viernes 09 mayo 2025
Facebook X-twitter Tiktok Instagram Youtube
elespaciodigital
Menú

Malware

Los archivos PDF con código QR son el objetivo del malware identificado por los expertos de SonicWall

DESTACADOS, TECNOLOGÍA /

SonicWall, proveedor de protección de ciberseguridad para fuerzas de trabajos remotas, móviles y en la nube, ha anunciado que el equipo de investigación de amenazas de SonicWall Capture Labs ha identificado archivos PDF con códigos QR que están siendo explotados por ciberdelincuentes.

Cada año se crean más de 2,5 billones de archivos PDF, un formato creado en 1993 por Adobe System y que sigue siendo extremadamente popular. En 2023, el 98% de las empresas afirmaron que utilizarían este formato para compartir documentos internos y externos. Un estudio basado en búsquedas de Google indica que, en 2014, PDF era el formato más utilizado en el mundo, seguido de .DOC y .XLS, una evolución de este estándar es el creciente uso de los códigos QR en el universo PDF.

Además de los pagos y la retroalimentación, los códigos QR tienen una amplia gama de aplicaciones en diversas industrias, como el marketing, el comercio minorista, la educación, la salud, la hostelería, el transporte, el sector inmobiliario, los servicios públicos, el entretenimiento, las operaciones comerciales, el uso personal, etc.

Los creadores de programas maliciosos aprovechan esta popularidad. «Hemos notado que muchos archivos PDF provienen de correos electrónicos (fax) que contienen códigos QR que piden a los usuarios escanearlos con la cámara de su smartphone. Algunos dicen ser actualizaciones de seguridad, mientras que otros contienen enlaces de SharePoint para firmar documentos», explica Juan Alejandro Aguirre, director de Soluciones de Ingeniería de SonicWall Latinoamérica.

Tras escanear el código QR, aparece una URL de phishing en la que el host, en este caso, es bing.com. «Se trata de una estrategia para evitar detecciones de seguridad», explica Aguirre. Desde ahí, el usuario es redirigido a la página de phishing creada por los delincuentes digitales.

El enlace de suplantación de identidad abre una página web muy similar a la página de inicio de sesión oficial de Microsoft.

El siguiente paso consiste en pedir a los usuarios que introduzcan las credenciales de su cuenta de Microsoft, como el ID de usuario y la contraseña. «El objetivo de los delincuentes es recopilar estas credenciales con fines maliciosos, como el acceso no autorizado al correo electrónico del usuario, información personal y datos corporativos sensibles», afirma Aguirre.

Escanear un código QR malicioso puede acarrear una amplia gama de consecuencias graves; en estos casos, se pide a los usuarios que escaneen el código con un smartphone.

La funcionalidad de escaneado de códigos QR en dispositivos móviles puede aprovecharse para llevar a cabo acciones sin el consentimiento explícito del usuario.

Esto incluye:

  • Descarga e instalación automática de aplicaciones maliciosas.
  • Suscripción de los usuarios a servicios de SMS de tarificación adicional, con los consiguientes gastos inesperados.
  • Inicio de llamadas a números de tarificación adicional, con los consiguientes costos elevados.
  • Robo de credenciales.
  • Ataques de explotación.
  • Compromiso de la red.
  • Daños a la reputación.

Protección de SonicWall

«Gracias a la experiencia de nuestros técnicos de SonicWall Capture Labs, pudimos dar a conocer rápidamente no sólo el exploit creado por los delincuentes, sino también la solución a esta amenaza», afirma Aguirre. Para que los clientes de SonicWall estén preparados ante cualquier brecha que pueda producirse debido a este malware, están disponibles las siguientes firmas:

  • MalAgent.A_1998 (Trojan)
  • MalAgent.A_1999 (Trojan)

IOCs

68d72745079d00909989c92141255ba530490cd361a26ee1f4083acf35168c45

21bb86d48cf2cfaa3fab305b54b936304a4cdbd60bb84024a3cd8a3eed99abc4

URLs

hxxps://r[.]g[.]bing[.]com/bam/ac?!&&u=a1aHR0cHM6Ly9ocmVmLmxpLz9odHRwczovL20zYWZzZWN1ci51cy9hdXRoLmh0bWw=#GeXVrYWt1cmVjaGlAbWJrLmNvbQ==

hxxps://geszvihbb[.]cc[.]rs6[.]net/tn[.]jsp?f=001Ditptef7aGWV9JfIQAYkZmCN-

wQcHMy3e4wzwbv3vnsaliwycylagGK80Yt9uHp_YVVukara24hbeA_lURHoJmu1Scc_CBtL1Gctc_C9mjtpTa4efbpuN0PD2cc1NoggcgogpAVDLdR-weTmdl8QR4ErgtgM9NX_0e-GLM1eb4IkOGmV3qUSnw==&c=&ch==&__=/p[.]olds@dummenorange[.]com

hxxps://pub-8c469686ecb34304864e58edf5ab4597[.]r2[.]dev/gystdn[.]html#YXByaWxAcmVzZXRpdGxlLmNvb

www.sonicwall.com  XLinkedInFacebook Instagram

Los archivos PDF con código QR son el objetivo del malware identificado por los expertos de SonicWall Leer más »

Amenazas financieras móviles crecen 32% a nivel mundial, revela Kaspersky

DESTACADOS, TECNOLOGÍA /

Kaspersky ha publicado su Informe Anual de Amenazas Financieras para 2023, ofreciendo un análisis detallado del panorama en evolución de las ciber amenazas en este sector. El informe revela aumentos significativos en el malware de banca móvil y el phishing relacionado con criptomonedas, señalando crecientes amenazas a los activos financieros digitales.

En los últimos 12 meses, se ha presenciado un aumento sustancial en el número de usuarios que encontraron troyanos bancarios móviles, con ataques a usuarios de Android aumentando en un 32% en comparación con 2022. El troyano bancario más prevalente fue Bian.h, representando el 22% de todos los ataques en Android. Geográficamente, Afganistán, Turkmenistán y Tayikistán registraron la mayor proporción de usuarios que se encontraron con troyanos bancarios, con Paraguay y Venezuela ocupando las posiciones 11 y 13, respectivamente. En el caso de los Top10 países más afectados por el malware financiero móvil, Turquía lidera la lista y Colombia la completa, ocupando la décima posición.

Mientras que el número de usuarios afectados por malware financiero en PCs disminuyó un 11% en 2023, Ramnit y Zbot fueron identificadas como las familias de malware predominantes, apuntando a más del 50% de los usuarios afectados. Los consumidores continuaron siendo el objetivo principal, representando el 61.2% de todos los ataques.

En 2023, el phishing financiero siguió siendo una amenaza significativa, representando el 27.32% de todos los ataques de phishing a usuarios corporativos y el 30.68% a usuarios domésticos. Las marcas de tiendas en línea fueron identificadas como el señuelo principal, con el 41.65% de los intentos de phishing financiero. Además, el phishing que utiliza el nombre de PayPal representó el 54.78% de las páginas de phishing dirigidas a usuarios de sistemas de pago electrónico. El informe también destacó un crecimiento del 16 % interanual en el phishing relacionado con criptomonedas, con 5.84 millones de detecciones en 2023 en comparación con 5.04 millones en 2022.

El phishing haciéndose pasar por tiendas en línea fue identificado como el más prevalente, registrando el 41.65% de todas las páginas de phishing financiero. Amazon surgió como la tienda en línea más imitada, representando el 34% de los intentos de phishing, seguida por Apple con el 18.66% y Netflix con el 14.71%. PayPal fue el sistema de pago más utilizado, aprovechado en el 54.73% de los ataques.

El phishing y las estafas relacionadas con criptomonedas continuaron creciendo, con Kaspersky evitando 5,838,499 intentos de seguir enlaces de phishing relacionados con criptomonedas, un aumento del 16% en comparación con 2022. Los estafadores imitaban intercambios de criptomonedas y ofrecían monedas en nombre de grandes empresas como Apple.

«El dinero siempre ha sido un imán para los ciberdelincuentes, y una parte sustancial de los ataques de malware tiene motivaciones financieras. El aumento del malware móvil observado el año pasado destaca una tendencia preocupante en el cibercrimen. Con la aparición de nuevas y agresivas cepas de malware, los atacantes están evolucionando sus tácticas para apuntar a los dispositivos móviles de manera más agresiva. Esto subraya la necesidad imperativa de que individuos y empresas mantengan una mayor vigilancia, actualicen las medidas de protección y fortalezcan la seguridad de los dispositivos en consecuencia», comentó Igor Golovin, experto en seguridad de Kaspersky.

Para mantenerse a salvo del malware móvil, Kaspersky recomienda:

  • Descargar aplicaciones solo de tiendas oficiales como Google Play o App Store. Aunque las aplicaciones de estos mercados no son 100% infalibles, son revisadas por los representantes de las tiendas y hay un sistema de filtración: no todas las aplicaciones pueden ingresar a estas tiendas.
  • Revisar los permisos de las aplicaciones que usas y piensa detenidamente antes de otorgar un permiso a una aplicación, especialmente cuando se trata de permisos de alto riesgo, como el permiso para usar Servicios de Accesibilidad.
  • Utilizar una solución de seguridad confiable que te ayude a detectar aplicaciones maliciosas y adware independientemente de sus técnicas de ofuscación antes de que puedan comenzar a comportarse mal en tu dispositivo.
  • Actualizar tu sistema operativo y las aplicaciones importantes tan pronto las actualizaciones estén disponibles. Muchos problemas de seguridad pueden resolverse instalando versiones actualizadas del software.

Para obtener más información sobre el estado de las amenazas financieras en 2023, visita Securelist.com

https://latam.kaspersky.com

Amenazas financieras móviles crecen 32% a nivel mundial, revela Kaspersky Leer más »

Security Report 2023 de Check Point Software: aumentan los ciberataques y los malware disruptivos

GENERALES, TECNOLOGÍA /

Tras un 2022 en el que los ataques alcanzaron un máximo histórico por el conflicto bélico entre Rusia y Ucrania, Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado Security Report 2023 en el que reflexiona sobre un año caótico en ciberseguridad.

 

Según el informe, se ha vuelto a ver un aumento del interés de los ciberdelincuentes por las infraestructuras críticas, tales como la educación o la investigación, que siguen siendo los sectores más atacados junto con el sanitario, que mostró el mayor aumento con hasta un 78% interanual. Una tendencia que vemos reflejada a nivel general: los ciberataques han aumentado un 38% en 2022 en comparación con el año anterior, registrándose una media de 1.168 ataques semanales por organización.

 

Adicionalmente, el informe también destaca el papel de ciberdelincuentes y grupos de ransomware más pequeños y ágiles, centrados en la explotación de las herramientas de colaboración legítimas utilizadas en los entornos de trabajo híbrido y las posiciones en remoto.

 

Desde el aumento de nuevas variantes de ransomware hasta la propagación del hacktivismo en zonas de conflicto de Europa del Este y Oriente Medio, el Security Report 2023 descubre las tendencias y comportamientos que definieron el año, dejando las siguientes conclusiones principales:

 

  • Hacktivismo: los límites entre las operaciones cibernéticas patrocinadas por el Estado y el hacktivismo se han vuelto cada vez más borrosos, ya que las naciones-estado actúan con anonimato e impunidad. Los grupos de hacktivistas no estatales se han vuelto más organizados y eficaces que nunca, mostrando un cambio de paradigma en su metodología.

 

  • Extorsión por ransomware: las operaciones de ransomware son cada vez más constantes, pero más difíciles de atribuir y rastrear, y los mecanismos de protección existentes que se basan en la detección de la actividad de cifrado pueden perder eficacia. En su lugar, la atención se centra ahora en el borrado de datos y la detección de los datos filtrados.

 

  • El entorno en la nube: el número de ataques a redes basadas en la nube por organización se ha disparado, con un aumento del 48% en 2022 en comparación con 2021. El cambio en la preferencia de los ciberatacantes por escanear el rango de IPs de los proveedores de la nube, pone en evidencia su interés en la obtención de un acceso fácil a la información sensible y los servicios críticos de estos entornos.

 

Por otra parte, el informe también ofrece consejos específicos para los CISO, destinados a destacar las acciones de seguridad críticas para el próximo año, destacando la reducción de la complejidad para salvar la brecha de las capacidades de sus equipos, limitar el coste de las desconfiguraciones del entorno en la nube, y aumentar el uso de la automatización y la IA para detectar riesgos que pueden pasar desapercibidos al ojo humano.

 

«No cabe duda de que podremos ver un aumento en el volumen de ataques durante los próximos doce meses. La migración a la nube ha creado una superficie de ataque más amplia para los ciberdelincuentes, y las herramientas legítimas que utilizamos se convertirán aún más en el foco de los ciberataques”, destaca Antonio Amador, Country Manager para la Región Norte de América Latina de Check Point Software“.

 

“Esto ya se ha demostrado en el caso de ChatGPT, con los ciberdelincuentes rusos tratando de eludir las restricciones de la API de OpenAI y obtener acceso al chatbot por razones maliciosas. Si a esto le añadimos la creciente brecha de habilidades cibernéticas y la creciente complejidad de las redes distribuidas, tenemos la tormenta perfecta para los ciberdelincuentes», concluye.

 

La concienciación sobre las amenazas actuales y las tácticas emergentes utilizadas por los ciberdelincuentes puede ayudar a proteger a las organizaciones de ataques en el futuro.

 

Security Report 2023 de Check Point Software: aumentan los ciberataques y los malware disruptivos Leer más »

Qbot, alcanzó el primer puesto como el malware más activo en diciembre en Colombia y en el mundo

GENERALES, TECNOLOGÍA /

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor experto especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas de diciembre de 2022. En Colombia ocuparon los tres primeros lugares de este top malware Qbot, como el primero, liderando igualmente en el ámbito global, le sigue Remcos y en tercer puesto XMRig. Por su parte, Glupteba, una ambiciosa botnet troyana habilitada para blockchain, vuelve al octavo puesto del top 10 mundial y al cuarto en Colombia, después de estar fuera de esta clasificación desde julio de 2022. Qbot, un sofisticado troyano que roba credenciales bancarias y pulsaciones de teclas, superó a Emotet como el malware más frecuente, y que ha afectado a un 7% de las organizaciones en todo el mundo. Mientras tanto, el malware para Android Hiddad hizo una reaparición.

 

Aunque Google logró causar una interrupción importante en las operaciones de Glupteba en diciembre de 2021, ha vuelto a la acción. Como una variante de malware modular, Glupteba puede lograr varios objetivos en un ordenador infectado. La botnet se utiliza a menudo como descargador y gotero para otro malware. Esto significa que su infección podría provocar un ataque de ransomware, violación de datos u otros incidentes de seguridad. Glupteba también está diseñado para robar credenciales de usuario y cookies de sesión de dispositivos infectados. Estos datos de autenticación se pueden usar para obtener acceso a las cuentas online de un usuario u otros sistemas, lo que permite al atacante robar datos confidenciales o realizar otras acciones utilizando estas cuentas comprometidas. El malware se usa con frecuencia para implementar funciones de criptominería que drenan los recursos del ordenador al extraer bloques.

 

En diciembre, Hiddad también llegó a la lista de los tres principales malware móvil por primera vez en 2022. Este malware de distribución de anuncios está dirigido a dispositivos Android. Bloquea aplicaciones legítimas y luego las libera en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles clave de seguridad integrados en el sistema operativo.

 

“Nuestra última investigación muestra cómo el malware a menudo se disfraza de software legítimo que permite a los ciberdelincuentes acceder por la puerta trasera a los dispositivos sin levantar sospechas. Por ello es importante extremar precauciones al descargar cualquier software y aplicaciones o hacer clic en enlaces, independientemente de cuán genuinos se vean”, afirma Manuel Rodríguez, Gerente de Ingeniería de Seguridad para el Norte de América Latina de Check Point Software.

 

Los 3 malware más buscados en Colombia en diciembre de 2022:

 

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

 

  1. ↑Qbot AKA Qakbot – Es un troyano bancario que apareció por primera vez en 2008. A menudo distribuido a través de correo electrónico de spam, Qbot emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección. Ha sido responsable en diciembre del 13.00% de ataques a empresas en Colombia y del 7.29% globalmente.

 

  1. ↑Remcos Es un RAT que apareció por primera vez en 2016. Se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a los correos electrónicos SPAM, y está diseñado para eludir la seguridad UAC de Microsoft Windows y ejecutar el malware con privilegios de alto nivel. En Colombia en diciembre tuvo un impacto en las empresas del 8.97% y a nivel global del 1.45%.
  2. ↑XMRig Es un software de minería de CPU de código abierto. Este cryptojacker es utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. En diciembre atacó a un 8,52% de las organizaciones en Colombia. Su impacto global en ese mismo periodo fue del 3.25%.

 

Los sectores más atacados a nivel mundial:

 

Este mes el sector Educación/Investigación continuó en primer lugar como la industria más atacada a nivel mundial, seguido del Gobierno/Militar y Salud.

 

  1. Educación/Investigación
  2. Gobierno/Militar
  3. Salud

 

Top 3 vulnerabilidades más explotadas en diciembre:

 

  1. ↑ Web Server Exposed Git Repository Information Disclosure – Es una vulnerabilidad de divulgación de información en Git Repository. Si se aprovecha correctamente, esta vulnerabilidad permite divulgar de forma involuntaria la información de la cuenta.

 

  1. ↓ Cruce de directorios de URL malintencionadas de servidores web (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe una vulnerabilidad de cruce de directorios en diferentes servidores web. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no sanea correctamente el URI para los patrones de recorrido de directorios. Permite a los atacantes remotos no autenticados revelar o acceder a archivos arbitrarios en el servidor vulnerable.

 

  1. ↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Un atacante remoto puede aprovechar este problema enviando una solicitud especialmente diseñada a la víctima. La explotación exitosa facilita al atacante ejecutar código arbitrario en el equipo de destino.

 

Top 3 del malware móvil mundial en Diciembre:

 

  1. Anubis – Anubis es un malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó inicialmente, ha sumado funcionalidad de troyano de acceso remoto (RAT), keylogger y capacidades de grabación de audio, así como varias características de ransomware adicionales. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.

 

  1. Hiddad – Hiddad es un malware de Android que reempaqueta aplicaciones legítimas y luego las libera en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles clave de seguridad integrados en el sistema operativo.

 

  1. AlienBot – AlienBot es un troyano bancario para Android, vendido clandestinamente como Malware-as-a-Service (MaaS). Admite registro de teclas, superposiciones dinámicas para el robo de credenciales y recolección de SMS para la omisión de 2FA. Ofrece capacidades adicionales de control remoto con un módulo de TeamViewer.

 

El Índice Global de Impacto de Amenazas de Check Point Software y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.

 

La lista completa de las 10 familias principales de malware en diciembre está disponible en el blog de Check Point Software.

Qbot, alcanzó el primer puesto como el malware más activo en diciembre en Colombia y en el mundo Leer más »

Ransomware y el malware derivado de un ciberataque, solo son la punta del iceberg

GENERALES, TECNOLOGÍA /

En las últimas semanas se ha visto cómo diferentes organizaciones públicas y privadas han sido víctimas de los ciberdelincuentes, hechos que se destacan no solo por el impacto que tienen en las instituciones sino porque dejan al descubierto que el objetivo va más allá de robo de información a otras consecuencias como exfiltración de datos, secuestro del sistema, denegación de servicios, entre otros.

 

Al respecto, Hillstone Networks, proveedor líder de soluciones de seguridad de red y gestión de riesgos, explica que el robo de información, ransomware, cryptojacking o cualquier otro tipo de problema derivado de un ciberataque, solo es la punta del iceberg y que si las organizaciones no detectan cómo se perpetró tienen una gran probabilidad de volver a ser atacados.

 

“En el complejo mundo de la seguridad informática, los usuarios de múltiples corporaciones carecen de conocimientos asociados a esta área de tecnología y suelen pasar por alto una serie de normas y controles establecidos dentro de los procesos de seguridad y administración de una red corporativa. Estas acciones pueden desencadenar una serie de compromisos en la red y hasta pueden causar no solo perdida de datos, sino también la no disponibilidad en los servicios o pérdida de credibilidad corporativa frente al usuario final. Existen innumerables ejemplos en el día tras día que se asocian con usuarios que por falta de conocimiento o un simple descuido permiten que un atacante comprometa la red objetivo y materialice un ataque”,  dijo Yekri Mahecha, Sales Engineer Manager para la Región México, Norte de Latinoamérica (NOLA) y Caribe de Hillstone Networks.

 

Ante una crisis de este tipo, las organizaciones se dedican a levantar los servicios, reconstruir servidores, es decir, tratan de continuar la operación lo más pronto posible haciendo uso de respaldos y muchas veces empezando de cero. Sin embargo, solo se están enfocando en solventar el problema, pero no lo están resolviendo.

 

“Todas las empresas y organizaciones que han sufrido un ataque saben que si no se resuelve el problema de fondo pueden ser víctimas nuevamente”, reiteró Mahecha.

 

Ante esta situación, lo más recomendable es iniciar una “caza de amenazas” o threat hunting, para identificar ciertos indicadores de comportamiento (rastros) que hayan sido dejados durante la orquestación del ataque. De esta manera, ahora sí la organización sabe qué brechas debe cubrir para evitar una nueva crisis.

 

Para ayudar a las organizaciones, Hillstone Networks ha incorporado el concepto de ciberresiliencia, que utiliza soluciones de visibilidad de amenazas y análisis de comportamiento para detectar amenazas avanzadas y mapearlas antes de que exploten. En este sentido, la Inteligencia Artificial y el machine learning, son una tecnología que ayudará a las compañías en esa detección y prevención.

 

Además, Hillstone Networks también asesora a las organizaciones que fueron víctimas de un ciberataque para aislar esas vulnerabilidades y eliminar el problema desde su origen, bajo el enfoque de “ver, entender y actuar”, que facilita que los equipos de seguridad logren tener una visibilidad total de la infraestuctura y comprendan el nivel de seguridad y vulnerabilidades, más allá de la punta del iceberg, que es lo que afecta cuando ya los ciberdelincuentes han logrado su cometido.

 

https://www.hillstonenet.lat/

 

Ransomware y el malware derivado de un ciberataque, solo son la punta del iceberg Leer más »

Scroll al inicio