A continuación, hemos seleccionado las noticias de seguridad a nivel mundial más relevantes
Malware, phishing y ransomware
La Policía Nacional desmonta una estructura de financiación de bandas a través de phishing
La Policía Nacional española ha comunicado el éxito de una operación a través de la cual se ha desmontado la estructura de financiación de la banda criminal conocida como Trinitarios a través de estafas de phishing y smishing. A través de estas estafas dos informáticos al servicio de la banda habían logrado recaudar 700.000 euros. Accede a la noticia completa https://www.policia.es/_es/
Múltiples campañas de phishing que intentan obtener las credenciales de tu gestor de correo electrónico
Se han detectado múltiples campañas de correos maliciosos de tipo phishing cuya finalidad es obtener las credenciales de acceso (usuario y contraseña) del gestor de correo.
En los correos electrónicos identificados varía el asunto y cuerpo del mensaje, pero siguen una estructura común. En todos ellos, se indica que la contraseña del usuario caducará pronto o que hay una nueva actualización de mantenimiento del servicio y que no podrá seguir utilizándolo a partir de una determinada fecha. En algunos de ellos, se incita al usuario a acceder a un enlace malicioso para cambiar su contraseña o actualizar el servicio. En otros, se solicita al usuario acceder a un enlace para confirmar que se desea borrar el email. El objetivo de todas las campañas es obtener las credenciales del usuario. Todo el detalle de la noticia y recomendaciones en INCIBE.
Nueva campaña maliciosa distribuyendo infostealer Aurora
El equipo de investigadores de Malwarebytes ha publicado el análisis de una campaña maliciosa que distribuye el infostealer Aurora. En concreto, dicha campaña funciona mediante la utilización de publicidad maliciosa en forma de anuncios emergentes, pop-up, que se encuentran en sitios web de contenido para adultos. Según los investigadores, los actores amenaza tras estos hechos han ideado un pop-up que muestra en una ventana de navegador una pantalla de actualización del sistema de Windows que procede a la descargar de un ejecutable denominado ChromeUpdate.exe. En caso de ejecutar este archivo, da comienzo la infección del equipo de la víctima con el infostealer Aurora, lo cual se produce tras identificar mediante la comprobación de la tarjeta gráfica del host para determinar si se ejecuta en una máquina virtual o no. En último lugar, cabe destacar de este payload su alta sofisticación en materia de evasión de detección por parte de soluciones de seguridad. Accede a la noticia completa en https://www.malwarebytes.com/blog/
WhitePhoenix herramienta gratuita para desencriptar archivos tras un ataque de ransomware
Investigadores de Cisco Talos Intelligence advierten sobre un nuevo PaaS que está permitiendo a actores maliciosos incorporar funcionalidades avanzadas de phishing. El nombre de este nuevo PaaS es Greatness y fue visto por primera vez a mediados de 2022, con picos de actividad en diciembre de 2022 y marzo de 2023. Se ha utilizado principalmente para atacar a empresas, en lugar de organizaciones gubernamentales, imitando sus páginas de inicio de sesión de Microsoft 365, lo que indica que los usuarios del servicio tendrían motivaciones financieras. Según el análisis de Cisco de los dominios de phishing, las empresas de los sectores de manufactura, sanitario y tecnológico fueron las más atacadas, con más del 50% de las víctimas en Estados Unidos, seguidas de empresas del Reino Unido, Australia, Sudáfrica y Canadá, respectivamente. Sus características también incluyen la evasión de la autenticación multifactor (MFA), el filtrado de IP y la integración con bots de Telegram. Accede a la noticia completa en https://blog.talosintelligence.com/
Vulnerabilidad en el kernel de Linux otorga privilegios de root a los atacantes
Investigadores de seguridad han publicado un artículo donde detallan una nueva vulnerabilidad en NetFilter en el kernel de Linux, con PoC disponible, que permite a usuarios locales sin privilegios escalar sus privilegios a nivel de root, permitiendo el control total de un sistema. La vulnerabilidad, clasificada como CVE-2023-32233, se produce debido a que Netfilter nf_tables acepta actualizaciones no válidas de su configuración, lo que permite escenarios específicos en los que las solicitudes por lotes no válidas conducen a la corrupción del estado interno del subsistema. El investigador afirma que afecta a varias versiones del kernel de Linux, incluida la versión estable actual, v6.3.1. Sin embargo, para explotar la vulnerabilidad, se requiere tener acceso local a un dispositivo Linux. Accede a la noticia completa https://seclists.org/oss-sec/2023
AndoryuBot: botnet explotando vulnerabilidad crítica en Ruckus
Fortinet ha publicado una investigación sobre una nueva botnet llamada AndoryuBot que tiene como objetivo explotar una vulnerabilidad crítica en el panel de administración de Ruckus para infectar puntos de acceso Wi-Fi sin parchear con el objetivo de usarlos en ataques DDoS. La vulnerabilidad registrada como CVE-2023-25717, CVSSv3 de 9.8, afecta a todos los paneles de administración inalámbrica de Ruckus versión 10.4 y anteriores y permite a un atacante remoto ejecutar código. Cabe destacar que el fabricante ha parcheado dicho fallo de seguridad el pasado 8 de febrero de 2023. En último lugar, en relación al software malicioso AndoryuBot cabe destacar que admite múltiples técnicas de ataque DDoS, y utiliza proxies SOCKS5 para comunicaciones C2 y se anuncia en un canal de Telegram. Accede a la noticia completa https://www.fortinet.com/
Los virus y el malware evolucionan continuamente y cada vez son más peligrosos. Para no correr riesgos innecesarios, te recomendamos que protejas tu empresa y evites ser víctima de un ciberataque.
Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.
¡Hasta pronto!
