Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
abril
(Total:
76
)
- El ransomware BlackCat
- ¿Qué es la extensión de un archivo en Windows?
- Telegram como sucursal y paraíso del ciber crimen
- 76 detenidos por estafar mediante SMS fraudulentos...
- Google consigue una orden judicial para desmantela...
- Microsoft comunica que ya no habrá más versiones d...
- Microsoft Edge filtra los sitios web que visitas a...
- Intel sufre las mayores pérdidas de su historia tr...
- Hackean un satélite de la Agencia Espacial Europea...
- Google añadirá cifrado de extremo a extremo a Auth...
- Hackean a Coca-Cola Femsa México
- Aumentan los ataques de ransomware a sistemas de v...
- Microsoft mejora Phone Link para iOS
- Plugins para administrar y securizar Kubernetes
- El FBI y la Policía Nacional España detiene en Mad...
- El Centro Europeo para la Transparencia Algorítmic...
- VirusTotal añade la inteligencia artificial a su m...
- Millones de ordenadores escolares ChromeBook dejan...
- La botnet Mirai utiliza routers vulnerables TP-Lin...
- Varios empleados de Google pidieron detener la int...
- Si tienes un dominio .net lo podrían confiscar sin...
- Un canal de TV argentino emite ‘Super Mario Bros. ...
- Google Authenticator ya permite guardar una copia ...
- Los grupos de ransomware más activos
- Ruso acusado de lavar dinero del grupo de ransomwa...
- Trucos para móviles Samsung
- Nueva inteligencia artificial crea modelos fictici...
- Servidores Microsoft SQL hackeados para implementa...
- El FBI advierte sobre el "Juicejacking", los riesg...
- Unrecord es el shooter FPS más realista que has visto
- Facebook pagará una multa millonaria a usuarios en...
- Ciberdelincuentes utilizan capturas de pantalla pa...
- El CEO de Google advierte: "la sociedad no está pr...
- Miles de datos internos y de exempleados de Telepi...
- Experta en inteligencia artificial que Google desp...
- El FBI y la Interpol no quieren que WhatsApp y otr...
- Roban coches con un Nokia 3310 y unos altavoces bl...
- ¿Qué es el Business Email Compromise?
- Mejores DNS: dns más seguros y privados
- Pegasus sigue siendo usando en México contra los d...
- Utilizan Google Drive para exfiltrar información r...
- Nuevos métodos de distribución del Malware QBot
- Afiliado del grupo ransomware BlackCat atacando Ve...
- Magi será el nuevo buscador de Google impulsado po...
- Estados Unidos debate condenar a 20 años de prisió...
- Cómo un grupo de gamers expuso una de las filtraci...
- Exfiltración de datos a través de PowerShell del g...
- Involucran Alcasec en el mayor hackeo a Telefónica...
- Google anuncia un fondo de asistencia legal para h...
- Investigaciones OSINT en la Dark Web
- Más de un millón de sitios WordPress infectados po...
- Intel y ARM anuncian un acuerdo para la fabricació...
- Nuevas funciones adicionales de seguridad para Wha...
- El Bitcoin consume como una ciudad de 8 millones d...
- ¿Era Steve Jobs el verdadero Satoshi Nakamoto, el ...
- Utilizan grave vulnerabilidad en iPhone Calendar p...
- 0-day en Windows es explotado por el ransomware No...
- Twitter ya no existe como compañía; ahora es X Corp
- Hyundai España sufre un ciberataque que compromete...
- Microsoft lleva cinco años ralentizando Firefox co...
- Empleados de Samsung filtraron información confide...
- El foro oficial de Kodi ha sido hackeado
- Empleados de Tesla compartieron vídeos íntimos de ...
- Un nuevo ransomware es capaz de cifrar 220 mil fic...
- Vulnerabilidad crítica en biblioteca VM2 de NodeJS
- Nueva York denuncia a Amazon por guardar datos bio...
- Marcas y modelos de discos duros: Seagate vs Weste...
- La IA puede descifrar la mayoría de contraseñas en...
- Fabricante MSI víctima de un ataque de ransomware ...
- El FBI desmantela Genesis Market, el mayor mercado...
- Archivos autoextraíbles SFX son utilizados para ej...
- El proyecto Tor presenta su nuevo navegador Mullvad
- Hackean Western Digital y todos sus servicios en ...
- Incidente de seguridad afecta a los clientes de Yo...
- Detenido Alcasec por hackear el Punto Neutro Judic...
- Italia bloquea ChatGPT por no respetar la protecci...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
La seguridad en dispositivos móviles es cada vez más crucial, especialmente ante el crecimiento de aplicaciones maliciosas diseñadas para v...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Nuevos métodos de distribución del Malware QBot
A la hora de propagar malware or correo son muchos los delincuentes que simplemente tratan de colar sus archivos ejecutables usando formatos menos conocidos o empaquetándolos dentro de ficheros comprimidos en formatos ZIP, RAR o similares. Sin embargo existen otros métodos que también son usados con finalidad maliciosa y, de los cuales, muchos usuarios aun no son conscientes, pensando que un archivo de ese tipo no puede suponer ningún problema de seguridad para su sistema.
El archivo puente: cuando el PDF sí es un PDF, pero intenta engañarnos
En otros casos, el engaño en más sutil, y el documento del formato prometido nos induce a descargar otro, ejecutable y malicioso. El blog corporativo de la compañía de ciberseguridad ESET desvelaba hace unos días un ejemplo de esto…
…una campaña que hace uso de un e-mail en inglés en el que alguien nos envía una letra de cancelación (empleada para cancelar o extinguir un servicio o un contrato) que, una vez descargado, sí resulta ser un fichero PDF, como prometía…
…pero sólo nos muestra un supuesto aviso del lector de documentos (no es tal, sólo es el aspecto del PDF) en el que se nos anima a pulsar un botón. En español, viene a decir lo siguiente:
"Este documento contiene archivo protegidos, para mostrarlos, haz clic en el botón de 'open'".
Con respecto al archivo adjunto al email, comprobamos como se trata de un fichero PDF que, al abrirse, muestra un mensaje indicando que el documento contiene archivos protegidos y es necesario pulsar sobre el botón OPEN para poder visualizarlos. Sin embargo, solo con pasar el cursor del ratón por encima de dicho botón comprobamos que se nos intenta redirigir a un enlace externo para descargar un fichero comprimido.
Basta con situar el cursor sobre el botón en cuestión para comprobar que tan sólo es un hiperenlace a un archivo comprimido (.zip) colgado en una página web.
Comprobar qué nos estamos bajando
Si el fichero nos llega por e-mail, el cliente de correo nos indicará la extensión de archivo y/o nombre del formato real del fichero. En el ejemplo correspondiente a la estafa anterior, vemos —por el icono— que lo que nos llega es un verdadero PDF:
Primero, probemos el truco de antes: situar el cursor sobre el botón/enlace y comprobar qué dirección aparece en el aviso emergente.
Comportamiento inesperado
Si al abrir lo que nosotros pensamos que es un documento legible se despliega una ventana de terminal o una ventana con un listado de archivos, desconfiemos: no es así como se comportan los archivos PDF o de Office.
El fichero final descarga ZIP contiene en su interior un archivo en formato WSF (Windows Script File), que permite mezclar varios tipos de lenguajes de secuencias de comandos para así ejecutar código. Esta fase de descarga es similar a la que vemos normalmente cuando analizamos otras amenazas que no incluyen un archivo con un formato aparentemente inofensivo para muchos usuarios como PDF.
Al final, todo ese código sirve para ejecutar un comando en PowerShell que también se encuentra altamente ofuscado para que no sea fácil saber cual es su finalidad. No obstante, en este tipo de amenazas, la ejecución de código en PowerShell suele estar relacionada con la descarga de un malware de segunda fase que es el que termina comprometiendo la seguridad del sistema y realizando las actividades maliciosas planeadas por los delincuentes.
Desconfiemos si:
- La interfaz no es la habitual que conocemos de otras veces que hemos abierto un PDF.
- La interfaz está en inglés, mientras que nuestro sistema operativo está en español.
- El programa que se muestra no es nuestro lector de PDFs por defecto (suelen suplantar a los más populares, pero si nosotros tenemos uno más minoritario el engaño será más fácil de detectar).
- Se nos pide realizar acciones inesperadas, como rellenar un captcha para acceder a un PDF (ver imagen anterior).
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.