ESET, compañía de seguridad informática, identificó una nueva campaña de phishing que afectó a empresas y entidades gubernamentales en Ecuador, México, Argentina, Chile, Perú y Brasil.

 

Ciudad de México – El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, descubrió una campaña masiva de phishing activa desde al menos abril de 2023, destinada a recolectar credenciales de cuenta de usuarios de Zimbra Collaboration. La campaña se está difundiendo masivamente y sus objetivos son una variedad de pequeñas y medianas empresas, como también entidades gubernamentales.

 

Zimbra Collaboration es una plataforma colaborativa de software, open-core, y una alternativa muy popular para administrar correos electrónicos empresariales.

Inicialmente, el objetivo recibe un email con una página de phishing en un archivo HTML adjunto. El email advierte al usuario sobre una actualización del servidor de email, desactivación de la cuenta, o un asunto similar, y le ordena hacer clic en el archivo adjunto. El atacante también falsifica el campo De: del correo electrónico para que parezca procedente del administrador del servidor de email.

Luego de abrir el archivo adjunto, al usuario le aparece una página falsa de inicio de sesión a Zimbra personalizada de acuerdo a la organización de pertenencia. El archivo HTML se abre en el navegador de la víctima, que puede ser inducida a pensar que está siendo redirigida a una página legítima, a pesar de que la URL dirige a una ruta local. Se destaca que el campo “Username” se rellena automáticamente en el formulario de inicio, lo que lo hace parecer más legítimo aún.

En segundo plano, las credenciales enviadas se recopilan desde el formulario HTML y se envían mediante una petición HTTPS POST al servidor que controla el atacante.

 

“Curiosamente, en varias ocasiones, desde ESET se observaron oleadas posteriores de emails de phishing enviadas desde cuentas de Zimbra que habían sido atacadas previamente, de compañías legítimas, como donotreply[redacted]@[redacted].com. Es probable que los atacantes tengan la capacidad de comprometer el administrador de cuentas de la víctima y de crear nuevos buzones de correo que usarían para enviar emails de phishing a otros objetivos. Una explicación es que el atacante se vale del reciclado de contraseñas que pueda hacer el administrador atacado – por ej. que utilice las mismas credenciales para el email y para la administración. Con la información disponible, no estamos en condiciones de confirmar esta hipótesis”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

 

Según ESET, a pesar de que la campaña no es sofisticada, técnicamente hablando, es capaz de difundirse y comprometer a las organizaciones que usan Zimbra Collaboration, lo que la hace atractiva para los atacantes. “El hecho de que los adjuntos HTML contengas código legítimo, y el único elemento revelador sea un elemento que conecta con un host malicioso, es lo que los atacantes aprovechan. De esta forma, es más fácil eludir las políticas antispam, en comparación a las técnicas de phishing en las que el link está directamente en el cuerpo el correo electrónico. La popularidad de Zimbra entre las organizaciones de las que se espera que tengan menor presupuesto en IT, asegura que siga siendo un objetivo atractivo para los cibercriminales”, concluye Gutiérrez Amaya, de ESET Latinoamérica.

 

De acuerdo a la telemetría de ESET, el mayor número de afectados se localizan en Polonia, seguida por Ecuador e Italia. En Latinoamérica, además, apuntó a objetivos en México, Argentina, Chile, Perú y Brasil.

Las organizaciones atacadas varían, no se focaliza en ninguna vertical específica; la única conexión entre las víctimas es que utilizan Zimbra. A la fecha, no se ha atribuido esta campaña a ningún actor de amenazas conocido.

Campaña masiva de phishing ataca en América Latina

• Pequeñas y medianas empresas Phishing Seguridad informática
• At 8/19/2023 10:45:00 p.m.
• Leave a Comment

Read More

ESET, compañía de seguridad informática, detectó una campaña activa de anuncios que llevan a un sitio falso donde supuestamente se ofrece la versión paga actualizada del chatbot de OpenAI.

Ciudad de México – Así como el chatbot de OpenAI sigue sumando adeptos, también es usada por los cibercriminales para engañar con aplicaciones, sitios, o extensiones falsas que solo buscan robar información sensible para cometer estafas. El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, detectó una nueva campaña de un sitio de phishing que está activa a la espera de usuarios que busquen la última versión de Chat GPT.

 

Chat GPT, lanzado en noviembre de 2022, es una herramienta en la que un robot basado en un modelo de inteligencia artificial permite al usuario chatear, casi como si se tratara de un humano, y configurar las respuestas que obtenga para que se ajusten a lo que se busca -en extensión, temática, tono discursivo, etc-.

 

“Ya habíamos detectado desde ESET el uso de falsos sitios de ChatGPT, y extensiones maliciosas para navegadores, e incluso aplicaciones que distribuyen troyanos para el robo de información bancaria. La forma de engaño es siempre la misma: simular ser un sitio real y hacer que los usuarios caigan en la trampa, aprovechando la popularidad creciente del chatbot”, menciona Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación ESET Latinoamérica.

 

En este caso, ESET detectó que en una búsqueda general de Google “Chat GPT 4”, o “Chat GPT for Android”, uno de los primeros resultados que pueden aparecer, y dar impresión de ser original, lleva a una url falsa: chatgptui.com que, hasta el momento de enviar esta información, sigue activa. 

 

 

Si se ingresa al link falso, el usuario desprevenido encontrará una web bastante bien construida que usa el logo correcto, aunque es muy distinta a la original. También utiliza logos de empresas que usan el servicio real para darle un matiz de veracidad a la página falsa.

 

 

Al hacer clic en “get started”, se observa que el sitio solicita datos de registro que no son validados: no es necesario que llegue un mail de confirmación y validación, algo necesario en la mayoría de los servicios legítimos.

 

 

En este caso, no es del interés del grupo cibercriminal la dirección de correo electrónico. El interés llega en el momento que se cree estar realizando la subscripción a la versión paga del CHAT GPT con los datos de la tarjeta de crédito y el pago por el servicio falso.

 

 

Para evitar caer en la trampa desde ESET comparten los siguientes consejos:

• Tener mucho cuidado al instalar una extensión, una app o al suscribirse  a un sitio web.
• Verificar siempre la URL a la que lleva un anuncio, mail, mensaje de Whatsapp. Ante la duda, tipear la dirección para asegurarse no caer en un sitio falso.
• Nunca ingresar los datos de la tarjeta de crédito o información bancaria sin asegurarse que el sitio cuente con las medidas de seguridad correctas. También se debe verificar que no tenga sellos falsos de “sitio confiable”.
• Mantener los equipos y dispositivos actualizados y utilizar software antimalware de confianza.
• Si se sospecha haber instalado software malicioso, desconectarse de internet y buscar ayuda de algún experto en informática.

Anuncios falsos de Chat GPT 4 en Google roban información bancaria

• Anuncios falsos Chat GPT 4 Google roban información bancaria Phishing
• At 7/28/2023 12:03:00 a.m.
• Leave a Comment

Read More

 ESET, compañía líder en detección proactiva de amenazas, explica los pasos a seguir para recuperar las cuentas de Gmail robadas.

Ciudad de México – El servicio de correo de Google, Gmail, es uno de los más utilizados a nivel global y es por eso que los cibercriminales buscan a través de diversos caminos robar las credenciales de acceso a las cuentas para luego cometer otros fraudes, ya sea acceder a otros servicios de la víctima, espiar el correo en busca de información, realizar estafas en su nombre o directamente comercializar las credenciales en foros de la dark web. ESET, compañía líder en detección proactiva de amenazas, explica que las formas más comunes que utilizan para robar estas credenciales son los correos de phishing y el malware, por eso acerca recomendaciones de seguridad para reducir las posibilidades ser víctima de este tipo de robos.

 

En el caso de recibir un correo alertando sobre un inicio de sesión que no se haya realizado, es importante empezar a actualizar las cuentas; siempre y cuando la persona detrás del ataque no haya cambiado la contraseña.

Los pasos que indica ESET para recuperar una cuenta robada:

 

Acceder a la opción de “Recuperación de cuenta”. Luego de ingresar la dirección de correo, se deberá colocar la contraseña:

En el caso de que Google no acepte la contraseña ingresada es importante tener configurada la autenticación en dos pasos (2FA), ya que de esta manera la persona podrá reestablecer la contraseña al verificar mediante un código que es enviado al teléfono del titular de la cuenta.

 

Una vez recuperado el acceso, es recomendable revisar la actividad reciente de la cuenta. Para ello se debe ingresar a la parte myaccount de Google:

 

Pie de imagen – Control de inicio de sesión en dispositivos.

 

En el caso de observar que hay un nuevo dispositivo conectado que no es de su propiedad, es importante ir a la opción de “No, no fui yo” y así seguir con las demás instrucciones. Además, se debe revisar todas las actividades recientes, de esta manera comprobar si hubo algún cambio de contraseña en otros servicios que se utilice.

 

Por otro lado, si se guardaron contraseñas en Google esto podría ser un problema, ya que, si se han almacenado en el gestor de contraseñas de Google las credenciales para acceder a sitios como Amazon, Facebook o Instagram, por ejemplo, también serán accesibles para los atacantes.

 

“En estos casos recomiendan eliminar las contraseñas almacenadas en el navegador y cambiar cada una de las contraseñas por cada servicio o aplicación almacenado de forma que no se repitan. Asimismo, de haber almacenado datos de tarjetas de crédito vinculadas a una cuenta de Google es recomendable realizar un seguimiento de los movimientos de las tarjetas. Si se sospecha que alguien pudo tener acceso a esta información, es aconsejable solicitar una nueva tarjeta para evitar riesgos. En el caso de que se persista con algunos problemas en la recuperación de la cuenta, Google tiene un centro de Pregunta a la comunidad.”, comenta Sol González, Investigadora de Seguridad Informática de ESET Latinoamérica.

 

¿Qué pasa si modificaron la contraseña de la cuenta de Gmail?

Si efectivamente no se puede recuperar la cuenta de Gmail ya que la contraseña ha sido vulnerada y modificada; es muy probable que además el cibercriminal haya modificado los otros medios de recuperación. Sin embargo, existe una posibilidad de recuperar la cuenta: si en el dispositivo móvil aún se tiene configurada la cuenta de Gmail como cuenta principal. De ser así, ingresando al centro de recuperación, se indica cuál es la cuenta de Gmail a recuperar y se selecciona “Siguiente”. También se ingresa la última contraseña que se recuerde haber ingresado. Luego, a pesar de ingresar una contraseña que no sea correcta (ya que el cibercriminal la modificó) se brinda la opción de verificarlo a través del dispositivo configurado como segundo factor de autenticación.

 

Pie de imagen. Verificación a través del teléfono móvil

 

En el caso de que tampoco se tenga el dispositivo celular a mano para realizar la comprobación, como último hito de comprobación enviará un correo de recuperación a la cuenta de Gmail que hemos dejado configurada cuando se creó la cuenta. A los segundos llegará un mail a la bandeja de entrada para la recuperación de la cuenta.

 

Pie de imagen. Se envía un correo electrónico de recuperación y luego se recibe un código de verificación

 

Las recomendaciones de ESET para de evitar el robo de una cuenta de Gmail son:

• Mantener siempre activa la autenticación en dos pasos (2FA): esta capa de seguridad adicional evitará que dependas únicamente de la contraseña como mecanismo de protección para acceder a una de las cuentas.
• Configurar las opciones de recuperación de cuenta: puede ser a través de otra dirección de correo o incluso hasta con un número de teléfono.
• No almacenar contraseñas en el navegador: en su lugar utilizar un administrador de contraseñas aparte, como Keepass.
• Comprobar regularmente que las últimas actualizaciones de seguridad disponibles fueron instaladas.
• Utilizar contraseñas fuertes y únicas para cada uno de los servicios y sitios online.
• Eliminar todas las aplicaciones o extensión del navegador que no se utilicen.
• Monitorear todas las cuentas para detectar actividades sospechosas, especialmente las cuentas bancarias.
• Instalar un producto antimalware/antivirus en cada uno de los dispositivos.

¿Robaron tu cuenta de Gmail? ESET explica cómo recuperarla

• Cibercriminales Gmail Google Malware Phishing
• At 10/25/2022 12:11:00 a.m.
• Leave a Comment

Read More

ESET Latinoamérica, compañía líder en detección proactiva de amenazas, identificó ataques en los que se utilizan correos de phishing, especialmente dirigidos, relacionados a falsas ofertas de trabajo.

Compañía líder en detección proactiva de amenazas, descubrió ataques del grupo Lazarus contra objetivos en Países Bajos y Bélgica en los que se han utilizado correos de phishing especialmente dirigidos relacionados a falsas ofertas de trabajo.

 

La campaña comenzó con correos electrónicos de spearphishing que contenían documentos maliciosos y que utilizaban la imagen de Amazon. Los correos identificados estaban dirigidos a un empleado de una empresa aeroespacial en Países Bajos y a un periodista político en Bélgica. El objetivo principal de los atacantes era la exfiltración de datos. Lazarus (también conocido como HIDDEN COBRA) es un grupo de APT que ha estado activo desde al menos 2009. Es responsable de ataques a compañías de alto perfil, como fue el robo de decenas de millones de dólares en 2016, también del brote del ransomware WannaCryptor (también conocido como WannaCry) en 2017 y de un largo historial de ataques disruptivos contra Infraestructura crítica y pública de Corea del Sur desde al menos 2011.

 

En ambos casos el contacto comenzó a través de ofertas de trabajo: el empleado en los Países Bajos recibió un archivo adjunto a través de LinkedIn Messaging y la persona en Bélgica recibió un documento por correo electrónico. Los ataques comenzaron después de que se abrieron estos documentos y se desplegaron varias herramientas maliciosas en cada sistema.

La herramienta más interesante que utilizaron los atacantes fue un módulo de modo de usuario que les permitió la habilidad de leer y escribir en la memoria del kernel debido a la vulnerabilidad CVE-2021-21551 en un controlador Dell legítimo. Este es el primer caso registrado de explotación de esta vulnerabilidad en una campaña. Luego, los atacantes usaron su acceso de escritura a la memoria del kernel para deshabilitar siete mecanismos que ofrece el sistema operativo Windows para monitorear sus acciones, como el registro, el sistema de archivos, la creación de procesos, el seguimiento de eventos, etc., básicamente cegando las soluciones de seguridad de una manera robusta.

 

“Atribuimos estos ataques a Lazarus con mucha confianza a partir de los módulos específicos, el certificado de firma de código y el enfoque de intrusión en común con campañas anteriores de Lazarus, como Operation In(ter)ception y Operation DreamJob. La diversidad, el número y la excentricidad en la implementación de las campañas de Lazarus definen a este grupo, así como el hecho de lleva adelante los tres pilares de las actividades cibercriminales: ciberespionaje, cibersabotaje y búsqueda de ganancias financieras.”, menciona Peter Kálnai, Senior Malware Researcher de ESET.

 

Esta investigación se presentó en la conferencia Virus Bulletin de este año. Debido a su originalidad, el enfoque principal de la presentación estuvo en el componente malicioso utilizado en este ataque que utiliza la técnica Bring Your Own Vulnerable Driver (BYOVD) y aprovecha la vulnerabilidad CVE-2021-21551 mencionada anteriormente. Información más detallada está disponible en el white paper Lazarus & BYOVD: Evil to the Windows core.

 

Para acceder al análisis técnico completo de cada uno de los componentes y herramientas utilizados por Lazarus ingrese a: Amazon‑themed campaigns of Lazarus in the Netherlands and Belgium.

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/09/30/ataque-grupo-lazarus-belgica-paises-bajos-falsa-oferta-trabajo-amazon/

 

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a:

https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

ESET descubre campaña de robo de información que utiliza una falsa oferta de trabajo de Amazon

• Amazon Ataques a compañías Ataques disruptivos Compañía líder Phishing
• At 10/06/2022 11:36:00 p.m.
• Leave a Comment

Read More

La Compañía abre a la comunidad el acceso a IBM X-Force Exchange, su nueva plataforma para aunar esfuerzos frente a las ciberamenazas

MÉXICO, DF, 16 de abril, 2015 - IBM anunció hoy ladisponibilidad para la comunidad de su biblioteca de conocimiento sobre seguridad a través de IBM X-Force Exchange, una nueva plataforma para compartir información y conocimiento sobre ciberamenazas. De este modo, los expertos en seguridad podrán acceder libremente a décadas de información práctica de IBM y de terceros sobre amenazas, incluyendo indicadores en tiempo real de ataques que están teniendo lugar en ese momento y pueden servir para defenderse de losciberdelincuentes.

 

La necesidad de una información fiable acerca de las amenazas es mayor que nunca, ya que el 80% de losciberataques los dirigen organizaciones criminales que comparten activamente los datos, las herramientas y la experiencia técnica1. Aunque los hackers han evolucionado, sus objetivos no lo han hecho. La mayoría (el 65%) de los equipos internos de ciberseguridad usan múltiples fuentes de información externa fiable y no fiable para luchar contra los atacantes2.

 

El X-Force Exchange se basa en la amplia inteligencia de seguridad de IBM y en su propuesta tecnológica de investigación de amenazas con soluciones como QRadar, así como en la experiencia de miles de clientes y una red global de analistas de seguridad de IBM Managed Security Services. Así, a través de una infraestructura abierta en la nube, los usuarios pueden acceder a diversas fuentes, que incluyen:

 

•

Uno de los catálogos más amplios y completos sobre vulnerabilidades del mundo

•

Información acerca de amenazas basada en la supervisión de más de 15,000 millones de eventos diarios de seguridad

•

Información sobre malware de una red de 270 millones de terminales

•

Datos sobre amenazas basados en más de 25,000 millones de páginas web e imágenes

•

Información en profundidad sobre más de 8 millones de ataques de spam y phishing

•

Datos acerca de la reputación de casi 1 millón de direcciones IP maliciosas

 

Actualmente, X-Force Exchange contiene más de 700 terabytes de datos agregados sin procesar facilitados por IBM. Esta cantidad seguirá aumentando, actualizándose y compartiéndose, ya que la plataforma puede añadir hasta 1,000 indicadores maliciosos por hora. Entre estos datos se incluye información en tiempo real que podría resultar crítica en la lucha contra la ciberdelincuencia.

 

Compartir de una forma automatizada y social

IBM X-Force Exchange es una nueva plataforma en la nube que permite a las organizaciones colaborar de un modo sencillo en incidentes de seguridad, así como beneficiarse de las continuas contribuciones de los expertos de IBM y los miembros de la comunidad.

 

Al consumir, compartir y actuar con inteligencia en tiempo real gracias al repositorio de amenazas conocidas de IBM, los usuarios pueden identificar y ayudar a detener las amenazas a través de:

 

•

Una interfaz social colaborativa para interactuar fácilmente y validar información de otras empresas del sector, analistas e investigadores

•

Volúmenes de información de terceros, que seguirán aumentando a medida que lo hace la base de usuarios de la plataforma

•

Una herramienta de recopilación para organizar y anotar conclusiones con facilidad, poniendo en un primer plano la información prioritaria

•

Acceso libre en la red para los analistas e investigadores de seguridad

•

Una biblioteca de APIs para favorecer las consultas programáticas entre plataforma, máquinas y aplicaciones; permitiendo a las empresas emprender acciones.

 

IBM también tiene previsto dar soporte en la plataforma a STIX y TAXII, el estándar emergente para compartir información sobre amenazas de un modo automatizado, obtener y compartir información de intercambio de manera sencilla y para una integración perfecta en los sistemas de seguridad actuales.

 

Ciberamenazas en contexto

Por primera vez, las organizaciones son capaces de interactuar directamente con los analistas e investigadores de seguridad de IBM, así como con otros actores de este sector, a través de la plataforma con el fin de validar los resultados y revelárselos a otras compañías que están luchando contra laciberdelincuencia.

 

Por ejemplo, un investigador de seguridad puede descubrir un nuevo dominio con malware, señalándolo como malicioso dentro de la plataforma. A raíz de esto, un analista de otra compañía podría encontrarlo en su red y consultarlo con otros expertos para validar su peligro. Después, el analista aplicaría normas en su propia compañía para bloquear la amenaza, deteniendo el tráfico malicioso, y –a través de la plataforma– alertaría enseguida al Chief InformationSecurity Officer (CISO, o Director de Seguridad de Información) acerca de la amenaza.

 

Posteriormente, el CISO agregaría esta fuente maliciosa a una recopilación pública en la plataforma, compartiéndola con otras firmas del sector. El objetivofinal es detener la amenaza rápidamente antes de que pueda infectar a otras empresas.

 

 

1. UNODC “Comprehensive Study on Cybercrime” 2013

2. ESG: http://bit.ly/1xzTmUW 

 

 

Acerca de IBM Seguridad

La plataforma de seguridad de IBM ofrece inteligencia de seguridad para ayudar a las organizaciones a proteger a las personas, su información, sus aplicaciones y su infraestructura de un modo integral. IBM ofrece soluciones para la gestión de identidad y accesos, la gestión de información y eventos relativos a la seguridad de bases de datos, desarrollo de aplicaciones, gestión de riesgos, gestión de terminales y protección frente a intrusiones de próxima generación, entre otros. La compañía dirige una de las mayores organizaciones de investigación, desarrollo y provisión de soluciones de seguridad en el mundo.

IBM comparte inteligencia sobre amenazas para combatir los ciberataques

• Ataques Force Exchange Hackers IBM Phishing Plataforma Seguridad Spam
• At 4/16/2015 05:53:00 p.m.
• Leave a Comment

Read More