A continuación, hemos seleccionado las noticias de seguridad a nivel mundial más relevantes
Malware, phishing y ransomware
APT Daggerfly: amenaza contra empresas de telecomunicaciones
Investigadores de Symantec han publicado un informe sobre una APT con, supuestamente, origen chino llamada Daggerfly (también conocida como Bronze Highland o Evasive Panda) que está llevando una campaña de ataques con el malware MgMbot contra empresas de telecomunicaciones en África. Daggerfly se sirve también de PlugX y hace uso malicioso de la herramienta legítima AnyDesk. Accede a la noticia completa en https://symantec-enterprise-blogs.security.com/
DevOpt: nueva puerta trasera multifuncional
El equipo de investigadores de Zscaler ha identificado una nueva puerta trasera que ofrece varias funcionalidades, como exfiltrar información o funcionar como keylogger, y a la que han denominado DevOpt. Según los investigadores, este nuevo software malicioso utiliza Free Pascal y señalan que es una herramienta peligrosa al contener la funcionalidad de robo de información confidencial y archivos del equipo de la víctima. Asimismo, desde Zscaler han identificado dos cepas diferentes en las que la diferencia es que una de ellas posee una interfaz gráfica, así como las diferentes formas de conexión con su Command & Control (C2). Además de la ya característica multifuncionalidad de DevOpt, los investigadores destacan que aún se encuentra en fase de desarrollo continuando con el desarrollo de más funciones y mejorando sus técnicas de evasión para dificultar la detección por parte de las soluciones de seguridad. Accede a la noticia completa en https://www.zscaler.com/blogs/security-research/
Información corporativa expuesta en routers usados
Investigadores de ESET han realiza una publicación alertando de los riesgos del desmantelamiento incorrecto o incompleto de estructura tecnológica corporativa. En concreto, hacen referencia a un caso real en el que, al adquirir routers usados para crear un entorno de test, comprobaron que las configuraciones anteriores no habían sido eliminadas, y que la información contenida en los dispositivos podía ser utilizada para identificar a los propietarios anteriores, además de ofrecer detalles sobre su configuración de red. De los 18 routers adquiridos, el 56% aún contenían este tipo de información. Adicionalmente, los investigadores han publicado un White Paper con la información extraída de forma anonimizada, detallando el tipo de datos obtenidos, así como ofreciendo una guía de mejores prácticas para evitar que suceda. Accede a la noticia completa en https://www.welivesecurity.com/
Campañas maliciosas distribuyendo EvilExtractor
El equipo de investigadores de Fortinet ha publicado los resultados de una investigación en la que señalan el incremento en el número de campañas de malspam distribuyendo el malware EvilExtractor. Cabe indicar que este software malicioso ha sido creado por la compañía Kodex, quien dice que se trata de una herramienta educativa. Sin embargo, los investigadores puntualizan que actores maliciosos lo utilizan activamente en campañas maliciosas de phishing para su distribución y que se comercializa principalmente en foros underground. En relación a la victimología, la mayoría de estas se encontrarían geolocalizadas en Europa y EE.UU. La característica más destacada de EvilExtractor es que cuenta con siete módulos de ataque, los cuales le proporcionan capacidad de exfiltración de credenciales, funciones de keylogger, grabación de webcam, distribución de ransomware, entre otras. Accede a la noticia completa en https://www.fortinet.com/blog/
RustBucket: Nuevo malware contra usuarios macOS
Investigadores de Jamf Threat Labs han descubierto una nueva familia de malware dirigida contra usuarios de macOS en ataques recientes que es capaz de obtener cargas útiles adicionales de su servidor de comando y control (C&C). Dicho malware, denominado RustBucket, se ha atribuido al actor de amenazas persistentes avanzadas (APT) asociado a Corea del Norte BlueNoroff, que se cree que es un subgrupo del del conocido Grupo Lazarus. RustBucket se ejecuta en tres etapas. En la primera utilizan dominios fraudulentos y técnicas de ingeniería social, además de una aplicación sin firmar llamada Internal PDF Viewer.app que está diseñada para obtener y ejecutar la carga útil de etapa dos en el sistema. La segunda etapa consiste en una aplicación firmada que se hace pasar por un identificador de paquete legítimo de Apple. Accede a la noticia completa en https://www.jamf.com/blog/bluenoroff
Lobhhot, un infostealer que también funciona como troyano bancario
Elastic Security Lab ha descubierto un nuevo tipo de malware al que han bautizado como LobShot y del que destaca su módulo hVNC (Hidden Virtual Network Computing), que permite el acceso directo a la máquina infectada sin ser detectado por los sistemas de seguridad. Los investigadores apuntan que entre las capacidades de Lobshot está la de robar información de los navegadores web, en especial la de las extensiones relacionadas con monederos digitales, y la de proveer al actor de amenaza de capacidades de troyano bancario. Elastic Security Lab afirma que Lobshot está siendo distribuido a través de una campaña de malvertising en Google en la que se está suplantando software legítimo con copias maliciosas. Accede a la noticia completa https://www.elastic.co/es/security.
Los virus y el malware evolucionan continuamente y cada vez son más peligrosos. Para no correr riesgos innecesarios, te recomendamos que protejas tu empresa y evites ser víctima de un ciberataque.
Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.
¡Hasta pronto!
