Los atacantes adaptan y perfeccionan constantemente sus tácticas en un intento de eludir la detección o de ser más eficaces en lograr sus objetivos maliciosos. A menudo, estos ajustes tácticos se aprovechan de los cambios sociales; un ejemplo reciente fue el aumento de correos electrónicos de phishing dirigidos a empleados en trabajo remoto.

¿Qué son los códigos QR?

Los códigos de respuesta rápida (QR) son códigos de barras que almacenan información de forma bidimensional, lo que significa que la información que contienen puede leerse de arriba abajo y de izquierda a derecha. Los dispositivos digitales, incluidos los smartphones, pueden leer fácilmente la información contenida en la imagen.

Cada código tiene una capacidad máxima de datos de 4.296 caracteres alfanuméricos. El origen de esta tecnología se remonta a 1994, cuando unos ingenieros japoneses empezaron a utilizar los códigos de barras para hacer un seguimiento de las piezas de una fábrica de automóviles. Cada código QR contiene patrones de detección de posición, que facilitan una lectura precisa y rápida por parte de los dispositivos de escaneado.

Después de limitarse principalmente a casos de uso industrial, los códigos QR empezaron a extenderse a una serie de aplicaciones orientadas al consumidor en 2011, como empresas que los colocaban en anuncios de eventos, descuentos y promociones. Sin embargo, su adopción fue lenta y se especuló su desaparición en 2014, debido a una combinación de mala implementación por parte de las empresas y de usuarios que no estaban lo suficientemente motivados como para instalar la aplicación específica necesaria para escanearlos.

A medida que los teléfonos inteligentes se hicieron más avanzados, los fabricantes añadieron escáneres QR a las cámaras de sus teléfonos inteligentes, de modo que los usuarios no necesitaban una aplicación dedicada. El resultado fue un aumento gradual del número de personas que escaneaban códigos QR para descargar aplicaciones, visitar sitios web o acceder a un punto de acceso Wi-Fi, en comparación con los métodos habituales.

El resurgimiento de los códigos QR

Entre los muchos cambios tecnológicos influidos por COVID-19 se encuentra el enorme resurgimiento de los códigos QR. Con el distanciamiento social obligatorio en los entornos minoristas, negocios como restaurantes y cafeterías tuvieron que idear formas de mantener a salvo al personal y a los clientes mientras intentaban ganar dinero y sobrevivir.

Los códigos QR ofrecieron una solución al permitir a los clientes escanear un código de barras, ver los menús y hacer pedidos, todo ello manteniendo una distancia de seguridad. La renuncia a los menús físicos tenía por objeto ayudar a reducir la propagación del coronavirus a través de las gotitas de los menús mal desinfectados.

Otro uso fue para confirmar el estado de vacunación de las personas. En lugares en los que la entrada estaba limitada únicamente a personas totalmente vacunadas, escanear un código ayudaba a las empresas a asegurarse de que cumplían estos protocolos de seguridad.

¿Cómo funciona un ataque de phishing con código QR?

Ahora que los códigos QR son omnipresentes, los ciberdelincuentes tienen la oportunidad de aprovecharse de su popularidad y estafar a la gente. Incrustar enlaces a sitios web maliciosos dentro de un código QR puede dar buenos resultados, ya que la gente tiende a confiar automáticamente en ellos.

Mientras que las URL sospechosas son detectables por los humanos en texto plano, enmascararlas dentro de códigos QR significa que la gente no puede leerlas y verificar que la URL parece sospechosa.

El potencial de que los ciberdelincuentes se aprovechen de los códigos QR llevó a los analistas de seguridad a acuñar un nuevo tipo de ataque de phishing conocido como “quishing”. A continuación te explicamos cómo funciona según Ankush Johar: 

Paso 1: Recibes un correo electrónico con un código QR, que parece venir como un “Archivo Compartido” a través de sharepoint, onedrive o de Google drive. (Ejemplo a continuación de la demostración de HumanFirewall)

Paso 2: Sacas tu teléfono y escaneas el código en tu cámara, y ¡listo! Has sido víctima de phishing. (Imagen de muestra de cómo se ve en los dispositivos Apple/iOS y Android).

Paso 3: El código QR te lleva a un enlace malicioso. Llegó a tu buzón de correo porque no fue detectado por las Secure Email Gateways y sus analizadores de enlaces, pero a partir de este punto el peligro es que el enlace puede robar credenciales o descargar malware en el teléfono y desencadenar riesgos, que no solo afectarán al dispositivo, sino también a la red y la seguridad corporativa.

Ejemplos de ataques reales de phishing con códigos QR

Ya no es mera especulación, se han producido algunos ejemplos de incidentes que se aprovechan directamente de la creciente dependencia de las personas y las empresas del uso de códigos QR.

Estafas en San Antonio y Austin

En diciembre de 2021, las fuerzas de seguridad de San Antonio y Austin advirtieron a los tejanos de una estafa con códigos QR en la que los ciberdelincuentes colocaban pegatinas con códigos QR maliciosos en los parquímetros. Ambas ciudades sólo permiten pagar el aparcamiento con monedas o con una app específica. Aprovechando el uso generalizado de los códigos QR, los autores de la amenaza esperaban que los incautos escanearan el código e intentaran pagar el aparcamiento en la página web a la que se les enviaba. Esta URL era, de hecho, un enlace falso que engañaba a la gente para que revelara los datos de su tarjeta de pago.

Robo de credenciales de Microsoft 365

En otoño de 2021, los atacantes llevaron a cabo una campaña de robo de credenciales mediante el uso de cuentas de correo electrónico previamente comprometidas para enviar mensajes de correo electrónico desde las cuentas reales utilizadas por los compañeros de trabajo, que pasan correctamente por los email security gateways (SEG) tradicionales, y parecen reales y seguras para los destinatarios.

Estos correos electrónicos de phishing decían incluir un mensaje de voz importante, pero requerían que la víctima escaneara un código QR para poder escuchar el mensaje. Los usuarios que escaneaban el código QR eran enviados a un sitio web de phishing que les pedía sus credenciales de Microsoft O365 antes de darles acceso al archivo de audio inexistente.

No está claro si alguien cayó en esta estafa, pero los atacantes consideran que las credenciales de inicio de sesión de Microsoft Office 365 son especialmente útiles para lograr otros objetivos, como robar datos confidenciales o introducirse en la red de una empresa.

Consejos para utilizar los códigos QR de forma segura

Hoy en día los códigos QR parecen estar en todas partes y se utilizan para muchas aplicaciones diferentes de cara al cliente, ¿Qué puedes hacer para utilizarlos de forma segura?

1. En los códigos QR que te llevan a una URL, examina la dirección para asegurarte de que es auténtica y no contiene errores tipográficos.
2. Ten cuidado al escanear códigos URL físicos, que no hayan sido manipulados, y mucho cuidado si ves un código QR adhesivo en cualquier lugar.
3. No descargues aplicaciones escaneando directamente; en su lugar, anota el nombre de la aplicación, búscala en la tienda de aplicaciones que utilices y descárgala desde allí.
4. Si alguna vez recibes un correo electrónico en el que se te informa que tienes que completar una transacción con un código QR, llama al banco o a la entidad financiera para verificar esta información y/o navega hasta el sitio web sin escanear el código para asegurarte de que estás visitando una URL de confianza.
5. Desconfía de cualquier código QR que te informe de la posibilidad de ganar algún tipo de premio si escaneas el código.
6. En general, no confíes en los códigos QR de los correos electrónicos, ya que sería más fácil y tendría más sentido que un remitente legítimo insertará un enlace real en el texto del correo electrónico.

La amenaza de las estafas con códigos QR actualmente es tan alta que el FBI ha publicado una alerta en la que explica cómo los ciberdelincuentes manipulan estos códigos para robar dinero.

 Ahora que conoces los riesgos potenciales y las medidas de mitigación que debes tomar, tendrás más posibilidades de mantenerte a salvo durante el resurgimiento de los códigos QR.

The post ¿Los códigos QR se están usando en ataques de phishing? appeared first on NEKT Cyber.

LAPSUS$ es el mismo grupo detrás de recientes filtraciones de las corporaciones NVIDIA y Samsung. Desde su descubrimiento en diciembre de 2021, el grupo LAPSUS$ hackeó a varias organizaciones, incluyendo a los proveedores de telecomunicaciones sudamericanos Claro y Embratel.

En su postura oficial, Mercado Libre aseguró que se activaron los protocolos de seguridad y que se encuentra en proceso de análisis a profundidad. Además, afirma que el análisis inicial arrojó que no hay evidencia de que los sistemas de infraestructura hayan sido comprometidos o que se hayan obtenido contraseñas de usuarios, balances de cuenta o tarjetas de pago.

Este grupo comenzó a filtrar información en diciembre pasado, una de sus primeras víctimas fue el Ministerio de salud de Brasil. Estaban enfocados en víctimas sudamericanas, aunque fueron aumentando su alcance. Los ciber atacantes están realizando una votación en foros especializados para que sean los cibernautas los que determinen qué información debe ser publicada primero.

La fecha límite para votar es el 13 de marzo y es cuando se sabrá lo que ocurrirá con la información.

El comunicado textual de Mercado Libre es el siguiente: “Recientemente hemos detectado que parte del código fuente de Mercado Libre, Inc. ha sido objeto de acceso no autorizado. Hemos activado nuestros protocolos de seguridad y estamos realizando un análisis exhaustivo”

Aunque se accedió a los datos de aproximadamente 300,000 usuarios (de casi 140 millones de usuarios activos únicos), hasta el momento -y según nuestro análisis inicial- no hemos encontrado ninguna evidencia de que nuestros sistemas de infraestructura se hayan visto comprometidos o que se hayan obtenido contraseñas de usuarios, balances de cuenta, inversiones, información financiera o de tarjetas de pago. Estamos tomando medidas estrictas para evitar nuevos incidentes”.

MercadoLibre también posee un servicio llamado Mercado Pago, una plataforma de cobro a los compradores y pagos y abonos a los vendedores. Según The Nielsen Company más de 52,000 personas generan todo o la mayor parte de sus ingresos vendiendo a través de MercadoLibre y en 2009 más de tres millones de personas y empresas vendieron por lo menos un artículo a través de este medio.

Para 2016, Mercado Libre tenía 174 millones de usuarios en el continente y había vendido 181 millones de productos en dicho año.

The post Mercado Libre: hackean parte de su código fuente y acceden a datos de 300 mil usuarios appeared first on NEKT Cyber.

El grupo de seguridad cibernética Check Point dijo que los ataques relacionados con la vulnerabilidad se habían acelerado en las 72 horas transcurridas desde el viernes, y que en algunos puntos sus investigadores estaban viendo más de 100 ataques por minuto.

Los perpetradores incluyen “atacantes del gobierno chino”, según Charles Carmakal, director de tecnología de la empresa cibernética Mandiant.

Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), dijo a los ejecutivos de la industria que la vulnerabilidad era “una de las más graves que he visto en toda mi carrera, si no la más grave”, según informes de medios estadounidenses, “es probable que cientos de millones de dispositivos se vean afectados” dijo.

CheckPoint dijo que en muchos casos, los ciber atacantes estaban tomando el control de las computadoras para usarlas para extraer criptomonedas o para convertirse en parte de botnets (redes de equipos “zombie”) que pueden usarse para abrumar sitios web con tráfico, enviar spam o para otros fines ilegales.

Tanto CISA como el Centro Nacional de Seguridad Cibernética del Reino Unido han emitido alertas instando a las organizaciones a realizar actualizaciones relacionadas con la vulnerabilidad Log4J, mientras los expertos intentan evaluar las consecuencias. Amazon, Apple, IBM, Microsoft y Cisco se encuentran entre los que se han apresurado a publicar soluciones, pero hasta ahora no se han informado públicamente infracciones graves.

La vulnerabilidad es la más reciente en afectar las redes corporativas a nivel masivo, luego de que el año pasado aparecieran amenazas localizadas en aplicaciones de uso común hechas por Microsoft y la compañía Solar Winds. Ambas debilidades fueron inicialmente explotadas por grupos de espionaje respaldados por el estado de China y Rusia, respectivamente.

Carmakal de Mandiant dijo que los actores respaldados por el estado chino también estaban intentando explotar el bug Log4J, pero se negó a compartir más detalles. Los investigadores de SentinelOne también han dicho a los medios que han observado que grupos de ciber actores chinos estan aprovechando la vulnerabilidad.

Según CheckPoint, casi la mitad de todos los ataques han sido realizados por grupos de ciber actores conocidos. Estos incluían grupos que usaban Tsunami y Mirai, malware que convierte los dispositivos en botnets, o redes que se usan para lanzar ataques controlados de forma remota, como ataques de denegación de servicio. También incluyó grupos que utilizan XMRig, un software que extrae la moneda digital Monero.

“Con esta vulnerabilidad, los atacantes obtienen un poder casi ilimitado: pueden extraer datos confidenciales, subir archivos al servidor, eliminar datos, instalar ransomware o moverse a otros servidores”, dijo Nicholas Sciberras, jefe de ingeniería del escáner de vulnerabilidades Acunetix.  “Fue asombrosamente fácil ejecutar un ataque” dijo, y agregó que esta vulnerabilidad “será explotada durante los próximos meses”.

La fuente de la vulnerabilidad es un código defectuoso desarrollado por voluntarios no remunerados en la Apache Software Foundation, una organización sin fines de lucro, que ejecuta múltiples proyectos de código abierto. Log4J se ha descargado millones de veces.

La falla ha pasado desapercibida desde 2013, dicen los expertos. Matthew Prince, director ejecutivo del grupo cibernético Cloudflare, dijo que comenzó a ser explotado activamente a partir del 1 de diciembre, aunque no hubo evidencia de explotación masiva hasta después de la divulgación pública de Apache la semana siguiente.

En NEKT podemos ayudarte a proteger tu infraestructura para que esta vulnerabilidad no sea aprovechada. Nuestros socio tecnológico SentinelOne detiene la ejecución del shell en los equipos Windows y Linux.

Fuentes: ArsTechnica y WeLiveSecurity.

The post Cibercrimen lanza más de 840,000 ataques a través de la falla de Log4J appeared first on NEKT Cyber.