Editado 30-08-2022 12:45
Editado 30-08-2022 12:45
El equipo de investigadores de Threat Analysis Group de Google ha publicado una investigación sobre una herramienta utilizada por el actor amenaza Charming Kitten (aka APT35, Phosphorus) que sirve para exfiltrar mensajes de buzones de correo de Gmail, Outlook y Yahoo en sistemas Windows. Hyperscrape, nombre que recibe este software, se caracteriza por su simplicidad, pero alta eficacia en sus acciones que llevaría siendo utilizado por este actor amenaza desde el año 2020. En cuanto a su funcionamiento, para llevar a cabo la exfiltración de datos, es necesario previamente el compromiso de una cuenta. Posteriormente, se inicia Hyperscrape, que más que un software malicioso, es una utilidad que proporciona una vista HTML de la cuenta objetivo, descarga los mensajes en formato .eml y se exfiltran a su Command & Control. Asimismo, destaca por no modificar el estado del mensaje ‘leído, no leído’ así como eliminar posibles mensajes de Google alertando de inicio de sesión sospechoso para no dejar rastro. Accede a la noticia completa en https://blog.google/threat-analysis-group/
El investigador iamdeadlyz ha revelado que ciberdelincuentes habrían creado una comunidad falsa de gaming para promover un juego fraudulento llamado Cthulhu World. Dicha comunidad incluye sitios web, grupos de Discord, y perfiles sociales, entre otros, con el objetivo de distribuir malware de robo de contraseñas como Raccoon Stealer, AsyncRAT y RedLine. Para la distribución del juego, los actores maliciosos contactaban a usuarios por mensaje directo en Twitter, indicando que, a cambio de probar y promocionar el juego, serían recompensados en Ethereum. La página web del juego, ya inactiva, parece ser una suplantación del proyecto legítimo Alchemic World, el cual ha advertido a sus usuarios acerca de esta campaña. Asimismo, distintos usuarios han reportado el robo de su cartera de criptomonedas, debido a que los malware RedLine y Raccoon Stealer tienen, entre sus funciones, el robo de estas billeteras. Más información en https://www.bleepingcomputer.com/news/se
Investigadores de Group-IB han detectado una campaña masiva de phishing, activa al menos desde principios de este mes de agosto, y que han denominado como “0ktapus”. La campaña es la misma que recientemente ya afectó a Twilio y CloudFlare y, hasta la fecha, habría impactado al menos en otras 136 entidades principalmente de Estados Unidos, permitiendo al actor amenaza robar 9931 credenciales, 3129 registros con correos y 5441 registros con códigos MFA. Según los investigadores, los atacantes emplean técnicas simples de distribución, un kit de phishing y técnicas de suplantación simples con redirecciones directas a sitios web fraudulentos. El objetivo final de la campaña es comprometer las redes de las organizaciones para poder llevar a cabo posteriormente ataques a la cadena de suministro. Accede a la noticia completa en https://blog.group-ib.com/0ktapus
Investigadores de Microsoft han publicado un análisis del nuevo malware utilizado por el grupo APT29, también conocido como NOBELIUM o Cozy Bear, para lograr la persistencia en los sistemas comprometidos, que han denominado como MagicWeb. El software malicioso es un archivo DLL que los actores amenaza deben sustituir por el legítimo en el servidor Active Directory Federation Services (ADFS). Para llevarlo a cabo los atacantes requieren de permisos de administrador al sistema ADFS objetivo. Una vez implementado, MagicWeb permite editar los tokens generados por el servidor y los certificados de autenticación, de esta forma, los atacantes podrían iniciar sesión como cualquier usuario del sistema, lo que les permite realizar numerosas acciones y mantener la persistencia. Accede a la noticia completa en https://www.microsoft.com/security/
El equipo de investigadores de Trend Micro ha publicado un análisis de un nuevo ransomware al que han denominado Agenda. Este nuevo software malicioso ha dirigido su actividad contra empresas del sector salud e instituciones educativas geolocalizadas en Asia y África. Asimismo, entre sus características destaca estar escrito en lenguaje Go, lo que hace que se compilen estáticamente las librerías, y de esta manera dificultar el análisis del mismo. Consecuentemente, Agenda aprovecha la función de modo seguro de los equipos para evadir las soluciones de seguridad mientras realiza su cifrado de archivos, así como enumerar si existen cuentas locales para acceder a las mismas y ejecutar el binario del ransomware, cifrando de esta manera más archivos de las víctimas. Trend Micro destaca que, tras el transcurso del análisis de un incidente, detectaron que el vector de entrada se trataba de un servidor Citrix expuesto, que mediante el uso de una cuenta vulnerada accedieron y seguidamente lograron pivotar dentro de la red. Accede a la noticia completa en https://www.trendmicro.com/
Los virus y el malware evolucionan continuamente y cada vez son más peligrosos. Para no correr riesgos innecesarios, te recomendamos que protejas tu empresa y evites ser víctima de un ciberataque.
Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.
¡Hasta pronto!
Consulta las opciones disponibles para tu empresa: Fusión Digital, Fibra óptica, Movistar Prosegur Alarmas, y Soluciones digitales
Gestiona los productos y servicios contratados en el área privada de Mi Gestión Digital.