Publicado el

Campaña de phishing con imágenes QR

Se ha detectado una campaña de phishing en la que se están utilizando imágenes QR para que el usuario acceda a enlaces maliciosos.

Detalle

Los correos detectados simulan una notificación de Microsoft en la que se pide al usuario «actualizar su información» desde el enlace del QR.

En realidad, lo que hace el enlace es registrar los usuarios que han entrado para obtener un listado de usuarios susceptibles a estos engaños. El enlace lleva un identificador único para cada usuario al que se envía el correo de phishing. Tras registrar al usuario como víctima potencial de futuras campañas, el enlace redirige al navegador Google o Bing, intentando resultar así menos sospechoso.

En este caso se trata de un ataque de ingeniería social para obtener estos listados de usuarios susceptibles, pero en campañas futuras el mismo método podría llevar a robo de credenciales, pagos a la entidad equivocada por suplantación, descarga de malware…

Muestra

Se ha anonimizado el usuario y el QR de un correo real para mostrarlo como ejemplo del formato que sigue actualmente esta campaña:


Recomendaciones

En caso de recibir un correo con un formato similar al de la imagen, se recomienda desconfiar por defecto y acceder sólo después de comprobar concienzudamente el correo o, si carece de conocimientos técnicos al respecto, contactar por otra vía con el personal de Microsoft para comprobar la legitimidad del correo.

Se recomienda revisar el dominio de cualquier enlace QR, especialmente uno que llegue a su correo. Si el dominio no se corresponde con la entidad esperada, desconfíe del enlace y acceda sólo si puede confirmar su legitimidad por otras vías.

Si la aplicación que utiliza para escanear códigos QR accede automáticamente a los enlaces de estos códigos, se recomienda desactivar esa opción o buscar una aplicación que permita visualizar el enlace antes de acceder al mismo.

Publicado el

Vulnerabilidad que afecta a los procesadores Intel

Se ha dado a conocer los detalles de un nuevo ataque de canal lateral dirigido a procesadores Intel.

El ataque, denominado Downfall, ha sido descubierto por un investigador de Google y se ha identificado la vulnerabilidad como CVE-2022-40982.

Análisis

El atacante podría explotar la vulnerabilidad teniendo acceso físico al dispositivo o mediante el uso de un malware. Como resultado, se podría obtener información sensible, como contraseñas y claves criptográficas de los usuarios que han usado el mismo dispositivo. Estos ataques de canal lateral también funcionan contra entornos cloud, permitiendo al atacante robar información de los usuarios que han usado el servicio.

Los ataques de este tipo que afectan a los procesadores se pueden resumir de la siguiente manera:

La CPU se ve obligada a leer datos a los que el usuario no debería tener acceso. Por lo que el software no tiene acceso a la clave de cifrado utilizada para proteger los datos confidenciales pero, si se le indica a la CPU que “lea la clave de cifrado en una dirección determinada”, ésta no debería ejecutar dicha instrucción.

La vulnerabilidad llega en forma de ejecución especulativa de instrucciones, una característica importante de las CPU modernas que existe desde hace casi tres décadas. En lugar de esperar a que termine una instrucción, el procesador ejecuta la siguiente en paralelo, de tal forma que si la primera instrucción comprueba los derechos de acceso a información sensible, en teoría, no debería permitir la ejecución de la siguiente instrucción para leer esa información, sin embargo, ya es demasiado tarde: la siguiente instrucción se ejecuta de forma especulativa. Aunque el atacante no tenga acceso directo a estos datos, la CPU sí.

Recursos afectados:

      • Los procesadores Intel afectados incluyen desde la 6ª generación Skylake hasta la 11ª generación Tiger Lake.

Recomendaciones

Intel recomienda que los usuarios de los procesadores Intel afectados actualicen a la última versión del firmware proporcionada por el fabricante del sistema que solucione estos problemas.

Referencias

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40982

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00828.html

https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/secure-coding/loading-microcode-os.html

Publicado el

Actualizaciones de seguridad de Microsoft de agosto de 2023

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 8 de agosto, consta de 74 vulnerabilidades (con CVE asignado), calificadas como: 4 de severidad crítica, 47 importantes y 23 medias. Adicionalmente, se han publicado 2 avisos de seguridad (con códigos ADV230003 y ADV230004).

Análisis

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

      • escalada de privilegios,
      • omisión de característica de seguridad,
      • ejecución remota de código,
      • divulgación de información,
      • denegación de servicio,
      • suplantación de identidad (spoofing).

Se han asignado los identificadores CVE-2023-21709, CVE-2023-35385, CVE-2023-36910 y CVE-2023-36911 para las vulnerabilidades críticas.

Microsoft ha corregido 2 vulnerabilidades 0day que se corresponden con los identificadores ADV230003 y CVE-2023-38180.

Recursos afectados:

      • Microsoft Office;
      • Memory Integrity System Readiness Scan Tool;
      • Microsoft Exchange Server;
      • Microsoft Teams;
      • Windows Kernel;
      • Microsoft Office Excel;
      • Microsoft Office Visio;
      • Windows Message Queuing;
      • Windows Projected File System;
      • Windows Reliability Analysis Metrics Calculation Engine;
      • Windows Fax y Scan Service;
      • Windows HTML Platform;
      • driver Windows Bluetooth A2DP;
      • Microsoft Dynamics;
      • .NET Core;
      • ASP.NET y Visual Studio;
      • Azure HDInsights;
      • Azure DevOps;
      • .NET Framework;
      • Reliability Analysis Metrics Calculation Engine;
      • Microsoft WDAC OLE DB proveedor de SQL;
      • Windows Group Policy;
      • Microsoft Office SharePoint;
      • Microsoft Office Outlook;
      • Tablet Windows User Interface;
      • ASP.NET;
      • Windows Common Log File System Driver;
      • Windows System Assessment Tool;
      • Windows Cloud Files Mini Filter Driver;
      • Windows Wireless Wide Area Network Service;
      • Windows Cryptographic Services;
      • Role: Windows Hyper-V;
      • Windows Smart Card;
      • Microsoft Edge (basado en Chromium);
      • Dynamics Business Central Control;
      • SQL Server;
      • Microsoft Windows Codecs Library;
      • Windows Defender;
      • Azure Arc;
      • ASP .NET;
      • Windows LDAP (Lightweight Directory Access Protocol);
      • Windows Mobile Device Management.

Recomendaciones

Instalar la actualización de seguridad correspondiente.
En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Referencias

https://msrc.microsoft.com/update-guide/releaseNote/2023-Aug

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-de-seguridad-de-microsoft-de-agosto-de-2023

https://msrc.microsoft.com/update-guide

Publicado el

Nueva campaña de phishing utilizando códigos QR

Se ha detectado una nueva campaña de correos electrónicos fraudulentos de tipo phishing que destaca por el uso de códigos QR. El método detectado podría vulnerar las herramientas de seguridad, además de ser efectivo incluso utilizando un doble factor de autenticación. 

Análisis

Los correos electrónicos identificados siguen una estructura común, aunque no se descartan variaciones en la misma.

En primer lugar, la víctima recibe un correo electrónico que incluye su nombre y el de la empresa. En el mensaje se incita a la víctima a escanear un código QR a través de su teléfono móvil. Para ello, los ciberdelincuentes pueden alegar que es necesaria una verificación de la identidad o de un doble factor de autenticación.

Esta campaña de correos fraudulentos es especialmente peligrosa, ya que los ciberdelincuentes utilizan cuentas de correo electrónico comprometidas para personalizar el nombre del remitente y los asuntos, en función de la organización y el correo electrónico del destinatario. Por ejemplo: « Scan requirement: [NOMBRE EMPRESA] Security Authentication for your account: [email_destinatario] ».

En los correos detectados el código QR fraudulento suele encontrarse directamente en el cuerpo del mensaje, aunque también se han detectado versiones en las que se incluye en un documento adjunto.

En caso de que la víctima escanee el código QR, será redirigido a una página web fraudulenta, muy parecida a la de inicio de sesión en los servicios de Microsoft de su organización. Además, a través del escaneo del código QR, los ciberdelincuentes consiguen que la dirección de la víctima pueda aparecer ya rellenada en el formulario.

En caso de que la víctima introduzca los datos, estos quedarían en manos de los ciberdelincuentes.

En algunos de los casos detectados, los destinatarios eran personal directivo o con grandes responsabilidades en la organización.

Recomendaciones

Si sospecha que un correo que ha recibido puede ser uno de estos correos, puede enviarlo a CSIRT-CV para su análisis mediante la función Phishing de este mismo portal.

Por otra parte, si cree que puede haber hecho click en el enlace y ejecutado el archivo descargado, analice su equipo con un antivirus actualizado. Además, compruebe sus movimientos bancarios para cancelar cualquier pago no autorizado, y cambie las credenciales de todas las cuentas que haya utilizado mientras el malware ha estado instalado.

Referencias

Informar de un Phishing – CSIRT-CV (gva.es)

https://www.incibe.es/empresas/avisos/nueva-campana-de-phishing-utilizando-codigos-qr