A continuación, hemos seleccionado las noticias de seguridad a nivel mundial más relevantes
Malware, phishing, ransomware y smishing
Campaña de phishing en Oriente Medio con motivo de la Copa Mundial de Fútbol
Investigadores de seguridad de Trellix han publicado un informe en el que se advierte de la existencia de una gran campaña de phishing orientada a organizaciones en Oriente Medio que usan como señuelo la Copa Mundial de Fútbol que se celebra en Qatar. Según Trellix, durante los meses de septiembre y octubre han detectado el doble de emails de phishing con temática relacionada con el evento. Los actores de la amenaza estarían suplantando, entre otros, al servicio al cliente de FIFA, al sistema de venta de entradas del torneo, o a Snoonu, la empresa de reparto de comida oficial del evento, con motivo de un falso sorteo de entradas, confirmaciones de pago, o falsas alertas acerca de la desactivación de la autenticación de dos factores, entre otras temáticas detectadas. En los casos observados, se pretende redirigir a la víctima hacia páginas de phishing donde se roban las credenciales, y en algunos casos se entrega malware. https://www.trellix.com/en-us/about/newsroom
Campaña de spearphishing empleando Google Drive
Investigadores de Trend Micro han descubierto una campaña de ciberespionaje contra organizaciones gubernamentales, académicas y de investigación en todo el mundo. Estos ataques se estarían observando desde marzo hasta el pasado mes de octubre y se atribuyen al grupo Mustang Panda, también conocido como Bronze President o TA416. En el análisis llevado a cabo por Trend Micro, se habría detectado que el grupo utiliza cuentas falsas de Google para enviar malware por correo electrónico, adjuntándolo en enlaces de Google Drive que conducen a archivos comprimidos con familias de malware como ToneShell, ToneIns y PubLoad. Según los investigadores. Cabe destacar la gran actividad del grupo, a principios de año enfocando sus operaciones en Europa y pasando a considerarse una amenaza global. Accede a la noticia completa en https://www.trendmicro.com/en_us/research/22/k/
Campañas de phishing que intentan obtener las credenciales de tu gestor de correo electrónico
Desde INCIBE, se han detectado múltiples campañas de correos maliciosos de tipo phishing cuyo objetivo es robar las credenciales de acceso (usuario y contraseña), del gestor de correo.
En los correos electrónicos identificados varía el asunto y cuerpo del mensaje, pero siguen una estructura común. En todos ellos, se indica que la contraseña del usuario caducará pronto o que hay una nueva actualización del servicio y que no podrá seguir utilizándolo a partir de una determinada fecha. En algunos de ellos, se incita al usuario a acceder a un enlace malicioso para cambiar su contraseña o actualizar el servicio. En otros, se solicitan los datos directamente en el cuerpo del correo. El objetivo de todas las campañas es obtener las credenciales del usuario.
En caso de recibir un mensaje con las características descritas en este aviso, es recomendable eliminarlo directamente y poner en conocimiento de los compañeros el intento de fraude para evitar posibles víctimas.
Accede a la noticia completa en https://www.incibe.es/protege-tu-empresa/avisos-seguridad/
Detección de malware en aplicaciones de Google Play
El equipo de Zscaler ThreatLabz ha reportado recientemente el descubrimiento de muestras del malware Xenomorph en la aplicación "Todo: Day Manager". Se trata del último caso en las más de 50 aplicaciones presentes en Google Play a lo largo de los tres últimos meses, que habrían sido detectadas difundiendo diferentes malware y aglutinando más de 500.000 descargas. En este caso, Xenomorph es un troyano utilizado para sustraer las credenciales de aplicaciones bancarias de los dispositivos móviles de las víctimas, siendo capaz de interceptar el tráfico de notificaciones y mensajes SMS, por lo que logra hacerse con códigos generados para múltiples factores de autenticación. Una vez instalada la aplicación, esta se comunica con un servidor de Firebase para obtener la URL de la carga útil del malware, descargando las muestras del troyano bancario desde un repositorio de GitHub. Una vez descargado, Xenomorph solicita diferentes permisos que acaban con el malware teniendo permisos de administrador en el dispositivo móvil de la víctima, por lo que es imposible borrarla. Accede a la noticia completa en https://www.zscaler.com/blogs/security-research/
Disneyland Malware Team, un nuevo grupo de fraude bancario
El investigador de seguridad Brian Krebs ha publicado un artículo en el que revela la existencia de un nuevo grupo de malware, Disneyland Team, centrado principalmente en campañas de phishing que suplantan a entidades bancarias e instituciones financieras, mayoritariamente de Estados Unidos. La principal característica de Disneyland Team es la creación de dominios maliciosos de typosquatting con Punycode, estándar que traduce a caracteres en alfabeto latinos los textos de URLs escritas en alfabetos como el cirílico o de origen asiático. De esta manera, a una interfaz visualmente idéntica a la oficial se añade una URL similar a la legítima para dar sensación de credibilidad. Disneyland Team, cuyas comunicaciones se realizan en ruso, añade a los dominios de phishing el malware bancario Gozi 2.0, también conocido como Ursnif. La principal función de Gozi, uno de los troyanos bancarios más antiguos con más de 15 años de historia es la recolección de credenciales. Accede a la noticia completa en https://krebsonsecurity.com/2022/11/.
Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.
¡Hasta pronto!
