Piratas informáticos aprovechan la agenda de la UE en campañas de phishing

Las organizaciones con sede en la UE están siendo blanco de campañas de phishing que aprovechan los eventos políticos y diplomáticos de la UE, según el Equipo de Respuesta a Emergencias Informáticas (CERT-EU) del bloque.

Los actores de amenazas enviaron correos electrónicos de phishing que contenían archivos adjuntos maliciosos, enlaces o archivos PDF señuelo que originalmente eran documentos internos o disponibles públicamente relacionados con asuntos y políticas de la UE.El actor de amenazas respaldado por China, Mustang Panda, ha estado utilizando esta táctica desde al menos 2022.

Estos señuelos incluían menciones de los siguientes organismos, programas y eventos de la UE:

Presidencia sueca del Consejo de la Unión Europea

Cumbre UE-Comunidad de Estados Latinoamericanos y Caribeños (CELAC)

Grupo de Trabajo de Consejeros de Relaciones Exteriores (RELEX)

EU LegisWrite (un programa de edición de la Comisión Europea)

Los actores de amenazas “no necesariamente apuntaron a las organizaciones mencionadas”, sino que dirigieron sus campañas maliciosas hacia personas y organizaciones involucradas en políticas y eventos de la UE y podrían verse tentados a hacer clic en el enlace o documento malicioso.

Para hacer aún más creíble el mensaje de phishing, los atacantes a menudo se hicieron pasar por miembros del personal de entidades de la Unión o de la administración pública de los países de la UE, añade el informe.

El Spear phishing siguió siendo la técnica de acceso inicial más utilizada por los actores de amenazas dirigidas a organizaciones con sede en la UE en 2023.

Fuera de las entidades de la administración pública, las industrias más afectadas por las campañas de phishing en 2023 fueron los sectores de la diplomacia, la defensa y el transporte.

Info – Ciberseguridad Latam

Microsoft corrige dos días cero en el martes de parches de febrero

Microsoft ha dejado a los administradores de sistemas con un febrero ocupado después de lanzar actualizaciones para 73 vulnerabilidades, incluidas dos fallas de día cero actualmente bajo explotación activa.

La ronda de actualización del martes de parches de febrero de ayer vio correcciones para cinco vulnerabilidades críticas y 30 fallas de ejecución remota de código (RCE). Sin embargo, ambos días cero fueron errores de omisión de funciones de seguridad.

El primero, CVE-2024-21412, está relacionado con los archivos de acceso directo a Internet. Con una puntuación CVSS de 8,1, sólo se califica como “importante”, ya que requiere la interacción del usuario para tener éxito, según Mike Walters, presidente de Action1.

El segundo día cero (CVE-2024-21351) implica omitir la función de seguridad SmartScreen en Microsoft Defender. Se considera que tiene un impacto moderado, con una puntuación CVSS de 7,6. Aunque se está explotando en la naturaleza, actualmente no hay una prueba de concepto disponible, según Walters.

También en el radar este mes deberían haber dos vulnerabilidades críticas con puntuaciones CVSS de 9,8.

CVE-2024-21410 es un error de elevación de privilegios que permite a los actores de amenazas realizar operaciones en Microsoft Exchange Server como si fueran la víctima.

Mientras tanto, CVE-2024-21413 es una vulnerabilidad RCE crítica en Office que permite a un atacante hacer que un archivo se abra en modo de edición como si el usuario hubiera aceptado confiar en el archivo. No se requiere interacción del usuario para la explotación, que se produce a través del Panel de vista previa de Outlook.

Info – Ciberseguridad Latam

“Coyote” a la caza: nuevo troyano brasileño tiene a más de 60 instituciones financieras en la mira, revela Kaspersky

Los expertos de Kaspersky han identificado a “Coyote”, un nuevo y sofisticado troyano bancario que utiliza tácticas de evasión avanzadas para robar información financiera confidencial y que tiene como objetivo a más de 60 instituciones financieras, principalmente en Brasil. Según los investigadores, el troyano utiliza el instalador de Squirrel para su distribución, un método poco conocido para la diseminación de malware.

Continue reading

Un ciberataque puso en jaque datos personales de los titulares de Tarjetas de Transporte Público de Madrid

El Consorcio Regional de Transportes admite que en noviembre del año pasado fue víctima de un ciberataque “de origen externo, intencionado y doloso” por el que se han visto comprometidas las bases de datos con información de los titulares de Tarjetas de Transporte Público.

El encargado del tratamiento de los datos personales ha comunicado que se trata de una incidencia de ciberseguridad que ha afectado a la confidencialidad de los datos personales. El ataque tuvo lugar la madrugada del 22 de noviembre de 2023 y fue neutralizado el mismo día gracias al trabajo de los equipos técnicos del Consorcio Regional de Transportes de Madrid y de Madrid Digital. Así lo recoge Europa Press a partir de fuentes del organismo regional dependiente de la Consejería de Vivienda, Transportes e Infraestructuras.

Desde el Consorcio Regional de Transportes explican que “no se ha podido evidenciar el contenido exacto de la posible extracción efectuada como consecuencia del ataque”, aunque aseguran que “existen evidencias de la extracción de información de bases de datos de titulares de Tarjetas de Transporte Público de la Comunidad de Madrid con datos identificativos (nombre, apellidos, domicilio, correo electrónico, teléfono, localidad y provincia, código postal, entre otras) y de ventas de títulos de transporte”.

El organismo recalca que “de forma inmediata” se establecieron las medidas necesarias para bloquear dicho ataque y se procedió a diseñar e implementar “medidas adicionales de seguridad, técnicas y organizativas”. Al mismo tiempo, se procedió a denunciar los hechos ante el Cuerpo Nacional de Policía y a comunicar la brecha de seguridad a la Agencia Española de Protección de Datos, en cumplimiento estricto de la normativa.

La entidad autonómica dice no tener constancia de la materialización “de un perjuicio efectivo para ninguna de las personas que pudieran estar afectadas”. No obstante, advierte que “existe riesgo de recibir comunicaciones no deseadas o ser víctimas de campañas de suplantación”. Por ello, recuerda que el Consorcio Regional de Transportes nunca solicita información sobre las claves de acceso, incluidos los supuestos de cuentas bancarias o el pin de tarjetas de crédito o débito y se ha recomendado extremar las medidas de precaución habituales.

Desde el organismo hacen hincapié en que se ha seguido trabajando para “reforzar las medidas de seguridad existentes para fortalecer, aún más, los accesos internos y externos a los sistemas afectados, con objeto de evitar cualquier nuevo intento de ataque”. “Lamentamos profundamente las molestias o inquietud que esta situación pudiera ocasionar a los afectados”, indica el Consorcio Regional de Transporte, que ha recordado que dispone del correo electrónico crtm_protecciondatos@madrid.org para cualquier duda o aclaración.

Info – El Diario