ESET, compañía líder en detección proactiva de amenazas, explica los pasos a seguir para recuperar las cuentas de Gmail robadas.

Ciudad de México – El servicio de correo de Google, Gmail, es uno de los más utilizados a nivel global y es por eso que los cibercriminales buscan a través de diversos caminos robar las credenciales de acceso a las cuentas para luego cometer otros fraudes, ya sea acceder a otros servicios de la víctima, espiar el correo en busca de información, realizar estafas en su nombre o directamente comercializar las credenciales en foros de la dark web. ESET, compañía líder en detección proactiva de amenazas, explica que las formas más comunes que utilizan para robar estas credenciales son los correos de phishing y el malware, por eso acerca recomendaciones de seguridad para reducir las posibilidades ser víctima de este tipo de robos.

 

En el caso de recibir un correo alertando sobre un inicio de sesión que no se haya realizado, es importante empezar a actualizar las cuentas; siempre y cuando la persona detrás del ataque no haya cambiado la contraseña.

Los pasos que indica ESET para recuperar una cuenta robada:

 

Acceder a la opción de “Recuperación de cuenta”. Luego de ingresar la dirección de correo, se deberá colocar la contraseña:

En el caso de que Google no acepte la contraseña ingresada es importante tener configurada la autenticación en dos pasos (2FA), ya que de esta manera la persona podrá reestablecer la contraseña al verificar mediante un código que es enviado al teléfono del titular de la cuenta.

 

Una vez recuperado el acceso, es recomendable revisar la actividad reciente de la cuenta. Para ello se debe ingresar a la parte myaccount de Google:

 

Pie de imagen – Control de inicio de sesión en dispositivos.

 

En el caso de observar que hay un nuevo dispositivo conectado que no es de su propiedad, es importante ir a la opción de “No, no fui yo” y así seguir con las demás instrucciones. Además, se debe revisar todas las actividades recientes, de esta manera comprobar si hubo algún cambio de contraseña en otros servicios que se utilice.

 

Por otro lado, si se guardaron contraseñas en Google esto podría ser un problema, ya que, si se han almacenado en el gestor de contraseñas de Google las credenciales para acceder a sitios como Amazon, Facebook o Instagram, por ejemplo, también serán accesibles para los atacantes.

 

“En estos casos recomiendan eliminar las contraseñas almacenadas en el navegador y cambiar cada una de las contraseñas por cada servicio o aplicación almacenado de forma que no se repitan. Asimismo, de haber almacenado datos de tarjetas de crédito vinculadas a una cuenta de Google es recomendable realizar un seguimiento de los movimientos de las tarjetas. Si se sospecha que alguien pudo tener acceso a esta información, es aconsejable solicitar una nueva tarjeta para evitar riesgos. En el caso de que se persista con algunos problemas en la recuperación de la cuenta, Google tiene un centro de Pregunta a la comunidad.”, comenta Sol González, Investigadora de Seguridad Informática de ESET Latinoamérica.

 

¿Qué pasa si modificaron la contraseña de la cuenta de Gmail?

Si efectivamente no se puede recuperar la cuenta de Gmail ya que la contraseña ha sido vulnerada y modificada; es muy probable que además el cibercriminal haya modificado los otros medios de recuperación. Sin embargo, existe una posibilidad de recuperar la cuenta: si en el dispositivo móvil aún se tiene configurada la cuenta de Gmail como cuenta principal. De ser así, ingresando al centro de recuperación, se indica cuál es la cuenta de Gmail a recuperar y se selecciona “Siguiente”. También se ingresa la última contraseña que se recuerde haber ingresado. Luego, a pesar de ingresar una contraseña que no sea correcta (ya que el cibercriminal la modificó) se brinda la opción de verificarlo a través del dispositivo configurado como segundo factor de autenticación.

 

Pie de imagen. Verificación a través del teléfono móvil

 

En el caso de que tampoco se tenga el dispositivo celular a mano para realizar la comprobación, como último hito de comprobación enviará un correo de recuperación a la cuenta de Gmail que hemos dejado configurada cuando se creó la cuenta. A los segundos llegará un mail a la bandeja de entrada para la recuperación de la cuenta.

 

Pie de imagen. Se envía un correo electrónico de recuperación y luego se recibe un código de verificación

 

Las recomendaciones de ESET para de evitar el robo de una cuenta de Gmail son:

• Mantener siempre activa la autenticación en dos pasos (2FA): esta capa de seguridad adicional evitará que dependas únicamente de la contraseña como mecanismo de protección para acceder a una de las cuentas.
• Configurar las opciones de recuperación de cuenta: puede ser a través de otra dirección de correo o incluso hasta con un número de teléfono.
• No almacenar contraseñas en el navegador: en su lugar utilizar un administrador de contraseñas aparte, como Keepass.
• Comprobar regularmente que las últimas actualizaciones de seguridad disponibles fueron instaladas.
• Utilizar contraseñas fuertes y únicas para cada uno de los servicios y sitios online.
• Eliminar todas las aplicaciones o extensión del navegador que no se utilicen.
• Monitorear todas las cuentas para detectar actividades sospechosas, especialmente las cuentas bancarias.
• Instalar un producto antimalware/antivirus en cada uno de los dispositivos.

¿Robaron tu cuenta de Gmail? ESET explica cómo recuperarla

• Cibercriminales Gmail Google Malware Phishing
• At 10/25/2022 12:11:00 a.m.
• Leave a Comment

Read More

 El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, analizó una serie de backdoors personalizados y herramientas de ciberespionaje no documentadas desplegadas en Israel por el grupo de APT POLONIUM.

Ciudad de México – Investigadores de ESET, compañía líder en detección proactiva de amenazas, revelan sus hallazgos sobre un grupo de APT (amenaza persistente avanzada) sobre el cual hay poca información pública disponible y se desconoce cuál es el vector de compromiso inicial que utiliza. POLONIUM es un grupo de ciberespionaje que fue documentado por primera vez en junio de 2022 por MSTIC y de acuerdo a su evaluación, es un grupo con sede en Líbano que coordina sus actividades con otros actores afiliados al Ministerio de Inteligencia y Seguridad de Irán (MOIS).

 

Según la telemetría de ESET, POLONIUM ha sido utilizado en ataques dirigidos a más de una docena de organizaciones en Israel desde al menos septiembre de 2021, y la actividad más reciente del grupo se registró en septiembre de 2022. Los sectores a los que apuntó este grupo incluyen ingeniería, tecnología de la información, derecho, comunicaciones, marketing y gestión de marca, medios de comunicación, seguros y servicios sociales. Los hallazgos, que fueron presentados a fines de septiembre en la conferencia Virus Bulletin 2022, incluyen las tácticas utilizadas por este grupo, así como detalles sobre una serie de backdoors que no habían sido documentados anteriormente.

 

Puntos destacados:

 

• Enfocado únicamente en objetivos israelíes, POLONIUM atacó a más de una docena de organizaciones en varios mercados verticales, como ingeniería, tecnología de la información, legal, comunicaciones, marketing, medios, seguros y servicios sociales.
• Según los datos de la telemetría de ESET, el grupo ha utilizado al menos siete backdoors personalizados diferentes desde septiembre de 2021 a esta parte y al momento sigue en actividad.
• El grupo desarrolló herramientas personalizadas para tomar capturas de pantalla, registrar pulsaciones de teclado, espiar a través de la cámara web, abrir shells inversas, exfiltrar archivos y más.
• Para la comunicación a través de un servidor de comando y control (C&C), POLONIUM abusa de servicios comunes en la nube como Dropbox, OneDrive y Mega.

 

Las numerosas versiones y cambios que POLONIUM introdujo en sus herramientas personalizadas muestran un esfuerzo continuo y de largo plazo del grupo para espiar a sus objetivos. Si bien desde ESET no se ha observado qué comandos ejecutaron los operadores en las máquinas comprometidas, se puede inferir de su conjunto de herramientas que están interesados ​​en recopilar datos confidenciales de los sistemas de sus víctimas. El grupo no parece participar en acciones de sabotaje o ransomware.

 

 

El conjunto de herramientas de POLONIUM está compuesto por siete backdoors personalizadas, que son: CreepyDrive, que abusa de los servicios en la nube de OneDrive y Dropbox para C&C; CreepySnail, que ejecuta comandos recibidos desde la propia infraestructura de los atacantes; DeepCreep y MegaCreep, que utilizan los servicios de almacenamiento de archivos de Dropbox y Mega, respectivamente; y FlipCreep, TechnoCreep y PapaCreep, que reciben comandos de los servidores del atacante. El grupo también ha utilizado varios módulos personalizados para espiar a sus objetivos.

 

“Si bien no se identificó cómo el grupo obtuvo acceso inicial a los sistemas de las víctimas, algunas de las credenciales para la cuenta VPN de Fortinet de las víctimas fueron filtradas en septiembre de 2021 y luego publicadas en línea. Por lo tanto, es posible que los atacantes obtuvieran acceso a las redes internas de las víctimas abusando de las credenciales de VPN filtradas. POLONIUM es un grupo en actividad que constantemente introduce modificaciones a las herramientas personalizadas que utiliza y que hemos observado más de 10 módulos maliciosos diferentes desde que comenzamos a monitorear la actividad del grupo. La mayoría de estos módulos han sido actualizados a lo largo del tiempo y muchos de ellos cuentan con varias versiones o con cambios menores para una versión determinada. Además, mencionamos que los reportes públicos y de inteligencia sobre POLONIUM son escasos y limitados, probablemente porque los ataques que realiza el grupo son muy dirigidos y porque el vector de acceso inicial no se conoce. Igualmente, el equipo de ESET Research continuará monitoreando la actividad del grupo y documentando sus ataques”, comenta Matías Porolli, Investigador de Malware de ESET.

 

Algunas de las características más interesantes según ESET del conjunto de herramientas que utiliza este grupo son:

 

• Abundancia de herramientas: se observaron siete backdoors personalizados diferentes utilizados por el grupo desde septiembre de 2021, y también otros módulos maliciosos utilizados para registrar pulsaciones de teclado, tomar capturas de pantalla, ejecutar comandos de manera remota en el equipo víctima, tomar fotos a través de la cámara web o exfiltrar archivos.
• Herramientas personalizadas: en varios ataques llevados adelante por este grupo en un corto período de tiempo, se detectó que el mismo componente contenía cambios menores. En algunos otros casos se observó un módulo, escrito desde cero, que seguía la misma lógica que algunos componentes anteriores. Solo en unos pocos casos se observó al grupo usar herramientas o códigos disponibles de forma pública. Todo esto nos indica que POLONIUM crea y mantiene sus propias herramientas.
• Servicios en la nube: el grupo abusa de servicios en la nube como Dropbox, OneDrive y Mega para las comunicaciones de C&C (recibir comandos y exfiltrar datos).
• Componentes más pequeños: la mayoría de los módulos maliciosos del grupo son pequeños, con una funcionalidad limitada. En un caso, los atacantes usaron un módulo para tomar capturas de pantalla y otro para subirlas al servidor de C&C. Siguiendo el mismo criterio, al grupo le gusta dividir el código en sus backdoors, distribuyendo la funcionalidad maliciosa en varias DLL pequeñas, tal vez esperando que los defensores o investigadores no observen la cadena de ataque completa.

Para conocer los detalles técnicos de los módulos maliciosos CreepyDrive, CreepySnail, DeepCreep, MegaCreep, FlipCreep, TechnoCreep, PapaCreep utilizados por POLONIUM, así como información sobre otros módulos la infraestructura de red y los Indicadores de Compromiso, por favor acceda a: POLONIUM targets Israel with Creepy malware.

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/10/11/grupo-ciberespionaje-polonium-ataques-organizaciones-israel-malware/

 

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a:

https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

Grupo de ciberespionaje ataca a organizaciones de Israel con malware personalizado

• Ciberespionaje Israel Malware Organizaciones
• At 10/11/2022 11:54:00 p.m.
• Leave a Comment

Read More

ESET Latinoamérica, compañía líder en detección proactiva de amenazas, advierte sobre una aplicación maliciosa que se distribuye a través de un sitio falso que se hace pasar por el oficial de Coinbase e intenta robar las credenciales de las billeteras.

 

Aplicación maliciosa luego de ingresar la frase semilla o “seed phrase”

Ciudad de México – No es una novedad que los cibercriminales están interesados en el robo de criptomonedas y que en muchos casos utilizan malware para robar credenciales de billeteras de criptomonedas. Recientemente ESET, compañía líder en detección proactiva de amenazas, alertó sobre una campaña que apuntaba a usuarios de Android e iOS con aplicaciones troyanizadas de una gran cantidad apps de billeteras legítimas. En esta oportunidad, la compañía advierte sobre una aplicación maliciosa que apunta a usuarios de Coinbase, la misma llega por un sitio falso e intenta robar las credenciales de las billeteras.

 

A principios de agosto se reportó una página web que se hacía pasar por el sitio oficial de Coinbase, una plataforma de comercio de criptomonedas muy popular en la actualidad. Si bien la URL del sitio, que ya fue dado de baja, no contaba con certificado HTTPS, el diseño era una copia casi perfecta del oficial. Sin embargo, era una copia fiel de la versión anterior del sitio de Coinbase y contaba con varios enlaces que redirigían al sitio legítimo, a excepción de la aplicación a descargar.

En cambio, en el sitio oficial la opción de descargar la app de billetera redirige al usuario a la Play Store de Google:

“Esta aplicación es una versión troyanizada de la billetera de Coinbase y está contenida en un paquete que utiliza el mismo nombre que la app oficial, que es “org.toshi”. Al analizar observamos que la funcionalidad de la app maliciosa está ofuscada con funciones de “Virbox”. Una vez desofuscado observamos que esta actividad principal realiza una verificación de la arquitectura del dispositivo para determinar que variante descarga de la funcionalidad maliciosa.”, comenta Sol González, investigadora de Seguridad Informática de ESET Latinoamérica.

 

Al realizar el análisis dinámico sobre la app, el equipo de ESET observó que la aplicación funciona de la misma manera que la aplicación oficial de Coinbase. Sin embargo, la aplicación maliciosa brinda la opción al usuario de iniciar sesión ingresando la frase semilla de la billetera. Luego de ingresar la frase semilla solicita crear un nombre de usuario junto con una clave numérica. Al tener acceso a la frase semilla un atacante puede acceder a la billetera y redirigir todos los fondos de la persona víctima a su propia billetera.

La frase semilla o seed phrase es, dependiendo de la app de billetera seleccionada, un conjunto de entre 12 y 24 palabras. Su principal objetivo de proporcionar un control extra de seguridad amigable para los y las usuario/as, ya que en caso de necesitar instalar la billetera en otro dispositivo solo se necesita recordar la frase semilla. Sin embargo, como suele suceder en el terreno digital, esto tiene un riesgo: que alguien robe esta frase semilla.

 

“Cada vez más se observan campañas de phishing diseñadas para distribuir aplicaciones y extensiones para el navegador maliciosas que buscan robar esta información. Principalmente campañas que incluyen enlaces a sitios falsos que se hacen pasar por varis de estos servicios de billeteras de criptomonedas con el objetivo de robar la frase semilla o clave de recuperación.”, agrega González de ESET Latinoamérica.

 

Para evitar ser víctima de los atacantes, desde ESET Latinoamérica comparten algunos consejos para tener en cuenta:

• No instalar aplicaciones de sitios no oficiales.
• Instalar un solución de seguridad antimalware en el dispositivo.
• Prestar atención a las URL. Verificar que se trata del sitio oficial y no una imitación.
• No compartir la frase semilla, ya que existen grandes posibilidades que se filtre y que alguien robe los activos.
• Tener cuidado con las oportunidades de inversión que prometen alta rentabilidad.

 

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/09/12/falsa-app-de-coinbase-busca-robar-frase-semilla-de-billeteras/

 

 

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a:

https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

 

Falsa app de Coinbase busca robar frase semilla de billeteras

• Amenazas Aplicación maliciosa Falsa app de Coinbase Malware
• At 9/15/2022 10:49:00 p.m.
• Leave a Comment

Read More

 ESET Latinoamérica, compañía líder en detección proactiva de amenazas, advierte que el interés y la demanda que genera en varios países el popular álbum de figuritas del Mundial es también la excusa para realizar engaños.

Ciudad de México – ESET, compañía líder en detección proactiva de amenazas, alerta que esta semana se registraron distintos fraudes en torno al álbum de figuritas del Mundial de Catar 2022 de Panini. Como suele suceder en los meses previos a la Copa del Mundo, en varios países el tema es furor y niños e incluso adultos se lanzan a la compra de figuritas para intentar completarlo. Pero como suele suceder con aquellos temas que atraen el interés masivo, los ciberdelincuentes aprovechan la situación para intentar engañar a las personas.

En Brasil se registró una campaña que circula en WhatsApp que intenta hacer creer que Panini está ofreciendo la oportunidad de ganar el álbum y 400 figuritas. Sin embargo, se trata de un engaño que busca hacer que la víctima descargue una app de Google Play de dudosa reputación para escanear códigos QR.

 

Desde ESET destacan que si bien Google Play cuenta con mecanismos de seguridad, es una plataforma que suele ser utilizada para distribuir malware para Android, ya que los cibercriminales muchas veces logran pasarlos por alto y ocultan malware detrás de todo tipo de aplicaciones. Recientemente se detallaron la cantidad de apps que fueron eliminadas de Google Play por distribuir el malware Joker ocultando la amenaza a través de aplicaciones como lectores de códigos QR, herramientas para escanear PDF o editores de foto, por poner un ejemplo.

 

En Argentina, la Unidad Fiscal Especializada en Cibercrimen (UFECI) advirtió sobre el crecimiento de las estafas en redes sociales, grupos de WhatsApp y plataformas como MercadoLibre o Marketplace que prometen figuritas y el álbum del próximo Mundial. “Los estafadores aprovechan la escasez y la alta demanda y ofrecen a través de estos canales el álbum y un paquete con muchas figuritas. Al momento de pagar solicitan enviar el dinero a través de una transferencia. Sin embargo, una vez que realizan el envío del dinero los delincuentes dejan de contestar y el álbum y las figuritas nunca llegan.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

 

Una de las recomendaciones que comparten desde ESET para evitar ser víctima de este tipo de fraude es comprar en puntos habilitados para comercializar las figuritas y el álbum, y en caso de comprar a través de MercadoLibre, no salir de la plataforma para continuar la conversación en WhatsApp o por teléfono.

 

Además, Gutiérrez Amaya de ESET, aconseja: “La principal recomendación es aprender a desconfiar. No hacer clic en cualquier enlace que recibimos ni completar con nuestra información personal cualquier formulario que nos llega. Lo segundo es habilitar la autenticación en dos pasos en WhatsApp, y en lo posible utilizando una app de autenticación y no el SMS. De esta manera evitamos el secuestro de cuentas”.

 

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/08/31/estafas-figuritas-album-mundial-catar/

Estafas alrededor de las figuritas del álbum del Mundial de Catar

• Ciberdelincuentes Google Play Malware Plataformas
• At 9/02/2022 01:04:00 a.m.
• Leave a Comment

Read More