Campaña de distribución de malware vía email

Recursos afectados: 

Cualquier empleado o empresario que habiendo recibido un correo electrónico como los mostrados en la sección “Detalle” de este aviso, haya seguido el enlace y descargado el archivo malicioso. Descripción: 

Se ha detectado una campaña activa de correos electrónicos que persiguen instalar malware del tipo troyano en el equipo de la víctima.

En este caso el mensaje suplanta a CORREOS, pero no se descarta que puedan estar suplantando a otras entidades. El correo tiene como asunto: «Atención cartero no atendido (XXXXXX)», siendo las X números aleatorios, aunque podría tener otros asuntos. El cuerpo del correo contiene un enlace web que dirige al usuario a una página desde donde se descarga el malware. Solución: 

Si recibes un correo sospechoso, analízalo detenidamente siguiendo las indicaciones de este artículo: ‘¿Dudas sobre la legitimidad de un correo? Aprende a identificarlos’.

Si has descargado y ejecutado el archivo, realiza un escaneo de todo el equipo con el antivirus y sigue las instrucciones marcadas por el mismo para eliminar el malware.

Para evitar ser víctima de este tipo de engaños, te recomendamos seguir estos consejos:

  • No abras correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente.
  • No contestes en ningún caso a estos correos.
  • Revisa los enlaces antes de hacer clic, aunque sean de contactos conocidos.
  • Desconfía de los enlaces acortados.
  • Desconfía de los ficheros adjuntos, aunque sean de contactos conocidos.
  • Ten siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprueba que está activo.
  • Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y no tienen permisos de administrador.

Además, es importante que realices periódicamente copias de seguridad. Guarda al menos una en una ubicación diferente y desconectada de la red. Verifica que la copia se realiza correctamente y que sabes recuperarla. De esta forma, en el caso de vernos afectados por algún incidente de seguridad, podremos recuperar la actividad de nuestra empresa.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.Detalle: 

Los ciberdelincuentes tratan de distribuir un malware del tipo Caballo de Troya o Troyano con el señuelo de un supuesto envío de Correos no atendido. Dicho malware se disfraza de aplicaciones legítimas para instalar otro malware del tipo ransomware, o del tipo spyware para espiar y recabar datos del sistema y datos personales del usuario como credenciales y tarjetas bancarias o registrando lo que tecleamos (keylogger).

Imagen del correo tipo suplantado a Correos

Una vez se ha clicado en el enlace del localizador en el cuerpo del mensaje o si se da guardar el adjunto al mensaje, se abre una ventana en el navegador que descarga el archivo malicioso. Algunos navegadores pueden detectar que la URL a donde nos dirige el enlace no corresponde a Correos.

El archivo descargado es un archivo comprimido que contiene malware que podría ser detectado por algunos navegadores como archivo malicioso, notificándolo al usuario.

  • Si lo has descargado, elimínalo y no lo extraigas o ejecutes en ningún caso. 
  • Si lo has extraído o ejecutado, sigue las instrucciones del apartado “Solución”.

Recuerda que si recibes una notificación oficial emitida por cualquier organismo público o privado, debes acceder a dicha notificación desde su página web oficial o área de clientes. Si dudas de la veracidad, confírmalo por teléfono.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia de Incibe: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/campana-distribucion-malware-email

Lokibot: características de este malware que roba todo tipo de credenciales

Un breve repaso por las principales características de Lokibot, un popular troyano utilizado por distintos grupos criminales y que es desde hace tiempo una de las familias de malware más activas.

Lokibot, también conocido como Loki PWS o Loki-bot, es un malware perteneciente a la familia de troyanos que está activo desde 2015 y es utilizado desde entonces en campañas a nivel global. Fue diseñado con el objetivo de robar credenciales de navegadores, clientes FTP/ SSH, sistemas de mensajería, y hasta incluso de billeteras de criptomonedas.

Originalmente fue desarrollado en lenguaje C y promocionado en foros clandestinos y mercados en la dark web. Las primeras versiones apuntaban simplemente al robo de billeteras de criptomonedas y contraseñas de aplicaciones utilizadas por la víctima, así como las almacenadas en Windows. Se puede definir a Lokibot también como un Malware-as-a-Service (MaaS); es decir, un malware que se ofrece como servicio para que terceros lo puedan utilizar. Por esta razón es que sigue representando una herramienta atractiva para los cibercriminales, ya que permite a los ciberdelincuentes desarrollar sus propias versiones de Lokibot.

Es importante mencionar que existen variantes de Lokibot dirigidas al sistema operativo Android que funcionan como troyano bancario. Por ejemplo, en 2017 se encontró una variante que al detectar que era eliminada activaba un módulo para el cifrado de archivos en el dispositivo móvil infectado. Sin embargo, en el presente post pondremos el foco solamente en la versión desarrollada para el sistema operativo Windows.

Durante Julio de 2020, CISA notifico que había una importante alza la actividad de Lokibot por parte de cibercriminales, incluidos varios países de América Latina.

Principales métodos de distribución de Lokibot

Los actores de amenazas generalmente utilizan Lokibot para apuntar a dispositivos con el sistema operativo Windows. Principalmente se propaga principalmente por medio de campañas de phishing que incluyen archivos adjuntos maliciosos o URL embebidas. Estos adjuntos pueden ser archivos Word, Excel o PDF, u otro tipo de extensiones, como .gz o .zip que simulan ser archivos PDF o .txt.

A lo largo de los años, estas campañas fueron variando la temática que utilizaban como señuelo para enviar sus archivos adjuntos, desde una factura, una cotización o la confirmación de un supuesto pedido.

Desde julio del 2020, poco después de decretada la pandemia, hubo un aumento considerable en la actividad de este malware y los atacantes comenzaron a enviar archivos adjuntos maliciosos con algún tema referido al COVID-19 para intentar atraer a los usuarios desprevenidos y convencerlos para que abran un archivo adjunto en sus correos:

¿Qué características tiene Lokibot?

Como se mencionó al inicio de este atículo, Lokibot es un malware con características de troyano que roba información confidencial de los equipos comprometidos, como nombres de usuario, contraseñas, billeteras de criptomonedas y otro tipo de información.  También se ha visto la distribución del payload de Lokibot para Windows mediante la explotación de viejas vulnerabilidades , como la CVE-2017-11882 en Microsoft Office.

Entre las principales características de este malware se destaca su capacidad de eliminar archivos, desactivar procesos del sistema, y el bloqueo de soluciones de seguridad instaladas en el dispositivo de la víctima.

Lokibot es implementado a través de una botnet conformada por equipos comprometidos que se conectan a servidores de C&C (Command and Control) para enviar los datos recopilados de la víctima. Una vez que el malware accede a la información sensible de la víctima exfiltra la información, comúnmente a través del protocolo HTTP.

Por otra parte, una vez que logra infectar el dispositivo víctima crea un backdoor que permite a los cibercriminales descargar e instalar otras piezas de malware. En el año 2020 se descubrió una campaña que luego del compromiso inicial descargaba como segundo payload el ransomware Jigsaw.

La siguiente ilustra la cadena de infección más utilizada por Lokibot:

En cuanto al funcionamiento general de Lokibot, vale la pena destacar que es un malware no tan complejo, dado a que una vez que obtiene acceso a la máquina de la víctima ejecuta el payload y comienza a recopilar las credenciales de usuario de las diferentes aplicaciones. Luego envía esa información al servidor de C&C controlado por el atacante.

Para ganar persistencia en el equipo comprometido y continuar exfiltrando información, en primera instancia, y en el caso de que la víctima tenga privilegios de administrador, Lokibot modifica la clave de registro agregando una nueva entrada que será almacenada en HKEY_LOCAL_MACHINE. De lo contrario, se almacena hace dentro de HKEY_CURRENT_USER.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia: https://www.welivesecurity.com/la-es/2021/09/30/lokibot-principales-caracteristicas-malware-roba-credenciales/

CORREOS RECIENTES DE SEXTORSIÓN USAN EL MIEDO AL SPYWARE PEGASUS COMO GANCHO

Durante estos últimos años hemos ido analizando varias campañas de sextorsión o correos que amenazan con publicar fotos y vídeos íntimos que supuestamente se han obtenido hackeando alguno de nuestros dispositivos. A pesar de ser una amenaza muy básica, aun existen personas que son susceptibles de caer en este tipo de trampas, especialmente si los delincuentes utilizan algún gancho potente como en esta ocasión.

El spyware Pegasus usado como cebo

A principios de esta semana Apple publicaba actualizaciones de seguridad para la mayoría de sus dispositivos debido al descubrimiento de una vulnerabilidad 0-day que estaría siendo aprovechada por el software espía Pegasus. Este spyware suele ser utilizado por algunos gobiernos para monitorizar la actividad de ciertos usuarios como periodistas o activistas, por lo que lleva años envuelto en la polémica por su uso inadecuado.

Sin embargo, que la mayor parte de los usuarios no sean el objetivo de este tipo de software espía no es ningún impedimento para que los delincuentes aprovechen la cobertura mediática que este tipo de software espía tiene cada vez que se descubre como aprovecha alguna nueva vulnerabilidad o infecta el dispositivo de alguna víctima.

Como ejemplo tenemos el siguiente mensaje recibido solamente dos días después de que se Apple publicara las actualizaciones que solucionan los agujeros de seguridad que, supuestamente, estaría aprovechando Pegasus para infectar los dispositivos de sus objetivos y espiarles.

El mensaje está redactado en inglés, por lo que nos encontraríamos ante una campaña que no busca objetivos en un país en concreto. No obstante, no debemos olvidar que este tipo de correos suelen traducirse también al español y cada vez resultan más creíbles puesto que los delincuentes también tratan de evitar cometer faltas de ortografía.

Algo curioso que observamos en la redacción de este correo es la utilización de caracteres pertenecientes a una codificación del teclado diferente a la que estamos acostumbrados a usar la mayoría de nosotros. Pese a que la mayoría de estas letras “suplantadas” son legibles, pertenecen a otros alfabetos y probablemente se haya incluido para dificultar la detección de este mensaje como malicioso por los filtros antispam.

Extorsión y pago

Aparte de mencionar al spyware Pegasus y la utilización de una vulnerabilidad “zero click” (es decir, que no requiere de la intervención del usuario para poder ser explotada), el resto del mensaje es prácticamente igual a los que estamos acostumbrados a ver en este tipo de campañas.

En ellos se nos avisa de que se nos ha grabado viendo contenido pornográfico y que, si no cedemos al chantaje, el delincuente publicará las imágenes y fotografías obtenidas y se las hará llegar a nuestros amigos y familiares. Pero, tal y como ha sucedido en el resto de campañas de este estilo desde hace ya varios años, esta amenaza no es más que un farol, ya que quien nos envía este correo no dispone de acceso a ese material privado y solo espera que algún usuario atemorizado caiga en su trampa y pague el importe solicitado.

Respecto al importe que se pide para no divulgar este material privado inexistente, la cantidad no es otra que 1 Bitcoin (alrededor de 48.000 dólares en el momento de escribir estas líneas). Es una cantidad muy elevada y puede que este sea el motivo por el que, tras consultar la billetera de bitcoin proporcionada por el delincuente para realizar el pago no hayamos visto todavía ningún ingreso.

Sin embargo, revisando los comentarios sobre el correo desde donde se envía este correo en una web donde se informa de este tipo de estafas con criptomonedas vemos como varios usuarios ya han informado acerca de este email. Además, vemos como uno de estos comentarios se envió días antes de que se conocieran las vulnerabilidades en dispositivos Apple, además de que la cantidad solicitada era mucho menor.

Esto podría ser un indicador de que desde esta dirección de correo se lanzó una campaña anterior usando una plantilla de email similar a las vistas hasta la fecha y que el delincuente decidió cambiarla días después, aprovechando la cobertura mediática que se hizo de las actualizaciones de Apple y del espionaje realizado con Pegasus.

A pesar de que aun no hemos observado ningún pago a la billetera de Bitcoin de los delincuentes no debemos confiarnos, puesto que este tipo de campañas suelen ser recurrentes y reaparecer cada cierto tiempo, adaptándose a diferentes idiomas para tratar de resultar más convincentes.

Conclusión

Tras más de tres años observando este tipo de correos propagarse usando el miedo a que fotografías y video privadas sean difundidas entre conocidos y familiares, vemos como esta es una táctica que se sigue usando por algunos delincuentes para tratar de obtener dinero de forma sencilla, a pesar de que es una estafa fácilmente identificable y cuyos correos debemos eliminar nada más los recibamos en nuestra bandeja de entrada.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia: https://blogs.protegerse.com/2021/09/16/correos-recientes-de-sextorsion-usan-el-miedo-al-spyware-pegasus-como-gancho/

E-mail bombing: cómo usan el Spam para atacar

E-mail bombing

Al navegar por Internet, al usar servicios y plataformas que tenemos disponibles, nuestra seguridad puede verse comprometida. Esto hace que debamos en todo momento proteger los equipos y evitar problemas. En este artículo vamos a hablar de qué es el e-mail bombing, un problema muy común relacionado con el Spam y que podría afectar a nuestra seguridad. Vamos a dar algunos consejos también para evitar ser víctimas de este problema.

Cómo afecta el e-mail bombing

El e-mail bombing, o también lo podemos denominar como bombardeo de correos, básicamente consiste en un ataque en el que se envían una gran cantidad de e-mails a nuestra dirección. Pueden ser correos muy diversos. En ocasiones buscan que nos suscribamos a algún boletín, otras veces intentan que descarguemos algún archivo o nos registremos en algún sitio.

Sin embargo este término también se refiere al intento de saturar un servidor de correo electrónico. Un atacante podría crear un script capaz de enviar una gran cantidad de e-mails en poco tiempo con el objetivo de provocar fallos, de intentar que no pueda resolver todas esas solicitudes.

Hay que tener en cuenta que en ocasiones el e-mail bombing puede ocurrir para intentar distraer a los usuarios, a las empresas y organizaciones, y de esta forma pasar por alto otros correos importantes que puedan recibir. Pongamos que de golpe en una mañana nos envían 100 e-mails. Estamos esperando un correo importante y nuestra bandeja se ha inundado y podemos pasarlo por alto o incluso eliminarlo sin darnos cuenta.

Por tanto, podemos decir que el e-mail bombing es una técnica que utilizan los piratas informáticos para saturar una dirección, para intentar colar malware o simplemente para lograr que abramos un enlace o nos registremos en un servicio. En ocasiones está muy relacionado con el Spam o correo basura.

Cómo evitar el Spam y el bombardeo de correos

Es importante que tomemos medidas para evitar el Spam y correo basura. No debemos cometer errores que puedan comprometer nuestra dirección de e-mail. Vamos a dar una serie de consejos importantes para que nuestro correo electrónico siempre esté protegido. Es sin duda uno de los mayores problemas del correo electrónico. Cada día los usuarios reciben muchos e-mails de este tipo. A veces terminan en la bandeja de entrada.

Muchos de estos consejos son comunes a la manera de protegernos frente a otras amenazas similares. Son pequeños pasos que podemos dar en nuestro día a día para lograr que nuestra privacidad y seguridad siempre estén a salvo y poder mantener así alejados a los piratas informáticos que puedan aprovecharse de nuestras cuentas para lograr su objetivo.

No hacer pública nuestra dirección

Algo muy importante para evitar el Spam y también que nuestro correo sufra e-mail bombing es evitar que nuestra dirección esté pública en la red. Esto significa, por ejemplo, no escribir en foros públicos o comentarios en páginas web y dejar puesta nuestra dirección. Es un consejo de sentido común, pero sin duda es uno de los errores más habituales de los usuarios en la red.

Existen muchos bots en la red que tienen como misión rastrear Internet en busca precisamente de direcciones de correos que pueden incluir en listas para enviar correos basura, formar parte de ataques dirigidos y, en definitiva, poner en peligro nuestro e-mail. Lo mismo podría ocurrir si publicamos el número de teléfono.

Cuidar dónde nos registramos

También debemos cuidar dónde nos registramos y por tanto dónde ponemos nuestra dirección. Son muchos los servicios y plataformas que hay en la red. Sin embargo no todos son seguros. Podemos ser víctimas de estafas y que únicamente busquen la manera de recopilar nuestro e-mail.

Si vamos a registrarnos en una página que nos causa dudas, que puede ser un problema para nuestra seguridad, siempre podemos crearnos una cuenta alternativa o incluso optar por correos electrónicos desechables. De esta forma nuestra dirección principal no se verá comprometida en ningún momento y no comenzaremos a recibir correos basura.

Evitar redes inseguras

Las redes Wi-Fi están por todas partes. Hoy en día podemos conectarnos desde cualquier lugar, prácticamente. Ahora bien, ni mucho menos todas ellas van a ser seguras. Un ejemplo sería una estación de tren o centro comercial. Suelen estar en zonas muy concurridas, donde peude haber muchos usuarios que se conecten en un momento dado. No sabemos si puede ser inseguro navegar por aquí, ni quién podría estar detrás de esa red.

Si iniciamos sesión en nuestro correo electrónico o enviamos un e-mail desde estas redes, podemos ser víctimas de ataques. Podrían registrar nuestra dirección y poner en riesgo la privacidad. En caso de necesidad, podemos buscar alternativas como compartir datos móviles desde nuestro teléfono.

Proteger nuestros equipos

Otra cuestión muy importante para evitar el e-mail bombing y otras amenazas de seguridad relacionadas con el correo electrónico es proteger adecuadamente nuestros equipos. Esto es algo que debemos aplicar sin importar el tipo de dispositivo que estemos utilizando o el sistema operativo que tengamos instalado.

Debemos contar con programas de seguridad. Un buen antivirus puede prevenir la entrada de amenazas que comprometan nuestro equipo y que podrían servir para enviar ataques incluso por correo electrónico, en caso de recopilar datos. Pero también hay que instalar las últimas actualizaciones de seguridad que haya disponibles, ya que así corregiremos posibles vulnerabilidades.

Crear contraseñas fuertes y seguras

La contraseña es la principal barrera de seguridad para evitar intrusos en nuestras cuentas. Por tanto, crear claves que sean fuertes y complejas también va a ayudarnos en gran medida. Es importante que tengan letras (mayúsculas y minúsculas), números y otros símbolos especiales. Todo ello, además, de forma aleatoria. Es algo que debemos cuidar mucho en cualquier registro que tengamos en Internet.

En definitiva, estos son algunos consejos interesantes que podemos poner en práctica para evitar el e-mail bombing y comprometer nuestra cuenta de correo electrónico. Algunas recomendaciones sencillas que podemos tener en cuenta. Se trata de un medio muy usado en nuestro día a día y siempre debemos mantenerlo seguro, sin cometer errores que puedan servir como puerta de entrada para los ciberdelincuentes.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia: https://www.redeszone.net/tutoriales/seguridad/e-mail-bombing-consejos-seguridad/