Noticias de ciberseguridad
A continuación, hemos seleccionado las noticias de seguridad a nivel mundial más relevantes.
Campaña de phishing contra usuarios de American Express
Una nueva campaña de phishing dirigida a los usuarios de tarjetas de crédito American Express ha sido descubierta recientemente por los investigadores de Avast Threat Labs. En concreto, los ataques de esta campaña comienzan con un email de phishing en el que el atacante se hace pasar por American Express e insta a las víctimas a configurar su clave de seguridad personal, lo que se presenta como una medida de protección anti-phishing. Al acceder al link del email, las víctimas son redirigidas a páginas fraudulentas cuyo objetivo es la obtención de datos personales e información financiera, incluyendo números de la seguridad social y los datos completos de la tarjeta American Express. Asimismo, la sofisticación del ataque destaca debido a la similitud del email y la página fraudulenta con las comunicaciones legítimas de American Express, lo que dificulta su detección. Accede a la noticia completa en https://twitter.com/AvastThreatLabs/status/.
Apple Pay no ha sido suspendido en tu dispositivo
Se ha detectado una campaña de suplantación a Apple, en concreto al servicio de Apple Pay, en la cual se utiliza la técnica de ingeniería social conocida como phishing.
Esta campaña tiene el objetivo de enviar correos electrónicos creando un estado de alerta a las personas que reciben dicho correo electrónico, haciéndoles creer que no pueden realizar pagos con el servicio de Apple Pay desde su dispositivo debido a que está suspendido. Para acceder a la URL del correo deben introducir sus datos personales y bancarios. Accede a la noticia completa en https://www.incibe.es/
Actores maliciosos comprometen routers Ubiquiti EdgeRouter
Actores maliciosos emplean nodos de VPN y capas de anonimización de proxy para evitar ser detectados al llevar a cabo ataques. Según un informe de Trend Micro, cientos de routers Ubiquiti EdgeRouter han sido comprometidos y son parte de una botnet que estaba siendo empleada por actores de amenazas, entre ellos la APT Pawn Storm, también denominada APT28 o Forest Blizzard. En concreto, estos routers comprometidos estaban siendo empleados para diferentes usos, incluyendo ataques de fuerza bruta SSH y envío de correos electrónicos de spear phishing. Aunque esta botnet parece llevar activa desde al menos 2016, en enero de 2024 fue finalmente desmantelada por el FBI. Sin embargo, APT Pawn Storm no era la única que hacía un presunto uso de esta botnet, ya que según los investigadores se detectaron indicadores de la presencia de otros grupos cibercriminales como Canadian Pharmacy gang, caracterizado por llevar a cabo spam farmacéutico. Accede a la noticia completa en https://www.trendmicro.com/en_us/
Actor malicioso Muddling Meerkat manipula DNS
El equipo de investigadores de Infoblox ha publicado una investigación sobre el actor malicioso denominado Muddling Meerkat, destaca por conocimientos avanzados en DNS. Entre sus características, Muddling Meerkat pone de manifiesto que manipula las consultas y respuestas de DNS, por ejemplo, desde Infoblox señalan que han observado que entre sus actividades pueden provocar respuestas de registros MX falsas por parte del China's Great Firewall (GFW) para alterar el enrutamiento y potencialmente desviar los correos electrónicos. Cabe indicar que, según los expertos, el propósito de la actividad de Muddleling Meerkat podría ser mapear redes y evaluar su seguridad DNS para planificar ataques futuros. Accede a la noticia completa en https://insights.infoblox.com/
Análisis de los ransomware KageNoHitobito y DoNex
Los investigadores de Fortinet han publicado un análisis detallado de los ransomware KageNoHitobito y DoNex, ambos relativamente recientes al haber sido detectados por primera vez en marzo de 2024. KageNoHitobito cifra únicamente los archivos locales del sistema comprometido, evitando aquellos que tengan las extensiones .dat, .dll, .exe, .ini, .log, y .sys, añadiendo como extensión .hitobito a los archivos cifrados. Aunque se desconoce el método de acceso inicial del malware, los investigadores destacan que este puede haber sido distribuido en plataformas de compartición de archivos haciéndose pasar por software o game cheats debido a diversidad de países afectados. Asimismo, KageNoHitobito no parece disponer de un dominio .onion específico para exponer a sus víctimas, pero el actor usa la plataforma de chat AbleOnion para comunicarse con las entidades afectadas. Accede a la noticia completa https://www.fortinet.com/blog/
DarkGate elude Defender Smartscreen
Recientemente, McAfee Labs ha descubierto una nueva cadena de infección asociada al malware DarkGate. Este proceso se inicia con un punto de entrada en HTML y avanza para aprovechar la utilidad AutoHotkey en etapas posteriores. DarkGate, un Troyano de Acceso Remoto, posee diversas funcionalidades, incluyendo la inyección de procesos, la descarga y ejecución de archivos, el robo de datos, la ejecución de comandos de shell y capacidades de keylogging, entre otras. Además, DarkGate incorpora numerosas tácticas de evasión para eludir la detección, con las cuales logró eludir el sistema Microsoft Defender SmartScreen, lo que llevó a Microsoft a lanzar un parche para abordar esta vulnerabilidad. McAfee Labs ha identificado dos vectores iniciales diferentes que transportan el mismo shellcode y carga útil de DarkGate. Accede a la noticia completa en https://www.mcafee.com/blogs/other-blogs/
Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.
¡Hasta pronto!
