ESET advierte sobre el whaling, ataques a personas de alto rango en una organización mediante correos electrónicos personalizados que buscan obtener datos confidenciales, instalar malware o inducir a la víctima a realizar transferencias fraudulentas.

A diferencia de los ataques de phishing tradicionales, que se apuntan a cualquier persona sin un objetivo fijo, ESET explica que el whaling es un tipo de phishing dirigido -spearphishing- que busca engañar a quienes tienen cargos de alto nivel dentro de una organización: los llamados peces gordos, de allí el nombre de este ataque dirigido, caza de ballenas en su traducción al español.

Estos ataques tienen una sofisticación que combina técnicas de ingeniería social avanzada y requieren de una investigación previa bien detallada. El resultado puede variar desde que la víctima entregue datos confidenciales de la empresa, o descargue malware en la red de la organización, hasta que, engañada, apruebe transferencias de dinero que va directo a la cuenta de los cibercriminales.

Una técnica que utilizan los cibercriminales para ejecutar este engaño es el llamado fraude del CEO, en el que los cibercriminales suplantan la identidad de personas que ocupan altos rangos y envían mensajes a otras personas de alto rango haciéndose pasar por ellas aunque también puede ir dirigido a todo colaborador de la empresa u organización

“Este tipo de ataques hacen necesario aumentar la conciencia de que toda la información pública puede ayudarles a los cibercriminales a cometer estos ataques en los que se suplanta la identidad de una persona o entidad. A los atacantes le serán útiles los perfiles públicos de las personas, tanto en redes personales como Facebook, Instagram, Twitter, o perfiles profesionales en, por ejemplo, LinkedIn.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Los ataques de whaling funcionan al seguir una secuencia estratégica y bien estructurada para garantizar la máxima efectividad. Los pasos clave incluyen:

1. Investigación sobre la organización y sus ejecutivos, a partir de fuentes públicas, como redes sociales, sitios web corporativos e informes de medios de comunicación, con el fin de comprender la estructura organizacional e identificar posibles debilidades.

2. Creación de correos electrónicos falsos altamente personalizados con la información obtenida, diseñados para parecer que provienen de fuentes confiables, a menudo imitando direcciones de correo electrónico de colegas, socios comerciales u otras entidades acreditadas, mediante la técnica de spoofing. Esta técnica permite ocultar la verdadera dirección de correo electrónico y cambiarla por una que parece legítima.

3. Envío del correo electrónico con un sentido de urgencia para inducir una respuesta rápida. Puede incluir solicitudes para transferir fondos, compartir información confidencial, o hacer clic en un enlace malicioso.

Por su nivel de personalización y sofisticación puede ser difícil de detectar, sin embargo, hay algunas señales de advertencia a las que hay que prestar especial atención:

• Remitente falsificado: A veces, puede parecer que los correos electrónicos provienen de una fuente confiable, pero un examen detallado puede revelar ligeras discrepancias en la dirección de correo electrónico.
• Solicitudes inusuales:Siempre se debe comprobar por otros canales de comunicación, si se recibe una solicitud de información confidencial o transferencias financieras urgentes.
• Errores gramaticales y ortográficos: Aunque es una tendencia el uso de inteligencia artificial para la confección de las estrategias de ingeniería social que hacen a los correos de phishing más convincente, es útil prestar atención a posibles errores que puedan contener.

La defensa contra estos ataques comienza con la educación de quienes trabajen o colaboren con organización, sobre todo si son de altos rangos, para que se mantengan en alerta y al corriente sobre las tácticas que los cibercriminales intentan y cómo estás van mutando. ESET comparte algunos puntos clave para protegerse:

• Tener especial cuidado cuando se comparte información personal y profesional en las redes sociales, ya que estos datos pueden ser utilizados por los delincuentes para crear ataques más persuasivos.

• Implementar procedimientos claros para verificar las solicitudes, especialmente aquellas que impliquen transmisión de datos sensibles, o ejecución de movimientos de dinero.

• Agregar un nivel adicional de confirmación para las transacciones críticas, como las reuniones en persona o las llamadas telefónicas, puede proporcionar una capa adicional de seguridad.

• Activar la autenticación multifactor y utilizar herramientas de seguridad avanzadas, son parte fundamental de las políticas de seguridad.

• Utilizar reglas de marcado de correos electrónicos externos ayuda a detectar y bloquear intentos de fraude.

• Por último, es esencial que las empresas se mantengan al día sobre las nuevas técnicas y tendencias en cibercrimen, inviertan en tecnologías emergentes de ciberseguridad y colaboren con expertos de la industria para anticipar y neutralizar las amenazas antes de que causen daños significativos.

“Los ataques de whaling representan una amenaza grave y creciente para las organizaciones, que pueden resultar en pérdidas financieras significativas y comprometer información confidencial. La concientización, la formación y la implementación de medidas de seguridad sólidas son esenciales para proteger a las organizaciones de esta forma insidiosa de ciberdelincuencia. La ciberresiliencia es una prioridad estratégica, y un enfoque integrado y bien informado puede marcar la diferencia en la protección contra este y otros tipos de fraude cibernético.”, concluye Gutiérrez Amaya de ESET Latinaomérica.

La entrada ¿Qué es Whaling y cómo proteger a las organizaciones? se publicó primero en Technocio - Tech Trends.

El malware obtiene datos confidenciales, como nombres de usuario y contraseñas, planteando riesgos, tanto para sistemas personales y corporativos.

Más de la mitad de todos los dispositivos (55%) atacados por robo de contraseñas en 2023 han sido infectados con Redline, el malware preferido de los ciberdelincuentes para el robo de datos. Así lo revela Kaspersky Digital Footprint Intelligence, que, además, asegura que el mercado de desarrollo de malware continúa floreciendo con nuevos programas de robo como Lumma.

Según la información obtenida de archivos de registro comercializados o distribuidos libremente en la dark web, los ciberdelincuentes utilizaron Redline en el 51% de las infecciones de infostealer (malware para el robo de datos) entre 2020 y 2023. Otras familias de malware destacadas fueron Vidar (17%) y Raccoon (cerca del 12%). En total, Kaspersky Digital Footprint Intelligence identificó alrededor de 100 tipos distintos de ladrones de información entre 2020 y 2023 utilizando metadatos de archivos de registro.

La creciente popularidad de los nuevos ladrones de datos evidencia la expansión de este tipo de malware en mercado clandestino. Entre 2021 y 2023, la proporción de infecciones causadas por nuevos robos creció del 4% al 28%. En concreto, en 2023, solo el nuevo ladrón Lumma fue responsable de más del 6% de todas las infecciones.

“Lumma surgió en 2022 y ganó popularidad en 2023, a través de un modelo de distribución de Malware-as-a-Service (MaaS). Esto significa que cualquier delincuente, incluso sin conocimientos técnicos avanzados, puede adquirir una suscripción para una solución maliciosa prefabricada y utilizar este ladrón para llevar a cabo ciberataques. Lumma está diseñado principalmente para robar credenciales y otra información de monederos de criptomonedas, y normalmente se propaga a través de campañas de spam del correo electrónico, YouTube y Discord”, afirma Sergey Shcherbel, experto de Digital Footprint Intelligence en Kaspersky.

Este tipo de malware se infiltra en los dispositivos de sus víctimas para obtener datos confidenciales, como nombres de usuario y contraseñas, que posteriormente venden en el mercado clandestino, lo que plantea importantes amenazas de ciberseguridad para los sistemas personales y corporativos. Por este motivo, Kaspersky ha lanzado una página web dedicada a concienciar sobre el problema y proporcionar estrategias para mitigar los riesgos asociados.

La entrada Uno de cada dos dispositivos atacados por robo de contraseñas es infectado con Redline se publicó primero en Technocio - Tech Trends.

Cuando los usuarios cortan, copian y pegan en aplicaciones, el portapapeles del smartphone guarda el contenido copiado para el futuro. Datos confidenciales plantean riesgos de seguridad.

En la actualidad, la seguridad de la información se ha vuelto un factor determinante al adquirir un smartphone, debido a la constante evolución de amenazas que espían los datos personales. Entre las principales preocupaciones se encuentran la pérdida del teléfono y su información, así como los virus informáticos que pueden acceder a nuestro dispositivo. Además, los ataques con malware disfrazados en mensajes de texto o correos electrónicos representan un riesgo constante.

Adicionalmente, existen peligros al realizar tareas cotidianas en los smartphones, como por ejemplo, cortar, copiar y pegar contenido entre aplicaciones, el portapapeles de cualquier dispositivo móvil almacena datos y los copia para su uso futuro, lo cual puede presentar riesgos significativos si se trata de información confidencial, como contraseñas.

Por tanto, es fundamental tener conciencia de estas amenazas y tomar medidas para proteger la información personal y sensible al utilizar dispositivos móviles. Mantenerse informado sobre las últimas medidas de seguridad, utilizar aplicaciones confiables y evitar compartir información confidencial a través de mensajes o correos sospechosos son algunas de las prácticas que contribuyen a mantener los  datos a salvo.

En respuesta a esta creciente preocupación por la privacidad y la seguridad de los datos de los usuarios, el HONOR Magic5 Lite ha implementado diversas medidas que brindan a los usuarios una experiencia confiable y segura, conózcalas a continuación:

• Función de autolimpieza del portapapeles: cada vez que el usuario realiza una acción de copia, el equipo se encarga de borrar automáticamente el historial del portapapeles cinco minutos después, asegurando que ningún dato confidencial quede expuesto. Con esto, los usuarios pueden tener la tranquilidad de que su información personal está protegida. Aunque el proceso de borrado no genera notificaciones instantáneas, el HONOR Magic5 Lite ofrece una herramienta valiosa para el control de la privacidad. Mediante un informe de acceso a la privacidad, este dispositivo resume los cambios del portapapeles en los últimos siete días, brindando una visión completa del estado de privacidad y permitiéndoles tomar decisiones informadas.

• Cifrar diversos tipos de datos, incluyendo imágenes, grabaciones de audio, videos y documentos. De esta manera, incluso en caso de pérdida o robo del dispositivo, los datos permanecen inaccesibles para terceros no autorizados.

• Adicionalmente, el dispositivo ofrece una funcionalidad única que permite a los usuarios crear múltiples espacios seguros. Estos espacios encriptados se encuentran protegidos mediante contraseñas o bloqueos biométricos, brindando una capa adicional de seguridad para aquellos archivos y datos especialmente sensibles.

El HONOR Magic5 Lite es mucho más que un teléfono inteligente. Es una herramienta que prioriza la privacidad y la seguridad del usuario en cada aspecto de su funcionamiento. Con características innovadoras como la autolimpieza del portapapeles y el cifrado de archivos, este dispositivo ofrece una experiencia de usuario sin precedentes.

La entrada Protege tus datos con las funciones de privacidad del HONOR Magic5 Lite se publicó primero en Technocio - Tech Trends.

Se puede abusar de los exploits para filtrar los datos confidenciales de un usuario, ejecutar código arbitrario y posiblemente conducir a la ejecución remota de código

Trend Micro Incorporated descubre varias vulnerabilidades en la aplicación más popular de Google Play Store llamada SHAREit. Dicha aplicación es utilizada para transferir archivos entre equipos de diferentes plataformas y es una de las más populares para Android.

En un reciente hallazgo, el equipo investigador de Trend Micro, plantea que se puede abusar de las vulnerabilidades para filtrar los datos confidenciales de un usuario y ejecutar un código arbitrario con permisos de SHAREit mediante el uso de un código o una aplicación maliciosa. Así mismo, también pueden conducir potencialmente a la ejecución remota de código (RCE).

En el pasado, las vulnerabilidades que se pueden utilizar para descargar y robar archivos de los dispositivos de los usuarios también se han asociado con la aplicación. Si bien la aplicación permite la transferencia y descarga de varios tipos de archivos, como el Paquete de Android (APK), las vulnerabilidades relacionadas con estas funciones probablemente sean fallas no intencionales.

Detalles de la vulnerabilidad

Los investigadores de seguridad señalaron que una de las fallas se debe a la forma en que la aplicación facilita la funcionalidad de transferencia de archivos mediante el uso del componente FileProvider de Android. Además, la aplicación solicita acceso a todo el almacenamiento, así como a elementos no relacionados como la cámara, el micrófono y la ubicación de su dispositivo.

Además de eso, la aplicación cuenta con enlaces profundos detectables que utilizan URL que conduce a ciertas funciones, tales como descargar e instalar archivos APK, crear cuentas y establecer contraseñas, las cuales pueden ser fácilmente explotadas por un actor malintencionado para la ejecución remota de código. La aplicación tampoco fuerza el tráfico a través de HTTPS, lo que la abre a más métodos de ataque.

Tal y como demuestra Trend Micro, SHAREit declara al emisor de manera genérica permitiendo que las instrucciones remotas generen actividad dentro de la aplicación. Esto habilita la ejecución de instrucciones desde otras apps, también las dota de permiso para la lectura y escritura en el almacenamiento del teléfono (incluso aunque ellas no lo tengan). Dado que SHAREit no protege activamente los accesos externos, cualquier atacante puede utilizarla como puerta de entrada para la instalación de malware.

Asimismo, es susceptible de sufrir ataques de tipo ‘Man-in-the-Disk’, a través de una unidad de almacenamiento externo compartido, como una tarjeta SD.

Recomendación

Los investigadores recomiendan a los usuarios que desinstalen la app, pero también pueden usar la propia aplicación de administrador de archivos de Google para lograr prácticamente la misma funcionalidad de intercambio de archivos si todos sus dispositivos están conectados a la misma red Wi-Fi.

La seguridad debe ser una consideración primordial para los desarrolladores de aplicaciones, las empresas y los usuarios. Para un uso seguro de la aplicación móvil, se recomienda actualizar y parchear regularmente los sistemas operativos móviles y la propia aplicación. Los usuarios también deben mantenerse informados leyendo reseñas y artículos sobre las aplicaciones que descargan.

La entrada SHAREit, la aplicación que Trend Micro evidenció con graves problemas de seguridad se publicó primero en Technocio - Tech Trends.