A continuación, hemos seleccionado las últimas noticias de seguridad a nivel mundial

Hyperscrape: herramienta para exfiltrar datos de buzones de correo

El equipo de investigadores de Threat Analysis Group de Google ha publicado una investigación sobre una herramienta utilizada por el actor amenaza Charming Kitten (aka APT35, Phosphorus) que sirve para exfiltrar mensajes de buzones de correo de Gmail, Outlook y Yahoo en sistemas Windows. Hyperscrape, nombre que recibe este software, se caracteriza por su simplicidad, pero alta eficacia en sus acciones que llevaría siendo utilizado por este actor amenaza desde el año 2020. En cuanto a su funcionamiento, para llevar a cabo la exfiltración de datos, es necesario previamente el compromiso de una cuenta. Posteriormente, se inicia Hyperscrape, que más que un software malicioso, es una utilidad que proporciona una vista HTML de la cuenta objetivo, descarga los mensajes en formato .eml y se exfiltran a su Command & Control. Asimismo, destaca por no modificar el estado del mensaje ‘leído, no leído’ así como eliminar posibles mensajes de Google alertando de inicio de sesión sospechoso para no dejar rastro. Accede a la noticia completa en https://blog.google/threat-analysis-group/

Falso proyecto de gaming utilizado para distribuir malware

El investigador iamdeadlyz ha revelado que ciberdelincuentes habrían creado una comunidad falsa de gaming para promover un juego fraudulento llamado Cthulhu World. Dicha comunidad incluye sitios web, grupos de Discord, y perfiles sociales, entre otros, con el objetivo de distribuir malware de robo de contraseñas como Raccoon Stealer, AsyncRAT y RedLine. Para la distribución del juego, los actores maliciosos contactaban a usuarios por mensaje directo en Twitter, indicando que, a cambio de probar y promocionar el juego, serían recompensados en Ethereum. La página web del juego, ya inactiva, parece ser una suplantación del proyecto legítimo Alchemic World, el cual ha advertido a sus usuarios acerca de esta campaña. Asimismo, distintos usuarios han reportado el robo de su cartera de criptomonedas, debido a que los malware RedLine y Raccoon Stealer tienen, entre sus funciones, el robo de estas billeteras. Más información en https://www.bleepingcomputer.com/news/se

0ktapus: campaña masiva de phishing dirigida a más de 130 organizaciones

Investigadores de Group-IB han detectado una campaña masiva de phishing, activa al menos desde principios de este mes de agosto, y que han denominado como “0ktapus”. La campaña es la misma que recientemente ya afectó a Twilio y CloudFlare y, hasta la fecha, habría impactado al menos en otras 136 entidades principalmente de Estados Unidos, permitiendo al actor amenaza robar 9931 credenciales, 3129 registros con correos y 5441 registros con códigos MFA. Según los investigadores, los atacantes emplean técnicas simples de distribución, un kit de phishing y técnicas de suplantación simples con redirecciones directas a sitios web fraudulentos. El objetivo final de la campaña es comprometer las redes de las organizaciones para poder llevar a cabo posteriormente ataques a la cadena de suministro. Accede a la noticia completa en https://blog.group-ib.com/0ktapus

MagicWeb: nueva herramienta capaz de secuestrar servidores ADFS

Investigadores de Microsoft han publicado un análisis del nuevo malware utilizado por el grupo APT29, también conocido como NOBELIUM o Cozy Bear, para lograr la persistencia en los sistemas comprometidos, que han denominado como MagicWeb. El software malicioso es un archivo DLL que los actores amenaza deben sustituir por el legítimo en el servidor Active Directory Federation Services (ADFS). Para llevarlo a cabo los atacantes requieren de permisos de administrador al sistema ADFS objetivo. Una vez implementado, MagicWeb permite editar los tokens generados por el servidor y los certificados de autenticación, de esta forma, los atacantes podrían iniciar sesión como cualquier usuario del sistema, lo que les permite realizar numerosas acciones y mantener la persistencia. Accede a la noticia completa en https://www.microsoft.com/security/

Nuevo ransomware denominado Agenda

El equipo de investigadores de Trend Micro ha publicado un análisis de un nuevo ransomware al que han denominado Agenda. Este nuevo software malicioso ha dirigido su actividad contra empresas del sector salud e instituciones educativas geolocalizadas en Asia y África. Asimismo, entre sus características destaca estar escrito en lenguaje Go, lo que hace que se compilen estáticamente las librerías, y de esta manera dificultar el análisis del mismo. Consecuentemente, Agenda aprovecha la función de modo seguro de los equipos para evadir las soluciones de seguridad mientras realiza su cifrado de archivos, así como enumerar si existen cuentas locales para acceder a las mismas y ejecutar el binario del ransomware, cifrando de esta manera más archivos de las víctimas. Trend Micro destaca que, tras el transcurso del análisis de un incidente, detectaron que el vector de entrada se trataba de un servidor Citrix expuesto, que mediante el uso de una cuenta vulnerada accedieron y seguidamente lograron pivotar dentro de la red. Accede a la noticia completa en https://www.trendmicro.com/

Los virus y el malware evolucionan continuamente y cada vez son más peligrosos. Para no correr riesgos innecesarios, te recomendamos que protejas tu empresa y evites ser víctima de un ciberataque.

Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.

¡Hasta pronto!