Com cada quinzena, us fem arribar el nostre butlletí amb les principals notícies relacionades amb el món de la ciberseguretat.
Iniciem amb una notícia que afecta els dispositius que utilitzen el sistema Android. S’ha identificat un nou troià, anomenat Vultur, que resulta ser un malware que permet l’accés remot (RAT) al dispositiu. Aquest troià és capaç de gravar la pantalla de l’usuari afectat i registrar les pulsacions del teclat, amb la finalitat de robar informació confidencial com ara credencials de banca en línia i altres claus d’accés per a realitzar activitats fraudulentes. Aquest malware era distribuït a través de la plataforma oficial Google Play Store, ocult en una app anomenada Protection Guard, la qual va ser descarregada més de cinc mil vegades.
Un altre troià d’accés remot (RAT) és l’anomenat Fatalrat, un nou malware que infecta milers d’usuaris de Telegram. Es distribueix a través d’enllaços de descàrrega compartits en canals de Telegram. Aquest troià es pot executar de manera remota i disposa d’avançades característiques d’evasió de defenses, generació de persistència en el sistema, keylogging i robatori d’informació confidencial a través d’un canal encriptat. Encara que els experts han trobat múltiples atacs en escenaris reals, s’ignora el nombre aproximat de víctimes.
Respecte als atacs per ransomware, cada vegada més freqüents, s’ha publicat una nova eina de desencriptació que permetria a les víctimes del ransomware Prometheus recuperar els seus arxius sense pagar als ciberdelinqüents. L’eina està disponible en GitHub, encara que l’únic problema amb aquest mètode és que només permet recuperar arxius xicotets. Encara així, la publicació d’aquesta eina sembla haver tingut un impacte positiu per als usuaris, i genera problemes imprevistos per als operadors de Prometheus.
També el phishing està suposant un greu problema quant a ciberseguretat. En aquesta ocasió us parlem d’un grup de ciberdelinqüents que utilitza la imatge del sistema de hosting WeTransfer i de MicrosoftExcel per a desplegar ambicioses campanyes de phishing amb la finalitat de recuperar les credencials de correu electrònic en Office 365 dels usuaris afectats. Les adreces electròniques emprades pels ciberdelinqüents estan elaborades de tal manera que semblen provindre de WeTransfer, i empren imatges i el nom de la companyia. En aquestes s’insta els usuaris perquè descarreguen dos arxius mitjançant un enllaç adjunt. En fer clic a “Veure arxius”, es redirigeixen les víctimes a una pàgina amb un suposat arxiu Microsoft Excel. La pàgina conté un full de càlcul borrós en segon pla i un formulari per a capturar els detalls d’inici de sessió.
Recentment s’ha descobert una campanya de ciberespionatge a través de perfils falsos en xarxes socials. En concret, una campanya d’enginyeria social i malware que el grup iranià TA456 va realitzar contra empleats de defensa i es duia a terme a través de Facebook. Aquest actor d’amenaces va utilitzar el perfil en xarxes socials d’una suposada usuària anomenada “Marcella Flores” per a generar una relació de confiança amb la víctima, tant en diferents plataformes de comunicació corporatives com d’ús personal. A principis de juny de 2021, TA456 va enviar un malware al seu objectiu, un empleat d’una xicoteta filial de defensa aeroespacial, a través d’una cadena de missatges per Gmail. Es tractava d’un document carregat de macros amb contingut molt personalitzat que estava dissenyat per a realitzar un reconeixement en la màquina de l’objectiu. Una vegada que el malware establia la persistència i inspeccionava la màquina infectada, guardava els detalls en el host, exfiltrava informació sensible a un compte de correu electrònic controlada per TA456 i després esborrava el seu rastre.
En el món de la ciberseguretat, les vulnerabilitats apareixen tant en els dispositius com en les aplicacions que s’utilitzen. Fa només uns dies, s’ha publicat un error en el nou Amazon Kindle, que podria permetre el robatori del compte d’Amazon, a més del fet que un atacant remot poguera obtindre el control total del dispositiu. A l’inici de l’any, Amazon ja es va enfrontar a un problema similar que afectava també els productes Kindle, anomenada col·lectivament com “KindleDrip”. Aquesta vulnerabilitat és un exemple més del fet que no es pot abaixar la guàrdia en cap moment i en cap dispositiu.
Esment especial volem donar als telèfons intel·ligents i tauletes, ja que també necessiten protecció. Igual que els ordinadors i portàtils, els dispositius mòbils han d’estar actualitzats, configurats de manera segura i protegits amb un antivirus. Des de CSIRT-CV us donem alguns consells per a incrementar la seguretat i millorar la privacitat.
Sabem que la conscienciació en ciberseguretat és un pilar fonamental per a evitar ser víctimes d’atacs informàtics. Dins de les accions del Pla Valencià de Capacitació en ciberseguretat, estem conscienciant els nostres adolescents en aquesta matèria, a través de les jornades presencials i en línia que realitzem des de CSIRT-CV als centres de secundària de la Comunitat Valenciana. Una vegada més, esperem que el nou curs escolar ens brinde l’oportunitat d’estar presents en tots els centres que ens ho sol·liciten. Podeu consultar tota la informació en el nostre web concienciaT.
Comentem les actualitzacions més rellevants d’aquesta quinzena:
- Actualizacions de seguretat de Microsoft d’agost de 2021 amb 44 vulnerabilitats: 7 classificades com a crítiques i 37 com a importants. La solució consisteix a instal·lar l’actualització de seguretat corresponent.
- Actualizació de seguretat de SAP d’agost de 2021, la qual corregeix múltiples vulnerabilitats, algunes d’aquestes crítiques.
- Diverses vulnerabilitats en Pulse Connect Secure. Es recomana l’actualització com més prompte millor.
- Actualizació de diverses versions de FortiPortal de Fortinet, a falta d’estar disponibles les restants.
- Múltiples vulnerabilitats en routers Cisco.
Recordeu que també en vacances hem d’estar sempre alerta dels perills de la xarxa, per a poder mantindre’ns informats i comunicar-nos amb més seguretat.
Feliç estiu!