Tag malware

Analizamos una campaña que suplanta la identidad de DeepSeek para distribuir malware a través de sitios que imitan al oficial.

En los últimos días, luego del lanzamiento de DeepSeek, se detectó una campaña de distribución de malware a través de sitios falsos que imitan al oficial de esta herramienta de inteligencia artificial generativa open source. Así, una vez más los cibercriminales muestran cómo aprovechan temas o eventos de interés masivo.

La web maliciosa, reportada por el usuario de X @g0njxa ,tiene un diseño es muy similar al sitio legítimo, pero detalles como la URL o la opción de descargar una app delatan su falsedad. Por eso es tan relevante siempre observar bien la URL y chequear su veracidad. La mejor opción es tipear por ti mismo letra a letra.

Diferencias entre el sitio real y el falso

En el sitio oficial, el botón principal dice «Start Now», ya que DeepSeek se usa directamente en la web.

Imagen 1: Web oficial de DeepSeek

En el sitio falso, el botón dice «Download Now» y eso implica la descarga de un archivo que como veremos es malicioso, mientras que DeepSeek no precisa de instalación; cualquier sitio que solicite una descarga representa un posible riesgo.

Imagen 2: Sitio falso con alta similitud con el oficial.

En cuanto al sitio apócrifo, según el mismo usuario de X, el dominio de esta URL es usado por otros sitios que impersonan diversos software para distribuir el mismo malware. Este dominio utiliza la firma digital que supuestamente proviene de una empresa llamada «K.MY TRADING TRANSPORT COMPANY LIMITED» para intentar que parezca un archivo legítimo y evitar ser detectado por sistemas de seguridad.

Imagen 3: Captura de tweet del usuario @g0njxa

Descarga del archivo malicioso

Si un usuario hace clic en el botón del sitio falso, se descarga un archivo ejecutable (.exe) con el nombre de DeepSeek.

En la telemetría de ESET, este archivo es detectado como Win32/Packed.NSIS.A y, hasta el momento, se ha registrado esta actividad en China, Rusia y otros países de Europa. De todas formas, sirve como advertencia, ya que este tipo de campañas aprovechándose de la creciente popularidad de esta nueva herramienta podrían verse en otras partes del mundo o incluso en América Latina. Por lo tanto, se recomienda precaución al acceder a herramientas en línea

Recomendaciones

Para evitar descargar archivos maliciosos o ingresar credenciales en sitios fraudulentos, se sugiere:

1. Verificar la URL antes de acceder o ingresar datos.

2. Evitar descargas innecesarias en herramientas que funcionan desde la web.

3. Usar soluciones de seguridad para analizar archivos antes de ejecutarlos.

4. Consultar fuentes confiables para conocer posibles riesgos y campañas activas.

El monitoreo de este tipo de campañas permite identificar patrones y prevenir incidentes relacionados con la distribución de malware.

Fuente: www.welivesecurity.com

Un repaso por las amenazas más detectadas en la telemetría de ESET en el primer semestre de 2024, en la región latinoamericana. Conoce los detalles en este artículo.

Las constantes amenazas en el ciberespacio están tomando un papel cada vez más crítico y América Latina no es la excepción. Hasta hace unas semanas habíamos presentado el reporte de 12 datos sobre el estado de la ciberseguridad de las empresas de LATAM, donde se da una perspectiva general sobre cómo las empresas y organismos de la región ven la ciberseguridad desde sus trincheras, cuáles son las amenazas más comunes y qué están haciendo para mitigarlas.

En este post se detallarán las amenazas más activas en lo que va el primer semestre del 2024, y veremos cómo muchas de ellas siguen siendo tendencia a pesar del paso del tiempo, destacando la importancia de estar conscientes y preparados ante este tipo de riesgos.

Top 5 de países con mayores amenazas detectadas

Para comenzar, podemos nombrar que entre el top 5 de los países con mayores amenazas detectadas por nuestra telemetría, Perú se ubicó en el primer lugar, seguido de México, Ecuador, Brasil y Argentina.

Imagen 1: Detecciones únicas discriminadas por país.

El malware que se distribuye en la región en la primera mitad del 2024 da una media de 2.6 millones de muestras únicas, entre las cuales se incluyen inyectores, troyanos, downloaders, gusanos, exploits, backdoors, spyware, rookits y droppers.

El phishing pese a ser de las técnicas de ingeniería más usadas desde hace más de 20 años, sigue teniendo un impacto enorme en el mundo de la ciberseguridad y desde nuestra telemetría hemos identificado casi 2 millones de muestras únicas que llegan a toda la región, que va desde México y se extiende hasta Argentina, siendo más específicos las muestras únicas en este primer semestre son de 1,874,913.

Distribución de software más explotado

El sistema operativo que sigue siendo más explotado por parte de los ciberdelincuentes es Windows, en sus diferentes arquitecturas, incluso muchos de ellos sin ya un soporte oficial extendido por parte del fabricante. Aunque Windows encabeza el software más amenazado, también hay otros que son el objetivo de estos maleantes.

Imagen 2: Distribución de software más explotado en primer semestre 2024

Familias más detectadas en el primer semestre del 2024

El primer lugar de los códigos maliciosos que se observan por parte de nuestra telemetría son los denominados “injector”, es decir, aquellos que buscan insertar código malicioso en los procesos legítimos del sistema, para realizar diversas acciones como el descargar algún malware adicional cuya capacidad pueda monitorear las actividades de la víctima o controlar el equipo remotamente.

En segundo lugar, contamos con el troyano llamado “Kryptik” cuyo primer vector de infección son archivos maliciosos adjuntos que puede llegar por correo electrónico, software pirata y falsos asistentes de actualización y al igual que otras variantes su principal objetivo es obtener información financiera de las víctimas, suplantar su identidad para generar estafas más eficientes y añadir el dispositivo infectado a una botnet.

Y en el top 3 tenemos al malware llamado “Expiro”, este gusano afecta a los sistemas operativos Windows, cuando el dispositivo es infectado para a formar parte de una botnet, además sus principales tareas son el robo de información de sus víctimas, también buscan emplear los recursos del equipo para poder generar ataques de denegación de servicio (DoS)

Detecciones únicas por tipo de malware

En este semestre se han detectado las siguientes muestras únicas por tipo de malware en LATAM:

Imagen 3: Muestras únicas por tipo de malware.

Vulnerabilidades más explotadas en el primer semestre 2024

1. Win/Exploit.CVE-2012-0143

Este exploit se aprovecha de una vulnerabilidad de Microsoft Excel que permite la ejecución remota de código arbitrario. Esto significa que un atacante remoto puede ejecutar código malicioso en un equipo vulnerable. Este fallo de seguridad fue descubierto en 2012 y desde entonces se ha detectado actividad intentando aprovecharlo en todos los países de Latinoamérica.

2. Win/Exploit.CVE-2012-0159

Esta detección corresponde a un exploit que abusa de una vulnerabilidad en Microsoft Windows que también permite acceder remotamente y sin necesidad de autenticación a un sistema vulnerable. El fallo se descubrió en 2012 y fue utilizado, por ejemplo, en campañas de ransomware icónicas como las de “Petya” y “NotPetya” años atrás. Sin embargo, sigue siendo utilizada por actores maliciosos.

3. JS/Exploit.CVE-2021-26855

Se trata de un exploit para la CVE-2021-26855, una vulnerabilidad que afecta a Microsoft Internet Explorer descubierta en 2021 que permite a un atacante tener acceso remoto, sin necesidad de autenticación, a un sistema vulnerable. Si bien el hallazgo de esta vulnerabilidad no tiene mucho tiempo, se ha intentado aprovechar en campañas maliciosas que llegaron a varios países de Latinoamérica.

4. Win/Exploit.CVE-2017-11882

Este exploit aprovecha una vulnerabilidad de Microsoft Office que permitir al atacante acceder remotamente a un sistema vulnerable sin necesidad de autenticación. Fue descubierta en 2017 y los intentos de explotación de este fallo se han observado en varios países de Latinoamérica, principalmente en Argentina, Colombia, Chile y México. Esta vulnerabilidad fue muy utilizada en las campañas de ransomware conocidas como “WannaCry” y “Goldeneye” entre abril y mayo de 2017 en Latinoamérica. Esta vulnerabilidad sigue siendo de las más explotadas en correos de toda Latinoamérica, en el post podemos ver algunos ejemplos de campañas de phishing que se aprovechan de esta.

5. Win/Exploit.CVE-2016-3316

Se trata de un exploit que abusa de la ejecución de código remoto en Microsoft Office cuando este no puede manejar correctamente los objetos en la memoria. Un atacante puede ejecutar código arbitrario con los permisos del usuario actual, es decir, si este usuario ha iniciado sesión con permisos de administrador, el atacante podría tomar el control del sistema afectado instalando programas, viendo, cambiando o eliminando datos; o crear nuevas cuentas con permisos de administrador para otros usuarios.

Conclusión

Con este panorama del primer semestre, donde observamos que existen amenazas que emplean técnicas de ingeniería social muy conocidas y que muchas se aprovechan de vulnerabilidades que tienen más de 10 años existiendo, podemos reforzar la importancia de que las empresas implementen una adecuada política de seguridad en la que la concientización y capacitación en ciberseguridad sean de los pilares fundamentales, junto con la actualización permanente para contar con parches de seguridad que reduzcan el riesgo de explotación de vulnerabilidades antiguas.

Fuente: www.welivesecurity.com

Ecuador ­– La IA Generativa (GenAI) está causando furor en todo el mundo. ESET, compañía líder en detección proactiva de amenazas, advierte que su popularidad y uso generalizado también han atraído la atención de los ciberdelincuentes, y ha dado lugar a ciberamenazas que giran en torno a ella, o en cómo la tecnología puede utilizarse indebidamente para ayudar a los estafadores a crear mensajes de phishing convincentes, producir código malicioso o buscar vulnerabilidades.

¿Cómo utilizan la GenAI como señuelo? Los ciberdelincuentes tienen varias formas de engañar a los usuarios para que instalen malware disfrazado de aplicaciones GenAI. ESET comparte algunos ejemplos

Sitios de phishing: En la segunda mitad de 2023, ESET bloqueó más de 650.000 intentos de acceso a dominios maliciosos que contenían «chapgpt» o un texto similar. Es probable que las víctimas hayan llegado allí después de hacer clic en un enlace en las redes sociales, o de un mensaje de correo electrónico/móvil. Estas páginas de phishing pueden contener enlaces que instalen malware disfrazado de software GenAI.

Extensiones del navegador web: El informe de amenazas H1 2024 de ESET detalla una extensión de navegador maliciosa distribuida a través de anuncios de Facebook que prometían llevar al sitio web oficial de Sora de OpenAI o Gemini de Google. Aunque la extensión se hace pasar por Google Translate, en realidad es un infostealer, diseñado para obtener las credenciales de Facebook de los usuarios.

Desde agosto de 2023, la telemetría de ESET registró más de 4.000 intentos de instalar la extensión maliciosa. Otras extensiones maliciosas afirman ofrecer funcionalidades GenAI, y en realidad pueden hacerlo de forma limitada, así como entregar malware, según Meta.

Aplicaciones falsas: Varios informes muestran aplicaciones GenAI falsas publicadas en tiendas de aplicaciones móviles, muchas que contenían malware. Algunas cargadas de software malicioso diseñado para robar información confidencial del dispositivo del usuario, como credenciales de inicio de sesión, datos de identificación personal, información financiera y mucho más.

Anuncios maliciosos: Los actores maliciosos aprovechan las herramientas GenAI para engañar a los usuarios y que hagan clic en anuncios maliciosos. Este tipo de anuncios en Facebook son especialmente frecuentes, Meta advirtió el año pasado que muchas de estas campañas están diseñadas para comprometer a “empresas con acceso a cuentas de anuncios en todo Internet”.

Los delincuentes secuestran una cuenta o página legítima, cambian la información del perfil para que parezca una página auténtica de ChatGPT u otra página de la marca GenAI, y luego utilizan las cuentas para publicar anuncios falsos. Estos anuncios ofrecen enlaces a la última versión de las herramientas GenAI, pero en realidad despliegan malware de robo de información, según investigadores.

Desde ESET aseguran que como usuarios es muy común caer en este tipo de trucos, sobre todo si se tiene prisa, o si se ve el contenido directamente desde un dispositivo móvil. En lo que respecta a la GenAI, los creadores de malware son cada vez más sofisticados. Utilizan múltiples canales para difundir sus mentiras. Y disfrazan el malware de todo, desde ChatGPT y el creador de vídeos Sora AI, hasta el generador de imágenes Midjourney, DALL-E y el editor de fotos Evoto. Muchas de las versiones que promocionan aún no están disponibles, lo que atrae a la víctima: «ChatGPT 5» o «DALL-E 3», por ejemplo. Se aseguran de que el malware siga volando bajo el radar y dedican mucho tiempo y esfuerzo a asegurarse de que sus señuelos (como los anuncios de Facebook) tengan el aspecto adecuado”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Algunas buenas prácticas probadas y comprobadas que mantendrán a los usuarios lejos de las amenazas GenAI, según ESET, son las siguientes:

• Instalar solo aplicaciones de tiendas oficiales: Google Play y Apple App Store cuentan con rigurosos procesos de selección y supervisión periódica para eliminar las aplicaciones maliciosas. No descargar aplicaciones de sitios web de terceros o de fuentes no oficiales, ya que es mucho más probable que alojen productos maliciosos.

• Comprobar los desarrolladores de las aplicaciones y las reseñas del software: Antes de descargar una aplicación, verificar las credenciales del desarrollador, buscar otras aplicaciones que haya desarrollado y leer los comentarios de los usuarios. Las aplicaciones sospechosas suelen tener descripciones mal redactadas, un historial de desarrollo limitado y comentarios negativos que ponen de manifiesto problemas.

• Desconfiar de los anuncios digitales: Los anuncios digitales, especialmente en plataformas de redes sociales como Facebook, pueden ser un vector habitual de distribución de aplicaciones maliciosas. En lugar de hacer clic en los anuncios, buscar directamente la aplicación o herramienta en la tienda oficial de aplicaciones.

• Comprobar las extensiones del navegador web antes de instalarlas: Las extensiones del navegador web pueden plantear riesgos para la seguridad, pero antes de instalar alguna comprobar los antecedentes del desarrollador y leer las reseñas. Usar solo extensiones con calificaciones altas y de desarrolladores conocidos.

• Utilizar un software de seguridad completo de un proveedor de confianza: Asegurarse de tener instalado un software de seguridad de un proveedor de confianza. Esto proporciona protección en tiempo real contra el malware, los intentos de phishing y otras amenazas en línea.

• Ser consciente del phishing: Tener cuidado con los mensajes no solicitados que invitan a hacer clic en enlaces o a abrir archivos adjuntos. Verificar la identidad del remitente antes de interactuar con cualquier mensaje de correo electrónico, de texto o de redes sociales.

• Activar la autenticación multifactor (MFA) en todas las cuentas en línea: La autenticación multifactor añade una capa extra de seguridad a las cuentas online al requerir múltiples métodos de verificación. Habilitar la MFA siempre que sea posible, de esta forma se protegen las cuentas incluso si la contraseña se ve comprometida.

• Mantener alerta: Los ciberdelincuentes no pueden resistirse a aprovechar el entusiasmo que despiertan los nuevos lanzamientos. Si se observa una oferta para descargar una nueva versión de una herramienta GenAI, verificar su disponibilidad a través de los canales oficiales antes de proceder. Consultar el sitio web oficial o fuentes de noticias de confianza para confirmar el lanzamiento.

Fuente: Departamento de Comunicación. ESET Ecuador

¿Puedes ser víctima de malware cuando descargas archivos de los repositorios de Microsoft en GitHub? Resulta que sí. ¡Mantente alerta!

Uno de los consejos de seguridad más antiguos es: “Descarga solo software de fuentes oficiales”. Por lo general, las “fuentes oficiales” son las principales tiendas de aplicaciones de cada plataforma, pero para millones de aplicaciones de código abierto útiles y gratuitas, la fuente más “oficial” es el repositorio del desarrollador en un sitio especializado como GitHub o GitLab. Allí, puedes encontrar el código fuente del proyecto, las correcciones y las incorporaciones al código y, a menudo, una compilación de la aplicación lista para usar. Cualquiera que tenga el más mínimo interés en ordenadores, software y programación conoce estos sitios. Por eso fue un descubrimiento desagradable para muchas personas (incluidas las especialistas en seguridad de TI y los propios desarrolladores) que un archivo al que se puede acceder con un enlace como github{.}com/{User_Name}/{Repo_Name}/files/{file_Id}/{file_name} podría ser publicado por otra persona que no sea el desarrollador y contener cualquier cosa.

Por supuesto, los ciberdelincuentes se aprovecharon de esto inmediatamente.

Desglosemos el problema

GitHub y su pariente cercano GitLab se construyen en torno a la colaboración en proyectos de desarrollo de software. Un desarrollador puede cargar su código y otros pueden ofrecer incorporaciones, correcciones o incluso crear bifurcaciones, que son versiones alternativas de la aplicación o biblioteca. Si un usuario encuentra un error en una aplicación, puede informarlo al desarrollador mediante un informe del problema. Otros usuarios pueden confirmar el problema en los comentarios. También puedes escribir comentarios sobre nuevas versiones de la aplicación. Si es necesario, puedes adjuntar archivos a los comentarios, como capturas de pantalla que muestran el error o documentos que hacen que la aplicación falle. Estos archivos se almacenan en servidores de GitHub mediante enlaces del tipo que describimos anteriormente.

Sin embargo, GitHub tiene una peculiaridad: si un usuario prepara un comentario y carga los archivos adjuntos, pero no hace clic en “Publicar”, la información permanece “atascada” en el borrador y es invisible tanto para el propietario de la aplicación como para otros usuarios de GitHub. Sin embargo, se crea un enlace directo completamente funcional al archivo cargado en el comentario y cualquiera que lo abra recibe el archivo de la CDN de GitHub.

Se genera un enlace de descarga para un archivo malicioso después de que el archivo se añade a un comentario no publicado en GitHub.

Mientras tanto, los propietarios del repositorio donde se publica este archivo en los comentarios no pueden eliminarlo ni bloquearlo. ¡Ni siquiera se enteran! Tampoco hay una configuración para restringir la carga de dichos archivos para el repositorio en su conjunto. La única solución es desactivar los comentarios por completo (en GitHub, puedes hacerlo por hasta seis meses), pero eso privaría a los desarrolladores de recibir comentarios.

El mecanismo de comentarios de GitLab es similar, lo que permite que se publiquen archivos a través de borradores de comentarios. Se puede acceder a los archivos a través de un enlace como gitlab.com/{User_Name}/{Repo_Name}/uploads/{file_Id}/{file_name}.

Sin embargo, el problema en este caso se mitiga un poco por el hecho de que solo los usuarios de GitLab registrados y conectados pueden cargar archivos.

Un regalo para las campañas de phishing

Gracias a la capacidad de publicar archivos arbitrarios en enlaces que comienzan con GitHub/GitLab y que contienen los nombres de desarrolladores respetados y proyectos populares (ya que se puede dejar un comentario no publicado con un archivo en casi cualquier repositorio), los ciberdelincuentes tienen la oportunidad de realizar ataques de phishing muy convincentes. En los repositorios de Microsoft ya se han descubierto campañas maliciosas en las que se dejan “comentarios”, que supuestamente contienen aplicaciones de trucos para juegos.

Un usuario atento podría preguntarse por qué habría trucos de un juego en el repositorio de Microsoft: https://github{.}com/microsoft/vcpkg/files/…../Cheat.Lab.zip. Pero es mucho más probable que las palabras clave “GitHub” y “Microsoft” tranquilicen a la víctima, que no examinará demasiado el enlace. Los delincuentes más inteligentes pueden disfrazar su malware con más cuidado, por ejemplo, presentándolo como una nueva versión de una aplicación distribuida a través de GitHub o GitLab y publicando enlaces a través de “comentarios” en esa aplicación.

Cómo protegerte del contenido malicioso en GitHub y GitLab

Este error de diseño aún no se ha corregido y cualquiera puede cargar archivos arbitrarios libremente en la CDN de GitHub y GitLab, por lo que los usuarios de estas plataformas deben tener mucho cuidado.

• No descargues archivos de enlaces directos de GitHub/GitLab que encuentres en fuentes externas: otros sitios web, correos electrónicos o chats. En su lugar, abre la página del proyecto (github{.}com/{User_Name}/{Repo_Name} o gitlab{.}com/{User_Name}/{Repo_Name}) y asegúrate de que realmente puedas descargar el archivo desde allí. Los archivos oficiales de los desarrolladores deben estar publicados y aparecer en el repositorio.
• Asegúrate de estar en la página de desarrollador correcta: en GitHub, GitLab y otros repositorios de código abierto, los ataques de typosquatting son comunes: la creación de proyectos falsos con nombres que difieren del original en una o dos letras (por ejemplo, Chaddev en lugar de Chatdev).
• Evita descargar aplicaciones que tengan pocas estrellas (me gusta) y que hayan sido creadas recientemente.
• Usa la protección contra malware y phishing en todos tus ordenadores y teléfonos inteligentes. Kaspersky Premium proporciona una protección integral para jugadores y entusiastas de la informática.

Fuente: latam.kaspersky.com

¿Virus en Linux? De todo hay en la viña del Señor, pero no los llames virus, llámalos malware, que es lo que se lleva ahora. La cuestión es ¿hay que preocuparse de estas cosas en Linux? Lo cierto es que hay opiniones para todos los gustos, aunque no todas las opiniones tengan el mismo valor. Sea como fuere, he aquí una nueva herramienta que quizás te interese conocer.

La veterana firma de seguridad acaba de anunciar el lanzamiento de una aplicación contra el malware para sistemas Linux, dirigida tanto para el ámbito del escritorio como del servidor: Kaspersky Virus Removal Tool (KVRT), una utilidad básica que, advierten, «no puede monitorear ataques en tu ordenador o servidor en tiempo real», sino que «permite escanear sistemas Linux en busca de ciberamenazas conocidas».

KVRT es una herramienta de búsqueda y limpieza, no de protección, por lo que no sustituye las buenas prácticas en materia de privacidad, imprescindibles también en Linux; pero tampoco te va a consumir los recursos del equipo solo por estar ahí, a la espera de que aparezca alguna amenaza. En este sentido, funciona de manera similar a ClamAV, el antivirus libre: bajo demanda.

KVRT dispone de interfaz gráfica y por consola y permite escanear diferentes parámetros como la memoria, los procesos en el arranque y otros, además de directorios y archivos, incluyendo archivos comprimidos. Tiene una sección de cuarentena, otra con los informes de los análisis… y poco más. Por no tener, no tiene ni sistema de actualización, de manera que tendrás que actualizar la propia aplicación para mantenerla al día.

Si quieres probarlo, puedes descargar KVRT en ese enlace. El ejecutable es un genérico que funcionará en la mayoría de distribuciones, aunque para más datos tienes esta página de información donde se indican los requisitos de hardware y software. Para ejecutar la aplicación tienes que darle permisos y demás, tal y como se indica en las instrucciones (es muy sencillo).

Por supuesto, Kaspersky Virus Removal Tool es una herramienta de código cerrado, pero viene de una compañía bien conocida en el sector y es totalmente gratuita, pese a que sus carencias son también destacadas (que no actualice su base de datos y obligue a descargar la aplicación… A ver si lo arreglan). En todo caso, es una alternativa que te puede interesar conocer.

Fuente: www.muylinux.com

Los archivos PDF se han convertido en un formato comúnmente utilizado para compartir documentos debido a su versatilidad y capacidad para mantener el formato en diferentes dispositivos. Sin embargo, esta popularidad también los convierte en un objetivo atractivo para los ciberdelincuentes. Los archivos PDF pueden esconder peligros que van más allá de lo que la mayoría de las personas sospecha, ya que pueden contener malware diseñado para espiarte y comprometer tu seguridad. 

¿Por qué los archivos PDF son un objetivo?

Los archivos PDF son preferidos para compartir documentos importantes como contratos, facturas, y reportes debido a su capacidad de preservar el diseño y contenido original. Sin embargo, su estructura compleja permite la inclusión de scripts y enlaces, que pueden ser explotados por los atacantes para inyectar malware. Esta combinación de alta adopción y capacidad técnica hace que los archivos PDF sean un medio ideal para distribuir software malicioso.

Cómo los archivos PDF pueden contener malware

1. JavaScript Incrustado

Los archivos PDF pueden incluir scripts en JavaScript que se ejecutan automáticamente al abrir el documento. Los atacantes pueden aprovechar esta característica para incluir código malicioso que se ejecuta en el dispositivo de la víctima, descargando y ejecutando malware sin el conocimiento del usuario.

2. Enlaces Maliciosos

Los PDF pueden contener enlaces a sitios web. Los atacantes pueden incrustar enlaces a sitios maliciosos que, al ser clickeados, pueden descargar malware o dirigir al usuario a páginas de phishing diseñadas para robar información personal y financiera.

3. Explotación de Vulnerabilidades

Los lectores de PDF, como Adobe Acrobat, a menudo tienen vulnerabilidades que los atacantes pueden explotar para ejecutar código malicioso. Mantener estos programas actualizados es crucial para minimizar los riesgos.

4. Archivos Adjuntos

Los PDF pueden incluir otros archivos adjuntos que pueden ser ejecutables o contener scripts maliciosos. Al abrir estos adjuntos, el usuario puede activar inadvertidamente el malware.

Ejemplos de Ataques

• Phishing mediante PDF: Los atacantes envían documentos PDF que parecen legítimos, como facturas o documentos oficiales. Al abrir el archivo, el malware se instala en el sistema del usuario, permitiendo a los atacantes robar información sensible.
• Explotación de Zero-Day: Utilizan vulnerabilidades desconocidas en los lectores de PDF para ejecutar ataques antes de que las actualizaciones de seguridad estén disponibles.

Cómo protegerte de los archivos PDF maliciosos

1. Usa un Software de Lectura de PDF Confiable y Actualizado

Asegúrate de utilizar lectores de PDF de fuentes confiables y mantenerlos siempre actualizados. Las actualizaciones de software suelen incluir parches de seguridad para proteger contra nuevas vulnerabilidades.

2. Desactiva la Ejecución Automática de JavaScript

Muchos lectores de PDF permiten desactivar la ejecución automática de JavaScript. Esta configuración puede prevenir la ejecución de scripts maliciosos incluidos en los documentos.

3. Analiza los Archivos Antes de Abrirlos

Utiliza software antivirus para escanear los archivos PDF antes de abrirlos. Muchos programas antivirus pueden detectar y bloquear archivos sospechosos.

4. Cuidado con los Enlaces y Archivos Adjuntos

No hagas clic en enlaces ni abras archivos adjuntos en PDF a menos que estés absolutamente seguro de su origen y legitimidad. Verifica la autenticidad del remitente antes de interactuar con el contenido.

5. Educación y Conciencia

Mantente informado sobre las tácticas de ingeniería social que los atacantes utilizan para engañarte a abrir archivos PDF maliciosos. Educa a tus colegas y familiares sobre estos riesgos para crear un entorno más seguro.

Aunque los archivos PDF son una herramienta invaluable para compartir información, también pueden ser un vector para ataques maliciosos. Al comprender los riesgos y tomar medidas proactivas para protegerte, puedes minimizar la posibilidad de ser víctima de malware y espionaje. Siempre es mejor ser cauteloso y estar informado sobre las últimas amenazas y prácticas de seguridad para mantener tus datos y dispositivos seguros.

Fuente: www.somoslibres.org

A raíz de una investigación reciente, analizamos varios escenarios que destacan la actividad maliciosa en Discord.

En los seis años desde el lanzamiento del chat de Discord y el servicio VoIP, la plataforma se ha vuelto una herramienta popular para construir comunidades de interés, especialmente entre los gamers. Sin embargo, como con cualquier otra plataforma que aloja contenido generado por los usuarios, Discord puede explotarse. Las vastas opciones de personalización de Discord también abren la puerta a ataques a usuarios ordinarios, tanto dentro como fuera del servidor del chat. Una investigación reciente de la seguridad de Discord reveló varios escenarios de ciberataque vinculados con su servicio de chat, algunos de los cuales pueden ser en verdad peligrosos para los usuarios. Te decimos cómo protegerte.

Malware que se propaga por Discord

Los archivos maliciosos distribuidos mediante Discord representan la amenaza más obvia. En un estudio reciente se identificaron varias decenas de tipos de malware. Decimos que esta amenaza es “obvia” solo porque compartir archivos en Discord es muy fácil; a cada archivo cargado en la plataforma se le asigna una URL permanente con este formato:

cdn.discordapp.com/attachments/{channel ID}/{file ID}/{file name}

La mayoría de los archivos están disponibles para descarga para cualquiera que tenga el enlace.

El estudio describe un ejemplo de ataque de la vida real: un sitio web falso que ofrece descargas del cliente de conferencias de Zoom Web. El sitio web se asemeja al real, y el archivo malicioso está alojado en un servidor de Discord. Con esto se evitan las restricciones para descargar archivos de fuentes desconocidas. La justificación es que es menos probable que los servidores de una aplicación popular utilizada por millones sean bloqueados por soluciones antimalware.

El “truco” maliciosos es tan obvio como la forma de combatirlo: Las soluciones de seguridad de gran calidad no solo se fijan en el origen de la descarga para determinar el nivel de amenaza de un archivo. Las herramientas de Kaspersky detectan de inmediato la funcionalidad maliciosa la primera vez que un usuario intenta descargar el archivo, por ejemplo, y después, con ayuda de un sistema de seguridad basada en la nube, avisan al resto de los usuarios que el archivo debe ser bloqueado.

Todos los servicios que permiten cargas de contenido generado por el usuario se enfrentan a problemas de mal uso. Por ejemplo, en los sitios de alojamiento de páginas web gratuitos se crean páginas de phishing, mientras que las plataformas para intercambio de archivos se utilizan para propagar troyanos. Los servicios de llenado de formatos sirven como canales para spam. Etc. Los propietarios de la plataforma sí tratan de combatir el abuso, pero los resultados son variados.

Queda claro que los desarrolladores de Discord necesitan implementar al menos medios básicos de protección para los usuarios. Por ejemplo, los archivos utilizados en un servidor de chat particular no necesitan estar disponibles para todo el mundo. También es buena idea revisar y bloquear automáticamente el malware conocido. En cualquier caso, este es el menor de los problemas de Discord, y se combate de la misma manera que cualquier otro método de distribución de malware. Sin embargo, no es el único al que se enfrentan los usuarios.

Bots maliciosos

En otro estudio reciente se demuestra qué tan fácil es explotar el sistema de bots de Discord. Los bots amplían la funcionalidad del servidor del chat de varias maneras, y Discord ofrece una amplia gama de opciones para personalizar los chats de los propios usuarios. Un ejemplo de código malicioso relacionado con el chat se publicó recientemente en (y fue eliminado rápidamente de) GitHub: El autor pudo ejecutar código arbitrario en la computadora de un usuario con ayuda de las principales capacidades que proporciona la API de Discord. Podría verse algo así:

Un chatbot malicioso ejecuta un programa arbitrario en la computadora de un usuario en respuesta a un comando del chat de Discord. Fuente

Los investigadores también revisaron otro escenario de mal uso de Discord que no depende de que el usuario tenga instalado un cliente de Discord. En este caso, el malware utiliza el servicio de chat para comunicarse. Gracias a la API pública, el proceso de registro simple, y el cifrado de datos básico, una puerta trasera puede fácil y convenientemente utilizar Discord para enviar datos sobre el sistema infectado a su operador y, a su vez, recibir comandos para ejecutar el código, descargar módulos nuevos maliciosos y más.

Este tipo de escenario parece muy peligroso; simplifica el trabajo de los atacantes, quienes entonces no necesitan crear una interfaz de comunicación con computadoras infectadas, pero pueden utilizar algo que ya esté disponible. Al mismo tiempo, complica de cierta forma la detección de actividad maliciosa; conversaciones entre la puerta trasera y su operador se parecen a actividad normal de usuario en un chat popular.

Protección para los gamers

Si bien las amenazas anteriores aplican a todos los usuarios de Discord, principalmente tienen que ver con quienes utilizan Discord como un complemento del juego: para comunicación por voz y texto, transmisiones, recopilación de estadísticas del juego, etc. Este uso significa una buena personalización y aumenta el riesgo de los usuarios de encontrar e instalar extensiones maliciosas.

El ambiente relajado, y en apariencia seguro, es de hecho otra amenaza, ya que aumenta la tasa de éxito de las técnicas de ingeniería social: el señuelo  se atrapa mejor en un chat cómodo con personas que consideras tus amigos. Recomendamos utilizar las mismas reglas de higiene digital en Discord que utilizas en cualquier otro lado de la web: no hagas clic en enlaces sospechosos o descargues archivos sospechosos; escudriña ofertas que suenan demasiado buenas para ser verdad; y evita compartir tu información personal o financiera.

En cuando a los troyanos y las puertas traseras, basados en Discord o solo distribuidos mediante la plataforma, no son especiales o esencialmente diferentes de otro tipo de malware. Utiliza una aplicación antivirus de confianza para mantenerte a salvo, déjala ejecutándose en todo momento, incluso cuando instales cualquier software o añadas bots a un servidor de chat, y pon atención a sus advertencias.

El desempeño no tiene que ser un problema. Por ejemplo, nuestros productos de seguridad incluyen un modo de juego que minimiza la carga adicional sin comprometer la protección.

Fuente: www.latam.kaspersky.com

Cómo los atacantes usan archivos infectados y extensiones de navegadores maliciosas para robar cuentas de Facebook Business.

Nuestros investigadores han descubierto una nueva versión de la familia del malware Ducktail que está especializada en el robo de cuentas de Facebook Business. Los cibercriminales la están utilizando para atacar a empleados de compañías que ocupan o puestos importantes en la compañía o trabajan en las áreas de Recursos Humanos, marketing digital o marketing en redes sociales. Y tiene sentido ya que su objetivo final es secuestrar las cuentas corporativas de Facebook, así que los atacantes están interesados en las personas que con más probabilidad pueden tener acceso a ellas. Vamos a explicar cómo los atacantes ejecutan estos ataques, por qué son inusuales y, por supuesto, cómo protegerse de ellos.

Cebo y carga maliciosa

Los cibercriminales detrás de Ducktail mandan archivos maliciosos a sus víctimas. Para bajar la vigilancia del destinatario, los archivos contienen cebos en forma de imágenes o archivos de vídeo sobre un tema común. Por ejemplo, en la campaña más reciente, de marzo a principios de octubre de 2023, la temática era la moda: enviaban correos electrónicos en nombre de grandes marcas de la industria con archivos que contenían fotos de modelos de ropa.

Sin embargo, dentro de estos archivos se encontraban otros ejecutables disfrazados de archivos PDF. Estos archivos tenían un icono de PDF y unos nombres muy largos para desviar la atención de la víctima de la extensión EXE e incitar al destinatario a abrir el falso PDF para ver el contenido de este.  En esta campaña temática sobre moda, los nombres hacían referencia a “guías y requisitos para candidatos”, pero otros cebos tipo eran listas de precios, ofertas comerciales y etc.

Los archivos maliciosos Ducktail parecen contener un fichero PDF cuando realmente se trata de una extensión EXE.

Al hacer clic en el archivo con la extensión EXE camuflada, se ejecuta un script malicioso en el dispositivo de destino. En primer lugar, muestra el contenido de un PDF, incrustado en el código de malware, para que la víctima no sea consciente de lo que está ocurriendo. Al mismo tiempo, el malware escanea todos los accesos directos del escritorio, el menú Inicio y la barra de Inicio rápido. El objetivo de la búsqueda son los accesos directos a navegadores basados en Chromium, como Google Chrome, Microsoft Edge, Vivaldi, Brave… Cuando encuentra uno de ellos, el malware lo altera añadiendo un comando para instalar una extensión en el navegador, que está incluido también en el archivo ejecutable. Cinco minutos después de ser ejecutado, el script malicioso termina el proceso del navegador, solicitando al usuario que reinicie utilizando el acceso directo ya modificado.

Extensión maliciosa en el navegador

Cuando el usuario hace clic en el acceso directo, la extensión maliciosa se instala en el navegador, donde se disfraza de Documentos de Google sin Conexión, usando el mismo icono y la misma descripción. Aunque esto último solo en inglés, lo que puede desvelar el engaño.

La extensión maliciosa se disfraza de Documentos de Google sin Conexión (izquierda) y la verdadera extensión de Documentos de Google sin Conexión en el navegador de Google Chrome.

Una vez instalados y en ejecución, la extensión maliciosa empieza a monitorizar todas las pestañas que vaya abriendo el usuario en el navegador y a enviar información sobre ellas al servidor C2 de los atacantes. Si encuentra una dirección asociada a Facebook en una de las pestañas abiertas, la extensión maliciosa comprueba si se trata de una cuenta publicitaria o de un Business Manager para intentar secuestrarlas.

La extensión roba información de las cuentas de Facebook en las que se ha iniciado sesión en el dispositivo de la víctima, así como de las cookies de las sesiones activas en el navegador, que pueden usare para iniciar sesión en las cuentas sin autenticación.

El grupo detrás de este malware parece estar activo desde 2018. Diversos equipos de investigación creen que es de origen vietnamita. La distribución de Ducktail por parte de este grupo se remonta a 2021.

Cómo protegerse Ducktail

Para protegerse de Ducktail y de amenazas similares, los empleados deben tener buenos hábitos de ciberhigiene. En concreto:

• Nunca deben descargar archivos sospechosos en los ordenadores de trabajo cuando estos provengan de fuentes no fiables.
• Antes de abrir cualquier archivo, revisar con atención las extensiones de los que se hayan descargado de internet o de correos electrónicos.
• No hacer clic en archivos que parezcan inofensivos pero que tengan la extensión EXE. Y es que ésta es una clara señal de que se trata de un malware.
• Y siempre instalar protección fiable en todos los dispositivos de trabajo. Esto le avisará de amenazas potenciales y le protegerá de cualquier ataque. Nuestras soluciones detectan esta amenaza en el veredictoWin64.Ducktail.gen.

Fuente: latam.kaspersky.com

Se identificó una campaña que distribuía un troyano de acceso remoto con el objetivo de espiar y robar información de los equipos comprometidos.

Quito, Ecuador – El Laboratorio de Investigaciones de ESET Latinoamérica, compañía líder en detección proactiva de amenazas, analizó una campaña maliciosa dirigida principalmente a Ecuador durante la primera parte del año en la que atacantes intentaron infectar a las víctimas con el troyano de acceso remoto njRAT. Los cibercriminales detrás de esta campaña pusieron el foco en empresas privadas, entidades gubernamentales y entidades del sector de salud.

Países en los que se detectó esta campaña dirigida. Ecuador lidera en las detecciones, seguido por Colombia y Guatemala, aunque en menor proporción.

“El objetivo de la campaña era descargar en los sistemas de las víctimas un Troyano de Acceso Remoto conocido como njRAT, que permite a los atacantes realizar remotamente diversas acciones maliciosas en el equipo comprometido. Por ejemplo, realizar capturas de pantalla, registrar pulsaciones de teclado para robar credenciales o incluso manipular los registros de Windows.”, explica Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Para distribuir esta amenaza los ciberatacantes utilizaron correos electrónico falsos, que en algunos casos suplantaron la identidad de la fiscalía general de Ecuador haciendo referencia a una supuesta demanda al usuario, y en otros utilizaron como señuelo supuestas infracciones de tránsito. Estos correos contenían un archivo adjunto malicioso que era detectado por las soluciones de ESET como VBS/Agent.QOD. Por la manera en que están redactados los correos y diferentes anotaciones en español hechas en el código, se puede suponer que los cibercriminales detrás de esta campaña podrían ser personas que residen en la región.

Ejemplo de correo utilizado en la campaña suplantando la identidad de la fiscalía general del estado de Ecuador.

El siguiente diagrama muestra el proceso de infección del código malicioso utilizado por los cibercriminales en esta campaña, partiendo desde la recepción de un correo electrónico que contiene adjunto un archivo malicioso comprimido, hasta llegar a los últimos códigos maliciosos encargados de infectar y ejecutar en la máquina de la víctima el payload final: njRAT.

Diagrama de infección. Fuente: Laboratorio de investigación ESET Latinoamérica.

Durante la investigación se encontraron dos dominios diferentes empleados para la comunicación hacia los servidores controlados por los cibercriminales. Partiendo de estos dominios, se pudo determinar que los cibercriminales han usado 14 direcciones de IP diferentes para comunicarse con ellos. En la gran mayoría de los casos, los cibercriminales emplean el servicio Duck DNS para la creación de los dominios y a su vez, para las direcciones de IP, emplean servicios de VPN como FrootVPN o IP relacionadas con algún ISP de Colombia.

“Esto último no implica necesariamente que los cibercriminales detrás de esta campaña sean residentes de ese país, sino que es posible que utilicen algunas de sus víctimas como proxies para reenviar la comunicación hacia los servidores reales. Además, hemos visto que utilizan sitios gratuitos como Firebase, Discord y pasteio para alojar sus códigos maliciosos. Esto puede servir como una medida de evasión porque estos sitios suelen utilizarse con fines no maliciosos, lo cual puede generar dificultades en la detección y respuesta ante un posible incidente.” explica Gutiérrez Amaya, de ESET.

Campañas recientes apuntando a organismos de América Latina con commodity malware

Es importante destacar que esta campaña se suma a la lista de campañas recientes dirigidas a organismos públicos y empresas privadas de países de América Latina en las que los cibercriminales utilizan commodity malware con el principal objetivo de robar información. El equipo de investigación de ESET viene monitoreando este tipo de campañas dirigidas a organismos públicos y empresas privadas de la región y que desde 2021 han sido constantes.

En el caso de Ecuador, en agosto de 2022 se compartió el informe sobre Operación Pulpo Rojo, una campaña apuntada a organismos gubernamentales, organizaciones del sector de la salud y empresas privadas de Ecuador para infectar con el RAT Remcos. En esta oportunidad los operadores detrás de la campaña también utilizaron correos falsos haciéndose pasar por la fiscalía general de Ecuador.

En 2021 ESET compartió detalles de lo que fue Operación Spalax, una campaña orientada a Colombia en la que utilizaron troyanos de acceso remoto como Remcos, njRAT y AsyncRAT. Operación Bandidos fue descubierta el mismo año y estuvo dirigida principalmente a Venezuela. Entre las más recientes están Operación Guinea Pig orientada principalmente a México y Operación Absoluta que tuvo actividad principalmente en Colombia, ambas detectadas entre fines de 2022 y comienzos de 2023.

Consejos de seguridad

Dado que este tipo de amenaza se distribuye por medio de correos electrónicos que contienen archivos comprimidos maliciosos adjuntos, ESET comparte distintas recomendaciones para tener en cuenta y evitar ser una posible víctima:

• Revisar el correo electrónico prestando atención a la dirección de donde proviene, el nombre de la persona que lo envía y el contenido del mismo.
• No abrir ningún email si hay motivos para dudar, ya sea del contenido o de la persona que lo envió.
• No descargar archivos adjuntos de correos si se duda de su recepción o de cualquier otra cosa.
• Revisar las extensiones de los archivos. Por ejemplo, si un archivo termina con “.pdf.exe” la última extensión es la que determina el tipo de archivo, en este caso sería “.exe” un ejecutable.
• Si un email tiene un enlace y se duda de la página a la que envía, no abrirlo.
• Ser prudentes al descargar y extraer archivos comprimidos .zip/.bz2 de fuentes no confiables, ya que pueden ser utilizados para ocultar códigos maliciosos y evadir ciertos mecanismos de seguridad.
• Tener los equipos y aplicaciones actualizados a la versión más reciente.
• Mantener actualizadas las soluciones de seguridad instaladas en el dispositivo.
• Prestar atención sobre cualquier actividad anómala o no común sobre los aplicativos utilizados para navegación segura de entidades bancarias. En caso de detectar dicha actividad, terminar de inmediato la ejecución y escanear el equipo con un producto de seguridad.

Fuente: Departamento de Comunicación y Prensa – ESET Ecuador

Las versiones maliciosas del juego de descarga gratuita Super Mario 3: Mario Forever plantan un minero y un programa de robo en las máquinas de los jugadores.

A menudo hablamos de los peligros que conlleva descargar versiones pirateadas de juegos, ya que pueden incluir malware. Pero no son la única amenaza. También pueden surgir sorpresas desagradables en los juegos gratuitos, y eso sucedió recientemente con Super Mario 3: Mario Forever. Pero primero lo primero…

Malware en el juego gratuito Super Mario 3: Mario Forever

La serie Super Mario (también conocida como Super Mario Bros. o simplemente Mario) es uno de los universos de juegos más queridos. En sus 38 años de existencia se han editado 24 juegos originales solo en la serie principal, sin mencionar docenas de reediciones y remasterizaciones. Además de eso, hay siete series derivadas que añaden decenas de juegos al universo de Mario. Dicho esto, todos tienen una cosa en común: todos estos juegos, salvo la más rara de las excepciones, se lanzaron de manera oficial únicamente en las propias plataformas de Nintendo.

Por lo tanto, ¿qué haces si quieres jugar a Mario en tu ordenador? Tienes que descargar una conversión para el PC o un juego creado por fanáticos. Sin embargo, debes tener en cuenta que ninguna de estas opciones es oficial ni está disponible para su descarga en el sitio web de Nintendo.

Por lo tanto, la búsqueda a menudo puede conducir a algunos lugares oscuros, donde individuos emprendedores pero poco fiables pueden pasarte algo malicioso en lugar de un juego. Algo así acaba de pasar con el juego gratuito Super Mario 3: Mario Forever, creado por fanáticos. Los expertos encontraron versiones del juego que infectaron el ordenador de la víctima con varios tipos de malware a la vez.

¿Qué hay dentro del Mario Forever infectado?

La cadena de ataque es la siguiente: cuando se ejecuta el kit de distribución de Mario Forever, el juego se instala en el ordenador junto con el cliente de minería SupremeBot y un minero malicioso de Monero (XMR). A continuación, el cliente de minería instala otro componente de malware en el ordenador: el programa de robo Umbral.

Umbral se gana la vida robando casi toda la información de valor que pueda encontrar en la máquina de la víctima: credenciales almacenadas en el navegador, claves de monederos de criptomonedas y tokens de sesión, que son pequeños archivos mediante los cuales un sitio o un servicio en línea recuerdan al usuario para que no sea necesario volver a iniciar sesión (algo parecido a las cookies). A Umbral le gusta especialmente ir a la caza de tokens de Discord, Telegram, Roblox y Minecraft. Además, el programa de robo puede obtener imágenes de la cámara web y capturas de pantalla del ordenador infectado. En resumen, un exponente de malware particularmente desagradable con una amplia gama de funcionalidades.

El resultado es una caja de Pandora de problemas para las víctimas del Super Mario 3: Mario Forever infectado. Primero, sus ordenadores se volverán lentos y consumirán más energía de lo habitual debido a la minería en segundo plano. Segundo, se corre un riesgo de secuestro de cuentas debido a que Umbral roba contraseñas. Y tercero, lo peor de todo: si se almacenan claves privadas de monederos de criptomonedas en el ordenador, esta amenaza podría traducirse en una pérdida económica directa.

Malware que ataca a jugadores

En general, este problema está bastante extendido. Los juegos pirateados y gratuitos de fuentes dudosas son un territorio ideal para los mineros maliciosos. Los ordenadores para juegos suelen tener especificaciones de alta gama, especialmente la tarjeta gráfica, que es lo que se necesita para la minería en primer lugar.

Esto significa que son mucho más adecuados para minar criptomonedas a espaldas del usuario que una máquina de oficina tediosamente lenta. Detectar un minero oculto por tu cuenta es un trabajo bastante difícil y que requiere un buen antivirus.

Por cierto, los juegos Roblox y Minecraft mencionados anteriormente, los preferidos de Umbral para robar tokens de sesión de cuenta, tradicionalmente encabezan la clasificación de los juegos más atacados por los ciberdelincuentes, desde autores de phishing hasta propagadores de malware. Hace poco escribimos sobre la forma en que se distribuyó el programa de robo Fractureiser bajo la apariencia de mods de Minecraft.

¡Protégete!

Por último, algunos consejos para que los jugadores no se conviertan en víctimas de los ciberdelincuentes:

• Descarga juegos solo de fuentes oficiales. Esta es la única forma garantizada de no llevarse una sorpresa desagradable.
• Si estás buscando ahorrar dinero en juegos, existen métodos más seguros que descargar copias pirateadas de sitios sospechosos y torrents.
• No te dejes seducir por promesas poco realistas. Un juego muy esperado no se podrá descargar antes de su lanzamiento oficial (al menos no legalmente), mientras que una versión inexistente para tu plataforma particular no se hará realidad solo por desearlo.
• Debes tener cuidado al descargar e instalar mods, y especialmente trucos; por supuesto, es mejor evitar estos últimos por completo.
• Para protegerte contra programas de robo, trata de no guardar las contraseñas en el navegador. Es mejor usar un administrador de contraseñas fiable en su lugar.
• Y asegúrate de haber instalado en tu máquina para juegos una solución fiable con un modo de juego especial que te mantenga protegido durante el juego sin que el sistema se vuelva exasperantemente lento.

Fuente: latam.kaspersky.com/