7 maneras en que los hackers están explotando el pánico del coronavirus

 

Es posible que ya hayas leído sobre varias campañas que advierten cómo los ciberdelincuentes están aprovechando la pandemia del coronavirus. Aprovechan la pandemia para intentar infectar tus computadoras y dispositivos móviles con malware o estafarte con tu dinero. 

Desafortunadamente, hasta cierto punto, está funcionando, y eso se debe a que la superficie de ataque está cambiando. Está expandiéndose rápidamente, ya que muchas organizaciones y tareas comerciales se están volviendo digitales sin mucha preparación, exponiéndose a más amenazas potenciales. 

La mayoría de los ataques cibernéticos recientes están explotando principalmente los temores en torno al brote de COVID-19, impulsado por la desinformación. Asimismo, las noticias falsas, para distribuir malware a través de aplicaciones de Google Play, enlaces maliciosos, archivos adjuntos, y ejecutar ataques de ransomware. 

Aquí, echaremos un vistazo a algunas de la amplia gama de amenazas invisibles que crecen en el espacio digital. Amenazas impulsadas por señuelos con temática de coronavirus que los ciberdelincuentes están utilizando para espionaje y ganancias comerciales. 

Todo esto se suma a una larga lista de ataques cibernéticos contra hospitales y centros de pruebas. También a las campañas de phishing que apuntan a beneficiarse del problema de salud global. 

Amenazas digitales con temática de coronavirus 

“Todos los países del mundo han visto al menos un ataque temático COVID-19”, dijo Rob Lefferts, vicepresidente corporativo de Seguridad de Microsoft 365. Sin embargo, estos ataques representan menos del 2% de todos los ataques analizados por Microsoft a diario. 

“Nuestros datos muestran que estas amenazas temáticas de COVID-19 son recauchutados de ataques existentes. Estos se han modificado ligeramente para vincularse a esta pandemia”, agregó Lefferts. “Esto significa que estamos viendo un cambio de señuelos, no un aumento en los ataques”. 

1 – Malware móvil 

Check Point Research descubrió al menos 16 aplicaciones móviles diferentes, que afirmaban ofrecer información relacionada con el brote, pero en su lugar contenían malware. Entre estas incluido adware (Hiddad) y troyanos bancarios (Cerberus), que robaban la información personal de los usuarios o generaban ingresos fraudulentos. 

“Los actores de amenazas expertos están explotando las preocupaciones de las personas sobre el coronavirus para propagar el malware móvil. Por ejemplo, los troyanos de acceso remoto móvil (MRAT), los troyanos bancarios etc.  Esto a través de aplicaciones que afirman ofrecer información y ayuda relacionada con el coronavirus para los usuarios”, según un informe de Check Point Research. 

Las 16 aplicaciones en cuestión fueron descubiertas en dominios relacionados con coronavirus recién creados, que han visto un gran aumento en las últimas semanas. 

2 – Phishing por correo electrónico 

En un informe publicado por la firma de seguridad cibernética Group-IB afirma haber descubierto ataques de phishing por correo electrónico relacionados con COVID-19. Estos ataques incluyeron AgentTesla (45%), NetWire (30%) y LokiBot (8%) incrustado como archivos adjuntos, lo que permite al atacante robar datos personales y financieros. 

Los correos electrónicos, enviados entre febrero y abril de 2020, se hicieron pasar por avisos de salud de la Organización Mundial de la Salud. También se hicieron pasar por UNICEF y otras agencias y compañías internacionales como Maersk, Pekos Valves y CISCO. 

3 – Malware con descuento 

Group-IB también encontró más de 500 publicaciones en foros clandestinos donde ofrecían códigos promocionales en DDoS, spam y otros servicios de malware relacionados al coronavirus. 

Esto es consistente con los hallazgos anteriores de Check Point Research. Los ciberdelincuentes promocionan sus herramientas de explotación en la dark web con ‘COVID19’ o ‘coronavirus’ como códigos de descuento. 

 

4 – Phishing SMS 

Diferentes agencias de seguridad han emitidos avisos sobre estas amenazas. La primera fue la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA). Posteriormente fue el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido. 

Estas agencias alertaron en conjunto sobre mensajes SMS falsos de remitentes como “COVID” y “UKGOV” que contienen un enlace a sitios de phishing. 

“Además de los SMS, los posibles canales incluyen WhatsApp y otros servicios de mensajería”, advirtió CISA. 

5 – Estafas de desinfectante para manos y mascarillas 

Europol recientemente arrestó a un hombre de Singapur de 39 años por supuestamente intentar lavar dinero. Lo hizo a través de una estafa de correo electrónico comercial (BEC). El sujeto se hizo pasar por una compañía legítima que anunciaba la entrega rápida de máscaras quirúrgicas FFP2 y desinfectantes para manos. 

Una compañía farmacéutica no identificada, con sede en Europa, fue defraudada por €6.64 millones después de que los artículos nunca fueron entregados. Europol había incautado previamente 13 millones de euros en drogas potencialmente peligrosas como parte de una operación de tráfico de medicamentos falsificados. 

6 – Software malicioso 

Las personas trabajan cada vez más desde plataformas de comunicación domésticas y en línea, como Zoom y Microsoft Teams. Estas herramientas se vuelven cruciales, por ello los ciberdelincuentes envían correos electrónicos de phishing que incluyen archivos maliciosos. Los atacantes usan nombres como ” zoom-us-zoom_##########.exe” y “microsoft-teams_V#mu#D_##########.exe” en un intento por engañar a las personas para que descarguen malware en sus dispositivos. 

 

7 – Ataques de ransomware 

La Organización Internacional de Policía Criminal (Interpol) advirtió a los países miembros que los ciberdelincuentes están intentando atacar a los principales hospitales. Asimismo, otras instituciones en la primera línea de la lucha contra COVID-19 con ransomware. 

“Los ciberdelincuentes están usando ransomware para mantener a los hospitales y servicios médicos como rehenes digitales, evitando que accedan a archivos y sistemas vitales hasta que se pague un rescate”, afirmó la Interpol. 

Protégete de las amenazas de coronavirus en línea 

“Los ciber actores maliciosos están ajustando continuamente sus tácticas para aprovechar nuevas situaciones, y la pandemia COVID-19 no es una excepción”, afirmó CISA. 

“Los ciberdelincuente maliciosos están utilizando el gran apetito por la información relacionada con COVID-19 como una oportunidad para enviar malware y ransomware. Asimismo, para robar credenciales de usuario. Las personas y las organizaciones deben permanecer vigilantes”. 

El NCSC ha ofrecido orientación sobre qué tener en cuenta al abrir correos electrónicos con temática de coronavirus. También al abrir mensajes de texto que contienen enlaces a sitios web falsos. 

En general, debes evitar hacer clic en enlaces en correos electrónicos no solicitados y desconfiar de los archivos adjuntos de correo electrónico. Tampoco hagas públicas las reuniones y asegúrate de que estén protegidas por contraseñas para evitar el secuestro de videoconferencias. 

Puedes acceder a una lista actualizada de sitios web maliciosos y direcciones de correo electrónico aquí. Para obtener más consejos sobre cómo protegerte de las amenazas relacionadas con COVID-19, puedes leer el aviso de CISA aquí.

Autor: Germán Ezequiel Taboadela

 

Actualización de Firefox para mitigar su reciente zero-day

empresa ciberseguridad

Durante el pasado martes la empresa desarrolladora de Firefox ha emitido un comunicado relacionado a una nueva vulnerabilidad crítica. Si bien hasta el momento no se ha publicado una prueba de concepto que explique detalles de la misma, podría ser cuestión de tiempo hasta que esto ocurra.

Mozilla, que tampoco compartió muchos detalles acerca de la falla, declaró que es una vulnerabilidad que puede ocurrir al manipular objetos de JavaScript debido a problemas en la instrucción Array.pop, lo cual puede desencadenar ejecución de código. Adicionalmente, se expresó tranquilidad a los clientes de Firefox para Android, iOS y Amazon Fire TV, ya que no se ven afectados por la falla.

¿PRÓXIMOS PASOS?

La vulnerabilidad ha sido parcheada en Firefox 67.0.3 y Firefox ESR 60.7.1 para Windows, macOS y Linux. Desde Yappó Security recomendamos avanzar con la actualización a fin de prevenir futuros incidentes.

Vulnerabilidad crítica en RDP afecta a sistemas operativos Windows

En los últimos días se ha detectado una vulnerabilidad de carácter crítico en varias versiones del sistema operativo Windows.

Identificada como CVE-2019-0708, y más conocida como BlueKeep, esta vulnerabilidad permitiría ejecutar código remoto sin necesidad de autenticarse explotando una falla en los servicios de Escritorio Remoto (RDP).

Las versiones de Windows afectadas por esta vulnerabilidad son las siguientes:

• Windows 7
• Windows Server 2008 R2
• Windows Server 2008
• Windows XP
• Windows Server 2003

Por su parte, Microsoft lanzó parches para corregir este problema en su última actualización de mayo de 2019. Es altamente importante avanzar con esta actualización.

Adicionalmente, recomendamos validar que sus servicios de Escritorio Remoto (RDP) no se encuentren expuesto libremente a internet. Esto es posible lograrlo bloqueando el puerto TCP 3389 en sus dispositivos de red perimetrales.

Brecha de seguridad en Citrix expone 6 TB de datos confidenciales

Durante el mes de Marzo, el FBI ha confirmado que los sistemas de Citrix han sido vulnerados por ataques de origen Iraní, siendo expuestos más de 6 Terabytes de información de diferentes clientes.

Citrix Systems, comúnmente llamada Citrix, es una compañía multinacional que se encarga de ofrecer servicios relacionados con la virtualización de servidores, almacenamiento en la nube y conexiones de red creada en el año 1989 a quien presta servicio a más de 230.000 compañías en todo el mundo.

Según informan desde la compañía, se han tomado medidas para contener este incidente y cooperar con la investigación llevada a cabo por el FBI.

Desde la agencia, se menciona que no existen evidencias de ataque, por lo que se presume que utilizaron un tipo de ataque conocido como Password Spraying, que consiste en la utilización de un ataque contrario a lo que se conoce como fuerza bruta, accediendo a un gran número de cuentas (nombres de usuario) con contraseñas de uso común (los ataques tradicionales de fuerza bruta intentan obtener acceso no autorizado a una sola cuenta adivinando la contraseña). Una vez que lograron un punto de apoyo con acceso limitado, trabajaron para vulnerar capas adicionales de seguridad.

Entre los clientes de Citrix se encuentran reconocidas empresas como Walmart, Apple, Amazon y Deutsche Bank. Según números descriptos en la plataforma Shodan, existen cerca de 3100 máquinas de servicios virtuales ubicadas en diferentes países, encontrándose en el segundo puesto España con 161 y detrás de los Estados Unidos con 1403.

Recordamos que siempre pueden hacer uso de la plataforma desarrollada por Troy Hunt, Have I Been Pwned (https://haveibeenpwned.com), para verificar si sus cuentas han sido vulneradas en el último tiempo.

Empleado de Redbanc víctima de ingeniería social en LinkedIn

Redbanc es una empresa de Chile que presta servicios de procesamiento de transacciones a los principales bancos de ese país, cumpliendo un rol sumamente importante en el sector económico.

Durante los últimos meses, se ha revelado que un trabajador del sector informático de la compañía fue víctima de un ataque de ingeniería social al recibir una propuesta laboral a través de la red social LinkedIn.

Esta información llegó a las manos del senador Felipe Harbour quien le ha reclamado un comunicado oficial a la empresa mediante Twitter.

“Me informan que a fines de diciembre @redbanc sufrió ataque informático a su red de interconexión bancaria. Sería bueno que la empresa transparentara magnitud, riesgos y medidas de control de tal ataque.” – Felipe Harboe (@felipeharboe) 8 de enero de 2019

Los atacantes simularon ser reclutadores que buscaban talentos para desempeñarse como desarrolladores. Una vez que la víctima se puso en contacto con ellos, pactaron una video-llamada vía Skype. Durante la reunión, los atacantes le enviaron un archivo denominado ‘ApplicationPDF.exe’ el cual la victima debía completar para finalizar la postulación. Esto último término ocurriendo, dentro de la red corporativa.

De no ser por los sistemas de seguridad implementados por la compañía, los atacantes hubieran podido acceder a la red interna y perjudicar a la entidad de múltiples maneras. Robo de información de clientes (PII), robo de información de tarjetas de crédito (PCI), denegación de servicio, deterioro de la imagen corporativa, pudieron ser algunas consecuencias si este ataque se realizaba con éxito.

 

¿Cómo es posible que los propios empleados de IT caigan en esta trampa?

Los cibercriminales utilizando una forma de ingeniería social conocida como phishing, que en este caso involucra un engaño por medio de acciones en redes sociales los cuales son difíciles de detectar para cualquier persona. Este tipo de ataques no requieren de grandes conocimientos técnicos (no se lleva a cabo un penetration test, al menos en la primera etapa).

Por más de que el empleado se desempeñe en el área de IT, tiene las mismas necesidades y debilidades que cualquier persona (aspiraciones, actuar con confianza, etc.). Se requiere de un clima de concientización en seguridad a nivel corporativo para disminuir la probabilidad de ocurrencia ante esta amenaza.

Vulnerabilidad en plugin de WordPress permite control de sitio web

Se ha detectado una falla en un plugin de WordPress a la hora de incrustar botones para redes sociales, ocasionando ataques a diversos sitios web.

Los plugins son bloques de código que se utilizan como herramientas dentro de la plataforma de WordPress para ampliar su funcionamiento y capacidad, tal como los famosos complementos en navegadores como Chrome.

Recientemente, se relevó una vulnerabilidad en un plugin que permite agregar botones que funcionan como redireccionadores a redes sociales.

El nombre del plugin es “Simple Social Media Share Buttons” (by WpBrigade). La falla de seguridad fue encontrada por WebArx, viéndose afectadas las versiones desde la 2.0.4 hasta la 2.0.21. Posee más de 40.000 instalaciones de manera activa por lo que los propietarios de estos sitios web deberán actualizar este plugin a la versión 2.0.22, la cual ya se encuentra disponible.

Exponen más de 772 millones de cuentas de correo.

Recientemente, se ha publicado en internet una extensa colección de direcciones de correo y contraseñas denominada como Collection #1. Su nombre hace referencia a los más de 87GB de información que posee, con un total de 2,692,818,238 filas.

Esta colección es una recopilación de todas las credenciales que han sido reveladas en los últimos tiempos a causa de brechas de seguridad que los atacantes han logrado explotar en varias plataformas web (Adobe, LinkedIn, Dropbox y un centenar de sitios más).

El especialista en ciberseguridad Troy Hunt, quien dirige de hace tiempo el sitio Have I Been Pwned (https://haveibeenpwned.com), ha logrado descargar esta colección durante el breve tiempo que estuvo alojada en MEGA. Troy, luego de una exhaustiva depuración, logró añadir estos datos en su sitio a fin de que cualquier persona tenga la posibilidad de consultar si su dirección de correo electrónico se encuentra en este listado.

¿Cómo funciona?

Simplemente se debe ingresar la cuenta de correo a consultar.

El sitio también te brinda la posibilidad de conocer cuáles fueron las plataformas que han sido vulneradas y mediante la cual ha sido posible extraer la información de tu cuenta.

Recomendaciones:

  • Cambie la contraseña de todas las plataformas que usted considere importante.
  • No utilice contraseñas similares a las anteriores ni siga algún tipo patrón (por ejemplo, si su contraseña es Password190, no utilice Password191).
  • Utilice doble factor de autenticación cada vez que sea posible.

Vulnerabilidades detectadas en Adobe Reader y Acrobat permiten ejecución de código

En noticias y circunstancias acontecidas en los últimos días, agencias de seguridad informáticas, así como también el CCN-CERT, estableció nuevas alertas específicamente para los programas de Adobe Acrobat y Adobe Reader. Estas vulnerabilidades han sido categorizadas con severidad Crítica ya que se puede obtener control del sistema mediante escalamiento de privilegios a través de la inyección de código arbitrario, sin restricción en algunos sistemas operativos.

La primera vulnerabilidad que se destaca, publicada mediante el CVE-2018-16011, tiene la característica de ser tipo use after free, el cual autoriza el funcionamiento de código arbitrario en sistemas como Mac o Windows, en la sesiones de usuario que estén presentes.

La segunda vulnerabilidad (publicada bajo el CVE-2018-19725) es del tipo security bypass deja que el código atacante obtenga los privilegios de manera escalable, de acuerdo a la ruptura de sus barreras de seguridad.  

Los ataques se emplean por medio de la apertura de archivos PDF, en una versión vulnerable del sistema. Esto provoca un error en el sistema anfitrión, originando puertas de entrada para aplicar comandos e inyección de malware  de manera remota.

Los analistas de Adobe han categorizado esta vulnerabilidad como categoría prioritaria de nivel 2, nivel correspondiente a severidad crítica y, por lo tanto, deben ser solventadas lo más rápido posible ya que existe un alto nivel de riesgo además de que pueden ser explotadas con rapidez.

Las versiones afectadas son Acrobat and Reader DC 2015 version 2015.006.30461 y anteriores, 2017 version 2017.011.30110 y anteriores, versión Continuous 2019.010.20064 y anteriores, tanto para Mac como para Windows.

Organizaciones como CCN-CERT recomienda hacer la descarga rápidamente de actualizaciones que han sido publicadas por Adobe recientemente.Una forma de actualizar es la de abrir las aplicaciones e ir hasta la pestaña de Ayuda y buscar la opción de comprobar las actualizaciones. Otra opción es la de activar las actualizaciones automáticas de Adobe durante la instalación de cualquiera de sus productos.

Cajeros automáticos vulnerables por ataque Fast Cash

Las Agencias Estadounidenses, el US-CERT (Equipo de Preparación para Emergencias Informáticas), el  DHS (Departamento de Seguridad Nacional) y el FBI, han emitido una alerta, mencionando que piratas informáticos han comprometido la seguridad de las aplicaciones en diferentes servidores bancarios.

La alerta ha sido denominada como: TA18-275A, Hidden Cobra-Campaña FastCash. Esta alerta es el resultado específicamente de investigaciones analíticas del DHS, la Tesoreria y la Oficina Federal de Investigaciones del FBI, trabajando de manera conjunta con socios del gobierno.

Los ciberdelincuentes, que han sido llamados como los Hidden Cobra supuestamente apoyados por el gobierno de Corea del Norte, han roto la seguridad de los servicios de pago y las transacciones en los medios electrónicos de los bancos.

Se estima que sus principales objetivos son los continentes asiáticos y africanos según los expertos del US-CERT.

Se presume que a finales del año 2016, los piratas del Hidden Cobra han utilizado técnicas de FASTCash para establecerse en las entidades bancarias de Asia y África. El gobierno de EE.UU menciona que aún no han confirmado ninguna falla o incidente relacionada con FASTCash, que afecte a las instituciones dentro de ese país.

Según mencionan varios socios del gobierno, los actores del grupo Hidden Cobra han perpetrado decenas de millones de dólares sustrayendo el efectivo simultáneamente de cajeros automatizados en más de 31 países a nivel mundial.

¿En qué consiste el ataque ?

Este grupo de cibercriminales ponen su atención en los sistemas de las entidades financieras para permitir retiros de dinero en cajeros automáticos en las zonas fronterizas de los países.

Se presume que los ataques han sido iniciados desde ordenadores de empleados, a través de la apertura de correos electrónicos bajo el concepto conocido como phishing

Los analistas del US-CERT establecieron un conjunto de medidas para tratar de mitigar y reducir el incidente relacionado con diversos sistemas de pagos a minoristas de las instituciones:

  • Aislar la Infraestructura del sistema de pago.
  • Separar lógicamente los entornos operativos.
  • Establecer métodos de cifrados en tránsito.
  • Monitoreo.

 

 

Vulnerabilidad 0-Day reparada por paquetes actualizables de Microsoft

A través de la normal y mensual actualización, Microsoft ha reparado diversas vulnerabilidades zero-day, que han sido de explotación activa recientemente.

Microsoft afirmó que ha establecido un parcheo rutinario en el mes de Diciembre, el cual ha solventado un numeró de 39 vulnerabilidades en aplicaciones de su sistema .

De acuerdo a anuncios establecidos por Avira y Kapersky, mencionan la existencia de una falla que había sido utilizadas por diversos piratas informáticos. Esta falla involucra la elevación de privilegios como administrador en el sistema operativo por una vulnerabilidad ocurrente en el sistema del Kernel.

Los mismos,  mencionan que los ataques pueden ser de la siguientes características:

Web Drive by-download (Infección por página de internet): consiste en la distribución de bloques de código ocultos a través de los navegadores más populares. Los paquetes más utilizados son : Mpack, Adpack, Elfiesta, Neón o Zeus.

Asimismo, varios estos paquetes permiten detectar una vulnerabilidad específica dependiendo del navegador en cuestión, usando scripts de ejecución en segundo plano.

RCE (ejecución remota de código): infecciones a través de correo o mensajería instantánea.

lPE (elevación de privilegios): se escalan privilegios en usuarios locales mediante introducción de código en el modo kernel, permitiendo pasar sobre los privilegios estándares, también es conocido como escape de restricciones de usuario.

El programa en cuestión posee el nombre de ntoskml.exe, permitiendo la ejecución con libertad de código. Está falla ha sido listada como CVE-2018-8611, cuyo funcionamiento es basado en la falta de ordenamiento en determinadas operaciones en el kernel permitiendo evadir reglas preestablecidas para el funcionamiento de los procesos.

Especialistas mencionan que afecta los sistemas desde Windows 7 hasta Windows Server 2019.

Los programas o aplicaciones más vulnerables en los que se ejecutan estos ataques son la paquetería antigua de Microsoft Office, ya que por ejemplo los los ataques son inyectados a través de malware asociados a los documentos Word con extensión .docx, los cuales son enviados a usuarios víctima como supuestos documentos de trabajo o entes empresariales o gubernamentales.

Microsoft asegura que el bloque de actualizaciones cubrirá principales aplicaciones (como Office, Internet Explorer, entre otras) hasta la presente fecha.