Publicado el

Campañas de phishing para descargar malware

Introducción

Se han detectado campañas de correos maliciosos de tipo phishing que tienen como objetivo infectar los dispositivos con el malware conocido como Grandoreiro. 

Análisis

Los correos electrónicos detectados siguen el siguiente patrón:

En una de las campañas, el usuario recibe un correo electrónico, que parece provenir de una entidad de confianza, como, por ejemplo, una compañía de seguros. En el asunto se habla de un ‘aviso de transferencia’.

En el mensaje, dirigido al usuario que aparece en la dirección del correo electrónico, hace referencia al abono de una factura detallada en un fichero adjunto que se puede descargar en el enlace que se facilita.

Evidencia correo fraudulento Generali

Si el usuario descarga el archivo adjunto del enlace malicioso, este le descargará el malware Grandoreiro.

 

En otra campaña detectada, el phishing suplanta la identidad de una línea de supermercados, indicando al cliente que se le adjunta su factura electrónica.

Evidencia correo fraudulento Carrefour

Al pulsa en el enlace malicioso para descargar la supuesta factura, este le descargará el malware Grandoreiro comprimido en un archivo .zip.

 

En otro ejemplo, se suplanta la identidad de una conocida compañía telefónica. En este caso, se indica al titular del correo electrónico que se le ha adjuntado su factura electrónica del mes y para descargarla se debe hacer pulsar en el enlace malicioso.

Evidencia correo fraudulento Vodafone

Si el usuario pulsa en el enlace que, supuestamente, descarga la factura, este le descargará el malware.


Han sido detectadas, más campañas que se dirigen directamente al usuario por diferentes motivos como, por ejemplo, en nombre de una tercera empresa que suele ser proveedora. Todas tienen en común que facilitan un enlace para descargar una factura, comprobante o un documento de cualquier tipo.

Evidencia de correo fraudulento

En la siguiente evidencia observamos cómo se dirigen al usuario por su nombre y apellidos dando así un trato más personal y creíble.

Evidencia de correo fraudulento

En general, en todas las campañas detectadas, si el usuario pulsa en el enlace que acompaña al mensaje, este le descargará un malware conocido como Grandoreiro, de tipo troyano, que se caracteriza por extraer información bancaria.

No se descartan otras campañas similares donde varíe el asunto o cuerpo del mensaje.

Recomendaciones

Si sospecha que un correo que ha recibido puede ser uno de estos correos, puede enviarlo a CSIRT-CV para su análisis mediante la función Phishing de este mismo portal [2].

Por otra parte, si cree que puede haber hecho click en el enlace y ejecutado el archivo descargado, analice su equipo con un antivirus actualizado. Además, compruebe sus movimientos bancarios para cancelar cualquier pago no autorizado, y cambie las credenciales de todas las cuentas que haya utilizado mientras el malware ha estado instalado.

Referencias

[1] Campaña de phishing que descarga malware Grandoreiro

[2] Portal: Informar de un phishing

Publicado el

Múltiples vulnerabilidades en LaserJet Pro de HP

Introducción

HP ha notificado 4 vulnerabilidades de severidad alta que podrían provocar un desbordamiento de búfer, ejecución remota de código, divulgación de información o denegación de servicio.

Análisis

Un atacante que explotase las 4 vulnerabilidades detectadas, podría provocar un desbordamiento del búfer, ejecución remota de código, divulgación de información o denegación de servicio. Las 4 vulnerabilidades han recibido una puntuación CVSS de 8.8, y se les han asignado los siguientes identificadores:
 
CVE-2023-35175: Ciertos productos de impresión HP LaserJet Pro son potencialmente vulnerables a la posible ejecución remota de código y/o elevación de privilegios a través de la falsificación de solicitudes del lado del servidor (SSRF) utilizando el modelo Web Service Eventing.
CVE-2023-35176: Algunos productos de impresión HP LaserJet Pro son potencialmente vulnerables al desbordamiento del búfer y/o a la denegación de servicio al utilizar la función de copia de seguridad y restauración a través del servicio web integrado en el dispositivo.
CVE-2023-35177: Ciertos productos de impresión HP LaserJet Pro son potencialmente vulnerables a un desbordamiento de búfer basado en pila relacionado con el analizador de formato de fuente compacta.
CVE-2023-35178: Ciertos productos de impresión HP LaserJet Pro son potencialmente vulnerables al desbordamiento del búfer al realizar una solicitud GET para escanear trabajos.
 

Versiones afectadas:

    • Impresora multifunción HP Color LaserJet serie M478-M479
    • Serie HP Color LaserJet Pro M453-M454
    • Serie de impresoras HP LaserJet Pro M304-M305
    • Serie de impresoras HP LaserJet Pro M404-M405
    • HP LaserJet Pro MFP M428-M429 serie f
    • Impresora multifunción HP LaserJet Pro serie M428-M429

Recomendaciones

Instale la última versión del firmware [5] en la que HP ha corregido estas vulnerabilidades.
No se han encontrado soluciones alternativas o workarounds.

Referencias

 
Publicado el

Actualización firmware Asus routers

Introducción

ASUS ha publicado nuevas actualizaciones para firmware donde incorpora múltiples correcciones de seguridad.

Análisis

El nuevo firmware corrige 9 vulnerabilidades, 2 de ellas críticas, que podrían permitir a un ciberdelincuente realizar ataques DoS o ejecutar código arbitrario.

Un ataque exitoso al router podría comprometer todas las comunicaciones de la red empresarial, poniendo en riesgo la información sensible de esta.

Versiones afectadas:

    • GT6;
    • GT-AXE16000;
    • GT-AXE11000 PRO;
    • GT-AXE11000;
    • GT-AX6000;
    • GT-AX11000;
    • GS-AX5400;
    • GS-AX3000;
    • ZenWiFi XT9;
    • ZenWiFi XT8;
    • ZenWiFi XT8_V2;
    • RT-AX86U PRO;
    • RT-AX86U;
    • RT-AX86S;
    • RT-AX82U;
    • RT-AX58U;
    • RT-AX3000;
    • TUF-AX6000;
    • TUF-AX5400.

Recomendaciones

Se recomienda a los usuarios de routers ASUS realizar las siguientes acciones:

    • Actualizar a la versión de firmware más reciente lo antes posible.
    • Utilizar contraseñas diferentes para la red inalámbrica y la página web de administración. Las contraseñas deben ser robustas, con una longitud de al menos ocho caracteres y que incluya letras mayúsculas, minúsculas, números y símbolos. Es importante no utilizar la misma contraseña para otros dispositivos o servicios.
    • Habilitar ASUS AiProtection siempre que sea posible. Las instrucciones se pueden encontrar en el manual del producto o en la página de soporte de ASUS.

Referencias

https://www.asus.com/content/asus-product-security-advisory/#header44

https://www.asus.com/support/

 
Publicado el

Vulnerabilidades en Google Chrome

Introducción

Google ha lanzado una nueva actualización de Chrome con nuevos parches de seguridad.

 

Análisis

Las vulnerabilidades asociadas al producto afectado son las siguiente:

CVE-2023-3214 Gravedad de seguridad de Chromium – Crítica:

Uso después de libre en pagos Autofill.
 

CVE-2023-3215 Gravedad de seguridad de Chromium – Alta:

Uso después de libre en WebRTC.
 

CVE-2023-3216 Gravedad de seguridad de Chromium – Alta:

Confusión tipográfica en V8.
 

CVE-2023-3217 Gravedad de seguridad de Chromium – Alta:

Uso después de free en WebXR.

 

Versiones afectadas:

    • Versiones de Google Chrome anteriores a 114.0.5735.133 para Mac y Linux y 114.0.5735.133/134 para Windows.

 

Recomendaciones

    • Actualice a la versión 114.0.5735.133 de Chrome para Mac y Linux
    • Actualice a la versión 114.0.5735.133/134 de Chrome para Windows

 

Referencias

https://chromereleases.googleblog.com/2023/06/stable-channel-update-for-desktop_13.html

https://nvd.nist.gov/vuln/detail/CVE-2023-3214

https://nvd.nist.gov/vuln/detail/CVE-2023-3215

https://nvd.nist.gov/vuln/detail/CVE-2023-3216

https://nvd.nist.gov/vuln/detail/CVE-2023-3217