Noticias de ciberseguridad boletín nº350: malware, phishing y ransomware

Noticias de ciberseguridad boletín nº350: malware, phishing y ransomware

Ciberseguridad.png

 

Noticias de ciberseguridad

 

A continuación, hemos seleccionado las noticias de seguridad a nivel mundial más relevantes.

 

Detectada campaña de Anatsa que apunta a Europa

 

El troyano bancario Anatsa ha afectado a usuarios de Europa, infectando dispositivos Android a través de aplicaciones maliciosas en Google Play, en una nueva campaña observada desde noviembre de 2023. En los últimos cuatro meses, investigadores de ThreatFabric observaron cinco oleadas distintas de esta campaña en las que se distribuyó el malware en el Reino Unido, Alemania, España, Eslovaquia, Eslovenia y la República Checa, con al menos 150.000 infecciones. Anatsa, también conocido como TeaBot y Toddler, se distribuye a través de droppers que se hacen pasar por aplicaciones aparentemente inofensivas en Google Play Store, explotando con éxito el servicio de accesibilidad, y eludiendo la configuración restringida de Android 13. El troyano puede obtener control total sobre los dispositivos infectados y robar credenciales para realizar transacciones fraudulentas. Además, aprovecha una técnica llamada control de versiones para ocultar su comportamiento malicioso. Asimismo, utiliza un enfoque de varias etapas para evitar la detección, descargando configuraciones y cargas útiles desde un servidor C2. Accede a la noticia completa en https://www.threatfabric.com/

 

 

 

Detectadas campañas de malware bancario a través de Google Cloud Run

 

Recientemente se observaron varias campañas de malware bancario que aprovechan Google Cloud Run, servicio que permite a los administradores crear e implementar aplicaciones y servicios web adicionales en Google Cloud. Según se indica, los investigadores observaron un aumento en el volumen de correos electrónicos maliciosos que aprovechan el mencionado servicio para infectar a posibles víctimas con los troyanos bancarios Astaroth, también conocido como Guildma, Mekotio y Ousaban. Los correos electrónicos de phishing, en su mayoría en español, simulan ser de agencias tributarias locales y contienen enlaces maliciosos que llevan a servicios web de Cloud Run. Seguidamente, el troyano se instala a través de un instalador malicioso de Microsoft desde estos servicios, con técnicas de encubrimiento para evitar la detección, como redireccionamiento de dominios y verificación de proxy. Además, se detectó que la variante Astaroth apunta a más de 300 instituciones en 15 países latinoamericanos, con la mayoría de los mensajes provenientes de Brasil. Accede a la noticia completa en https://blog.talosintelligence.com/google

 

 

Campaña de Rhadamanthys Stealer que apunta contra el sector oil & gas

 

Recientemente el equipo de Cofense Intelligence detectó una campaña contra la industria del petróleo y el gas en la que se está utilizando el malware Rhadamanthys Stealer. La campaña emplea como vector de entrada correos electrónicos de phishing, que contienen enlaces incrustados en informes de incidentes vehiculares. Dichos enlaces llevan a un PDF interactivo alojado en un dominio de reciente creación. Además, el PDF contiene un enlace que descarga un archivo ZIP que instala el malware, y una vez ejecutado, este se conecta a un servidor de comando y control para robar información. Rhadamanthys Stealer, es un software malicioso versátil escrito en C++, observado por primera vez en agosto de 2022 y que se ofrece como Malware-as-a-Service (MaaS). Tiene la capacidad de robar información de dispositivos, documentos y aplicaciones. Asimismo, puede modificar datos del portapapeles, recuperar cookies eliminadas, obtener credenciales y billeteras de criptomonedas. Cofense no aporta más detalles acerca de esta campaña, pero advierte que el malware empleado fue recientemente actualizado a la versión 5.0, y ofrece a los actores amenaza una experiencia más personalizable y capacidades adicionales para evadir la seguridad y explotar vulnerabilidades. Accede a la noticia completa en https://cofense.com/blog/new-maas-infostealer-

 

 

Servicio de AWS utilizado para campañas de smishing

 

Investigadores de seguridad de SentinelOne han descubierto un script python malicioso al que han apodado como SNS Sender, el cual se anuncia como una forma para que los actores amenaza envíen mensajes masivos de smishing aprovechando el Servicio de Notificación Simple (SNS) de AWS. Estos mensajes están diseñados para propagar enlaces maliciosos que capturan información de identificación personal y detalles de tarjetas de créditos. SNS Sender es también la primera herramienta observada en la naturaleza que aprovecha AWS para llevar a cabo ataques de spam mediante mensajes SMS. Accede a la noticia completa en https://www.sentinelone.com/

 

 

Detectado malware para criptojacking que apunta a servidores Redis en Linux

 

Recientemente fue detectada una nueva campaña de malware dirigida a servidores Redis en Linux, con el objetivo de extraer criptomonedas. El investigador de Cado Security Labs, Matt Muir, informó acerca de que este ataque de criptojacking es posible gracias a un software malicioso denominado Migo, un binario Golang ELF que cuenta con técnicas de ofuscación durante su compilación y la habilidad de mantener persistencia para eludir la detección en sistemas Linux. Durante el proceso de infección, después de debilitar las defensas de seguridad, los actores amenaza detrás de esta campaña configuran claves Redis para facilitar la explotación futura. Además, utilizan una técnica de recuperación de carga maliciosa a través de Transfer.sh, incrustada en un archivo Pastebin. Asimismo, además de incorporar mecanismos para resistir la ingeniería inversa, Migo actúa como dropper de un instalador XMRig alojado en GitHub, deshabilita SELinux, oculta procesos y artefactos en el disco, y también realiza acciones benignas para confundir análisis dinámicos. Accede a la noticia completa en https://www.cadosecurity.com/

 

 

Detectada campaña masiva de fraude publicitario

 

Recientemente se detectó una campaña de fraude publicitario denominada "SubdoMailing" que emplea más de 8.000 dominios y 13.000 subdominios legítimos para enviar hasta cinco millones de correos electrónicos fraudulentos diarios, utilizando marcas reconocidas para eludir filtros de spam y aprovechar políticas de correo electrónico seguras. Investigadores de Guardio Labs descubrieron que la campaña lleva activa desde finales de 2022 e identificaron el uso de tácticas como el secuestro de subdominios y la manipulación de registros SPF y DKIM. La campaña fue atribuida al actor amenaza llamado "ResurrecAds" y opera a través de una vasta red de dominios y servidores SMTP, con más de 22.000 IP únicas utilizadas. Además, marcas como MSN, VMware y eBay están entre las víctimas involuntarias, dando legitimidad a los correos fraudulentos que redirigen a los usuarios a través de múltiples enlaces, generando ingresos para los actores maliciosos mediante anuncios falsos y estafas de afiliados. Accede a la noticia completa en https://labs.guard.io/subdomailing

 

 

Los virus y el malware evolucionan continuamente y cada vez son más peligrosos. Para no correr riesgos innecesarios, te recomendamos que protejas tu empresa y evites ser víctima de un ciberataque.

 

Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.

 

¡Hasta pronto



Consulta las opciones disponibles para tu empresa: Fusión Digital, Fibra óptica, Movistar Prosegur Alarmas, y Soluciones digitales

Gestiona los productos y servicios contratados en el área privada de Mi Gestión Digital.

Etiquetas (4)
Mensaje 1 de 1
381 Visitas
0 RESPUESTAS 0