Boletín semanal de ciberseguridad 3-9 de abril

ElevenPaths    9 abril, 2021
Boletín semanal de ciberseguridad 3-9 de abril

Campaña de distribución de malware mediante LinkedIn

El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de la plataforma LinkedIn. Agentes amenaza estarían enviando archivos comprimidos .zip con el pretexto de ofertas de empleo, nombrando el fichero igual que el supuesto puesto de trabajo con el fin de ganarse la confianza de la víctima. Una vez abierto el archivo adjunto, se inicia la instalación de forma sigilosa del malware More_eggs, caracterizado por utilizar procesos legítimos de Windows para eludir de esta forma las soluciones de seguridad. Este malware funcionaría como dropper, dado que una vez infectado el dispositivo del usuario se genera acceso al sistema para proceder con la descarga de otro tipo de malware o exfiltrar información. Cabe indicar que esta herramienta se vende como Malware as a Servicie (MaaS) por la organización Golden Chickens, la cual, según los investigadores, tiene vínculos con otros actores avanzados como FIN6, Cobalt Group y Evilnum.

Campañas de suplantación en la temporada de declaración de impuestos

Se han detectado varias campañas de envío de correos electrónicos fraudulentos a nivel global que estaría aprovechando la temporada de declaración de impuestos como señuelo. El objetivo de los agentes amenaza detrás de estas operaciones sería tanto la distribución de malware, mediante ficheros adjuntos en los mensajes, como la recolección de datos a través de páginas de phishing. En una alerta emitida por el INCIBE, se advierte sobre dicha campaña en curso, dirigida contra empleados y/o autónomos en España, en la cual se suplanta a la Agencia Tributaria. Por otro lado, el Servicio de Impuestos Internos de EE.UU, IRS por sus siglas en inglés (Internal Revenue Service), estaría sufriendo un robo de identidad en correos de phishing dirigidos a estudiantes y personal docente, así como distribución de malware desde enlaces de descarga o archivos adjuntos.

BazarLoader emplea call centers underground para su distribución

Investigadores de Recorded Future alertan de una nueva campaña de los operadores del malware BazarLoader, activa desde enero de 2021, en la que se estaría haciendo uso de call centers underground para engañar a las víctimas y conseguir que descarguen y abran los documentos maliciosos que las infectarán. Aunque no es la primera vez que se observa esta metodología, si es la primera vez que se emplean los call centers por un malware de gran escala como Bazarloader, en una operación que ha sido denominada como BazarCall o BazaCall. Estas campañas comienzan con el envío de correos de spam a las víctimas seleccionadas; los emails enviados, normalmente simulan ser ofertas, pruebas gratuitas o suscripciones a servicios médicos, IT u otros servicios financieros. En estos emails, se indica que pueden llamar a un teléfono para obtener más información sobre la oferta, si llaman, son atendidos por operadores de habla inglesa que les guían para que se descarguen el adjunto, deshabiliten las funciones de seguridad de Office y permitan al documento (habitualmente un Excel o Word) habilitar las macros, a través de las cuales se descarga el malware y se infecta el sistema. Analistas de seguridad han observado estas campañas desplegando también el ransomware Ryuk o el troyano Trickbot.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *