Noticias de seguridad a nivel mundial destacadas
Malware, phishing, ransomware y smishing
Phishing al comprobar si te ha tocado mesa electoral
El Ministerio del Interior alerta sobre una nueva estafa que consiste en enviar correos electrónicos con un enlace para comprobar si tienes que acudir a una mesa electoral en las elecciones del 23 de julio en España. Se trata de un intento de phishing con el objetivo de robar datos personales.
Si recibes un correo electrónico sobre este tema, donde se incita a pulsar un enlace para comprobar si estás convocado a una mesa electoral, no pulses en el enlace, y elimina el correo. El Ministerio del Interior no te enviará un mail, sino una notificación por correo certificado a tu domicilio. Más información en https://www.lasexta.com/elecciones/generales/
Nueva campaña de proxyjacking
El equipo de respuesta de inteligencia de seguridad de Akamai ha descubierto una campaña de proxyjacking dirigida a servidores SSH vulnerables, con el objetivo de monetizarlos a través de servicios de proxyware que pagan por compartir el ancho de banda de Internet no utilizado. En este caso, los atacantes aprovechan los servidores SSH para el acceso remoto, ejecutando scripts maliciosos y derivando los servidores de las víctimas a una red proxy P2P (Peer2Proxy o Honeygain) para monetizar el ancho de banda adicional. Cabe destacar que los investigadores detectaron la campaña a principios del mes pasado, tras observar múltiples conexiones SSH a los honeypots administrados por Akamai y que encontraron una lista con aproximadamente 16.500 proxies compartidos en un foro. Accede a la noticia completa en https://www.akamai.com/blog/security-research/
El troyano Anatsa roba ahora información bancaria
Una nueva campaña de malware móvil desde marzo de 2023 extiende el troyano bancario Android Anatsa a los clientes de banca en línea en los EE.UU, Reino Unido, Alemania, Austria y Suiza. Según los investigadores de seguridad de ThreatFabric, los atacantes están distribuyendo su malware a través de Play Store, la tienda oficial de aplicaciones de Android, y ya cuentan con más de 30.000 instalaciones solo a través de este método. En marzo de 2023, tras un paréntesis de seis meses en la distribución de malware, los actores amenaza lanzaron una nueva campaña de malvertising que lleva a las posibles víctimas a descargar las aplicaciones del dropper Anatsa desde Google Play. Anatsa recopila información financiera, como credenciales de cuentas bancarias, datos de tarjetas de crédito, información de pagos, etc. Para ello, superpone páginas de phishing en primer plano cuando el usuario intenta iniciar su aplicación bancaria legítima y también mediante keylogging. Anatsa utiliza la información robada para realizar fraudes en el dispositivo, lanzando la aplicación bancaria y realizando transacciones en nombre de la víctima. Accede a la noticia completa en https://www.threatfabric.com/blogs/anatsa
Nueva variante de RustBucket dirigida a usuarios de macOS
Investigadores de Elastic Security Labs han descubierto una nueva variante del malware RustBucket dirigida contra usuarios de macOS, que ha mejorado sus capacidades para establecer la persistencia y evitar la detección de software de seguridad. Esta versión aprovecha una metodología de infraestructura de red dinámica para comando y control. RustBucket es obra de un actor de amenazas conocido como BlueNoroff, a quienes se atribuyen a la APT Lazarus. Fue descubierto por primera vez en abril de 2023 y se describe como una puerta trasera basada en AppleScript. El malware de segunda etapa, compilado en Swift, descarga el software malicioso principal desde un servidor de comando y control. Esta es la primera vez que BlueNoroff ataca específicamente a usuarios de macOS, aunque también se ha detectado una versión .NET. La cadena de infección involucra archivos de instalación de macOS y utiliza correos electrónicos de phishing y perfiles falsos en redes sociales para su propagación. Accede a la noticia completa en https://www.elastic.co/es/security-labs/DPRK
Descubierta campaña contra empresas de alojamiento web
Investigadores de Unit 42 de Palo Alto descubrieron una campaña activa que estuvo dirigida a empresas de alojamiento web e IT durante más de dos años. La campaña, denominada CL-CRI-0021 o Manic Menagerie 2.0, tenía como objetivo aprovechar los recursos de servidores comprometidos mediante la instalación de mineros de criptomonedas en máquinas para obtener ganancias monetarias. Además, desplegaba web shells para obtener un acceso sostenido a los recursos internos de los sitios web comprometidos. Los actores de amenaza convertían los sitios web legítimos secuestrados en servidores de comando y control (C2) a gran escala, afectando a miles de páginas web. Esta actividad maliciosa se realizaba desde sitios web legítimos con buena reputación, lo que dificultaba su detección por parte de soluciones de seguridad. Se emplearon múltiples técnicas para evadir la detección de herramientas de monitoreo y productos de ciberseguridad. Accede a la noticia completa en https://unit42.paloaltonetworks.com/
ThirdEye: nuevo infostealer centrado en sistemas Windows
FortiGuard Labs descubrió recientemente una serie de archivos sospechosos que, tras la realización de una investigación posterior, confirmaron que dichos ficheros eran maliciosos y reveló que son un infostealer, previamente desconocido, al que han llamado ThirdEye. En cuanto a sus características y funcionalidades destaca por su relativa simplicidad, ya que recopila información de sistemas Windows, como datos de BIOS y hardware, enumera archivos y carpetas, procesos en ejecución e información de red y lo envía a un servidor C2. FortiGuard destaca que, a diferencia de la gran mayoría de infostealers, no aprovecha su presencia en el sistema infectado para funcionar también como puerta trasera o realizar tareas de exfiltración o cifrado. Accede a la noticia completa en https://www.fortinet.com/blog/threat-research/
Campaña de malversiting distribuyendo ransomware BlackCat
El equipo de investigadores de TrendMicro ha publicado un artículo en el que señalan haber identificado una nueva campaña de malversiting en la que se está distribuyendo el ransomware Alphv/BlackCat. En concreto, los operadores de este software malicioso estarían diseñando sitios web en los que suplantarían a la conocida aplicación de Windows de código abierto que se utiliza para la transferencia de archivos WinSCP. Consecuentemente, actores maliciosos están creando anuncios de publicidad maliciosos para remitir a sus víctimas a dichas páginas web con el objetivo de que descarguen el ejecutable que contiene Cobalt Strike. Posteriormente, dicha herramienta, junto con otras legitimas del sistema, tratarán de realizar tareas de reconocimiento de la red, enumeración, movimientos laterales y elusión de soluciones de seguridad antes de comenzar con la descarga del ransomware BlackCat, y por ende, del cifrado y filtración de archivos. Accede a la noticia completa en https://www.trendmicro.com/en_us/research
Los virus y el malware evolucionan continuamente y cada vez son más peligrosos. Para no correr riesgos innecesarios, te recomendamos que protejas tu empresa y evites ser víctima de un ciberataque.
Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.
¡Hasta pronto!
