Ahora estamos en la etapa más crucial de las festividades navideñas, donde el dinero y los regalos están en marcha… y las redes sociales son un conducto para las buenas y las malas noticias. Este es el mejor momento para que los estafadores de las redes sociales hagan su movimiento. Un pequeño truco de confianza aquí, la promesa de buen humor allí, y alguien se va a quedar sin dinero.

Aquí hay un resumen de algunas de las estafas de redes sociales más frecuentes. Informe a sus amigos y familiares sobre estos si cree que pueden estar en riesgo.

Me gusta y comparte para las cestas de chocolate

¿Tienes un diente dulce? La gente no tiene buenas esperanzas. Facebook, WhatsApp y posiblemente otros, están experimentando mensajes Cadbury falsos que ofrecen beneficios inexistentes. Algunas de las misivas son genéricas; otros afirman ser de gerentes específicos en ciertas ubicaciones de fábrica. De cualquier manera, se les pide a las personas que visiten las URL para «Hacer clic y obtener la suya» o ingresar un formulario de finalización según el mensaje.

Estas falsificaciones han estado circulando desde 2018, y posiblemente antes. No hay ninguna necesidad real de crear algo particularmente sofisticado durante la temporada navideña. A la gente le gustan las cosas gratis y geniales, y los farsantes quieren (no) dárselas. Lamentablemente, todas las personas que recibirán aquí son encuestas que les piden que entreguen información a los especialistas en marketing. No pierdas tu tiempo.

Entradas raras para eventos aún más raros

No puedo imaginar que estén ocurriendo muchos eventos ahora, dada la situación del COVID-19. Sin embargo, eso no ha impedido que los estafadores intenten aprovecharse. Los mensajes en Facebook afirman que ha habido un accidente o una muerte en la familia y que no pueden asistir a un evento. Ofrecen las entradas a la venta en portales de redes sociales. El problema: los familiares no existen, tampoco las entradas, y el evento ha sido cancelado . A pesar de que se ofrece a un precio con descuento, todo será en vano, literalmente, si paga.

Si bien las ofertas de “ir rápido, compre ahora para evitar decepciones” son compras espontáneas, esta es una que querrá dejar pasar. Puede parecer obvio sugerir que la comprobación de que el evento está en marcha, pero en el mundo real no es así como las cosas se desarrollan contra el reloj. Así que lucha contra la tentación de conseguir una ganga de último minuto y, al menos, asegúrate de que lo que estás reservando todavía esté sucediendo.

Sextorsión basada en redes sociales

Un poco extraño, ya que este es más típicamente el ámbito de las comunicaciones de MI / voz y video. Los estafadores alientan a las personas a realizar actos sexuales frente a la cámara y luego usan las imágenes para chantajear el dinero de esas personas . El artículo vinculado cita las redes sociales pero no entra en detalles. Es posible que los estafadores seleccionen sus marcas en las plataformas de redes sociales antes de pasar a IM / video en otro lugar. Definitivamente vale la pena mencionarlo, por si acaso.

Manténgase alejado de estos roles de embajadores de marca falsos

Si usa sus habilidades para promover productos y marcas en las redes sociales, tenga cuidado. Las empresas, falsas o no, ofrecen productos y servicios falsos si acepta promocionar sus productos. Por lo general, a las víctimas potenciales se les ofrecen artículos «gratis», siempre que paguen por el envío. Como dice el artículo vinculado, es mejor evitar cualquier cosa en la que alguien quiera que pague por adelantado por artículos «gratuitos». Establezca contactos con otras personas influyentes y no tenga miedo de preguntar a otros si una empresa que realiza actividades de divulgación parece demasiado buena para ser verdad.

Redes sociales, hasta el final

Con tantas personas manteniéndose en contacto durante la pandemia a través de las redes sociales, es un verdadero patio de recreo para los estafadores. El gran peso de los números significa que las víctimas potenciales nunca están lejos.

Es completamente posible pasar un buen rato y ser cauteloso, y desafortunadamente hay demasiadas personas malas para darnos una alternativa. A ellos no les importa arruinar las festividades, vidas, cuentas bancarias o cualquier otra cosa, por lo que depende de nosotros asegurarnos de que los estafadores de confianza no se estrellen contra nuestra fiesta esta Navidad.

En la parte 1 de esta serie de artículos, analizamos esquemas de minería de datos, campañas publicitarias fraudulentas, estafas de boletos para conciertos y estafas de transferencia de fondos de PayPal. Hoy, continuamos enumerando las otras estafas que puede encontrar en Facebook.

Estafa de comercio de Bitcoin

¿Quién hubiera pensado que un esquema de phishing «simple» sería una fachada para una estafa comercial global de Bitcoin?

Los investigadores de vpnMentor descubrieron una operación fraudulenta con «muchas capas complejas» no hace mucho tiempo. Según la publicación de su blog , comienza como un intento de recolectar las credenciales de Facebook.

¿Cómo consiguen los estafadores que los usuarios entreguen sus credenciales? Los atraen con la promesa de revelar detalles sobre quién ha visitado su perfil.

Después de que un usuario de Facebook ingrese su nombre de usuario y contraseña, se le muestra una supuesta cantidad de personas (32 de ellas) y una lista de las que lo han hecho. visto su perfil. O no, como informan algunos usuarios.

Los estafadores luego usan las credenciales de Facebook robadas para secuestrar las cuentas de las víctimas y los comentarios de spam en su red. El spam contiene un enlace a otro lote de sitios web fraudulentos, con la intención de señalar a las personas un esquema de Bitcoin que es fraudulento.

Sin embargo, no todas las publicaciones de spam contienen un enlace a los sitios falsos de Bitcoin. A veces, los usuarios son dirigidos deliberadamente a sitios de noticias falsos e incluso legítimos, según los investigadores de vpnMentor. Esto es para confundir el algoritmo de Facebook, evitando así que las cuentas secuestradas sean bloqueadas. Sin embargo, los sitios falsos eventualmente también conducen a sitios Bitcoin falsos.

Se anima a los usuarios de Facebook que lleguen a este punto a registrarse para obtener una cuenta de comercio de Bitcoin gratuita y depositar 250 euros para que puedan comenzar a operar.

Estafas de subvenciones de Facebook

Las estafas relacionadas con COVID-19 parecen ser la estafa del día. Y desde que Facebook inició su programa de subvenciones a las pequeñas empresas muy afectadas por la pandemia, los estafadores han orientado sus campañas de phishing para que parezca que Zuck está repartiendo dinero entre todos los usuarios de Facebook afectados por COVID-19.

Kaspersky ha informado sobre una variante de esta estafa de phishing , que comenzó con un informe falso de la CNBC sobre Facebook que otorga subvenciones a los usuarios afectados por la pandemia y un enlace donde pueden solicitar una.

Los usuarios que visitan la URL son llevados a un sitio que se parece al sitio oficial de Mercy Corps , una organización que ofrece ayuda humanitaria, donde se les solicita su nombre de usuario y contraseña de Facebook. El sitio también solicita más información de identificación personal (PII), como dirección física, SSN e incluso un escaneo de identificación, para verificar su cuenta de Facebook, que el sitio falso afirma que es necesaria para aceptar una solicitud de subvenciones.

En este punto, los usuarios no solo les han otorgado a los estafadores acceso a su cuenta de Facebook, sino que también les han proporcionado suficiente información para permitirles hacerse pasar por usted e intentar acceder a sus otras cuentas.

La Comisión Federal de Comercio (FTC) también ha informado no solo sobre las estafas de subvenciones, sino también sobre otras ofertas de dinero impulsadas por la pandemia, como cupones de apoyo alimentario y obsequios, supuestamente distribuidos por cuentas que utilizan marcas de renombre como Target, Walmart, Pepsi y Alimentos integrales.

Además, los usuarios de Facebook pueden haber recibido mensajes en Messenger y WhatsApp, en inglés o español, de un amigo, familiar o contacto pidiéndoles que hagan clic en un enlace donde pueden reclamar “dinero gratis”. Esta campaña, según ha señalado la FTC, llevaría a los usuarios a una página de estafa de encuesta solicitando información personal.

Al igual que la estafa de transferencia de fondos de PayPal en la parte I , los estafadores se hacen pasar por alguien que su víctima conoce con la esperanza de bajar la guardia y hablar libremente y en confianza. Dejar que la conversación se desarrolle en un espacio privado beneficia a los malos porque los propietarios ajenos de cuentas pirateadas o imitadas no podrán advertir a nadie sobre su cuenta pirateada o las cuentas que se hacen pasar por ellos.

Estafa de «intercambio secreto de regalos de hermana»

Este es probablemente uno de los esquemas piramidales más comunes que se ven en Facebook.

Malwarebytes informó sobre esta estafa específica para las fiestas hace un par de años, pero la estafa de la Hermana Secreta ha estado entrando y saliendo de Facebook desde 2015. Dicho esto, no debería sorprender a nadie ver que asoma su fea cabeza una vez más.

En esta estafa, un usuario de Facebook etiqueta algunos contactos en una publicación con un mensaje como este: compre un artículo en una tienda por valor de $ 10, envíelo a alguien y espere una devolución de artículos de otros de 6 a 36 veces que participan en ella.

Esto puede parecer inofensivo, y uno puede sentir que tiene mérito considerando lo terriblemente difícil que ha sido el año 2020 para muchos de nosotros. Después de todo, ¿quién no quiere recibir regalos de todos sus amigos y familiares, o de extraños al azar?

Pero mientras que el acto de intercambiar obsequios entre amigos de la escuela, familiares o incluso colegas se alienta y se permite, las cadenas de obsequios como el intercambio secreto de obsequios entre hermanas, por otro lado, no lo son. Participar en él se considera juego y, por lo tanto, en realidad está infringiendo las leyes de juego y esquemas piramidales del Servicio de Inspección Postal de EE. UU .

Como también hemos señalado , participar en el intercambio secreto de obsequios de hermanas, junto con sus otras variantes, podría resultar en la recolección de datos, especialmente si el requisito previo para participar es entregar su información personal junto con la información personal de amigos o familia.

Como la agricultura

La agricultura de me gusta es una práctica antigua pero buena que hacen tanto las partes comerciales legítimas como los estafadores para aumentar la popularidad de una publicación a través de me gusta y acciones.

Las publicaciones que me gustan y compartidas son generalmente benignas. Pero de repente se vuelven peligrosos cuando, después de acumular una cantidad objetivo de me gusta y compartidos, los estafadores editan las publicaciones originales para incluir enlaces a la descarga de un archivo malicioso o un sitio web de phishing, o para promocionar productos spam. Las páginas de Facebook que han obtenido una gran cantidad de seguidores también se pueden vender en el mercado clandestino, ya sea para ser utilizadas por otros estafadores para sus campañas o para recopilar datos de seguidores que Facebook, de forma predeterminada, les proporciona.

En junio, el Better Business Bureau (BBB) ​​publicó un artículo advirtiendo a las personas sobre una publicación de Facebook que anunciaba una casa rodante gratuita y el uso de la pandemia para atraer a la gente. La publicación dice así:

“Con mucha gente sin trabajo y Covid-19 manteniéndolos sin trabajo, sabemos que el dinero es más escaso ahora que nunca. Entonces, a las 4:00 p.m. del lunes, alguien que comparta y también comente será el nuevo propietario de este vehículo recreativo Jayco Greyhawk 2020, pagado y listo para conducir, llaves en mano: Jayco «.

Según se informa, este es el contenido de la publicación de Facebook sobre la campaña falsa de Jayco RV que se difundió en junio.

La empresa de la que se hicieron pasar los estafadores, Jayco, informó la página a Facebook.

Cómo mantenerse seguro en Facebook

• Informar sobre publicaciones dudosas en redes sociales. Es bueno que Facebook tenga una función que permite a sus usuarios informar fácilmente las publicaciones que consideran sospechosas, fraudulentas, ilegales o francamente dañinas para el bienestar de otros usuarios de Facebook. Puede encontrar esta función haciendo clic en en la esquina superior derecha de la publicación de Facebook en cuestión y seleccionando «Informar publicación» o «Informar foto».
• Nunca dé detalles sobre usted y los demás. No permita que usted ni ninguno de sus contactos de Facebook se conviertan en blanco de estafas o robo de identidad. Tenga cuidado con cualquier persona o cosa que le pida información personal.
• Me gusta y comparte sabiamente. Si un supuesto sorteo suena demasiado bueno para ser verdad, probablemente lo sea. Por lo tanto, no le guste ni comparta esa publicación y, en su lugar, infórmelo.
• Busque siempre la marca de verificación azul en las páginas de marcas populares y personalidades públicas. Verificar su legitimidad es una práctica increíblemente simple pero a menudo descuidada. Entonces, si desea que le guste o comparta algo que sea legítimo y seguro para que sus contactos también le gusten y lo compartan, asegúrese de que la publicación sea de una cuenta verificada.
• Actualice su navegador con regularidad. Esto no solo mantiene a raya las nuevas vulnerabilidades, es otra capa de protección en la que puede confiar.
• Examine las URL de cerca. No todas las campañas fraudulentas son sofisticadas o difíciles de detectar. Comience con la URL; si obviamente no es para el sitio web en cuestión, aléjese.
• Comuníquese con amigos y familiares fuera de Facebook o Instagram. Si no está seguro de si un mensaje es de la persona de la que dice que es, llámelo o envíele un mensaje de texto para verificar que realmente lo envió.
• Tenga cuidado con lo «gratis». Sí, las cosas gratis están bien, pero no deberían costarle nada, y eso incluye sus datos personales o una pequeña cantidad de dinero que debe pagar primero. Si ve una supuesta subvención del gobierno circulando en Facebook, vaya a la página web oficial de esa agencia para verificarla o llámela.
• Cambie sus credenciales de inicio de sesión inmediatamente. Nadie es inmune a ser absorbido por un fraude. Si le sucede a usted, comuníquese con su banco, infórmelo y considere también el monitoreo de crédito. Y si usó la misma contraseña en otros sitios, cámbiela y recuerde que reutilizar las contraseñas siempre es un paso en falso.

Las estafas de Facebook siempre estarán presentes, así que asegúrese de mantenerse actualizado, mantener los ojos abiertos y ayudar a sus amigos y familiares que también usan Facebook. Recuerde que ayudar a un contacto a mantenerse seguro en Facebook también lo ayuda a proteger su cuenta y la de otros.

Aunque esperamos que esta sea una advertencia innecesaria, queremos publicarla. Tan pronto como se habló de la disponibilidad de una vacuna contra el virus COVID-19, hubo vendedores en la Dark Web que ofrecían vacunas COVID-19 rusas y chinas a la venta. Ahora que el Reino Unido ha comenzado su programa de inoculación, hemos visto aparecer en línea las primeras ofertas de “vacunas COVID-19 probadas”.

Por supuesto, no hizo falta el genio de Shakespeare para idear esa trama.

En un solo día, se descubrieron 645 listados de COVID-19 en 12 mercados de la web oscura, encontró un estudio de la Universidad Nacional de Australia.

Un ejemplo

A continuación se muestra una captura de pantalla de un proveedor de Dark Web que vende una “vacuna contra el virus Corona” (sic) desarrollada en Israel. El proveedor afirma que estará listo en unos días, probablemente para extender el período antes de que comiencen a recibir quejas que podrían alejar a otros compradores potenciales. Como puede ver, imaginaron una vacuna mucho antes de que alguien pensara que era factible.

¿Recibirá una vacuna COVID-19 real?

Como yo lo veo, hay algunos escenarios posibles que podrían desarrollarse si decide solicitar una «vacuna COVID-19 probada» en la web oscura:

1. No recibirás nada en absoluto. Deberías estar feliz, todo lo que perdiste es algo de dinero.
2. Posiblemente se enviará un envío a su dirección, pero no será una vacuna real. Con suerte, será un placebo inofensivo.
3. El envío contiene una vacuna, pero no es la codiciada vacuna contra el coronavirus. No tienes idea de lo que es realmente. Esperemos que no le sea alérgico.
4. En el caso muy poco probable de que reciba una vacuna COVID-19 real, es muy probable que no sea una vacuna aprobada por la FDA. La única vacuna aprobada hasta la fecha debe almacenarse y transportarse a -94 ° F (-70 ° C). ¿Nuestro proveedor de Dark Web utilizará el método de distribución de la cadena de frío ?

En serio, existe una gran demanda de vacunas reales, y los expertos en logística de todo el mundo están elaborando planes para llevar estas vacunas a quienes más las necesitan, de la manera más segura y rápida.

Advertencias

En Malwarebytes Labs hemos advertido en el pasado contra la compra de drogas ilegales en Internet . Puede prestar atención a las mismas advertencias para los medicamentos.

Un investigador de CloudSEK se puso en contacto con uno de estos proveedores y solicitó una prueba de lo que estaban vendiendo. En respuesta, enviaron una imagen de archivo. Puedes leer su ida y vuelta aquí .

Se emitió una advertencia después de que la ‘vacuna Pfizer COVID-19’ se encontrara a la venta en la Dark Web, a alrededor de £ 1,000 por dosis. Como señalamos anteriormente, dada la temperatura controlada requerida para el almacenamiento y transporte de esta vacuna, estas son afirmaciones muy poco probables.

Europol advirtió en abril sobre el daño potencial de las estafas en línea y fuera de línea que ofrecen supuestas versiones de la vacuna COVID-19. Luego, en octubre, descubrió una operación con sede en México que impulsaba vacunas contra la influenza falsas en la clandestinidad del ciberdelito. Es probable que los mismos actores vean otra oportunidad con el lanzamiento de una vacuna COVID-19, dijo Europol.

Es una oportunidad de oro para los ciberdelincuentes, que pueden usar ofertas de vacunas falsas como cebo. Europol dijo que la alta demanda de la vacuna y la posible escasez probablemente llevarán a los consumidores en línea a buscar alternativas.

“Algunos mercados de la web oscura presentan anuncios de vacunas COVID-19 falsas. El número de ofertas es limitado en esta etapa, pero probablemente aumentará una vez que esté disponible una vacuna legítima. Los delincuentes publicitan sus vacunas falsas utilizando las marcas de compañías farmacéuticas genuinas que ya se encuentran en las etapas finales de prueba «.

La Administración de Alimentos y Medicamentos dijo que la primera vacuna Covid-19 que se está considerando para su distribución en los Estados Unidos «cumplió con los criterios de éxito prescritos» en un estudio clínico, allanando el camino para que la agencia dé luz verde a la distribución este fin de semana. Es probable que esto aumente la cantidad de ofertas fraudulentas.

Datos de vacunas robadas

Se ha accedido ilegalmente a documentos relacionados con el desarrollo de una vacuna COVID-19 en un ciberataque a la Agencia Europea de Medicamentos   (EMA), que es la versión europea de la Administración de Alimentos y Medicamentos (FDA).

Puede esperar que los estafadores usen esta información para dar mayor credibilidad a sus señuelos. Por ejemplo, al afirmar que han fabricado una vacuna COVID-19 utilizando la información que estaba en los documentos robados. Nuevamente, esto se refiere a la vacuna que debe manipularse en condiciones de cadena de frío, por lo que cualquier vacuna basada en esas especificaciones requerirá el mismo tratamiento.

No dejes que el pánico controle tus acciones

Si bien entendemos las razones por las que algunas personas pueden querer vacunarse antes de que su gobierno decida que es su turno, el pánico y la codicia son siempre malos consejeros. Son los instintos básicos exactos en los que prosperan los estafadores.

No agregue un desafortunado accidente con una vacuna poco probable vendida por un proveedor sospechoso de Dark Web a la lista de cosas que salieron mal en 2020.

La educación en los Estados Unidos enfrentó una crisis este año. La amenaza inminente del coronavirus, que se propaga fácilmente en aulas cerradas y densamente pobladas, obligó a las escuelas de todo el país a desarrollar nuevas estrategias para la educación.

Se conoce el dramático estrés de esta transición. Los maestros trabajan más horas que nunca y los padres se ven obligados a intervenir en sus trabajos y en el cuidado de los niños 24 horas al día, 7 días a la semana. Pero quizás por primera vez, Malwarebytes ha revelado cómo esta transición ha enfatizado la postura de ciberseguridad de las escuelas y distritos escolares.

Nuestro informe completo, » Lecciones en ciberseguridad: cómo la educación hizo frente al cambio hacia el aprendizaje a distancia «, muestra cómo las escuelas de los Estados Unidos están sufriendo, a veces por inacción propia.

Casi la mitad de todas las escuelas no cambiaron nada sobre sus preparativos de ciberseguridad en la transición al aprendizaje a distancia. El resultado final es que las escuelas se han enfrentado a una serie de problemas de ciberseguridad y TI que aumentan drásticamente la carga de trabajo de TI y ejercen una presión indebida en la vida de los profesores. Algunas escuelas incluso han sufrido ciberataques que han retrasado sus planes de educación a distancia por un día . Más personas se enteraron de que un colega sufrió un ataque de malware en un dispositivo propiedad de la escuela.

Sin embargo, nuestro informe también revela que los ciberataques no solo amenazan la seguridad de los maestros, estudiantes y administradores, sino que también impactan dramáticamente la percepción de los estudiantes sobre las escuelas. Malwarebytes descubrió que muchos estudiantes dijeron que un ciberataque afectaría significativamente su decisión de postularse a una escuela o transferirse a esa escuela. Los ciberataques también afectaron significativamente la confianza de estos estudiantes en sus propias escuelas.

Fundamentalmente, nuestro informe muestra que cuantas más mejores prácticas de ciberseguridad implemente una escuela, menos problemas de ciberseguridad y TI sufrieron.

Para todos estos hallazgos, fuimos directamente a la fuente.

Realizamos dos encuestas paralelas, la primera de las cuales se dirigió a los responsables de la toma de decisiones de TI en las escuelas de los Estados Unidos. La segunda encuesta se centró en estudiantes matriculados en K-12; estudiantes que trabajan para obtener una licenciatura, un título de asociado o asistir a una escuela de oficios; y estudiantes matriculados en cualquier programa de posgrado.

Conclusiones clave

• El 50,7 por ciento de los responsables de la toma de decisiones de TI dijeron que nadie, ni los estudiantes, los profesores, el personal ni los invitados (incluidos los padres), tenía que inscribirse en una formación en ciberseguridad antes de que comenzara el nuevo año escolar.
• El 46,7 por ciento de los responsables de la toma de decisiones de TI dijo que sus escuelas «no desarrollaron requisitos adicionales» (ni lectura de políticas de aprendizaje a distancia, ni capacitación en ciberseguridad, ni instalaciones de herramientas antivirus) para los estudiantes, el profesorado o el personal que se conectó a la red de la escuela
• El 46,2 por ciento de los estudiantes dijo que sus escuelas sufrieron un ciberataque.
• El 61 por ciento de los estudiantes dijo que un ciberataque tuvo como resultado un impacto significativo o fuerte en su confianza en su escuela.
• Las escuelas que participaron en una variedad de mejores prácticas de seguridad cibernética antes de hacer la transición a un modelo de aprendizaje a distancia informaron cero ataques cibernéticos en toda la escuela y cero días de instrucción perdidos debido a un ataque cibernético
  • El 63,6 por ciento de estas escuelas dijeron que sufrieron «una carga de trabajo de TI excesiva y sostenida» en comparación con el 72,0 por ciento de todos los encuestados
  • El 18,2 por ciento de estas escuelas dijo que «los profesores o los estudiantes han sufrido un ataque con bombas Zoom» en comparación con el 29,3 por ciento de todos los encuestados.
• Con el aprendizaje a distancia en pleno apogeo, las preocupaciones siguen siendo la escasez de dispositivos:
  • El 28 por ciento de los encuestados de TI dijo que a sus escuelas les faltan computadoras portátiles, computadoras o tabletas para los maestros
  • Al 40 por ciento le faltan esas herramientas para padres y estudiantes
  • Al 38,7 por ciento le preocupa que los profesores o los estudiantes estén utilizando demasiado rápido los datos de los puntos de acceso WiFi proporcionados por la escuela

Estudiar mucho

Aunque estamos a la mitad del año escolar, nunca es demasiado tarde para mejorar la ciberseguridad de una escuela. De hecho, existen varias prácticas recomendadas que una escuela puede implementar para protegerse de un incidente de ciberseguridad. No solo eso, sino que algunas de esas mismas prácticas pueden ayudar al cuerpo docente de una escuela a concentrarse en lo que más importa: educar a los estudiantes.

Las estafas se pueden encontrar en cualquier lugar y Facebook no es una excepción. Y, con la temporada navideña a la vuelta de la esquina, y el mundo aún capeando una pandemia, vale la pena saber qué estafa Facebook podría encontrarle a usted, sus seres cercanos y aquellos con los que tiene relaciones profesionales.

En esta serie de dos partes, analizaremos aquellos que representan un riesgo notable para su cuenta bancaria o su información personal.

«¿Cómo te engaño? Déjame contar las formas «

Esquemas de minería de datos simples y antiguos

Según Vade Secure, una empresa especializada en defensa de correo electrónico, Facebook ocupa el segundo lugar en su lista de las marcas más suplantadas en campañas de phishing , que detalla más en su informe anual Phishers ‘Favorites Q1 2020 .

Las campañas de phishing de Facebook pueden adoptar muchas formas, incluidas las aplicaciones de Facebook y los mensajes SMS, y pueden llegar a través de muchas vías. Podría ser un enlace en Messenger de una conexión o un extraño, un correo electrónico pidiéndole que verifique su «propiedad legal» de su cuenta de Facebook, o una simple publicación pública diseñada para atraer o asustar a los destinatarios para que actúen, lo que generalmente implica la entrega de datos.

Tomemos, por ejemplo, una campaña en la que se les dice a los destinatarios que su cuenta ha sido denunciada por abuso, lo que infringe los estándares de Facebook. Esto luego se combina con un enlace a una página que les dice a los usuarios que ingresen sus credenciales para demostrar que la cuenta en cuestión es suya.

Una cosa a tener en cuenta es que cuando se trata de campañas de phishing en Facebook, no importa si apareció por primera vez hace 10 años o hace 10 días. Vemos similitudes en campañas pasadas y presentes porque los phishers las encuentran efectivas contra los usuarios ya que siguen cayendo en los mismos trucos.

Aquí hay un consejo: si le resulta difícil detectar un intento de phishing, un administrador de contraseñas podría ayudarlo al no completar automáticamente las credenciales en los sitios que se supone que debe completar previamente. Una vez que esto suceda, infórmeselo a su equipo de soporte del administrador de contraseñas para que puedan investigar. Mientras tanto, evite ingresar manualmente información en el sitio que su administrador de contraseñas se niega a completar previamente, ya que probablemente sea una página de phishing.

Campañas publicitarias fraudulentas

Aunque esto puede parecer nuevo para el consumidor promedio, aquellos que han establecido una presencia comercial en línea en Facebook están bastante familiarizados con las campañas publicitarias fraudulentas.

Los anuncios fraudulentos son, esencialmente, anuncios falsos o falsos diseñados para engañar a las personas para que les saquen su dinero. Este tipo de campaña ha hecho de Facebook su hogar al secuestrar cuentas de empresas, comunidades o «figuras públicas» y comprar campañas publicitarias para su ejecución.

Los piratas informáticos y los estafadores se dirigen especialmente a las cuentas de Facebook que pueden publicar anuncios, ya que todo está configurado para su uso y abuso. Y aunque algunos ciberdelincuentes crean y dejan deliberadamente cuentas de Facebook para que “maduren” con el tiempo (estamos hablando de años aquí) antes de que se vendan, la mayoría de los estafadores simplemente no podían esperar tanto.

¿Por qué hacen esto? Porque el sistema de Facebook está en busca de trampas que involucren nuevas cuentas. Dejar que las cuentas maduren es una forma de burlar el sistema.

La ejecución de anuncios fraudulentos puede generar enormes sumas de dinero a los estafadores, incluso si solo se publican durante unas horas antes de que se cierren. De hecho, unas pocas horas es todo lo que necesitan para ver un retorno de su inversión de tiempo y esfuerzo.

El año pasado, Henry Lau, cofundador de Privolta, una empresa que se especializa en anuncios centrados en la privacidad, tuvo su cuenta de anuncios de Facebook comprometida por piratas informáticos a través de un tercero, que luego la utilizó para ejecutar una campaña de video de 13 segundos de un vagón de juguete que fue visto por usuarios de Facebook en Australia, Norteamérica y México. Los usuarios interesados ​​que hicieron clic en él fueron llevados a un sitio de venta con código de skimmer de tarjetas incrustado en él.

Aunque Facebook había levantado una bandera roja en su cuenta cuando los estafadores establecieron un presupuesto de campaña de 10,000 USD, la red social no notificó a Lau y permitió que la campaña se desarrollara de todos modos. Wilson dijo que el modelo de Facebook es «aprobar primero, hacer preguntas después».

En el radar: después de comprometer e instalar ransomware en los sistemas de Campari Group, un conocido fabricante de bebidas italiano, el grupo de ransomware Ragnar Locker recurrió a las campañas publicitarias de Facebook para presionar aún más a la empresa. La cuenta que el grupo usó para ejecutar la campaña publicitaria pertenece a un deejay con sede en Chicago. Lea más sobre esto en esta publicación de KrebsOnSecurity .

Estafa de transmisión en vivo y festival de música

La pandemia actual prácticamente ha convertido en virtual todas las formas de contacto con el mundo exterior, incluida la asistencia a conciertos. Sí, los conciertos en vivo son realmente una cosa hoy en día, pero desafortunadamente, las estafas de entradas para conciertos que han plagado tales reuniones musicales también han evolucionado con los tiempos.

Hay varios tipos de esta estafa que se han observado en la naturaleza. Según Celebrity Access , los estafadores han creado varias páginas de Facebook con una lista de eventos de transmisión en vivo falsos por venir. Esto, aparentemente, es una fachada para una campaña de phishing, ya que aquellos que estén interesados ​​en asistir a estas transmisiones tendrían que registrarse con su PII.

Otro sabor de la estafa de transmisión en vivo involucra enlaces de donación falsos . Dado que los músicos locales han migrado sus presentaciones en vivo en línea, los ciberdelincuentes han bombardeado sus páginas oficiales con enlaces fraudulentos con la esperanza de dirigir a los asistentes a la transmisión a un sitio donde se les pide a los fanáticos “donaciones”. Esto fue lo que le sucedió a Steve Lucky & the Rhumba Bums con Carmen Getit , pilares populares en la escena musical del Área de la Bahía, cuando anunciaron una transmisión en vivo el sábado en abril.

Varios festivales de música en el Reino Unido también fueron víctimas de estafadores que emplearon tácticas similares. Kevin Tate, editor de Festival & Events UK, ha descubierto casi un centenar de enlaces fraudulentos a eventos legítimos, como los festivales de Reading y Leeds , el festival Love Saves the Day en Bristol y el festival Noisily . Estos enlaces, dijo Tate, se crearon unos días antes del evento y cobran a las partes interesadas cantidades variables para ver contenido que es, esencialmente, gratuito.

Los anuncios de conciertos falsos también se publican a través de campañas publicitarias en Facebook .

Estafa de transferencia de fondos de PayPal

Facebook Messenger no es ajeno a los mensajes que contienen un alto nivel de falsificación. Desde el otro lado del charco, la policía del condado en el noroeste de Inglaterra emitió una advertencia en agosto sobre una serie de mensajes enviados a través de Facebook desde cuentas que se creía que habían sido secuestradas por piratas informáticos.

Según los detectives , una vez que los estafadores se apoderan de una cuenta legítima de Facebook, luego se ponen en contacto con los amigos y familiares del propietario de la cuenta y les piden que reciban el pago de un comprador por un artículo, generalmente una cámara, según los informes recopilados, supuestamente vendido en eBay.

Luego afirman que no pudieron recibir el pago ellos mismos porque su cuenta de PayPal no funciona, o no tienen una. Indican a la familia o amigo que una vez que reciban el efectivo en su propia cuenta de PayPal, deben transferirlo a su propia cuenta bancaria antes de reenviarlo a una cuenta controlada por el estafador.

Después de que el familiar o amigo organiza una transferencia de dinero desde su cuenta bancaria a la del estafador, el estafador revierte la transacción de PayPal. Por lo tanto, no llega dinero a la cuenta de PayPal del familiar o amigo, y simplemente han dado a sabiendas parte de sus ahorros a los estafadores.

El Black Friday 2020 promete ser algo diferente a años pasados ​​gracias a COVID-19. El aumento anual del caos en las tiendas y las carreras de tranvías no es compatible con el distanciamiento social, por lo que los minoristas buscarán atraer compradores en línea.

Viernes 27 ^º noviembre es cuando poner las cosas fuera de este año, y sin embargo, algunos aspectos serán radicalmente diferentes. Si tiene la intención de ir a tiendas físicas, hay algunas cosas que debe tener en cuenta.

Black Friday: no se salvó del encierro

Algunos minoristas están cerrando tiendas físicas . Otros buscan extender la duración de sus ventas, con la posibilidad de menos ventas en la tienda y más ofrecidas en línea para mantener los visitantes al mínimo. Un posible efecto secundario de tantos pedidos en línea podría ser un retraso en las entregas. Las compras en línea ya han aumentado hasta en un 75% debido a la pandemia, y el Black Friday se cierne siniestramente en el calendario de todos los minoristas.

Los minoristas suelen estar increíblemente satisfechos con los próximos aumentos de ventas. ¿Ahora? En gran parte, es solo la promesa de problemas en la tienda y problemas de capacidad fuera de línea. Si bien esto puede no preocupar demasiado a los minoristas más grandes, las pequeñas y medianas empresas podrían sentir el apuro dependiendo de cuál sea su estrategia del Black Friday 2020.

Lamentablemente, la bonanza de ventas de este año viene con un posible aumento de estafadores en línea que buscan objetivos. Aquí hay algunas formas en que puede vencer la doble amenaza de COVID-19 y las estafas de Internet el próximo Viernes Negro.

Mantenerse a salvo durante el Black Friday: nuestros consejos

1. Sospeche de los correos electrónicos que dicen ser de tiendas, especialmente si solicitan detalles de inicio de sesión y / o le proporcionan enlaces que se ven diferentes a la URL con la que está más familiarizado. Los errores ortográficos no siempre son una señal de una estafa, pero, por otro lado, la mayoría de las empresas usan plantillas de revisión, por lo que los errores son inusuales. De manera similar, HTTPS no significa que el sitio sea legítimo ; solo que los datos ingresados ​​no pueden ser espiados fácilmente por terceros. Prácticamente cualquiera puede obtener un certificado HTTPS gratuito en estos días, por lo que no es una señal segura de legitimidad de ninguna manera.
2. Use una tarjeta de crédito si es posible, ya que generalmente es la opción más segura en línea. Las tarjetas de débito vinculadas a su cuenta bancaria suelen ser más problemáticas cuando se trata de una situación de estafa: el dinero sale inmediatamente de su cuenta y puede ser más difícil recuperarlo que con una tarjeta de crédito.
3. Los estafadores pueden dirigirlo a sitios cargados de malware o intentar comprometer sitios legítimos en el período previo al Viernes Negro. Asegúrese de que su sistema operativo esté actualizado, que su software de seguridad esté ejecutando la última versión y que tenga toda la protección de complementos en el navegador que necesita antes de dirigirse a las carreras de compras virtuales.
4. Tenga cuidado con los enlaces abreviados en las redes sociales, ya que pueden esconder sorpresas desagradables .
5. No se deje engañar por los trucos de «retuitear / compartir para ganar un premio». Cualquier obsequio es una perspectiva tentadora, pero querrá asegurarse de que la cuenta que ejecuta la promoción sea legítima. ¿Tienen presencia verificada en la plataforma de redes sociales? Si no es así, ¿qué tan familiarizado está con la cuenta en general? Consejo principal de etiqueta social: a algunos de tus espectadores no les gustarán muchos concursos y rifas en sus cronogramas seleccionados. Hágales un favor a ellos y a usted mismo, considere la posibilidad de ejecutar una cuenta independiente solo para las competiciones. Apreciarán que no envíes spam a su feed, y si terminas retuiteando algo malo, reducirás enormemente su alcance.

Más recursos para mantenerse seguro

Aquí hay algunos blogs que pueden resultarle útiles para ayudar con los consejos anteriores.

• Evitar descargas dudosas : nadie necesita software malintencionado ni software malicioso en sus dispositivos
• Cuando los estafadores se dedican a la agricultura : vea cómo esa oferta de las redes sociales es impulsada a la estafa.
• Teléfonos de phishy : Mantenerse seguro en el móvil.
• Número equivocado : cómo defenderse de las personas que llaman a las que prefiere no entretener.
• Resumen de 2FA : por qué es mejor habilitarlo.
• Si es demasiado : lo entendemos, está presionado por el tiempo. Eso no es un problema.

Compre de forma segura en 2020

Como se ha mencionado, el Black Friday de este año va a ser un poco extraño. Si prefiere no aventurarse en posibles multitudes, o quedarse atrapado en filas muy largas, eso es genial. Quédese en casa y reduzca el riesgo potencial de COVID-19. Sin embargo, deberá asegurarse de que su seguridad en línea tenga las mismas precauciones. Si sus dispositivos necesitan una limpieza general de primavera para llevar las cosas donde deben estar en cuanto a seguridad, este podría ser el momento perfecto para comenzar.

El martes por la noche, el presidente Donald Trump despidió a Chris Krebs, director de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), pocos días después de que CISA calificara las recientes elecciones presidenciales como las «más seguras en la historia de Estados Unidos».

En un tweet publicado el mismo día, el presidente justificó su destitución de Krebs :

“La reciente declaración de Chris Krebs sobre la seguridad de las elecciones de 2020 fue muy inexacta, en el sentido de que hubo fraudes y faltas masivas, incluidas las personas muertas que votaron, los vigilantes de la encuesta no permitidos en los lugares de votación,» fallas «en las máquinas de votación que cambiaron …

… Votos de Trump a Biden, votación tardía y muchos más. Por lo tanto, con efecto inmediato, Chris Krebs ha sido despedido como Director de la Agencia de Seguridad de Infraestructura y Ciberseguridad «.

Krebs respondió cordialmente a su despido:

“Honrado de servir. Lo hicimos bien. Defiende hoy, asegura Tomrorow [sic]. # Protect2020 ”

Durante casi un mes, bajo la dirección de Krebs, CISA ha rechazado los rumores sobre las elecciones presidenciales de los Estados Unidos en un sitio web que la agencia lanzó oficialmente el 20 de octubre , denominado » Control de rumores «. El sitio web ha ganado una enorme popularidad, a menudo clasificándose como la página número uno más visitada que pertenece y es operada por el Departamento de Seguridad Nacional, donde se encuentra CISA.

Rumor Control proporcionó verificaciones de datos electorales para cuestiones de seguridad cibernética y no relacionadas con la ciberseguridad. Algunas de las declaraciones recientes del sitio web incluyen:

• Las salvaguardas sólidas que incluyen procedimientos de escrutinio y auditoría ayudan a garantizar la precisión de los resultados oficiales de las elecciones.
• El mantenimiento de la lista de registro de votantes y otras medidas de integridad electoral protegen contra el voto ilegal en nombre de personas fallecidas.
• Los informes de los resultados de las elecciones pueden producirse más lentamente que en años anteriores. Esto no indica que haya ningún problema con el proceso de conteo o los resultados. Los resultados oficiales no se certifican hasta que se hayan contado todos los votos emitidos válidamente, incluidas las papeletas que se cuentan después de la noche de las elecciones.

Aunque Krebs recibió la peor parte de la ira del presidente, él y CISA estaban lejos de ser los únicos en su evaluación de la seguridad de las elecciones.

A principios de esta semana, 59 investigadores de seguridad electoral y expertos en informática publicaron una carta conjunta en la que rechazaban las recientes acusaciones de fraude electoral del presidente.

“Somos conscientes de las alarmantes afirmaciones que se están haciendo de que las elecciones de 2020 fueron ‘amañadas’ explotando vulnerabilidades técnicas. Sin embargo, en todos los casos que conocemos, estas afirmaciones o no han sido fundamentadas o son técnicamente incoherentes ”, dijo el grupo de expertos en una carta publicada en línea . «Hasta donde sabemos, no se ha presentado ninguna evidencia creíble que apoye la conclusión de que el resultado de las elecciones de 2020 en cualquier estado se ha alterado a través de un compromiso técnico».

Además, 16 fiscales federales encargados específicamente de detectar la manipulación electoral le dijeron al fiscal general William Barr la semana pasada que no encontraron tal evidencia .

A pesar de estos hechos cada vez mayores, la partida de Krebs se anticipó en gran medida. Según un informe exclusivo de Reuters la semana pasada , Krebs había dicho a varios asociados que esperaba ser despedido después de que su agencia se negara a eliminar información fáctica de Rumor Control, según lo solicitado por la Casa Blanca:

“En particular, dijo una persona, la Casa Blanca estaba enojada por una publicación de CISA que rechazaba una teoría de la conspiración que afirma falsamente que una supercomputadora y un programa de la agencia de inteligencia, supuestamente llamado Hammer and Scorecard, podrían haber cambiado los votos a nivel nacional. No existe tal sistema, según Krebs, expertos en seguridad electoral y ex funcionarios estadounidenses «.

Una selección bipartidista de miembros del Congreso y un puñado de investigadores de ciberseguridad lamentaron el despido de Krebs.

Matt Blaze, experto en seguridad electoral y presidente McDevitt de Ciencias de la Computación y Derecho en la Universidad de Georgetown, dijo en Twitter que «proteger nuestra infraestructura nacional es un trabajo de vital importancia y extremadamente difícil, un trabajo que Chris Krebs realizó con extraordinaria integridad y habilidad excepcional».

«Despedirlo, especialmente de manera tan abrupta, ha hecho que nuestro país sea menos seguro», dijo Blaze.

El senador republicano de los Estados Unidos, Ben Sasse, de Nebraska, habló de manera similar: «Chris Krebs hizo un muy buen trabajo, como le dirán los funcionarios electorales estatales de todo el país, y obviamente no debería ser despedido».

Los representantes demócratas Bennie Thompson de Mississippi y Lauren Underwood de Illinois, quienes respectivamente se desempeñan como presidenta del Comité de Seguridad Nacional y presidenta del Subcomité de Ciberseguridad, Protección de Infraestructura e Innovación, hablaron mucho más duramente.

«El hecho es que, desde el día de las elecciones, el presidente Trump ha tratado de deslegitimar los resultados electorales participando en una campaña de desinformación que podría destruir la confianza pública en nuestras elecciones durante generaciones», dijeron ambos en un comunicado conjunto . «El director Krebs antepuso la seguridad nacional a la política y se negó a utilizar su puesto para cumplir con las órdenes del presidente, por lo que el presidente lo despidió».

Apple ha parcheado tres vulnerabilidades en iOS (y iPadOS) que estaban siendo explotadas activamente en ataques dirigidos. Las vulnerabilidades que se explotan en la naturaleza sin un parche disponible se denominan días cero. Las vulnerabilidades fueron encontradas y reveladas por el equipo Project Zero de Google, y ayer se emitieron parches.

¿Qué ha parcheado Apple en la actualización?

Las fallas de seguridad informática divulgadas públicamente se enumeran en la lista Common Vulnerabilities and Exposures (CVE). CVE es un diccionario que proporciona definiciones de vulnerabilidades y exposiciones de ciberseguridad divulgadas públicamente. El objetivo de CVE es facilitar el intercambio de datos a través de capacidades de vulnerabilidad separadas (herramientas, bases de datos y servicios).

Los días cero se enumeran bajo los números de identificación:

CVE-2020-27930 : Este problema es afectado por un procesamiento desconocido del componente FontParser. La manipulación con una entrada desconocida podría conducir a una vulnerabilidad de corrupción de memoria. Esto significa que se puede crear una fuente que da lugar a la corrupción de la memoria, lo que permite un ataque de ejecución remota de código ( RCE ) .

CVE-2020-27932 : una aplicación malintencionada puede ejecutar código arbitrario con privilegios del kernel. Apple está al tanto de los informes de que existe una vulnerabilidad para este problema en la naturaleza. El uso de dicha vulnerabilidad podría permitir que el malware eluda las restricciones de seguridad en un sistema afectado.

CVE-2020-27950 : una aplicación maliciosa puede revelar la memoria del kernel. Apple está al tanto de los informes de que existe una vulnerabilidad para este problema en la naturaleza. La memoria del núcleo revelada puede contener datos confidenciales como claves de cifrado y direcciones de memoria que se utilizan para anular la distribución aleatoria del espacio de direcciones.

¿Qué es Project Zero?

Formado en 2014, Project Zero es un equipo de investigadores de seguridad de Google que encuentra y estudia las vulnerabilidades de día cero en sistemas de hardware y software. Su misión es hacer que el descubrimiento y la explotación de vulnerabilidades de seguridad sea más difícil y mejorar significativamente la seguridad de Internet para todos.

Actualiza tu iOS ahora

Dado que Apple ha señalado que al menos dos de estas vulnerabilidades están siendo explotadas en la naturaleza y nos ha informado de las posibles consecuencias, los usuarios deben instalar la actualización lo antes posible.

Se recomienda a los propietarios de un iPhone o iPad que actualicen a iOS 14.2 y iPadOS 14.2 o iOS 12.4.9. Apple parcheó las mismas vulnerabilidades en la Actualización complementaria para macOS Catalina 10.15.7. Siempre puede encontrar las últimas actualizaciones de seguridad de Apple en su sitio de actualizaciones de seguridad .

Esta publicación de blog fue escrita por Jérôme Segura y Hossein Jazi.

Las elecciones estadounidenses de 2020 han sido objeto de un intenso escrutinio y emociones, mientras ocurrían en medio de una pandemia global. Cuando terminó la noche de las elecciones y comenzó a surgir la incertidumbre sobre los resultados, los actores de amenazas decidieron intervenir también.

Quienes rastrean el panorama de las amenazas saben muy bien que los principales eventos mundiales no pasan desapercibidos para los delincuentes. En este caso, comenzamos a observar una nueva campaña de spam que entrega archivos adjuntos maliciosos que aprovechan las dudas sobre el proceso electoral.

Los operadores del troyano bancario QBot regresan con otra ola de spam temático utilizando la misma técnica de hilo de correo electrónico secuestrado que atrae a las víctimas con archivos adjuntos maliciosos de interferencia electoral.

Hilos de correo electrónico secuestrados que empujan documentos DocuSign falsos

Los correos electrónicos maliciosos vienen como respuestas de hilo, similar a lo que hace Emotet para agregar legitimidad y dificultar la detección. Contienen archivos zip que se denominan acertadamente ElectionInterference_ [8 a 9 dígitos] .zip.

Si bien los resultados de las elecciones aún se están evaluando y debatiendo, se tienta a las víctimas a abrir el documento para leer sobre la supuesta interferencia electoral:

El archivo extraído es una hoja de cálculo de Excel que se ha elaborado como si fuera un archivo DocuSign seguro. Se engaña a los usuarios para que permitan macros con el fin de «descifrar» el documento.

Este truco probado y comprobado descargará una carga útil maliciosa en la máquina de la víctima. La URL de esa carga útil está codificada en una celda de una hoja con nombre cirílico «Лист3».

Una vez ejecutado, el troyano QBot se pondrá en contacto con su servidor de comando y control y solicitará instrucciones. Además de robar y exfiltrar datos de sus víctimas, QBot también comenzará a capturar correos electrónicos que luego se utilizarán como parte de las próximas campañas de malspam.

Los eventos mundiales son el mejor señuelo

En el centro de los ataques de malware que presenciamos cada día se encuentran los típicos esquemas de ingeniería social. Los actores de amenazas necesitan lograr que las víctimas realicen un cierto conjunto de acciones para comprometerlas.

Las campañas de spam abusan habitualmente de las notificaciones de entrega de correo electrónico (Fedex, DHL, etc.) o de las alertas bancarias para disfrazar cargas maliciosas. Pero los acontecimientos mundiales como la pandemia de Covid o las elecciones estadounidenses proporcionan el material ideal para elaborar planes eficaces que dan como resultado altas tasas de infección.

Los usuarios de Malwarebytes ya estaban protegidos contra este ataque gracias a nuestra tecnología Anti-Exploit. Además, detectamos la carga útil como Backdoor.Qbot.

Indicadores de compromiso

Documentos de Excel maliciosos

b500a3c769e22535dfc0c0f2383b7b4fbb5eb52097f001814d8219ecbb3048a1 
f2fb3e7d69bf1b8c0c20484e94b20be33723b4715e7cf94c5cbb120b800328da 
0282a796dec675f556a0bf888eda0fe84f63558afc96321709a298d7a0a4f8e5 
e800b0d95e02e6e46a05433a9531d7fb900a45af7999a262c3c147ac23cd4c10 
7dec31d782ab776bcbb51bd64cbbd40039805ad94733d644a23d5cf16f85552c 
0bec208127e4a021dccb499131ea91062386126b75d098947134a37e41c4b035 
30de8dcd4e894549d6d16edb181dd1a7abec8f001c478cf73baf6075756dc8c2 
a8329913c8bbccb86b207e5a851f7696b1e8a120929ca5c0a5709bd779babedf 
ef8a17c3bb01d58bfea74a19f6cb8573cfb2d94d9e6159709ac15a7e0860dbce 
7ddc225ad0ed91ce90b3bde296c5ce0b4649447fb3f02188e5303e22dc7cb5f0

QBot

china [.] asiaspain [.] com / tertgev / 1247015.png

1edfe375fafa1f941dc4ee30702f4af31ba636e4b639bcbb90a1d793b5d4b06c
06be75b2f3207de93389e090afd899f392da2e0f1c6e02226db65c61f291b81b

QBot C2s

142.129.227 [.] 86 
95.77.144 [.] 238

Técnicas MITRE ATT & CK

Emotet , una de las amenazas de malware más temidas en ciberseguridad, se renovó superficialmente esta semana, ocultándose dentro de una solicitud falsa de Microsoft Office que pide a los usuarios que actualicen Microsoft Word para que puedan aprovechar las nuevas funciones.

Esta presentación renovada podría apuntar a los esfuerzos internos de los actores de amenazas para aumentar la tasa de aciertos de Emotet, una posibilidad respaldada por la telemetría de Malwarebytes medida en los últimos meses.

Emotet aumenta en medio de una tendencia a la baja

Desde el 1 de agosto, Malwarebytes ha detectado picos semanales repetidos en las detecciones de Emotet, con un pico de agosto de aproximadamente 1.800 detecciones en solo un día. Sin embargo, esos picos frecuentes delatan la actividad más amplia del malware: una tendencia lenta y constante a la baja , de un promedio de alrededor de 800 detecciones a principios de agosto a un promedio de alrededor de 600 detecciones a mediados de octubre.

Atrapado por Malwarebytes el 19 de octubre , el nuevo método de entrega de Emotet intenta engañar a las víctimas para que piensen que han recibido una actualización de Microsoft Word. La nueva plantilla, que se muestra a continuación, incluye el siguiente texto:

«Actualice su edición de Microsoft Word

La actualización de su edición agregará nuevas funciones a Microsoft Word.

Por favor, haga clic en Habilitar edición y luego en Habilitar contenido «.

Si los usuarios siguen estas peligrosas instrucciones, en realidad habilitarán las macros maliciosas que están incrustadas en la propia «solicitud de actualización», que luego se utilizarán como vector principal para infectar la máquina con Emotet.

Malwarebytes protege a los usuarios de Emotet y su último truco, como se muestra a continuación.

Para aquellos sin protección de ciberseguridad, este nuevo método de entrega puede parecer aterrador y, en cierto modo, sí lo es. Pero en comparación con los sigilosos desarrollos de Emotet en los últimos años, este último cambio es bastante común.

En 2018, la industria de la ciberseguridad detectó que Emotet se propagaba a través de enormes volúmenes de correo no deseado , en el que las víctimas potenciales recibían archivos adjuntos de correo electrónico maliciosos que supuestamente contenían información sobre «pagos pendientes» y otras facturas. En 2019, vimos una botnet que volvió a la vida para expulsar a Emotet , esta vez utilizando técnicas refinadas de spearphishing. Solo unas semanas después, descubrimos que los actores de amenazas estaban atrayendo a las víctimas a través del lanzamiento del libro del ex contratista de defensa de la NSA Edward Snowden . Y este año, Bleeping Computer informó que los actores de amenazas habían logrado entrenar a la botnet Emotet para robar archivos adjuntos legítimos de correo electrónico y luego incluirlos entre otros archivos maliciosos.adjuntos como una forma de legitimarlos.

Los actores de amenazas han hecho todo lo posible para entregar Emotet debido a sus capacidades destructivas. Aunque el malware comenzó como un simple troyano bancario para robar información confidencial y privada, hoy en día a menudo se usa en conjunto para entregar otros troyanos bancarios, como TrickBot, que pueden robar información financiera e inicios de sesión bancarios. Sin embargo, esta cadena de ataque no se detiene aquí, ya que los actores de amenazas también usan Emotet y Trickbot para entregar el ransomware Ryuk .

Para agravar el peligro para una organización está la capacidad de Emotet para difundirse a través de una red. Una vez que este malware se ha arraigado dentro de una red, ha descarrilado a innumerables consumidores, empresas e incluso ciudades enteras. De hecho, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., Los gobiernos han pagado hasta $ 1 millón para remediar un ataque de Emotet .

Cómo proteger su negocio de Emotet

Nuestro consejo para protegerse contra Emotet sigue siendo el mismo. Los usuarios deben estar atentos a los correos electrónicos de phishing, los correos electrónicos no deseados y cualquier cosa que incluya archivos adjuntos, incluso correos electrónicos que parezcan provenir de contactos o colegas conocidos.

Para los usuarios que hacen ese clic arriesgado, la mejor defensa es una solución de ciberseguridad que ya tenga funcionando. Recuerde, la mejor defensa contra una infección por Emotet es asegurarse de que nunca suceda en primer lugar. Eso requiere protección constante, no solo una respuesta posterior a los hechos.