Noticias de ciberseguridad 1e2t4r

 

A continuación, hemos seleccionado las noticias de seguridad a nivel mundial más relevantes.

 

Nueva táctica de phishing utilizando servicios de protección de URL 301a2v

 

Desde mayo de 2024, investigadores de Barracuda vienen observado una campaña de phishing que utiliza servicios legítimos de protección de URL para enmascarar enlaces maliciosos en correos electrónicos. Según los expertos, los atacantes aprovechan la reescritura de enlaces de estos servicios, que originalmente están diseñados para analizar y proteger contra amenazas, envolviendo sus propios enlaces maliciosos en un dominio genuino. Según los investigadores, los atacantes comprometen cuentas empresariales legítimas para generar estos enlaces reescritos y luego los incluyen en correos electrónicos de phishing, que pueden parecer recordatorios de restablecimiento de contraseña o documentos de DocuSign que llevan a sitios web maliciosos. Esta táctica convierte una medida antiphishing en una herramienta de phishing reduciendo la probabilidad de detección y filtrado automático, evadiendo soluciones de seguridad. Accede a la noticia completa en https://blog.barracuda.com/2024/07/15

 

 

BugSleep: malware utilizado por MuddyWater en ataques de phishing 3d3q1p

 

MuddyWater, un grupo de amenazas iraní vinculado al Ministerio de Inteligencia y Seguridad (MOIS), está llevando a cabo campañas de phishing utilizando cuentas de correo electrónico de organizaciones comprometidas. Recientemente, estas campañas han incluido el despliegue de un nuevo backdoor llamado BugSleep, un malware personalizado que se ha utilizado en los señuelos de phishing de MuddyWater desde mayo de 2024, reemplazando parcialmente el uso de herramientas legítimas de gestión remota (RMM). Las campañas de MuddyWater están dirigidas a sectores específicos como municipios, aerolíneas, agencias de viajes y medios de comunicación, y distribuyen malware a través de correos electrónicos disfrazados de invitaciones a seminarios web o cursos en línea. Accede a la noticia completa en https://research.checkpoint.com/2024/

 

 

Ataque skimmer utilizado para robar tarjetas de crédito 1w1w35

 

Investigadores de ciberseguridad de Sucuri han detectado un incidente en el que actores maliciosos explotaron un fichero de intercambio o swap en un sitio de comercio electrónico Magento, a fin de distribuir un skimmer de tarjetas de crédito. Así pues, se observó que el sitio web comprometido contenía un script malicioso oculto incrustado en el código fuente de la página, configurado para recopilar datos de tarjetas de crédito y habilitar un botón de pago, añadiendo enlaces personalizados. Tras acceder al botón de pago, el script capturaba los datos introducidos en el formulario de la tarjeta de crédito, además de información sensible como el nombre de la víctima, la dirección y otros datos requeridos para hacer uso de la tarjeta robada. En cuanto al origen de esta amenaza, los investigadores detectaron la presencia del archivo Magento “app/Bootstrap [.] php”, cuya versión oficial había sido reemplazada por una maliciosa, utilizando un fichero swap para mantener persistencia en el servidor comprometido, así como para evadir los métodos normales de detección. Accede a la noticia completa https://blog.sucuri.net/2024/07/

 

Detección de ficheros APK maliciosos 'BadPack' 24735v

 

Investigadores de Palo Alto Networks han detectado un conjunto de ficheros APK empaquetados maliciosamente denominado “BadPack”. Los archivos BadPack contienen, a menudo, información de cabecera alterada en un formato de archivo comprimido para archivos APK, dificultando su análisis y detección por parte de las herramientas de seguridad, y son utilizados por diversos troyanos bancarios basados en Android, entre los que se encuentran BianLian, Cerberus o TeaBot. Específicamente, Unit 42 detectó casi 9.200 muestras de BadPack en aplicaciones Android, incluso en Google Play, en el último año. En los archivos APK BadPack los atacantes han manipulado sus datos de cabecera ZIP de tal modo que se imposibilita la extracción y decodificación del fichero “AndroidManifest.xml”, haciendo que el fichero provoque una reacción en cadena de errores al realizar el análisis estático del mismo. Accede a la noticia completa en https://unit42.paloaltonetworks.com/

 

 

Detectada una campaña de malware atribuida a APT41 5z1z21

 

APT41 habría llevado a cabo una campaña de distribución de malware desde al menos 2023 dirigida a organizaciones europeas y asiáticas de los sectores tecnológico, entretenimiento, automovilístico y logística. De acuerdo con un informe publicado por Mandiant, el actor malicioso también denominado Wicked Panda, Winnti y Barium habría llevado a cabo infiltraciones prolongadas en el tiempo en múltiples entidades con el objetivo de sustraer información sensible. Para ello, APT41, amenaza atribuida al gobierno chino, desplegaba web shells Antsword y Bluebeam, que permitían la ejecución de Dustpan. Seguidamente, este último era empleado para desplegar a su vez el backdoor Beacon, empleado por los atacantes para establecer o con el C2. Accede a la noticia completa en  https://cloud.google.com/blog/

 

 

LukaLocker: ransomware distribuido por Volcano Demon 601l51

 

Investigadores de SonicWall han detectado una nueva cepa de ransomware denominada LukaLocker, la cual está siendo distribuida actualmente por el actor de amenazas conocido como Volcano Demon contra los sectores industrial y logístico. Concretamente, el malware se ha dirigido a la empresa de arrendamiento de camiones Idealease Inc. LukaLocker se presenta como un binario x64 escrito en C++ que utiliza la resolución dinámica y la ofuscación de API para evitar ser detectado, ocultando sus capacidades destructivas. Al ser ejecutado, muestra una lista de procesos que intenta finalizar tras la aparición de una ventana de símbolo del sistema. Su finalidad radica en la detección y neutralización de varios servicios de seguridad, monitorización y copias de seguridad en el sistema objetivo, incluyendo software antivirus tales como McAfee, Malware Bytes, Trend Micro y Sophos. Tras esto, el malware cifra los ficheros del sistema añadiendo la extensión “.NBA” a sus nombres, dejando una nota de rescate en el escritorio. Posteriormente, el grupo procede a extorsionar a la víctima para que realice el pago. Accede a la noticia completa en https://blog.sonicwall.com/en-us/2024/07

 

 

El ransomware HardBit 4.0 utiliza nuevas técnicas 6y6v1j

 

Cybereason ha analizado la versión 4.0 del ransomware HardBit, descubriendo varias mejoras importantes. Entre ellas, la nueva versión incluye protección con contraseña, que debe proporcionarse durante la ejecución para que el ransomware funcione correctamente. Asimismo, el malware ahora está disponible en versiones de interfaz de línea de comandos (CLI) y de interfaz gráfica de (GUI). Además, se entrega usando un conocido virus llamado Neshta. Por otro lado, el propio HardBit es un binario .NET, ofuscado por un empaquetador llamado Ryan-_-Borland_Protector Cracked v1.0, y es probable que sea una versión modificada del empaquetador .NET de código abierto ConfEx. Los investigadores afirman que estas mejoras hacen que HardBit 4.0 sea más versátil, así como más difícil de detectar y analizar. Accede a la noticia completa en https://www.cybereason.com/

 

 

Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.

 

¡Hasta pronto!