RESUMEN DIARIO DE CIBERSEGURIDAD 04/03/2023

NOTICIAS SOBRE AMENAZAS Y SEGURIDAD

Estafas de la Pantalla Azul de la Muerte dirigen a los usuarios a sitios falsos para adultos

  • Los investigadores han descubierto un sitio falso para adultos que descarga automáticamente un archivo malicioso cuando los usuarios lo visitan. Este archivo se presenta como un archivo de video, ya que utiliza el icono del reproductor multimedia VLC.
  • Si la víctima lo ejecuta, el archivo malicioso ocultará el cursor del mouse de la pantalla y mostrará una falsa ventana emergente con dimensiones similares al fondo de pantalla.
  • Esta ventana emergente falsa imita la «Pantalla Azul de la Muerte» (BSOD), una pantalla de error bien conocida que aparece en ordenadores con sistema operativo Windows cuando ocurre un error del sistema. Los estafadores tecnológicos usan pantallas falsas de BSOD para engañar a los usuarios haciéndoles creer que su ordenador está infectado con un virus o malware, y luego ofrecen solucionar el problema por una tarifa.

Más info

La base de datos Jira de Beeline se filtró: Involucra a Amazon, Boeing, Mercedes-Benz y BMW

  • Recientemente, la base de datos Jira de una empresa de software estadounidense llamada Beeline fue publicada en un foro conocido de hackers, exponiendo datos de empleados y clientes.
  • Jira es un software de seguimiento de problemas desarrollado por Atlassian para el seguimiento de errores y actividades de gestión de proyectos. Beeline es una empresa de software como servicio (SaaS) que se centra en la adquisición y gestión de trabajo.
  • Los hackers en el foro escribieron que la base de datos tiene un tamaño de 1,5 GB e incluye datos de clientes de Beeline, incluyendo Amazon, Credit Suisse, 3M, Boeing, BMW, Daimler, JPMorgan Chase, McDonald’s y Montreal Bank, entre otras grandes empresas. La información incluye sus nombres y apellidos, nombres de usuario de Beeline y roles dentro de la empresa.

Más info

Los hackers usan phishing y malware para atacar a los buscadores de empleo durante los despidos

  • El clima económico actual a nivel mundial es sombrío debido a la recesión en curso, y aprovechándose de este entorno, los ciberdelincuentes están utilizando campañas de phishing y malware para atacar a los buscadores de empleo con el fin de robar información confidencial.
  • En los ataques de phishing, los buscadores de empleo reciben correos electrónicos de empresas falsas o agencias de contratación, pidiéndoles que proporcionen información personal o credenciales de inicio de sesión. Estos correos electrónicos parecen legítimos pero están diseñados para robar información confidencial como contraseñas o información financiera.
  • En las campañas de malware, los buscadores de empleo reciben archivos adjuntos o URLs maliciosos que infectan sus dispositivos con malware o descargan software malicioso.

Más info

Cientos de miles de sitios web pirateados como parte de una campaña de redirección

  • La firma de seguridad cibernética Wiz informó que desde principios de septiembre de 2022, los actores de amenazas comprometieron decenas de miles de sitios web dirigidos a audiencias de Asia oriental para redirigir a cientos de miles de sus usuarios a contenido para adultos.
  • Los actores de amenazas obtuvieron acceso al sitio web utilizando credenciales legítimas para el extremo FTP utilizado para administrar la aplicación web. En algunos casos, las contraseñas utilizadas por los atacantes eran seguras y era poco probable que se incluyeran en un diccionario para un ataque de fuerza bruta.
  • Los expertos notaron que el proceso de redirección ha cambiado con el tiempo. Inicialmente, los visitantes de los sitios web comprometidos fueron redirigidos directamente, pero a partir de febrero fueron redirigidos a través de uno de los cuatro servidores intermedios conocidos con URL enmascaradas como sitios web legítimos.

Más info

El spyware Pegasus utilizado para espiar a un alcalde polaco

  • Reuters informó que el teléfono de un alcalde polaco vinculado a la oposición estaba infectado con el software espía Pegasus. Según los rumores, los servicios de seguridad polacos están utilizando un software de vigilancia para espiar a los opositores al gobierno.
  • En 2021, Citizen Lab Internet, con sede en la Universidad de Toronto, informó que un dúo de la oposición polaca fue pirateado con el software espía NSO. El gobierno de PiS admitió haber usado el software espía, pero señaló que Pegasus nunca se usó contra oponentes políticos.
  • Según el diario Gazeta Wyborcza, el software espía se usó para espiar el teléfono de Jacek Karnowski, alcalde de la ciudad de Sopot, en 2018-2019. En ese momento, el alcalde polaco estaba trabajando en la campaña de la oposición para las elecciones al Senado.

Más info

Campaña multianual de phishing dirigido a la industria marítima con posibilidades de obtener ganancias financieras

  • Los analistas evaluaron la campaña, que probablemente la lleve a cabo un único grupo de amenazas relacionado. La campaña utiliza constantemente señuelos de ingeniería social relacionados con el mar en correos electrónicos de phishing dirigidos casi con certeza a la industria marítima.
  • Algunos de los correos electrónicos observados que distribuyen Agent Tesla o Formbook incluyen la dirección IPv4 como sistema, el correo electrónico se originó y usan el correo electrónico «‘fredyanni101@gmail[.]com»‘ en el campo de respuesta.
  • Es probable que la industria marítima siga siendo objeto de correos electrónicos de phishing más convincentes a largo plazo. Esta campaña ha implementado información de envío detallada y del mundo real para hacer que sus señuelos de phishing sean más convincentes.

Más info

Los ataques de subcontratistas de centros de datos asiáticos afectan a empresas de Fortune 500

  • Los actores de amenazas se dirigen activamente a clientes multinacionales de subcontratistas de centros de datos y los proveedores de servicios de asistencia en China y Singapur publican credenciales robadas para la venta en sitios de fuga de datos.
  • Los actores de amenazas obtuvieron acceso inicial a varias redes de subcontratistas de centros de datos al explotar vulnerabilidades en aplicaciones y sistemas como portales de servicio al cliente, mesas de ayuda o módulos de gestión de tickets que se integran con otras aplicaciones y sistemas comúnmente utilizados para dar servicio a sus clientes de centros de datos.
  • Resecurity observó a los actores de amenazas moviéndose lateralmente dentro de las redes comprometidas y exfiltrando una variedad de registros asociados con sus clientes en todo el mundo, incluida una cantidad significativa de corporaciones Fortune 500.

Más info

VULNERABILIDADES & EXPLOITS

La falla de Gitpod muestra que los entornos de desarrollo basados en la nube necesitan evaluaciones de seguridad

  • Los investigadores han descubierto una vulnerabilidad que habría permitido a los atacantes realizar una toma completa de la cuenta y ejecución remota de código (RCE) en Gitpod, un entorno de desarrollo en la nube popular (CDE).
  • La vulnerabilidad se rastrea como CVE-2023-0957 y cae en una categoría de problemas conocidos como secuestro de WebSocket entre sitios.
  • Cuando un hand-shake de WebSocket depende únicamente de las cookies HTTP para la autenticación, un sitio web malicioso puede instanciar una nueva conexión WebSocket a la aplicación vulnerable, lo que permite a un atacante enviar y recibir datos a través de la conexión.

Más info

Las vulnerabilidades críticas permitieron la toma de cuentas de Booking.com

  • Los investigadores de seguridad descubrieron recientemente que la agencia de viajes en línea Booking.com se vio afectada por graves vulnerabilidades que podrían haber sido explotadas para tomar el control completo de la cuenta de un usuario.
  • Las vulnerabilidades encontradas por los investigadores de Salt Security se centraron en la forma en que Booking.com implementó OAuth, el estándar de autorización utilizado por muchos servicios en línea para permitir que los clientes inicien sesión con sus cuentas de Google o Facebook.
  • En el caso de Booking.com, las fallas estaban relacionadas con la integración de OAuth con Facebook. Un atacante podría haber explotado estas debilidades para tomar el control completo de la cuenta de un usuario, obtener su información personal de su cuenta de Booking y realizar acciones en nombre de la víctima, como cancelar o reservar alojamientos y ordenar servicios de transporte.

Más info

Síguenos y comparte:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.