A continuación, hemos seleccionado las últimas noticias de seguridad a nivel mundial
Distribución de Redline bajo un señuelo relacionado con Omicron
Investigadores de FortiGuards Labs han detallado una campaña de distribución en al menos doce países de una variante del malware RedLine, en la que se estaría utilizando como señuelo Omicron, la nueva variante del COVID-19. Esta idea se basa en que se habría encontrado un ejecutable denominado “Omicron Stats.exe” que ha resultado ser una nueva variante de RedLine.
A pesar de que el vector de distribución del ejecutable no ha sido identificado, los investigadores conjeturan con que se estaría distribuyendo a través de correos electrónicos. Una vez que la víctima ejecuta el archivo, este desempaqueta recursos cifrados que posteriormente inyecta en vbc.exe y, además, se copia a sí mismo en una carpeta del directorio para asegurar con ello su permanencia. Accede a la noticia completa en https://www.fortinet.com/blog/threat-research/
Campaña de phishing suplantando a Correos
Se ha detectado una campaña phishing a través de correos electrónicos fraudulentos que tratan de suplantar a Correos.
En la campaña identificada, el email tiene como asunto ‘RE: su número de envío está pendiente’, aunque este podría cambiar. En el cuerpo del mensaje se informa al usuario de que su paquete no ha podido ser entregado por dirección incorrecta, y tiene que pagar los costos del envío.
Como en cualquier otro caso de phishing, extrema las precauciones y avisa a tus empleados para que estén alerta de los correos que reciban de origen sospechoso, especialmente si contienen archivos adjuntos o, como en este caso, enlaces externos a páginas de inicio de sesión.
Se recomienda no abrir correos de usuarios desconocidos o que no hayas solicitado, es mejor eliminarlos directamente. Accede a la noticia completa en Incibe.
Campaña de GootLoader contra empresas de contabilidad y abogados
Investigadores de eSentire han informado sobre la última campaña detectada de GootLoader, la cual estaba dirigida contra empleados de bufetes de abogados y de contabilidad. La campaña, llevada a cabo en las últimas 3 semanas, se distribuía mediante Drive-By-Download, es decir, utilizaba sitios webs legítimos comprometidos que hacían uso de WordPress, y en donde había alojados muestras gratuitas de documentos para su descarga. Estos documentos, bajo la apariencia en este caso de acuerdos comerciales, en realidad contenían el malware de acceso inicial sigiloso GootLoader. El diseño y naturaleza de la campaña indican que sus ataques están orientados tanto a la recopilación de inteligencia, como a ser un medio de inyección de ransomware. Más información en https://www.esentire.com/security-advisories/
Nueva versión del troyano bancario FluBot
El equipo de investigadores de F5 Labs ha publicado un informe técnico en el que detallan las nuevas funcionalidades de la última versión del troyano bancario de Android conocido como FluBot. Entre las capacidades básicas de este malware destacan: exfiltrar credenciales bancarias, enviar o interceptar mensajes SMS y realizar capturas de pantalla. La versión analizada es la 5.0, que salía a principios de diciembre de 2021, aunque durante los últimos días se habría detectado ya la 5.2; y entre las nuevas características destacan: la mejora en el sistema DGA para generar más dominios de C2, o la conexión con el C2 mediante un túnel de DNS a través de HTTPS, entre otras. Estas versiones habrían sido distribuidas mediante recientes campañas de smishing contra ciudadanos de Polonia, que engañaban a las víctimas para descargar software malicioso ofuscado en una aplicación de Adobe Flash Player fraudulenta con el pretexto de descargar un video. Accede a la noticia completa en
https://www.f5.com/labs/articles/threat-intelligence/
SysJoker: nuevo malware para sistemas Windows, Linux y MacOS
Investigadores de Intezer descubrían el pasado mes de diciembre un nuevo backdoor escrito en C++ que estaría atentando contra sistemas Windows, Linux y MacOS al que han denominado SysJoker y cuyas actividades podrían remontarse al segundo semestre de 2021. En su estudio, los investigadores indican que las versiones empleadas para los diferentes sistemas operativos no distan demasiado unas de otras.
Algunas de las TTPs destacadas serían: el uso paquetes nmp maliciosos o la simulación de ser una nueva actualización del sistema como vector de entrada, o el uso de un enlace de Google Drive cifrado para iniciar las comunicaciones con el C2. Además, Intezer añade que las muestras que se estarían utilizando contra sistemas Linux y MacOS estarían pasando desapercibidas para los sistemas de seguridad. Como objetivos tras SysJoker los investigadores apuntan a posibles campañas de espionaje o bien la intención de realizar movimiento lateral en la infraestructura de la víctima, para finalmente desplegar ransomware. Accede a la noticia completa en https://www.intezer.com/blog/malware-analysis/.
Los virus y el malware evolucionan continuamente y cada vez son más peligrosos. Para no correr riesgos innecesarios, te recomendamos que protejas tu empresa y evites ser víctima de un ciberataque.
Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.
¡Hasta pronto!
