Campaña de smishing suplantando a GLS

Se ha detectado una campaña de envío de sms fraudulentos (smishing), con el fin de suplantar a la compañía de transportes GLS.

En el sms informa al usuario que tiene un pedido pendiente de recibir y que no ha sido enviado, indican que está guardado en el almacén porque no se han realizado los pagos para el envío del mismo.

Te recomendamos que nunca accedas pulsando en el enlace que recibas en un correo electrónico a tu entidad bancaria, ya que puede llevar a webs suplantadas, siempre debes acceder a través del área privada de clientes en la web oficial de tu banco. La entidad bancaria no enviaría este tipo de correos. Sigue la noticia en Incibe.

Investigación sobre ciberespionaje a nivel mundial

Un consorcio formado por diferentes organizaciones y medios de prensa ha publicado una investigación donde se desvela la comercialización y uso indiscriminado del software espía Pegasus. Según los investigadores, una filtración de datos habría permitido identificar al menos a 10 gobiernos como posibles clientes de la empresa israelí NSO Group, propietaria de Pegasus. Esta filtración contiene una lista de más de 50.000 números de teléfono de personas de interés desde el año 2016. Entre las víctimas identificadas se incluirían ejecutivos de empresas, personalidades religiosas, académicas, empleados de ONGs, dirigentes sindicales y miembros de diferentes gobiernos. Entre las funcionalidades de Pegasus destaca apuntar a dispositivos iOS o Android con el fin de exfiltrar mensajes, correos electrónicos, fotos, grabar llamadas y activar micrófonos. Más información en https://amp.theguardian.com/world.

Malware que desactiva el sistema de protección de Microsoft Office

Investigadores de McAfee han publicado una nueva técnica que elude la seguridad de Microsoft Office. El ataque combina las funciones de Microsoft Office word y excel para que trabajen juntas y descarguen la carga útil de Zloader, sin activar un aviso de alerta para los usuarios finales.

Los usuarios de Microsoft excel heredado son el objetivo de una campaña de malware que utiliza una novedosa técnica de ofuscación de malware para desactivar las defensas de Office y distribuir el troyano Zloader.

Zloader es un troyano bancario diseñado para robar las credenciales e información privada de los usuarios de las instituciones financieras.

Como suele ser habitual en estos casos, el vector de ataque inicial son los mensajes de phishing con documentos de word adjuntos que no contienen código malicioso. Normalmente esto permite evadir los filtros de correo electrónico o del propio antivirus en la parte de usuario. Sigue la noticia en https://unaaldia.hispasec.com/

Campaña de distribución de malware a través de correos electrónicos

El equipo de Proofpoint ha identificado un nuevo grupo amenaza, al que ha denominado como TA2721, que estaría distribuyendo malware a través de correos electrónicos en castellano. Este grupo se estaría dirigiendo contra usuarios con apellidos hispanos que pertenecen a organizaciones globales de diferentes sectores. Al tratarse de objetivos específicos, los investigadores plantean la posibilidad de que el grupo realice algún tipo de reconocimiento de las entidades objetivo antes de enviar los correos fraudulentos. La cadena de infección de TA2721 se caracteriza por la utilización de documentos PDF adjuntos en los correos, que contienen una URL que redirige a la descarga de un fichero cifrado y comprimido tipo .RAR el cual, finalmente, instala el malware Bandook en el equipo de la víctima, un malware antiguo tipo RAT no muy común. Sigue leyendo la noticia en https://www.proofpoint.com/us/blog/.

Actores estatales chinos atacan gasoductos norteamericanos

El FBI y la CISA han publicado conjuntamente una alerta sobre una campaña maliciosa perpetrada por actores estatales chinos contra gasoductos estadounidenses entre los años 2011 y 2013. Gracias a la investigación, se han identificado 23 operaciones orquestadas contra estas infraestructuras críticas, de las cuales trece fueron comprometidas exitosamente, de siete se desconoce el alcance de la intrusión y tres evitaron ser víctimas de esta campaña.

La metodología empleada consistía en el envío de correos de spear-phishing altamente sofisticados dirigidos a empleados, con el fin de que estos ejecutasen archivos maliciosos que permitieran la intrusión y la posterior exfiltración de información. Además, la CISA y el FBI fueron informados de que los empleados, incluidos los gerentes de una de las víctimas, también recibieron múltiples llamadas telefónicas solicitando información como las políticas y prácticas de la organización para el uso y la configuración de firewall, o los activos tecnológicos de seguridad empleados, entre otros. Sigue la noticia en https://us-cert.cisa.gov/ncas/alerts/aa21-201a

Campaña de espionaje contra objetivos franceses

La Agencia Nacional de Ciberseguridad de Francia (ANSSI) ha emitido una alerta de seguridad en la que informa de una campaña de ataques en el país que atribuyen al actor estatal chino APT31. Según los investigadores, estos incidentes estarían teniendo lugar desde comienzos del presente año 2021 y tendrían como objetivo diversas organizaciones francesas.

La metodología empleada por APT31 en esta campaña consistiría en utilizar routers domésticos con el fin de crear un proxy alrededor de su infraestructura y de esta manera ofuscar el origen real de su actividad. Una vez configurado el proxy, los atacantes proceden ya a realizar tareas de reconocimiento y ataques contra los objetivos fijados. Según el investigador de seguridad Ben Koehl, simular proceder del país origen de la víctima es una práctica común para evadir técnicas básicas de detección.  Sigue la noticia en https://www.cert.ssi.gouv.fr/.

Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.

¡Hasta pronto!