AC2900 de Asus, la cual afecta a la comprobación de la cookie de sesión. Este modelo pertenece a la serie ‘gaming’ de Asus, por lo que cuenta con funcionalidades avanzadas como puede ser el acceso remoto a través de IFTTT. Es en este componente, junto con el de la autenticación por sesión, donde reside la vulnerabilidad.
Para su explotación la vulnerabilidad identificada como CVE-2021-32030, aprovecha un fallo en la comprobación de la sesión cuando se emplea el carácter nulo (‘\0’) al comienzo de la sesión, lo cual provoca que se pase a la siguiente forma de autenticación posible, siendo esta el token de IFTTT. Más información en https://unaaldia.hispasec.com/2021
Investigadores de ESET han publicado un análisis del troyano bancario latinoamericano con alcance brasileño Ousaban, también conocido como Javali, que lleva activo al menos desde 2018. En su análisis determinan que este malware se distribuye principalmente mediante correos electrónicos de phishing, viendo que el esquema fraudulento puede distar entre campañas, en las cuales suele destacar el uso de DLLs para la ejecución de binarios maliciosos o el uso de archivos CAB, en vez de ZIP.
Ousaban está escrito en Delphi, siendo su capacidad principal el robo de credenciales de entidades bancarias y servicios de correo mediante la superposición de ventanas de acceso sobre aplicaciones verdaderas cuando estas últimas son ejecutadas por el usuario. También muestra capacidades básicas de puerta trasera como simular la actividad de ratón y teclado. Más información en https://www.welivesecurity.com/
Investigadores de Check Point han publicado los resultados del estudio de una nueva vulnerabilidad de desbordamiento de búfer catalogada como CVE-2020-11292, que podría permitir el acceso al registro de llamadas y mensajes de texto de un dispositivo móvil, desbloquear la SIM y escuchar las conversaciones del usuario. El fallo reside en un chip que contienen algunos dispositivos, conocido como Mobile Station Modem (MSM) creado por la compañía Qualcomm, el cual se encarga de conectar los dispositivos a la red y es administrado por el sistema operativo QuRT. Los investigadores determinan que la vulnerabilidad radica en el protocolo Qualcomm MSM Interface (QMI), el cual, tras recibir paquetes de tipo TLV mal formados, desencadena una corrupción de memoria y permite que un agente amenaza ejecute su propio código. Más información en https://research.checkpoint.com/2021/
Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición o mediante WhatsApp: 900 116 117.
¡Hasta pronto!
Consulta las opciones disponibles para tu empresa: Fusión Digital, Fibra óptica, Movistar Prosegur Alarmas, y Soluciones digitales
Gestiona los productos y servicios contratados en el área privada de Mi Gestión Digital.