Archives diciembre 2023

A raíz de una investigación reciente, analizamos varios escenarios que destacan la actividad maliciosa en Discord.

En los seis años desde el lanzamiento del chat de Discord y el servicio VoIP, la plataforma se ha vuelto una herramienta popular para construir comunidades de interés, especialmente entre los gamers. Sin embargo, como con cualquier otra plataforma que aloja contenido generado por los usuarios, Discord puede explotarse. Las vastas opciones de personalización de Discord también abren la puerta a ataques a usuarios ordinarios, tanto dentro como fuera del servidor del chat. Una investigación reciente de la seguridad de Discord reveló varios escenarios de ciberataque vinculados con su servicio de chat, algunos de los cuales pueden ser en verdad peligrosos para los usuarios. Te decimos cómo protegerte.

Malware que se propaga por Discord

Los archivos maliciosos distribuidos mediante Discord representan la amenaza más obvia. En un estudio reciente se identificaron varias decenas de tipos de malware. Decimos que esta amenaza es “obvia” solo porque compartir archivos en Discord es muy fácil; a cada archivo cargado en la plataforma se le asigna una URL permanente con este formato:

cdn.discordapp.com/attachments/{channel ID}/{file ID}/{file name}

La mayoría de los archivos están disponibles para descarga para cualquiera que tenga el enlace.

El estudio describe un ejemplo de ataque de la vida real: un sitio web falso que ofrece descargas del cliente de conferencias de Zoom Web. El sitio web se asemeja al real, y el archivo malicioso está alojado en un servidor de Discord. Con esto se evitan las restricciones para descargar archivos de fuentes desconocidas. La justificación es que es menos probable que los servidores de una aplicación popular utilizada por millones sean bloqueados por soluciones antimalware.

El “truco” maliciosos es tan obvio como la forma de combatirlo: Las soluciones de seguridad de gran calidad no solo se fijan en el origen de la descarga para determinar el nivel de amenaza de un archivo. Las herramientas de Kaspersky detectan de inmediato la funcionalidad maliciosa la primera vez que un usuario intenta descargar el archivo, por ejemplo, y después, con ayuda de un sistema de seguridad basada en la nube, avisan al resto de los usuarios que el archivo debe ser bloqueado.

Todos los servicios que permiten cargas de contenido generado por el usuario se enfrentan a problemas de mal uso. Por ejemplo, en los sitios de alojamiento de páginas web gratuitos se crean páginas de phishing, mientras que las plataformas para intercambio de archivos se utilizan para propagar troyanos. Los servicios de llenado de formatos sirven como canales para spam. Etc. Los propietarios de la plataforma sí tratan de combatir el abuso, pero los resultados son variados.

Queda claro que los desarrolladores de Discord necesitan implementar al menos medios básicos de protección para los usuarios. Por ejemplo, los archivos utilizados en un servidor de chat particular no necesitan estar disponibles para todo el mundo. También es buena idea revisar y bloquear automáticamente el malware conocido. En cualquier caso, este es el menor de los problemas de Discord, y se combate de la misma manera que cualquier otro método de distribución de malware. Sin embargo, no es el único al que se enfrentan los usuarios.

Bots maliciosos

En otro estudio reciente se demuestra qué tan fácil es explotar el sistema de bots de Discord. Los bots amplían la funcionalidad del servidor del chat de varias maneras, y Discord ofrece una amplia gama de opciones para personalizar los chats de los propios usuarios. Un ejemplo de código malicioso relacionado con el chat se publicó recientemente en (y fue eliminado rápidamente de) GitHub: El autor pudo ejecutar código arbitrario en la computadora de un usuario con ayuda de las principales capacidades que proporciona la API de Discord. Podría verse algo así:

Un chatbot malicioso ejecuta un programa arbitrario en la computadora de un usuario en respuesta a un comando del chat de Discord. Fuente

Los investigadores también revisaron otro escenario de mal uso de Discord que no depende de que el usuario tenga instalado un cliente de Discord. En este caso, el malware utiliza el servicio de chat para comunicarse. Gracias a la API pública, el proceso de registro simple, y el cifrado de datos básico, una puerta trasera puede fácil y convenientemente utilizar Discord para enviar datos sobre el sistema infectado a su operador y, a su vez, recibir comandos para ejecutar el código, descargar módulos nuevos maliciosos y más.

Este tipo de escenario parece muy peligroso; simplifica el trabajo de los atacantes, quienes entonces no necesitan crear una interfaz de comunicación con computadoras infectadas, pero pueden utilizar algo que ya esté disponible. Al mismo tiempo, complica de cierta forma la detección de actividad maliciosa; conversaciones entre la puerta trasera y su operador se parecen a actividad normal de usuario en un chat popular.

Protección para los gamers

Si bien las amenazas anteriores aplican a todos los usuarios de Discord, principalmente tienen que ver con quienes utilizan Discord como un complemento del juego: para comunicación por voz y texto, transmisiones, recopilación de estadísticas del juego, etc. Este uso significa una buena personalización y aumenta el riesgo de los usuarios de encontrar e instalar extensiones maliciosas.

El ambiente relajado, y en apariencia seguro, es de hecho otra amenaza, ya que aumenta la tasa de éxito de las técnicas de ingeniería social: el señuelo  se atrapa mejor en un chat cómodo con personas que consideras tus amigos. Recomendamos utilizar las mismas reglas de higiene digital en Discord que utilizas en cualquier otro lado de la web: no hagas clic en enlaces sospechosos o descargues archivos sospechosos; escudriña ofertas que suenan demasiado buenas para ser verdad; y evita compartir tu información personal o financiera.

En cuando a los troyanos y las puertas traseras, basados en Discord o solo distribuidos mediante la plataforma, no son especiales o esencialmente diferentes de otro tipo de malware. Utiliza una aplicación antivirus de confianza para mantenerte a salvo, déjala ejecutándose en todo momento, incluso cuando instales cualquier software o añadas bots a un servidor de chat, y pon atención a sus advertencias.

El desempeño no tiene que ser un problema. Por ejemplo, nuestros productos de seguridad incluyen un modo de juego que minimiza la carga adicional sin comprometer la protección.

Fuente: www.latam.kaspersky.com

Los crecientes ataques a instituciones de salud que destacan la necesidad de mejorar las políticas de ciberseguridad para defender un sector fundamental para el bienestar de la población

Ecuador –Una tendencia al alza observada año tras año, y que en este 2023 no es una excepción, son los ataques cibercriminales centrados a nivel mundial en el sector de la Salud. Según un informe del World Economic Forum, hasta la mitad de este año, el sector de salud sufrió un 22 % más de ataques que en el mismo periodo del año anterior, convirtiéndolo en el tercer sector más atacado mundialmente, detrás de educación e investigación, y de finanzas, seguros y comunicaciones, que ocupan el primer y segundo puesto respectivamente.

“El sector de la salud es uno de los más vulnerables y atractivos para los cibercriminales, que buscan obtener beneficios económicos o causar daños a la población. Las consecuencias son de gran peligrosidad para la sociedad, ya que afectan desde la atención por ambulancias hasta la provisión de medicamentos y la ejecución de cirugías. Este es uno de los puntos fuertes que hacen que los cibercriminales apunten a estas entidades: la respuesta ante situaciones de emergencias y urgencias no puede entorpecerse cuando la salud de personas está en juego.”, explica Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Desde la pandemia en 2020, grupos de ransomware intensificaron sus ataques a hospitales en todo el mundo, aprovechando que los sistemas estaban trabajando al máximo de su capacidad. Los cibercriminales vieron esto como un plus para presionar el pago de rescates luego de un ataque ransomware, o realizar ataques DDoS (denegación de servicios) para entorpecer la respuesta de las instituciones.

Un informe de ENISA (Agencia Europea de Seguridad de las Redes y de la Información) de la Unión Europea y revela que hasta la mitad de 2023, los ataques más frecuentes fueron: ransomware 54%, amenazas de datos 46%, intrusiones 13%, ataques DDoS 9% y ataques a cadena de suministro 7%.

Alguno de los casos resonantes en 2023

El año comenzó con el ataque al Hospital Clínic de Barcelona, atribuido al grupo RansomHouse, que afectó los servicios de la institución médica que debió coordinar con otros hospitales de la ciudad para dar la atención requerida a sus pacientes, sobre todo aquellos con riesgo de vida.

Este mismo grupo también estuvo activo en América Latina y, en el mes de octubre, afectó los servicios de salud y justicia de varios países, en lo que se conoce como un ataque a la cadena de suministro: la empresa atacada provee de servicios digitales a numerosas empresas de la región y el mundo, y el grupo utilizó este eslabón como puerta de entrada.

En agosto, el grupo de Ransomware as a Service (RaaS) Rhysida lanzó un ataque al Holding Prospect Medical, de los Estados Unidos, que afectó a más de 16 hospitales y 116 clínicas en todo el país, que tuvieron que suspender todos sus sistemas TI.

El mismo grupo atacó, en el mismo mes, al Instituto Nacional de Servicios Sociales para Jubilados y Pensionados argentino (PAMI), afectando de forma directa la atención de las personas afiliadas y el sistema digital de documentación. Más de 18 GB de información y 1,6 millones de archivos fueron filtrados. Como en toda filtración de datos sensibles, las consecuencias pueden estar por venir, con correos de phishing, chantajes y engaños a pacientes de ese servicio.

El Department of Health and Human Services, de los Estados Unidos, identificó que las principales vulnerabilidades que pueden ser explotadas por agentes maliciosos y comprometer la integridad de los sistemas y la confidencialidad de los datos son: aplicaciones web, fallas de encriptación, software y sistemas operativos sin soporte y vulnerabilidades explotadas conocidas.

“El crecimiento de ciberataques en el sector de la salud debe abordarse prestando atención a sus vulnerabilidades críticas y comprendiendo el panorama general de amenazas. La inversión en seguridad informática y la implementación de políticas de ciberseguridad integrales serán fundamentales para enfrentar y proteger sistemas tan vitales para la sociedad y el bienestar de la población.”, concluye Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Fuente: Departamento de Comunicación ESET Ecuador

Los tipos de engaños más frecuentes en la plataforma y  una serie de recomendaciones para ser víctima de los ciberdelincuentes.

Ecuador – Las modalidades de estafa más comunes que se observaron en Facebook Marketplace durante este año y a qué señales deberían prestar atención los usuarios para poder identificarlas y no caer en los engaños de los cibercriminales.

“Marketplace se convirtió en una de las plataformas preferidas para las compras y ventas online. Y, como sucede en tantos otros casos, cuando hay algo que llama la atención y es usado masivamente también atrae a los ciberdelincuentes. Es por esta razón que cada vez son más las estafas y engaños que circulan en esta plataforma.”, señala Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

ESTAFAS MÁS COMUNES

– Artículos defectuosos: puede suceder que un vendedor publique un producto con fotos que lo presentan en perfectas condiciones, pero que una vez entregado en realidad esté roto. Esto es particularmente complicado cuando se compran artículos electrónicos, porque por lo general no se pueden evaluar todas sus funciones antes de la compra. Lamentablemente, existen posibilidades de que esto suceda, ya sea por parte a un vendedor sin escrúpulos como por un estafador profesional.

– Artículos falsos: hay casos en los que el producto puede que sea una falsificación. La ropa de diseñador, los perfumes, las joyas y los cosméticos son blancos comunes de falsificación. Todos están buscando una buena oferta, pero cuando parecen demasiado buenas para ser verdad, por lo general se trata de un engaño.

– Estafas de Google Voice: Marketplace también es aprovechado para realizar fraudes en otras plataformas. Un engaño muy común es intentar robar cuentas de Google Voice o crearlas con el número de teléfono de la víctima. Los estafadores se contactan con un vendedor por el supuesto interés en un artículo para intentar llevar la conversación a una plataforma no monitoreada, como puede ser WhatsApp. Allí le solicitan que comparta un código que le enviarán a su teléfono para verificar que es una persona legítima. Ese código es el de la verificación en dos pasos (2FA) de Google Voice, que una vez en poder de los estafadores pueden crear una cuenta asociada a ese número de teléfono.

– Sobrepago: el estafador se hace pasar por un comprador y reclama a un vendedor que pagó demás por un artículo que compró. Enviará una captura de pantalla donde muestra la supuesta transacción por la compra y solicitará que reintegren la diferencia. Obviamente, en ningún momento se realizó un pago y si el vendedor cayó en la trampa habrá perdido el dinero sin posibilidad de reembolso.

– Compra que nunca llega: otro engaño consiste en vender un artículo, cobrar el dinero pero no entregarlo al comprador. Esto solo se aplica a los artículos enviados desde fuera del área local del comprador.

– Phishing y Falsos sorteos: una forma de obtener información de las víctimas es enviar correos de phishing con supuestas ofertas y sorteos en la plataforma. La víctima, desprevenida, hará clic en el enlace y completará un formulario con información personal creyendo que así estará participando por artículos de lujo  u otras ofertas especiales. Por supuesto, los estafadores solo quieren información personal para cometer fraude de suplantación o robo de identidad.

– Estafa de los seguros: quienes venden artículos muy costosos en Facebook Marketplace pueden ser contactados por estafadores que se hacen pasar por compradores dispuestos a pagar el costo por el envío del artículo, y hasta envían una factura falsa como prueba. Solo hay un problema: piden que el vendedor pague un pequeño cargo por un supuesto seguro, que generalmente es un monto pequeño en comparación con el precio del artículo, lo que persuade al vendedor de aceptarlo.

– Ofertas engañosas: los estafadores anuncian un producto de alta calidad a un precio tentador, pero en el momento que una persona cree haber sido beneficiada le avisan que el producto ya no está disponible, aunque nunca lo haya estado, y le ofrecerán al comprador un artículo similar por un precio mucho más elevado o una alternativa inferior.

CÓMO DETECTAR ESTE TIPO DE ESTAFAS

Al igual que en ante otras modalidades de engaños en línea, la clave es mantenerse escépticos y en alerta. Para ello, ESET comparte 10 consejos muy útiles a la hora de navegar y/o comprar por Facebook Marketplace:

• Inspeccionar los artículos antes, y comprar solo a vendedores locales.
• Establecer como punto de encuentro un lugar público, bien iluminado y en lo posible durante el día.
• Revisar los perfiles de compradores/vendedores para conocer las calificaciones y mantenerse alerta si los perfiles se han creado recientemente.
• Verificar el precio de mercado de los artículos y, si hay una diferencia significativa entre este y el precio de venta, estarse atento al hecho de que puede ser falsificado, robado, defectuoso, etc.
• Tener cuidado con las ofertas y obsequios, y nunca ingresar datos personales para acceder a ellos.
• Solo usar métodos de pago confiables a través de Facebook Messenger (PayPal, Facebook Checkout), ya que ofrecen una forma de disputar un pago. Los estafadores suelen solicitar tarjetas de regalo (gift cards) así como transferencias bancarias y pagos a través de diferentes servicios.
• Mantener la conversación en Facebook: a los estafadores les gusta mudar la charla a otra plataforma donde resulta más fácil estafar a las personas, porque allí no habrá nada que respalde a la víctima.
• En caso de ser vendedor, nunca enviar artículos antes de que se haya realizado el pago.
• Cuidado con los cambios en el precio de cotización.
• No enviar códigos de verificación (2FA) a posibles compradores.
• Si sucede lo peor y hay sospechas de que ser víctima de un fraude, se debe denunciar al vendedor y reportarlo de inmediato en Facebook Marketplace.

“Por todo lo mencionado anteriormente es necesario adoptar buenas prácticas de seguridad, prestar atención a los indicios de que una oferta puede tratarse de una estafa, e informarse sobre las metodologías que utilizan los cibercriminales para perpetrar sus ataques. Así, es posible que los usuarios eviten comprarse un problema”, concluye Gutiérrez Amaya, de ESET Latinoamérica.

Fuente: Departamento de Comunicación ESET, Ecuador

Tuxedo ha anunciado su portátil nuevo Sirius 16 orientado al Linux Gaming y con una configuración totalmente basada en AMD compuesta por un procesador Ryzen 7 7840HS y una gráfica Radeon RX 7600M XT.

Desde Tuxedo reconocen lo evidente, que el Sirius 16 es un producto bastante esperado por parte de ciertos usuarios, en especial aquellos que quieran un portátil para jugar desde Linux, pero sin pasar por el duro peaje que puede llegar a ser NVIDIA y su torticero driver privativo. La presencia de una APU Ryzen como procesador es una cuestión más prescindible, pero no es menos cierto que Radeon es la opción más cómoda para jugar desde Linux, a pesar de que el gigante rojo todavía cojea en sus soluciones orientadas al sector profesional.

Profundizando en las características básicas, el AMD Ryzen 7 7840HS es una APU cuya CPU se basa en la arquitectura Zen 4, está compuesta por ocho núcleos físicos que suministran dieciséis hilos mediante SMT, trabaja a 3,8GHz como frecuencia base, alcanza hasta los 5,1GHz en modo turbo y cuenta con 16MB de caché de nivel 3 y 8MB de caché de nivel de 2. La gráfica integrada es una Radeon 780M basada en RDNA 3, por lo que en teoría la gráfica dedicada no debería ser necesaria para la ejecución de una gran cantidad de juegos, sobre todo aquellos cuya carga gráfica es baja (la mayoría de los juegos 2D hechos con Unity serían buenos candidatos).

Por su parte, la Radeon RX 7600M XT es una gráfica dedicada para portátiles basada en la arquitectura RDNA 3, con 8GB de memoria GDDR6, una interfaz de memoria de 128-bit, que funciona a una frecuencia máxima de 2300MHz, una velocidad de memoria efectiva de 18 gigabits por segundo y un TDP de 120 vatios. Linux soporta esta GPU prácticamente desde el día de lanzamiento, así que cualquier sistema que tenga el kernel y Mesa actualizados debería ofrecer una rendimiento apto para videojuegos.

La pantalla del Tuxedo Sirius 16 tiene un tamaño de 16,1 pulgadas, se basa en tecnología LED y soporta una resolución nativa de 2.560×1.440 píxeles, una tasa de refresco máxima de 165Hz, el 100% del espectro de color sRGB, un ratio de constrate de 1.000:1 y un brillo de 300 nits. Continuando con las partes externas, las dimensiones son de 36,8cm de ancho, 2,2cm de alto y 26,6cm de profundidad, el peso es de 2,3 kilogramos, el chasis es de aluminio y el marco de la pantalla es de plástico.

En lo que respecta a la memoria, el portátil soporta dos módulos de memoria RAM DDR5 a 5.600MHz y dos unidades SSD por interfaz PCIe 4 y en factor de forma M.2. Para lo primero se soporta una capacidad máxima de 96 gigabytes, mientras que para lo segundo lo máximo son 8TB.

El portátil cuenta como conexiones de red con un puerto RJ45 con soporte para Gigabit Ethernet, Bluetooth 5.2 y da a elegir para la Wi-Fi entre un módulo AMD RZ608 802.11a/b/g/n/ac/ax capaz de llegar hasta los 1.200 megabits por segundo y un Intel Wi-Fi 6 AX210 802.11a/b/g/n/ac/ax que alcanza los 2.400MHz. Siendo Tuxedo, a buen seguro que ambos módulos han sido probado a conciencia para asegurarse de que funcionan con Linux.

A nivel de puertos en el lado izquierdo hay un USB 3.2 Gen 2 Type-A, un puerto jack de 3,5mm para auriculares y altavoces y otros puerto jack para micrófonos. En el lateral derecho hay un lector de huellas dactilares que solo funciona con Windows, un USB 4.0 Gen 3×2 Type-C con soporte de DiaplayPort 1.4 y de suministro de energía y en la parte trasera están el conector RJ45, un HDMI 2.1 y un USB 3.2 Gen 2×1 Type-C.

La batería de 80Wh proporciona hasta seis horas de autonomía en trabajo de oficina y con el brillo configurado a la mitad, mientras que como salida de audio el portátil tiene implementados cuatro altavoces. Como mecanismos y módulos de seguridad están una cerradura Kensington, TPM 2.0 y la opción de inhabilitar la webcam, el audio, al Wi-Fi y el Bluetooth desde la BIOS.

El Tuxedo Sirius 16 puede ser adquirido, de manera opcional, con arranque dual con Windows o una máquina virtual con el sistema operativo de Microsoft, además de recomendarse la preinstalación de Tuxedo OS. El precio base del portátil es de 1.699 euros, que obviamente subirá conforme se mejoran las características de la unidad a comprar.

Fuente: www.muylinux.com

¿Son los ordenadores Mac tan seguros como sus propietarios creen que son? Algunas historias recientes sobre malware dirigidos a usuarios de macOS.

Muchos usuarios de Apple creen que el sistema operativo macOS es tan seguro que ninguna ciberamenaza puede hacerles daño, por lo que no deben preocuparse por proteger sus dispositivos. Sin embargo, esto está lejos de ser el caso: si bien hay menos malware para macOS, sigue siendo mucho más común de lo que los propietarios de dispositivos Apple piensan.

En esta publicación, analizamos las amenazas actuales que enfrentan los usuarios de macOS y cómo proteger de manera efectiva tu Mac. Para ilustrar el hecho de que los virus para macOS existen, veremos tres estudios recientes sobre varias familias de malware que se han publicado durante las últimas semanas.

BlueNoroff ataca a los usuarios de macOS y roba criptomonedas

A finales de octubre de 2023, nuestros investigadores descubrieron un nuevo troyano para macOS que se cree que está asociado con BlueNoroff, el “área comercial” del grupo de APT Lazarus que trabaja para Corea del Norte. Este subgrupo se especializa en ataques financieros y se centra específicamente en dos cosas: en primer lugar, los ataques al sistema SWIFT, incluido el notorio atraco al Banco Central de Bangladesh, y, en segundo lugar, el robo de criptomonedas a organizaciones e individuos.

El descargador de troyanos para macOS descubierto se distribuye dentro de archivos comprimidos maliciosos. Está disfrazado como un documento PDF titulado “Criptoactivos y sus riesgos para la estabilidad financiera”, con un icono que imita una vista previa de este documento.

Portada del PDF engañoso que el troyano descarga y muestra al usuario al abrir el archivo desde un archivo comprimido infectado.Fuente

Una vez que el usuario hace clic en el troyano (disfrazado de PDF), se ejecuta un script que descarga el documento PDF correspondiente de Internet y lo abre. Pero, por supuesto, eso no es todo lo que sucede. La principal tarea del troyano es descargar otro virus, que recopila información sobre el sistema infectado, la envía al C2 y luego espera un comando para realizar una de dos acciones posibles: autoeliminarse o guardarse en un archivo y ejecutar un código malicioso enviado en respuesta desde el servidor.

Troyano proxy en software pirateado para macOS

A fines de noviembre de 2023, nuestros investigadores descubrieron otra instancia de malware que amenaza a los usuarios de Mac: un troyano proxy, distribuido junto con el software pirateado para macOS. Específicamente, este troyano se añadió a los archivos PKG de programas de edición de video, herramientas de recuperación de datos, utilidades de red, convertidores de archivos y varios otros programas de software. La lista completa de instaladores infectados descubiertos por nuestros expertos se puede encontrar al final del informe publicado en Securelist.

Como se mencionó anteriormente, este malware pertenece a la categoría de troyanos proxy: malware que configura un servidor proxy en el ordenador infectado, esencialmente creando un host para redirigir el tráfico de Internet. Posteriormente, los ciberdelincuentes pueden usar esos dispositivos infectados para construir una red de pago de servidores proxy y ganar dinero de aquellos que buscan tales servicios.

Alternativamente, los propietarios del troyano podrían usar directamente los equipos infectados para llevar a cabo actividades delictivas en nombre de la víctima, ya sea atacando sitios web, empresas u otros usuarios, o comprando armas, drogas u otros productos ilegales.

Programa de robo Atomic en actualizaciones falsas del navegador Safari

También en noviembre de 2023, se descubrió una nueva campaña maliciosa para propagar otro troyano para macOS, conocido como Atomic y perteneciente a la categoría de programas de robo. Este tipo de malware busca, extrae y envía a sus creadores todo tipo de información valiosa que se encuentra en el ordenador de la víctima, en particular, los datos guardados en los navegadores. Los inicios de sesión y las contraseñas, los datos de la tarjeta bancaria, las claves de la billetera criptográfica, y otra información confidencial similar son de particular valor para los programas de robo.

El troyano Atomic se descubrió y describió por primera vez en marzo de 2023. Lo nuevo es que ahora los atacantes han comenzado a usar actualizaciones falsas para los navegadores Safari y Chrome con el fin de propagar el troyano Atomic. Estas actualizaciones se descargan de páginas maliciosas que imitan de manera muy convincente los sitios web originales de Apple y Google.

Un sitio con actualizaciones falsas del navegador Safari que en realidad contienen el programa de robo Atomic.Fuente

Una vez que se ejecuta en un sistema, el troyano Atomic intenta robar la siguiente información del ordenador de la víctima:

• Cookies
• Inicios de sesión, contraseñas y datos de la tarjeta bancaria almacenados en el navegador
• Contraseñas del sistema de almacenamiento de contraseñas de macOS (llavero)
• Archivos almacenados en el disco duro
• Datos almacenados de más de 50 extensiones de criptomonedas populares

Vulnerabilidades de día cero en macOS

Desafortunadamente, incluso si no descargas ningún archivo sospechoso, evitas abrir archivos adjuntos de fuentes desconocidas y, en general, te abstienes de hacer clic en nada sospechoso, esto no garantiza tu seguridad. Es importante recordar que cualquier software siempre tiene vulnerabilidades que los atacantes pueden aprovechar para infectar un dispositivo y que requieren poca o ninguna acción del usuario. Y el sistema operativo macOS no es una excepción a esta regla.

Recientemente, se descubrieron dos vulnerabilidades de día cero en el navegador Safari y, según el anuncio de Apple, los ciberdelincuentes ya las estaban aprovechando cuando las descubrieron. Simplemente atrayendo a la víctima a una página web maliciosa, los atacantes pueden infectar su dispositivo sin ninguna acción adicional del usuario, y obtener así el control sobre el dispositivo y la capacidad de robar datos de este. Estas vulnerabilidades son relevantes para todos los dispositivos que utilizan el navegador Safari y suponen una amenaza tanto para los usuarios de iOS y iPadOS como para los propietarios de Mac.

Este es un escenario común: como los sistemas operativos de Apple comparten muchos componentes, las vulnerabilidades a menudo se aplican no solo a uno de los sistemas operativos de la empresa, sino a todos ellos. Por lo tanto, se trata de un caso de Mac que es traicionado por la popularidad del iPhone: los usuarios de iOS son los principales objetivos, pero estas vulnerabilidades se pueden usar con la misma facilidad para atacar a macOS.

En 2023 se descubrieron un total de 19 vulnerabilidades de día cero en los sistemas operativos de Apple que se sabe que han sido aprovechadas activamente por los atacantes. De estos, 17 eran usuarios afectados de macOS, incluidos más de una docena con estado de alto riesgo y uno clasificado como crítico.

Vulnerabilidades de día cero en macOS, iOS y iPadOS descubiertas en 2023, que fueron aprovechadas activamente por los ciberdelincuentes.

Otras amenazas y cómo proteger tu Mac

Lo que es importante recordar es que existen numerosas ciberamenazas que no dependen del sistema operativo pero que no pueden ser menos peligrosas que el malware. En particular, presta atención a las siguientes amenazas:

• Sitios web falsos y de phishing . Los correos electrónicos y los sitios web de phishing funcionan de la misma manera tanto para los usuarios de Windows como para los propietarios de Mac. Lamentablemente, no todos los correos electrónicos y sitios web falsos son fácilmente reconocibles, por lo que incluso los usuarios experimentados a menudo se enfrentan al riesgo de que les roben sus credenciales de inicio de sesión.
• Amenazas web, incluidos los skimmers web. El malware puede infectar no solo el dispositivo del usuario, sino también el servidor con el que se comunica. Por ejemplo, los atacantes a menudo piratean sitios web mal protegidos, especialmente tiendas en línea, e instalan skimmers web en ellos. Estos pequeños módulos de software están diseñados para interceptar y robar datos de tarjetas bancarias introducidos por los visitantes.
• Extensiones de navegador maliciosas. Estos pequeños módulos de software se instalan directamente en el navegador y funcionan dentro de él, por lo que no dependen del sistema operativo que se utilice. A pesar de ser aparentemente inofensivas, las extensiones pueden hacer mucho: leer el contenido de todas las páginas visitadas, interceptar la información ingresada por el usuario (contraseñas, números de tarjeta, claves de billeteras criptográficas) e incluso reemplazar el contenido de la página que se muestra.
• Interceptación de tráfico y ataques de intermediario(MITM). La mayoría de los sitios web modernos utilizan conexiones cifradas (HTTPS), pero, a veces, puedes encontrarte con sitios HTTP donde el intercambio de datos puede ser interceptado. Los ciberdelincuentes utilizan dicha interceptación para lanzar ataques MITM, lo que presenta a los usuarios páginas falsas o infectadas en lugar de legítimas.

Para proteger tu dispositivo, las cuentas de servicio en línea y, lo que es más importante, la información valiosa que contienen, es fundamental utilizar una protección integral tanto para ordenadores Mac como para iPhone y iPad. Dicha protección debe poder contrarrestar toda la gama de amenazas, por ejemplo, soluciones como nuestra [placeholder Kaspersky Premium], cuya eficacia ha sido confirmada por numerosos premios de laboratorios de pruebas independientes.

Fuente: www.latam.kaspersky.com

La Política Nacional de Ciberseguridad 2023-2028 entró en vigencia como medida para robustecer la ciberseguridad en el país y abordar los desafíos actuales en seguridad de la información.

Cómo los atacantes usan archivos infectados y extensiones de navegadores maliciosas para robar cuentas de Facebook Business.

Nuestros investigadores han descubierto una nueva versión de la familia del malware Ducktail que está especializada en el robo de cuentas de Facebook Business. Los cibercriminales la están utilizando para atacar a empleados de compañías que ocupan o puestos importantes en la compañía o trabajan en las áreas de Recursos Humanos, marketing digital o marketing en redes sociales. Y tiene sentido ya que su objetivo final es secuestrar las cuentas corporativas de Facebook, así que los atacantes están interesados en las personas que con más probabilidad pueden tener acceso a ellas. Vamos a explicar cómo los atacantes ejecutan estos ataques, por qué son inusuales y, por supuesto, cómo protegerse de ellos.

Cebo y carga maliciosa

Los cibercriminales detrás de Ducktail mandan archivos maliciosos a sus víctimas. Para bajar la vigilancia del destinatario, los archivos contienen cebos en forma de imágenes o archivos de vídeo sobre un tema común. Por ejemplo, en la campaña más reciente, de marzo a principios de octubre de 2023, la temática era la moda: enviaban correos electrónicos en nombre de grandes marcas de la industria con archivos que contenían fotos de modelos de ropa.

Sin embargo, dentro de estos archivos se encontraban otros ejecutables disfrazados de archivos PDF. Estos archivos tenían un icono de PDF y unos nombres muy largos para desviar la atención de la víctima de la extensión EXE e incitar al destinatario a abrir el falso PDF para ver el contenido de este.  En esta campaña temática sobre moda, los nombres hacían referencia a “guías y requisitos para candidatos”, pero otros cebos tipo eran listas de precios, ofertas comerciales y etc.

Los archivos maliciosos Ducktail parecen contener un fichero PDF cuando realmente se trata de una extensión EXE.

Al hacer clic en el archivo con la extensión EXE camuflada, se ejecuta un script malicioso en el dispositivo de destino. En primer lugar, muestra el contenido de un PDF, incrustado en el código de malware, para que la víctima no sea consciente de lo que está ocurriendo. Al mismo tiempo, el malware escanea todos los accesos directos del escritorio, el menú Inicio y la barra de Inicio rápido. El objetivo de la búsqueda son los accesos directos a navegadores basados en Chromium, como Google Chrome, Microsoft Edge, Vivaldi, Brave… Cuando encuentra uno de ellos, el malware lo altera añadiendo un comando para instalar una extensión en el navegador, que está incluido también en el archivo ejecutable. Cinco minutos después de ser ejecutado, el script malicioso termina el proceso del navegador, solicitando al usuario que reinicie utilizando el acceso directo ya modificado.

Extensión maliciosa en el navegador

Cuando el usuario hace clic en el acceso directo, la extensión maliciosa se instala en el navegador, donde se disfraza de Documentos de Google sin Conexión, usando el mismo icono y la misma descripción. Aunque esto último solo en inglés, lo que puede desvelar el engaño.

La extensión maliciosa se disfraza de Documentos de Google sin Conexión (izquierda) y la verdadera extensión de Documentos de Google sin Conexión en el navegador de Google Chrome.

Una vez instalados y en ejecución, la extensión maliciosa empieza a monitorizar todas las pestañas que vaya abriendo el usuario en el navegador y a enviar información sobre ellas al servidor C2 de los atacantes. Si encuentra una dirección asociada a Facebook en una de las pestañas abiertas, la extensión maliciosa comprueba si se trata de una cuenta publicitaria o de un Business Manager para intentar secuestrarlas.

La extensión roba información de las cuentas de Facebook en las que se ha iniciado sesión en el dispositivo de la víctima, así como de las cookies de las sesiones activas en el navegador, que pueden usare para iniciar sesión en las cuentas sin autenticación.

El grupo detrás de este malware parece estar activo desde 2018. Diversos equipos de investigación creen que es de origen vietnamita. La distribución de Ducktail por parte de este grupo se remonta a 2021.

Cómo protegerse Ducktail

Para protegerse de Ducktail y de amenazas similares, los empleados deben tener buenos hábitos de ciberhigiene. En concreto:

• Nunca deben descargar archivos sospechosos en los ordenadores de trabajo cuando estos provengan de fuentes no fiables.
• Antes de abrir cualquier archivo, revisar con atención las extensiones de los que se hayan descargado de internet o de correos electrónicos.
• No hacer clic en archivos que parezcan inofensivos pero que tengan la extensión EXE. Y es que ésta es una clara señal de que se trata de un malware.
• Y siempre instalar protección fiable en todos los dispositivos de trabajo. Esto le avisará de amenazas potenciales y le protegerá de cualquier ataque. Nuestras soluciones detectan esta amenaza en el veredictoWin64.Ducktail.gen.

Fuente: latam.kaspersky.com