Noticias de ciberseguridad
A continuación, hemos seleccionado las noticias de seguridad a nivel mundial más relevantes.
La DGT no está enviando SMS para notificar multas pendientes de pago
Se ha detectado una campaña de mensajes de texto fraudulentos que intentan suplantar a la Dirección General de Tráfico (DGT). En dichos mensajes, se notifica al receptor sobre una supuesta infracción de tráfico y se le solicita que se resuelva a la mayor brevedad mediante un enlace proporcionado. Al pulsar sobre dicha URL, el usuario es redireccionado a un sitio web donde se le extraerán sus datos personales y bancarios.
Si has recibido un SMS con las características descritas, te recomendamos eliminar el mensaje de tu bandeja de entrada. Accede a la noticia completa en https://www.incibe.es/
Campaña de distribución de BadSpace a través de sitios web legítimos
Investigadores de G Data han descubierto una campaña de distribución del malware de tipo puerta trasera BadSpace a través de sitios web legítimos comprometidos previamente. Cuando el usuario visita la página, esta crea una URL superpuesta maliciosa que insta al usuario a descargar una actualización falsa de Google Chrome que instala la carga útil en el sistema de la víctima. La investigación ha revelado que los servidores C2 usados son los mismos que los del conocido malware SocGholish, también llamado FakeUpdates. BadSpace, además de emplear comprobaciones anti-sandbox y configurar la persistencia mediante tareas programadas, es capaz de recopilar información del sistema, tomar capturas de pantalla y leer, escribir o eliminar archivos. Accede a la noticia completa en https://www.gdatasoftware.com/blog/
Rafel RAT evoluciona hacia el ransomware exigiendo pagos a sus víctimas
Una investigación de Check Point Research identificó que Rafel RAT, malware diseñado para Android, ha evolucionado de ser una herramienta de espionaje a ser utilizada en operaciones de ransomware. Originalmente, este RAT se empleaba para robar información confidencial mediante campañas de espionaje dirigidas a entidades gubernamentales y organizaciones de alto perfil. Recientemente, su uso se ha diversificado hacia el ransomware, exigiendo pagos a las víctimas para descifrar sus archivos. Rafel RAT ha sido utilizado en alrededor de 120 operaciones maliciosas, se propaga a través de campañas de phishing y aplicaciones móviles fraudulentas, utilizando técnicas de evasión avanzadas para eludir las medidas de seguridad y establecer persistencia. Además, Rafel RAT puede solicitar permisos sensibles y realizar varias acciones maliciosas, como el robo de contactos y mensajes 2FA, así como la ejecución de ransomware para cifrar archivos o bloquear dispositivos. Accede a la noticia completa en https://research.checkpoint.com/2024/
ONNX: servicio de Phishing as a Service utilizado en campañas contra sector financiero
El equipo de investigadores de EclecticIQ ha publicado una investigación sobre una campaña de phishing dirigida contra instituciones financieras, la cual fue impulsada por la plataforma de Phishing as a Service llamada ONNX Store. Según los expertos, dicho servicio apunta contra cuentas de correo electrónico de Microsoft y Office 365 y se opera a través de bots de Telegram, además, presenta mecanismos de omisión de autenticación de doble factor. En referencia a la campaña, cabe indicar que actores maliciosos habrían utilizado el servicio ONNX para su empleo mediante el cual lograron remitir correos electrónicos de phishing suplantando departamentos de RRHH con archivos adjuntos en PDF que contenían códigos QR maliciosos que remitían a sus víctimas a sitios fraudulentos. Accede a la noticia completa en https://blog.eclecticiq.com/onnx-store-targeting
Nueva campaña de distribución de Hijack Loader y Vidar Stealer
Los actores de amenazas estarían llevando a cabo una nueva campaña de distribución de Hijack Loader y Vidar Stealer engañando a los usuarios con falsas versiones de software legítimo. De acuerdo con lo publicado por Trellix, los atacantes habrían ocultado el malware en archivos que se harían pasar por instaladores de Cisco Webex Meetings App de tal manera que, al ejecutar el binario Setup.exe, la aplicación instalaba Hijack Loader, también conocido como DOILoader o IDAT Loader. El objetivo de este malware sería desplegar un segundo software malicioso en el dispositivo comprometido, concretamente Vidar Stealer, que presenta la capacidad de sustraer credenciales de navegadores, entre otra información sensible. Asimismo, los investigadores destacan que el malware podía escalar sus privilegios mediante la explotación de la interfaz GMSTPLUA COM y sobrepasar el User Account Control (UAC), añadiéndose posteriormente a sí mismo a la lista de exclusión de Windows Defender con el objetivo de evitar ser detectado. Accede a la noticia completa en https://www.trellix.com/blogs/research
Campaña distribuyendo malware a través de falsos mensajes de error
El equipo de investigadores de Proofpoint ha publicado una investigación en la que explican una campaña maliciosa de distribución de malware mediante el engaño de mensajes de error falsos de Google Chrome, Word y OneDrive. Según los expertos, detrás de estas operaciones estarían aquellos actores detrás de ClearFake, un nuevo grupo llamado ClickFix, y el actor de amenaza TA571. En cuanto a la metodología de ataque, dependiendo del actor que la realiza dispone de unas técnicas diferentes, dándose el caso de que hay cadenas de ataque que consisten en la superposición de mensajes en un sitio web comprometido que carga un script malicioso y otra mediante la remisión de correos electrónicos que utilizan archivos adjuntos HTML que se asemejan a documentos de Microsoft Word e instan a las víctimas a instalar una extensión para su visionado. Accede a la noticia completa en https://www.proofpoint.com/us/blog/
Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.
¡Hasta pronto!
