Posted on

Campanya de correus electrònics maliciosos que pretenen infectar equips amb el programari de segrest

Hem detectat una nova campanya de correus electrònics fraudulents que tracten d’infectar els equips de les empreses amb un programari de segrest. La campanya detectada va dirigida a empreses d’arquitectura, encara que no descartem que el radi d’acció s’amplie a altres sectors. Els ciberdelinqüents suplanten la identitat d’una coneguda empresa fotogràfica sol·licitant un pressupost amb el qual guanyar-se la confiança del destinatari i poder, finalment, enviar-li uns arxius infectats.

Anàlisi

Diversos treballadors han rebut un correu fraudulent en el qual se’ls sol·licita pressupost per a realitzar una obra. Aquest correu, aparentment legítim, suplanta la identitat d’una coneguda empresa de fotografia i, en el seu nom, sol·licita el pressupost. Aquest primer correu aparenta ser real, ja que empra una comunicació correcta i ajustada al destinatari. Aquesta tècnica es coneix com a atac dirigit.

Correo fraude de contactoAmb aquest primer correu, aconsegueixen guanyar-se la confiança del receptor que, desconeixedor del frau, respon al missatge indicant els seus serveis.
En el segon correu, el ciberdelinqüent concreta la data i l’hora d’una hipotètica cita. A més, li envia un tercer correu amb un arxiu adjunt en el qual es troben els detalls del projecte que ha encarregat i en el cos del correu s’indica la contrasenya d’aquest arxiu adjunt.

Correo fraude interactuación con la víctima

 

Com podem apreciar en la contestació dels ciberdelinqüents, darrere de l’engany hi ha persones perquè no es tracta de correus automatitzats. D’aquesta manera és molt més fàcil que aconseguisquen el seu objectiu per a guanyar-se la confiança del receptor, ja que és difícil desconfiar d’una redacció tan correcta i personalitzada. Per tant, si el destinatari descarrega i executa els documents que ha rebut en el correu per part del suposat client, el seu dispositiu quedarà infectat pel programari de segrest i mostrarà el missatge següent:

Correo ransomware

Recomancions

Si rebeu un correu electrònic com el que descrivim en l’avís, recomanem que l’elimineu immediatament i que informeu la resta d’empleats, i també les autoritats, per a evitar possibles víctimes.
En cas que hàgeu respost al correu, hàgeu rebut els arxius infectats i els hàgeu executat, recomanem que desconnecteu l’equip de la xarxa al més prompte possible i que talleu qualsevol comunicació amb el ciberdelinqüent.

Recomanem que apagueu l’equip com més prompte millor amb l’objectiu de detindre la propagació del xifratge d’arxius que el programari maliciós està realitzant. Després d’això, el més adequat és que contacteu amb un tècnic que oferisca assistència per a poder desencriptar els arxius.

 
Referències
 
Posted on

Actualitzacions de seguretat en Endpoint Manager Mobile (MobileIron)

El CCN-CERT, del Centre Cristològic Nacional, informa de la publicació d’un avís de seguretat en Apple en el qual es destaca una vulnerabilitat, identificada amb el nom CVE-2023-38606, i que afecta els seus productes amb sistemes operatius iOS, iPadOS i macOS. Cal assenyalar que aquesta vulnerabilitat, que ha sigut reportada per un investigador anònim, permet executar codi arbitrari en el sistema de destinació. 

Anàlisi 

La base de dades del NIST no ha registrat la vulnerabilitat descrita, per la qual cosa encara no se li ha assignat puntuació d’acord amb l’escala CVSSv3. El fabricant, no obstant això, ha classificat la vulnerabilitat identificada com a crítica. 

Apple ha informat que té coneixement que la vulnerabilitat ha pogut ser explotada de manera activa, però no s’han publicat proves de concepte (PoC) sobre els detalls dels errors publicats ni explotadors que aprofiten l’error reportat. 

Recursos afectats  

La vulnerabilitat reportada afecta les següents versions: 

  • macOS: versions anteriors a 13.4.1 (a) 
  • iOS: versions anteriors a 16.5.1 (a) 
  • iPadOS: versions anteriors a 16.5.1 (a) 

Recomanacions  

Es recomana encaridament als usuaris i administradors de sistemes que realitzen les actualitzacions esmentades amb la finalitat d’evitar l’exposició a atacs externs i la presa de control dels sistemes informàtics. 

Els errors han sigut corregits per Apple en les versions iOS 16.6, iPadOS 16.6 i macOS 13.5. 

Les actualitzacions poden trobar-se en el següent enllaç: 

A més de l’anterior, el fabricant proporciona les instruccions següents per a facilitar la correcta aplicació d’aquestes: 

 Referències  

 
Posted on

Actualitzacions de seguretat per a productes Apple

El CCN-CERT, del Centre Criptològic Nacional, informa de la publicació d’un avís de seguretat en Apple en el qual es destaca una vulnerabilitat, identificada sota el CVE-2023-38606, i que afecta els seus productes amb sistemes operatius iOS, iPadOS i macOS. Cal assenyalar que esta vulnerabilitat, la qual ha sigut reportada per un investigador anònim, permet executar codi arbitrari en el sistema de destí. 

Anàlisi

La base de dades del NIST no ha registrat la vulnerabilitat descrita, per la qual cosa encara no se li ha assignat puntuació d’acord amb l’escala CVSSv3. El fabricant, no obstant això, ha classificat la vulnerabilitat identificada com a crítica.                  

Apple ha informat que té coneixement que la vulnerabilitat ha pogut ser explotada de manera activa, però no s’han publicat proves de concepte (PoC) sobre els detalls de les fallades publicades ni exploits que aprofiten la fallada reportada. 

Recursos afectats 

La vulnerabilitat reportada afecta a les següents versions:

macOS: versions anteriors a 13.4.1 (a)

iOS: versions anteriors a 16.5.1 (a)

iPadOS: versions anteriors a 16.5.1 (a) 

Recomanacions

Es recomana encaridament als usuaris i administradors de sistemes que realitzen les actualitzacions esmentades amb la finalitat d’evitar l’exposició a atacs externs i la presa de control dels sistemes informàtics. 

Els errors han sigut corregits per Apple en les versions iOS 16.6, iPadOS 16.6 i macOS 13.5. 

Les actualitzacions poden trobar-se en el següent enllaç:

Actualitzacions de seguretat

A més de l’anterior, el fabricant proporciona les instruccions següents per a facilitar la correcta aplicació d’estes:

Actualitzar el programari d’iPhone o iPad

Actualitzar macOS en Mac

Referències
Posted on

[SCI] Múltiples vulnerabilitats en productes d’Ormazabal

Introducció

INCIBE ha coordinat la publicació de 10 vulnerabilitats, una d’elles crítica, descobertes per l’equip de Ciberseguretat Industrial de S21sec en els dispositius industrials ekorCCP i ekorRCI d’Ormazabal.

Anàlisi

La vulnerabilitat de severitat critica associada a la versió software 601j dels dispositius: ekorCCP [1]  y ekorRCI[2] és la següent:

      • CVE-2022-47558: Control d’accés inadequat (CWE-284):
        Els dispositius són vulnerables a causa de l’accés al servei FTP utilitzant credencials per defecte. L’explotació d’aquesta vulnerabilitat pot permetre a un atacant modificar fitxers crítics que podrien permetre la creació de nous usuaris, esborrar o modificar usuaris existents, modificar fitxers de configuració, instal·lació de rootkits o backdoor.

El llistat complet de vulnerabilitats pot consultar-se en les referències [3].

Recomanacions

Els dispositius afectats es troben en la fi de cicle de la seua vida útil. Ormazabal recomana actualitzar als models actualitzats.

Referències

[1]Ficha de producto: ekorCCP

[2]Ficha de producto: ekorRCI

[3]https://www.incibe.es/incibe-cert/alerta-temprana/avisos-sci/multiples-vulnerabilidades-en-productos-de-ormazabal?sstc=u19798nl260773