23 de febrero de 2023

Una campaña activa de malware ha puesto su mira en los usuarios de Facebook y YouTube aprovechando un nuevo ladrón de información para secuestrar las cuentas y abusar de los recursos de los sistemas para extraer criptomonedas. Bitdefender llama al malware S1deload Stealer por su uso de técnicas de carga lateral de DLL para superar las defensas de seguridad y ejecutar sus componentes maliciosos. «Una vez infectado, S1deload Stealer roba las credenciales de los usuarios, emula el comportamiento humano para aumentar artificialmente la participación de videos y otros contenidos, evalúa el valor de las cuentas individuales (como identificar a los administradores de redes sociales corporativas), extrae la criptomoneda BEAM y propaga el enlace malicioso a la seguidores de los usuarios», dijo el investigador de Bitdefender Dávid ÁCS . Dicho de otra manera, el objetivo de la campaña es tomar el control de las cuentas de Facebook y YouTube de los usuarios y alquilar el acceso para aumentar el número de vistas y los me gusta de los videos y las publicaciones compartidas en las plataformas. Se estima que más de 600 usuarios únicos se vieron afectados durante el período de seis meses entre julio y diciembre de 2022. La mayoría de las infecciones se encuentran en Rumania, Turquía, Francia, Bangladesh, México, Perú y Canadá. Para llevar a cabo el esquema, los usuarios son atraídos con contenido para adultos a través de publicaciones de Facebook que contienen enlaces a archivos ZIP que, cuando se extraen, desencadenan una intrincada secuencia de infección que conduce a la implementación del malware. «El autor del malware, por lo tanto, puede crear un ciclo de retroalimentación: cuantas más PC pueda infectar, más spam podrá generar en Facebook, más clics podrá generar para infectar más PC», dijo Bitdefender. Además de ser capaz de descargar módulos adicionales en el host comprometido, el malware también es responsable de iniciar un navegador Chrome sin interfaz gráfica de usuario que utiliza una extensión para inflar artificialmente las vistas de videos de YouTube. El ladrón captura además las credenciales guardadas y las cookies de los navegadores web, realiza verificaciones del perfil de Facebook y también carga un cryptojacker que extrae criptomonedas sin el conocimiento o consentimiento de la víctima. Bitdefender dijo que encontró superposiciones de infraestructura con un sitio web llamado upview[.]us que anuncia opciones para comprar vistas, me gusta y suscriptores de YouTube, así como opciones para aumentar los me gusta, comentarios, seguidores y vistas de videos de publicaciones en Facebook. «El ladrón S1deload tiene serias implicaciones de privacidad para la víctima infectada con él», dijo la compañía rumana. «El malware extrae las credenciales guardadas de la víctima, incluido el correo electrónico, las redes sociales o incluso las cuentas financieras. El actor de la amenaza puede acceder a estas cuentas o venderlas en la web oscura».

Los actores de amenazas han estado aprovechando el sistema de pagos en línea PayPal para enviar facturas maliciosas directamente a los usuarios a través de la plataforma. La campaña fue descubierta recientemente por investigadores de seguridad de Avanan, una empresa de Check Point, que dijeron que era diferente de las campañas anteriores vistas por la compañía. “Esto es diferente de la gran cantidad de ataques que hemos visto que suplantan a PayPal. Se trata de una factura maliciosa que procede directamente de PayPal”, se lee en un aviso publicado hoy. El correo electrónico de phishing visto como parte de la campaña maliciosa, advertía a los usuarios de que se había producido un fraude en la cuenta y amenazaba con una multa de 699,99 dólares si la víctima no tomaba medidas. Sin embargo, el director de contenidos de marketing de Avanan, Jeremy Fuchs, escribió que el cuerpo del correo electrónico podría alertar a algunos usuarios precavidos de que el mensaje no era auténtico. “En primer lugar, la gramática y la ortografía están por todas partes. En segundo lugar, el número de teléfono que indican no está relacionado con PayPal”. Al mismo tiempo, Fuchs dijo que algunos usuarios pueden decidir llamar al número de teléfono para obtener más información sobre el correo electrónico. “El objetivo general es llamar al número o hacer un seguimiento para obtener más detalles. Si llamas a ese número, ahora tienen tu número de móvil y pueden utilizarlo para más ataques. Y es otra oportunidad para estafarte por teléfono”. Según el equipo de Avanan, las ventajas de utilizar PayPal para los actores de amenazas son varias, entre ellas la posibilidad de enviar muchas facturas a la vez y darles un aspecto profesional. Para protegerse de este tipo de ataques, Avanan recomienda a los equipos de seguridad que investiguen los números de teléfono que aparecen en los correos electrónicos antes de llamarles. También deberían implantar métodos avanzados para determinar si un correo electrónico está limpio y fomentar una cultura de transparencia para que los usuarios pidan ayuda a TI en caso necesario. La campaña detectada por Avanan se produce semanas después de que PayPal notificara a miles de clientes estadounidenses que sus nombres de usuario se habían visto comprometidos hace más de un mes.

Meta, empresa propietaria de Facebook, WhatsApp e Instagram, ha pagado durante años a la empresa de recopilación de datos Bright Data a cambio de sus servicios de raspado de web, mientras condenaba públicamente esta práctica y demandaba a otras empresas que extraían datos de sus propias plataformas y redes sociales. El raspado de web o ‘web scraping’ es una técnica que utiliza programas de ‘software’ para extraer información de sitios web, normalmente, simulando la navegación de un … Leer más: https://www.europapress.es/portaltic/ciberseguridad/noticia-meta-pago-anos-extraccion-datos-otros-sitios-web-mientras-condenaba-publicamente-practica-20230203131022.html (c) 2023 Europa Press. Está expresamente prohibida la redistribución y la redifusión de este contenido sin su previo y expreso consentimiento.

GoDaddy admite que una brecha permitió que ciberdelincuentes accedieran durante «varios años» a la red de la empresa GoDaddy ha reconocido que un grupo de actores maliciososo tuvieron acceso a la red de la empresa «durante varios años» por una brecha, tiempo durante el cual los ciberdelincuentes lograron instalar ‘malware’ en su red y robaron parte de su código fuente.    La compañía ha expuesto un informe anual e el que analiza las diferentes formas de negocio por las que ha optado en el ejercicio anterior, los factores de riesgo a los que se ha enfrentado, así como el análisis sobre la situació … Leer más: https://www.europapress.es/portaltic/ciberseguridad/noticia-godaddy-admite-brecha-permitio-ciberdelincuentes-accedieran-varios-anos-red-empresa-20230220112744.html (c) 2023 Europa Press. Está expresamente prohibida la redistribución y la redifusión de este contenido sin su previo y expreso consentimiento.

Fecha de publicación: 15/02/2023 Importancia: Crítica Recursos afectados: Descripción: El boletín de enero de Microsoft detalla 102 vulnerabilidades, de las cuales 9 son de severidad crítica, 71 de severidad importante, 3 de severidad moderada, 2 de severidad baja y 17 sin severidad asignada. Solución: En la mayor parte de los casos, el software afectado se actualizará automáticamente por defecto. No obstante, en el caso de que no se realizase dicha actualización de forma automática, Microsoft pone a disposición de los usuarios un portal web con toda la información relacionada, así como los parches de los productos afectados para su descarga y que se puede consultar aquí: ‘Guía de actualizaciones de seguridad de Microsoft’. Se recomienda actualizar lo antes posible el software afectado a la última versión y activar las actualizaciones automáticas en caso de que no se estén aplicando por defecto. Las actualizaciones de Windows 10 son acumulativas. La versión mensual de seguridad incluye todas las correcciones de seguridad para las vulnerabilidades, además de actualizaciones no relacionadas con la seguridad. Los usuarios que tengan instalados Windows Server 2008 R2 o Windows Server 2008 alojados en Azure necesitan adquirir el Extended Security Update para seguir recibiendo las actualizaciones de seguridad. Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados: Detalle: Las vulnerabilidades publicadas se corresponden con los siguientes tipos: