Twitter Facebook    

logo1

ESET revela una investigación sobre ataques a sitios web vinculado al software espía Candiru

CiberataqueokPrincipalLa campaña está dirigida a sitios web de los medios, el gobierno, los proveedores de servicios de Internet y las empresas de tecnología aeroespacial/militar, con vínculos a Oriente Medio y un fuerte enfoque en Yemen y el conflicto circundante.

Redacción: Diario El Periodista   Foto: cortesía

Los objetivos se encuentran en el Medio Oriente: Irán, Arabia Saudita, Siria, Yemen; en Europa: Italia, Reino Unido; y en Sudáfrica. Los atacantes también crearon un sitio web que imitaba una feria médica en Alemania.

La campaña tiene fuertes vínculos con Candiru, una empresa de software espía israelí recientemente incluida en la lista negra por el Departamento de Comercio de Estados Unidos, que vende herramientas y servicios de software ofensivo de última generación a agencias gubernamentales.

El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, identificó una campaña de compromiso de sitios web estratégicos (watering hole) contra sitios web de alto perfil en el Medio Oriente, con un fuerte enfoque en Yemen.

Los ataques están vinculados a Candiru, una empresa que vende herramientas de software ofensivas de última generación y servicios relacionados a agencias gubernamentales.

Los sitios web victimizados pertenecen a medios de comunicación en el Reino Unido, Yemen y Arabia Saudita, así como a Hezbollah; a instituciones gubernamentales en Irán (Ministerio de Relaciones Exteriores), Siria (incluido el Ministerio de Electricidad) y Yemen (incluidos los Ministerios del Interior y Finanzas); a los proveedores de servicios de Internet en Yemen y Siria; ya empresas de tecnología aeroespacial/militar en Italia y Sudáfrica. Los atacantes también crearon un sitio web que imitaba una feria médica en Alemania.

Un ataque de este estilo se basa en comprometer los sitios web que probablemente sean visitados por objetivos de interés, lo que abre la puerta a infectar la máquina de un visitante del sitio web. En esta campaña, los visitantes específicos de estos sitios web probablemente fueron atacados a través de un exploit del navegador. Sin embargo, los investigadores de ESET no pudieron conseguir un exploit o el payload final.

Esto muestra que los actores de las amenazas han optado por limitar el enfoque de sus operaciones y no quieren utilizar -y consecuentemente revelar- sus exploits zero-day, lo que demuestra cuán altamente dirigida es esta campaña. Los sitios web comprometidos solo se utilizan como punto de partida para alcanzar los objetivos finales.

“En 2018, desarrollamos un sistema interno personalizado para descubrir ataques de watering hole (también conocidos como compromiso de sitios web estratégicos) en sitios web de alto perfil. El 11 de julio de 2020, nuestro sistema nos notificó que el sitio web de la embajada iraní en Abu Dhabi estaba contaminado con código JavaScript malicioso. Nuestra curiosidad se despertó por la naturaleza de alto perfil del sitio web objetivo, y en las siguientes semanas notamos que otros sitios web con conexiones a Oriente Medio también fueron objetivo”, dice el investigador de ESET Matthieu Faou, quien descubrió las campañas.

“El grupo de amenazas se mantuvo en silencio hasta enero de 2021, cuando observamos una nueva ola de compromisos. Esta segunda ola duró hasta agosto de 2021, cuando todos los sitios web fueron limpiados nuevamente como fue el caso en 2020, probablemente por los propios perpetradores”, agrega.

“Los atacantes también imitaron un sitio web perteneciente a la feria comercial MEDICA del Foro Mundial de Medicina celebrada en Düsseldorf, Alemania. Los operadores clonaron el sitio web original y agregaron un pequeño fragmento de código JavaScript. Es probable que los atacantes no pudieran comprometer el sitio web legítimo y tuvieran que configurar uno falso para inyectar su código malicioso”, dice Faou.

Durante la campaña de 2020, el malware verificó el sistema operativo y el navegador web. La amenaza continuaba con sus funcionalidades solo si el equipo contaba con un sistema operativo Windows o macOS, lo que sugiere que la campaña no estaba dirigida a dispositivos móviles. En la segunda ola, para ser un poco más sigilosos, los atacantes comenzaron a modificar los scripts que ya estaban en los sitios web comprometidos.

“En una entrada de blog sobre Candiru de Citizen Lab en la Universidad de Toronto, la sección llamada ¿Un clúster vinculado a Arabia Saudita?, menciona un documento de spearphishing que se cargó en VirusTotal y en varios dominios operados por los atacantes. Los nombres de dominio son variaciones de acortadores de URL genuinos y sitios web de análisis web, que es la misma técnica utilizada para los dominios que se ven en los ataques de watering holes”, explica Faou, vinculando los ataques a Candiru.

Por lo tanto, existe una probabilidad significativa de que los operadores de las campañas sean clientes de Candiru. Los creadores de los documentos y los operadores de los watering hole potencialmente también sean los mismos. Candiru es una empresa israelí privada de software espía que se agregó recientemente a la lista de entidades del Departamento de Comercio de EE. UU. Esto puede impedir que cualquier organización con sede en EE.UU. Haga negocios con Candiru sin obtener primero una licencia del Departamento de Comercio.

ESET dejó de ver la actividad de esta operación a fines de julio de 2021, poco después del lanzamiento de publicaciones de blog por parte de Citizen Lab, Google y Microsoft que detallaban las actividades de Candiru.

Add a Comment

ESET brinda algunas recomendaciones para realizar tus compras online con mayor seguridad

ComprasOnlineESetPrincipal

ESET brinda algunos tips para evitar caer en engaños o estafas a la hora de buscar ofertas online. La posibilidad de encontrar ofertas online suele provocar que los usuarios bajen la guardia frente a distintas medidas de seguridad a la hora de comprar en línea, que termina provocando caer en engaños o estafas.

Redacción: Diario El Periodista 

En este contexto, ESET, compañía líder en detección proactiva de amenazas, comparte una serie de consejos para mantenerse seguro sin dejar de aprovechar las temporadas de descuentos.

“Cuando se está cerca de fechas especiales o eventos relacionados al comercio electrónico, como el Black Friday o Cybermonday por ejemplo, estos atraen a cibercriminales a realizar ataques relacionados con comunicaciones engañosas, suplantaciones de identidad de vendedores, y hasta tiendas falsas. Por lo que, los usuarios deben tomar en cuenta una serie de recomendaciones para aprovechar los beneficios ofrecidos de manera segura en internet”, menciona Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.

ESET, brinda consejos para evitar caer en las trampas de cibercriminales a la hora de hacer compras online:

Realizar todas las compras en comercios o marcas con una reputación comprobable, y buscar opiniones de clientes siempre que sea posible. Esto puede encontrarse en las reseñas de algún sitio de Ecommerce en donde opere el comercio, amigos o conocidos que hayan comprado anteriormente allí o comentarios en las redes sociales de clientes que respalden la veracidad del sitio en donde se hará la compra.

Corroborar que los mensajes de las marcas o compañías sobre ofertas imperdibles sean reales, es importante tener en cuenta que puede ser un caso de phishing, o comunicaciones fraudulentas en donde los cibercriminales buscan robar credenciales variadas, dinero o instalar archivos maliciosos en el equipo.

Algunos indicadores de phishing son: El remitente (ya sea su dirección de correo, número telefónico o usuario de redes sociales) no está relacionado oficialmente con la entidad a la cual dice representar, el medio de comunicación es inusual (por ejemplo, una entidad bancaria comunicándose por Twitter), la insistencia constante para ingresar a un sitio o descargar un archivo para obtener un gran beneficio ofrecido gratis o solucionar un problema grave, y un límite de tiempo (24 hs, una semana desde la apertura del correo, entre otros) para realizar la acción solicitada.

Utilizar los sitios y/o redes sociales oficiales de los comercios para realizar las compras. Uno de los ataques más comunes en eventos de ofertas limitadas es el robo de dinero o información crediticia mediante sitios falsos, suplantando la identidad de compañías populares, y aprovechándose de la urgencia que genera en los usuarios el existir ofertas y descuentos por tiempo limitado.

Finalmente, y sobre todo en casos en donde se realicen pagos en línea, comprobar que el sitio en donde se opere cuente con cifrado en sus comunicaciones. Esto significa que, a la hora de transferir datos, no sean legibles por quienes puedan llegar a interceptar la conexión. Para ello, la URL del sitio debe comenzar con “https://” o contar con el famoso candado a la izquierda de este.

Para obtener información sobre todas las nuevas funciones y mejoras que vienen en la última versión de la oferta de ESET para usuarios hogareños, diríjase a: ESET NOD32, ESET Internet Security o ESET Smart Security Premium.

Visítanos en:     @ESETLA       /company/eset-latinoamerica

Add a Comment

Telegram, los cibercriminales la utilizan cada vez más como alternativa a la dark web

TelegramESETPrincipal

ESET advierte que los cibercriminales están usando cada vez más Telegram como alternativa a la dark web para comprar, vender y compartir datos robados y herramientas de hacking.

Redacción: una colaboración de ESET Latinoamérica

En estos sitios bajo la superficie de Internet, dark web, a los que se acceden desde redes anónimas para lo que se utiliza el navegador Tor, los cibercriminales comercializan información y servicios utilizados en muchos casos para fines delictivos, como contratar servicios de hacking, compra y venta de credenciales robadas, de exploits para vulnerabilidades nuevas y conocidas, u otro tipo de información. Sin embargo, ESET, compañía líder en detección proactiva de amenazas, advierte que los cibercriminales encontraron una alternativa a estos mercados clandestinos en la aplicación de mensajería Telegram.

Una investigación de Cyberint junto a Financial Times reveló que hubo un incremento de más del 100% en el uso de la plataforma de mensajería por parte de cibercriminales. Este incremento se dio en gran medida luego de que WhatsApp anunciara este año los cambios en sus términos y condiciones, lo que llevó a que una gran cantidad de usuarios decidieran migrar a otras aplicaciones de mensajería.

Los enlaces hacia grupos de Telegram que fueron compartidos dentro de foros de la dark web pasaron de poco más de 170 mil en 2020 a más de un millón en 2021, afirma el estudio.

El interés en Telegram se debe principalmente a las características que ofrece, como son sus opciones de privacidad y anonimato en los chats secretos (pese a que varios grupos utilizados para fines ilegales son públicos) y la posibilidad de comunicarse con otras personas sin tener que compartir el número de teléfono. Además, otro de los atractivos de la aplicación es la posibilidad de enviar y recibir grandes cantidades de archivos, en varios formatos, y la posibilidad de encontrar fácilmente grupos públicos y privados de hasta 200 mil miembros sobre diversos temas.

Todo esto bajo una política de moderación que bloquea o suspende cuentas por un determinado período de tiempo a partir de denuncias de los propios usuarios. Según Telegram, la compañía está aumentando la cantidad de moderadores y diariamente eliminan más de 10 mil grupos públicos a partir de denuncias realizadas por los usuarios por violación de los términos del servicio.

Entre la presencia y la actividad que realizan los cibercriminales en la red Telegram se venden y publican cientos de miles de credenciales filtradas de plataformas de videojuegos como Minecraft, Origin o Uplay. La investigación pone como ejemplo un canal público llamado “combolist” que cuenta con aproximadamente 47 mil suscriptores.

Pero esta no es la única forma que tienen los ciberdelincuentes de utilizar la plataforma, ya que también se distribuye malware, exploits y recursos de hacking, explicó Cyberint. Por lo tanto, las empresas y profesionales que se dediquen a monitorear los rincones de Internet deberán estar atentos a la actividad en esta aplicación.

“Los medios de ofrecimiento de servicios o piezas de software relacionados a ataques informáticos son tan variados como creativos son quienes los ofrecen. Se debe abandonar la idea de este intercambio sucediendo solo en los mercados negros, e incluir en los monitoreos de amenazas también a aplicaciones que ofrecen un grado medio u alto de anonimato, sin importar si es o no de uso cotidiano”, comenta Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.

Visita: @ESETLA       /company/eset-latinoamerica

Add a Comment

ESET descubre grupo de ciberespionaje que apunta al sector hotelero

ESetHackeoHoteles1PrincipalLa compañía de seguridad informática identificó a FamousSparrow, grupo que explotó la cadena de vulnerabilidades de Microsoft Exchange y afectó a hoteles, gobiernos, empresas de ingeniería y bufetes de abogados en Brasil, Canadá, Guatemala, entre otros países.

Redacción: Diario El Periodista     Foto: ESET

El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, descubrió un nuevo grupo de ciberespionaje que ataca principalmente a hoteles de todo el mundo, pero también a gobiernos, organizaciones internacionales, empresas de ingeniería y bufetes de abogados.

El equipo de investigación de ESET descubrió que FamousSparrow aprovechó las vulnerabilidades de Microsoft Exchange conocidas como ProxyLogon que ESET informó en marzo de 2021. Según la telemetría de ESET, FamousSparrow comenzó a explotar las vulnerabilidades al día siguiente al lanzamiento de los parches.

“Este es otro recordatorio de que es fundamental aplicar parches a las aplicaciones de Internet rápidamente o, si no es posible hacerlo rápidamente, no exponerlas a Internet en absoluto”, aconseja Matthieu Faou, investigador de ESET que descubrió FamousSparrow junto con su colega Tahseen Bin Taj.

El grupo ha estado activo desde al menos agosto de 2019 y ha estado dirigiendo sus ataques principalmente a hoteles en varios países. Además, se observadaron algunas víctimas de otros sectores, como organismos gubernamentales, organizaciones internacionales, empresas de ingeniería y bufetes de abogados. Los países en los que ESET observó víctimas son los siguientes: Brasil, Burkina Faso, Sudáfrica, Canadá, Israel, Francia, Guatemala, Lituania, Arabia Saudita, Taiwán, Tailandia y Reino Unido.

Según dijo Matthieu, “los hoteles son un blanco de ataque atractivo porque les permite a los atacantes obtener información de los clientes y sus hábitos de viaje, y además, potencialmente les da la posibilidad de la infraestructura de Wi-Fi para espiar en el tráfico de redes sin cifrado”.

El grupo tiene un historial aprovechando vulnerabilidades conocidas en aplicaciones de servidor como SharePoint y Oracle Opera. Las víctimas, que incluyen a gobiernos de todo el mundo, sugieren que la intención de FamousSparrow es el espionaje. ESET destaca algunos vínculos SparklingGoblin y DRBControl, pero no considera que los grupos sean lo mismo.

“FamousSparrow es actualmente el único usuario de backdoor personalizada que descubrimos en la investigación y que llamamos SparrowDoor. El grupo también usa dos versiones personalizadas de Mimikatz. La presencia de cualquiera de estas herramientas maliciosas personalizadas podría usarse para vincular incidentes con FamousSparrow ”, explica el investigador de ESET Tahseen Bin Taj.

Aunque el grupo de investigación de ESET considera que FamousSparrow es una entidad independiente, existen algunas conexiones con otros grupos APT conocidos. En un caso, los atacantes desplegaron una variante de Motnug, que es un loader utilizado por SparklingGoblin. En otro caso, se encontró en una máquina comprometida por FamousSparrow un Metasploit en ejecución utilizando cdn. kkxx888666[.]com como su servidor C&C (comando y control). Este dominio está relacionado con un grupo conocido como DRBControl.

Add a Comment

ESET, por qué evitar compartir la contraseña de Netflix

NetflixESET1PrincipalSi preguntamos si se comparte la contraseña de correo electrónico con alguien más, la gran mayoría probablemente diría “¡absolutamente no!”. Sin embargo, cuando se trata de servicios como Netflix, Amazon Prime y Spotify, compartir la contraseña suele ser bastante común.

Redacción: Diario El Periodista  

Desde ESET, compañía líder en detección proactiva de amenazas, mencionan que puede parecer inocente, pero cuando las personas utilizan para acceder a estos servicios la misma contraseña que usan para acceder a otras cuentas, se vuelve peligroso porque aumenta el riesgo de que alguna cuenta se vea comprometida.

Con las filtraciones de datos ocurriendo frecuentemente y la falta de concientización pública que existe, se deben comprender los riesgos del delito cibernético. Un buen lugar para comenzar es con la educación en el uso de contraseñas. Jake Moore, Security Specialist de ESET realizó una encuesta en Twitter, con más de 2.700 respuestas, y acerca una idea de cómo las personas tratan sus contraseñas:

Compartir la contraseña:

Primero preguntó qué servicios de streaming se utilizaban. Entre quienes contestaron mencionaron: Amazon Prime (50%) y Netflix (47%), como los más populares, YouTube TV obtuvo un 28% y Spotify un 23%, luego estaban Now TV, Disney + y Sky.

En segundo lugar, preguntó si compartían los accesos a estos servicios con alguien y, el 60% de las personas dijeron compartir sus cuentas con al menos otra persona, como familiares y amigos. Uno de cada tres titulares de cuentas compartió sus servicios con dos o más personas.

A continuación, consultó cómo hacían llegar estas contraseñas a sus contactos. El resultado fue que más de 1 de cada 5 personas reveló la contraseña diciéndola en voz alta y el 7,5% de los encuestados envió un mensaje de texto o correo electrónico con la contraseña.

Por lo tanto, más de una cuarta parte de las personas han entregado voluntariamente sus contraseñas a otra persona y, a menudo, también hay algún tipo de registro escrito de ellas.

Puede que esto no suene preocupante cuando conoce a la otra parte con la que está compartiendo la contraseña, pero ¿y si se la pasan a alguien sin pensar? Por ejemplo, ¿su hijo o hija adolescente compartiría sus cuentas familiares con sus amigos que no tienen la suerte de tener el servicio de medios particular del que todos hablan en la escuela?

De hecho, al investigar el fenómeno de compartir contraseñas, se observó que hay usuarios en Twitter que a veces preguntan a sus seguidores si compartirían sus credenciales de Netflix con ellos, y algunos seguidores realmente lo hacen.

Además, de las personas que participaron de la encuesta, poco más del 1% perdió el contacto con una o más personas con las que comparte el acceso a un servicio de streaming.

Reutilización de contraseña

Además, el 14% de las personas usan las mismas contraseñas en varias cuentas en línea, lo que significa que sus cuentas pueden convertirse en opciones fáciles de vulnerar para los delincuentes. Reutilizar contraseñas es riesgoso, incluso si la contraseña es una robusta, algo como: “Afeg45t3@4DFew/15f][_}1”.

Las contraseñas complejas son más fuertes contra los ataques en los que los delincuentes utilizan la ingeniería social y la búsqueda de datos públicos para determinar una contraseña, pero al duplicarla en cualquier lugar de Internet, aumentan las posibilidades de verse comprometidas incluso si la contraseña no es simple, como puede ser el nombre de un hijo.

Sin embargo, la mayoría de las personas (52%) quieren compartir sus cuentas y, por lo tanto, necesitan mostrar la contraseña. Escribir una contraseña compleja puede ser una experiencia frustrante, pero puede ser una tarea más sencilla con la ayuda de los administradores de contraseñas. La mayoría de los usuarios también querrán ingresar sus datos en múltiples dispositivos como televisores, computadoras y teléfonos inteligentes.

“Mi consejo sería usar una frase como contraseña que esté compuesta por al menos tres palabras aleatorias con alguna puntuación o números para separar las palabras. Esto permitirá recordar la frase que se utiliza como contraseña con solo mirarla una vez y será fácil de recordar dónde utilizarla. También es una buena idea cambiar las contraseñas de los servicios de streaming una vez al año. Esto eliminará de la lista a cualquiera que haya obtenido acceso durante el último año y que tal vez no debería seguir teniéndolo”, menciona Jake Moore.

Administradores de contraseñas

Dónde almacenar estas contraseñas únicas y los detalles de la cuenta, más si se tiene distintas cuentas y es difícil recordar cada una de las contraseñas que uso. La respuesta está en el uso de un gestor de contraseñas robusto. Según ESET, esta es una forma segura de almacenar contraseñas para que no se tenga que recordar cientos de credenciales únicas y complejas. Una vez que se necesite usar una contraseña en particular, se puede abrir el administrador de contraseñas, posiblemente incluso usando seguridad biométrica, y copiar la contraseña en el campo requerido.

“Trabajar desde casa ha significado que hemos tenido que adaptarnos a una nueva forma de vida, y esto puede haber significado adaptarnos a un nuevo conjunto de prácticas dentro de nuestros nuevos entornos de oficina en casa. Las prácticas, como mejorar la seguridad de nuestro router o usar una VPN, ayudan a que el teletrabajo sea más seguro. Pero es asombroso descubrir que tan pocas personas utilizan un administrador de contraseñas, solo el 26% de los encuestados mencionó utilizarla”, comenta el especialista de ESET.

Desde ESET recomiendan descargar un administrador de contraseñas confiable e instalarlo tanto en el teléfono, la tableta, como en la computadora. Estas herramientas son sólidas y permitirá ser el único que podrá acceder a ellas, manteniendo a posibles criminales alejados de las contraseñas.

Visítanos en:     @ESETLA       /company/eset-latinoamerica

Add a Comment