Noticias de ciberseguridad boletín nº333: malware, phishing y ransomware

Noticias de ciberseguridad boletín nº333: malware, phishing y ransomware

Ciberseguridad.png

 

A continuación, hemos seleccionado las noticias de seguridad a nivel mundial más relevantes

 

Campaña de skimming esconde malware en páginas 404

 

Los investigadores de Akamai Security Intelligence Group han detectado una nueva campaña de skimming de webs del actor amenaza Magecart, dirigida a tiendas web de Magento y WooCommerce de los sectores retail y alimentación. La infraestructura del ataque de esta campaña puede dividirse en tres partes, con el objetivo de dificultar su detección: loader, código malicioso de ataque y exfiltración de datos al servidor de comando y control. En el caso de esta campaña se han observado tres variantes, dos de las cuales son muy similares entre sí, y una tercera que ha llamado la atención de los investigadores por su capacidad de esconder el código malicioso por medio de las páginas de error 404 de las webs afectadas. Aunque el loader ha sido eliminado de algunas de las webs afectadas, el skimmer podría reactivar el ataque con facilidad, por lo que los investigadores destacan la importancia de la detección y mitigación de estos ataques. Accede a la noticia completa en https://www.akamai.com/blog/security

 

 

Backdoor en WordPress permite vulnerar sitios web

 

Los creadores de Wordfence descubrieron el pasado mes de julio, un nuevo malware que actúa como backdoor en sitios de WordPress. El malware se hace pasar por un complemento legítimo de almacenamiento en caché, lo que permite que sus atacantes obtengan una cuenta de administrador y obtengan control sobre el sitio web. Entre sus funciones se encuentra, la creación de usuarios, que permite crear una cuenta de administrador; la modificación de contenido; el control de complementos; la redirección de los usuarios a otros sitios maliciosos y la activación de forma remota de otros complementos arbitrarios y funciones maliciosas. Además, el complemento está configurado para ser excluido de la lista de complementos activos, de forma que pasa desapercibido en los análisis. Se recomienda utilizar credenciales complejas y únicas en las cuentas de administrador, mantener actualizados los complementos y eliminar usuarios y complementos no utilizados. Accede a la noticia completa en https://www.wordfence.com/blog/2023/

 

 

Campaña de DarkGate apuntando a Skype y Microsoft Teams

 

Investigadores de Trend Micro informaron acerca de una campaña en la que un actor amenaza está empleando cuentas comprometidas de Skype y Microsoft Teams para distribuir DarkGate, un malware asociado con diversas actividades, como robo de información, registro de teclas, minería de criptomonedas y ransomware. La campaña afecta principalmente a organizaciones en toda América, seguida de cerca por Asia, Medio Oriente y África, y habría iniciado en agosto de 2023. Además, el desarrollador de DarkGate empezó a anunciarlo en foros clandestinos ofreciéndolo como Malware-as-a-Service a actores de amenazas afiliados, lo que ha impulsado su actividad recientemente. Según la nota publicada por Trend Micro, el atacante se vale de Skype y Teams para distribuir el malware, tomando el control de cuentas comprometidas para enviar archivos maliciosos. Sin embargo, también se observó un método de entrega utilizando un archivo .LNK en un sitio de SharePoint. Cabe destacar que este vector entrada de la amenaza no es nada nuevo; siempre que se permita la mensajería externa o no se controle el abuso de relaciones de confianza a través de cuentas comprometidas, esta técnica de entrada inicial se podría realizar con cualquier aplicación de mensajería instantánea. Accede a la noticia completa en https://www.trendmicro.com/en_us/

 

 

Distribución del malware ShellBot, contra servidores Linux

 

El AhnLab Security Emergency Response Center (ASEC) ha descubierto un cambio en el método de distribución del malware ShellBot, el cual se está implantando en servidores SSH Linux mal administrados. Aunque el flujo de ataque es el mismo, los atacantes detrás del malware utilizan IPs transformadas en valores hexadecimales, con el objetivo de evadir firmas de detección basadas en URL. Cabe destacar que ShellBot, también conocido como PerlBot, vulnera servidores que tienen credenciales SSH débiles mediante ataques de diccionario, utilizando el malware para realizar ataques DDoS. Su continuo desarrollo se traduce en un amplio alcance contra sistemas Linux. Accede a la noticia completa en https://asec.ahnlab.com/en/57635/

 

 

Campaña de AgentTesla a través de archivos CHM y PDF

 

AgentTesla, una cepa de malware muy conocida actualiza su vector de entrada propagándose ahora mediante archivos CHM y PDF. Según una nota publicada por el equipo de investigación de Cyble, AgentTesla normalmente ingresa a los sistemas de sus víctimas a través de correos electrónicos que incluyen archivos adjuntos con extensiones como .doc, .xls y .ppt. los cuales suelen contener macros que, cuando se ejecutan, facilitan la instalación del malware. Sin embargo, recientemente fueron identificadas campañas en las que ahora se propaga mediante archivos CHM y PDF. En el primer caso, la infección comienza con un correo no deseado que contiene un archivo CHM que, tras su ejecución, utiliza un script de PowerShell con codificación binaria para iniciar la infección. Dicho script también elimina un archivo DLL del cargador .NET e inyecta el software malicioso en ejecutables del sistema. Por otro lado, se observó en una campaña distinta que se están empleando archivos PDF que activan un comando de PowerShell para ejecutar el malware, o que además muestran un mensaje falso que conlleva a la descarga de un archivo PPAM, lo que resulta en la infección de AgentTesla. Accede a la noticia completa en https://cyble.com/blog/agenttesla-spreads.

 

 

Los virus y el malware evolucionan continuamente y cada vez son más peligrosos. Para no correr riesgos innecesarios, te recomendamos que protejas tu empresa y evites ser víctima de un ciberataque.

 

Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.

 

¡Hasta pronto



Consulta las opciones disponibles para tu empresa: Fusión Digital, Fibra óptica, Movistar Prosegur Alarmas, y Soluciones digitales

Gestiona los productos y servicios contratados en el área privada de Mi Gestión Digital.

Etiquetas (3)
Mensaje 1 de 1
891 Visitas
0 RESPUESTAS 0