Noticias de seguridad a nivel mundial destacadas
Malware, phishing, ransomware y smishing
StrelaStealer: malware para robar credenciales de correo
Investigadores de DCSO CyTec han identificado un nuevo malware, al que han denominado StrelaStealer, que roba credenciales de correo electrónico de Outlook y Thunderbird. La distribución del malware se haría a través de archivos ISO adjuntos a correos electrónicos de diferentes contenidos. En una de las variantes observadas, este adjunto se trataba de un archivo "políglota", es decir, que puede interpretarse como diferentes formatos dependiendo de la aplicación con que se abra. En el caso analizado, este archivo podía actuar descargando StrelaStealer, o bien mostrar un documento señuelo en el navegador por defecto. Accede a la noticia completa en
https://medium.com/@DCSO_CyTec/shortandmalicious
Campaña de distribución de malware a través de YouTube
Investigadores de Cyble Research & Intelligence Labs (CRIL) han descubierto la existencia de una campaña de distribución de los malware Vidar y RecordBreaker a través de tutoriales de YouTube. Estos vídeos ofrecen a los usuarios cracks (piezas de código para usar gratis programas de pago) de distintos softwares, así como de juegos, pero se estarían usando para instalar en el equipo de la víctima los stealers Vidar y RecordBreaker (nueva versión de Racoon), que tienen capacidades de robo de tarjetas bancarias, datos confidenciales, archivos y wallets de criptomonedas como Bitcoin y Ethereum, entre otros. Para hacer más creíble el engaño, los actores detrás de la campaña han creado URLs falsas para la descarga de los archivos maliciosos que simulan ser las oficiales del programa o juego en cuestión, en vez de redirigir a la víctima a las habituales plataformas de descargas de archivos. Accede a la noticia completa en
https://blog.cyble.com/2022/11/08/massive-youtube
Nueva campaña de phishing que suplanta a la Agencia Tributaria
Se ha detectado una campaña de envío de correos electrónicos fraudulentos de tipo phishing que tratan de suplantar a la Agencia Tributaria. En dichos correos se utiliza como gancho un reembolso de 450€, aunque esta cifra podría variar.
Si tú o cualquier empleado de tu empresa habéis recibido un correo con estas características, ignoradlo. Se trata de un intento de fraude.
Si has accedido al enlace e introducido las credenciales de acceso a la cuenta bancaria, deberás modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad para informar de la situación. Además, se recomienda modificar la contraseña de todos aquellos servicios en los que se utilice la misma.
Si has facilitado las credenciales de tu cuenta financiera, recopila todas las pruebas de las que dispongas (capturas de pantalla, el email, mensajes, etc.) y contacta con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) para presentar una denuncia. Accede a la noticia completa en https://www.incibe.es/content/actualizacion
Agentes maliciosos usan InterPlanetary File System para almacenar malware
Investigadores de Cisco Talos aseguran que el protocolo web3 y red peer-to-peer para el almacenamiento y compartición de archivos InterPlanetary File System (IPFS) está siendo abusado por actores maliciosos para guardar malware ya que está construido de tal manera que una vez subido un archivo no es posible su eliminación por parte de terceros, lo que le hace inmune a la censura. Accede a la noticia completa en https://blog.talosintelligence.com/ipfs-abuse/
Detección de malware en aplicaciones de Google Play
El equipo de Zscaler ThreatLabz ha reportado recientemente el descubrimiento de muestras del malware Xenomorph en la aplicación "Todo: Day Manager". Se trata del último caso en las más de 50 aplicaciones presentes en Google Play a lo largo de los tres últimos meses, que habrían sido detectadas difundiendo diferentes malware y aglutinando más de 500.000 descargas. En este caso, Xenomorph es un troyano utilizado para sustraer las credenciales de aplicaciones bancarias de los dispositivos móviles de las víctimas, siendo capaz de interceptar el tráfico de notificaciones y mensajes SMS, por lo que logra hacerse con códigos generados para múltiples factores de autenticación. Una vez instalada la aplicación, esta se comunica con un servidor de Firebase para obtener la URL de la carga útil del malware, descargando las muestras del troyano bancario desde un repositorio de GitHub. Accede a la noticia completa en https://www.zscaler.com/blogs/security
Clipper Laplas usado para suplantar wallets de criptomonedas
Investigadores de Cyble y expertos del medio Bleeping Computer han analizado muestras de un malware que copia los contenidos del portapapeles y cuyas infecciones estarían aumentando considerablemente. Bajo el nombre de Laplas, este malware estaría siendo difundido a través de posts en la dark web con el fin de robar datos de wallets de una gran variedad de criptomonedas. De acuerdo con sus desarrolladores, Laplas es capaz de leer el contenido del portapapeles y, cuando este incluye un wallet al que se va a hacer un pago, generar casi inmediatamente una dirección similar para que el usuario dirija sus fondos al wallet bajo control del atacante.
Si bien no está claro el proceso seguido por el malware para generar estas direcciones tan rápidamente, se ha observado que, en el caso de Bitcoin, las direcciones nuevas mantienen los primeros y los últimos caracteres. En el caso de Ethereum, el malware tardaría más en generar una dirección creíble. Accede a la noticia completa en https://www.bleepingcomputer.com/news/security/
Los virus y el malware evolucionan continuamente y cada vez son más peligrosos. Para no correr riesgos innecesarios, te recomendamos que protejas tu empresa y evites ser víctima de un ciberataque.
Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.
¡Hasta pronto!
