Fue visto por primera vez en septiembre de 2019, llegando vía SPAM, dirigido, en mayoría, a equipos con sistema operativo Windows. Un comportamiento para destacar de este malware es bootear en modo seguro antes de la ejecución y el encriptado de archivos. También utiliza archivos .BAT (qzy.bat) y PowerShell guardado como archivo de texto (“qzy.txt”), dependiendo de la variante.
Se ha detectado el origen de una campaña masiva de correos maliciosos que en lugar de llevar enlaces o adjuntos maliciosos llevan una imagen con un código QR, el cual redirige a un sitio de phishing una vez accedido por los destinatarios.
Esta campaña es preocupante teniendo en cuenta que el comportamiento de los usuarios que los reciban podría ser el de escanear dichos códigos con la cámara de sus móviles, lo que haría que estos accedan al recurso controlado por los atacantes con muchos menos controles de seguridad que los tendrían lugar si el acceso fuera desde el ordenador.
Microsoft ha reportado una vulnerabilidad crítica presente en Microsoft Outlook (para Windows) con un CVSSv3 de 9.8 y fácil de explotar para un atacante, quien tras explotación de esta podría obtener el hash Net-NTLMv2 del receptor de un correo electrónico y utilizarlo para luego autenticarse como él durante un ataque de retransmisión NTLM.
Lo más preocupante de esta vulnerabilidad es que según reportes de Microsoft, no se requiere interacción alguna por parte de la víctima, dado que esta se podría explotar en cuanto el cliente Outlook reciba y procese el correo.
Hace solo unos días, una de las botnets anteriormente ligadas con Emotet retomó su actividad enviando por correo electrónico ficheros maliciosos dentro de comprimidos ZIP. Como en otras ocasiones, Emotet está de vuelta y con nuevas técnicas tanto de evasión de detección como también para infectar dispositivos en las redes donde llegue a ser ejecutado.
Se ha detectado hoy el origen de una campaña masiva de envío de correos maliciosos suplantando a la Agencia Estatal de Administración Tributaria y redirigiendo a un formulario de Phishing.
Estos correos llevan un formato ya visto con anterioridad, donde se hace referencia a que se ha recibido una notificación para el supuesto titular y busca llevar a los usuarios a un sitio fraudulento suplantando al verdadero de la AEAT. Una vez ingresados los datos, la víctima es redirigida al sitio legítimo, pudiendo un usuario que desconoce estas técnicas creer que se ha tratado de un simple error de la web.
Se ha detectado estos últimos días una serie de campañas masivas para la distribución de REMCOS (un conocido Troyano de Acceso Remoto e infostealer) mediante el envío de ficheros DOCX con contenido malicioso.
Estas campañas resultan interesantes y vale la pena entrar en detalle acerca de ellas para entender cómo los atacantes estan nuevamente innovando sus técnicas de distribución de malware, dado que al tratarse de ficheros DOCX, logran evadir los controles tradicionales de análisis de macros.
Fortinet ha informado de una vulnerabilidad crítica que impacta a múltiples versiones de FortiOS y FortiProxy, mediante la cual un atacante podría ejecutar una denegación de servicio sobre la GUI de los dispositivos vulnerables o incluso ejecutar código de forma remota sin necesidad de autenticación previa.
De acuerdo con el Security Advisory que ha publicado Fortinet aún no hay instancias de que esta vulnerabilidad (identificada como CVE-2023-25610) esté siendo explotada de forma activa por cibercriminales, pero esto no deja de requerir una toma de acción inmediata por parte de las organizaciones con dispositivos afectados, dado que últimamente las vulnerabilidades sobre servicios VPN se están convirtiendo en un punto de entrada a las organizaciones cada vez más común para los atacantes.
Se ha detectado una campaña de envío masivo de correos electrónicos donde se suplanta la identidad de Agencia Estatal de Administración Tributaria para redirigir a un sitio fraudulento y proceder con el robo de credenciales mediante un formulario de Phishing.
Este caso resulta más preocupante que otros debido a que el sitio malicioso no solo replica la interfaz de la web de AEAT sino que también está sobre un dominio registrado el mismo día en que se publica esta nota, y salvo por el TLD, podría aparentar ser legítimo.
El PSIRT de Fortinet ha hecho pública una vulnerabilidad crítica que afecta a diversas versiones de FortiOS, tratándose de un heap-based buffer overflow que podría permitir a un atacante remoto sin autenticación previa la ejecución de código/comandos arbitrarios a través de solicitudes diseñadas para este fin.
Han confirmado también que ya detectaron un incidente donde esta vulnerabilidad fue explotada por atacantes, por lo que recomiendan inmediatamente la verificación de sistemas por parte de sus clientes en busca de indicadores de compromiso (podréis encontrarles al final de esta entrada), sumado a la mitigación de la misma mediante actualización a una versión superior que la resuelva.
Desde su lanzamiento en octubre de 2009, Windows 7 ha sido un sistema operativo con un uso muy extendido tanto por organizaciones como usuarios finales. E incluso años de haber alcanzado su End-Of-Support por parte de Microsoft, continúa presente en muchas organizaciones.
Conociendo esto, Trend Micro optó por extender el soporte más allá de su End-Of-Support (EoS) original (14 de enero de 2020) para poder ofrecer asistencia a clientes que hicieran uso de esta plataforma con sus productos al igual que hizo Microsoft con su servicio de Extended Security Updates (ESU), el cual cerrará su ciclo el 10 de enero de 2023. Sin embargo, a partir de este 10 de enero de 2023, Trend Micro dará por finalizado el soporte a plataformas Windows 7, de acuerdo con dos principales motivos relacionados con la seguridad de estos sistemas.
