Inicio / Content / Boletín de seguridad de Protege tu Empresa 13-12-2021

Boletín de seguridad de Protege tu Empresa 13-12-2021

Suplantan a empresa de paquetería para distribuir malware vía SMS

Fecha de publicación: 
13/12/2021
Importancia: 
4 - Alta
Recursos afectados: 

Cualquier empleado, empresario o autónomo que haya recibido un mensaje SMS en un dispositivo Android con las características descritas en este aviso, haya seguido el enlace y descargado e instalado la app.

Descripción: 

Se ha detectado una campaña a través de SMS (smishing), cuyo objetivo es que el usuario se descargue un app maliciosa. La campaña identificada tiene como pretexto la entrega o problemas con la entrega de un paquete de DHL.

[ACTUALIZACIÓN 20/12/2021] En los últimos meses, se ha detectado un aumento de casos, como el presentado en este aviso, relacionados con la distribución de malware Flubot, un troyano bancario para dispositivos Android, siendo la amenaza con más afectación a ciudadanos españoles durante el primer semestre de 2021.

Solución: 

Si has sido víctima, te ha llegado un SMS de estas características y has descargado la aplicación maliciosa, es posible que tu dispositivo haya sido infectado. Por tanto, debes eliminar la aplicación y escanearlo con un antivirus actualizado. Además, te recomendamos informar a tus contactos sobre este ataque, ya que el malware utilizará los contactos de tu agenda para enviar SMS fraudulentos y poder captar más víctimas.

Si por el contrario te ha llegado este SMS, pero no has descargado la aplicación maliciosa, simplemente debes eliminar el mensaje de tu bandeja de entrada para no instalarla por error e ir a tu gestor de archivos, donde encontrarás el archivo .apk que descarga la aplicación, y eliminarlo.

En caso de haber instalado el archivo .apk malicioso en tu dispositivo Android, si al intentar desinstalarlo te resulta imposible, valora restaurar el dispositivo a valores de fábrica.

Para evitar ser víctima de fraudes de este tipo sigue estas recomendaciones:

  • Los dispositivos móviles empresariales han de estar actualizados y protegidos con un antivirus.
  • Se ha de mantener inhabilitada la opción de «instalación de aplicaciones de orígenes desconocidos» dentro de los ajustes de tu dispositivo.
  • Haz backup de tus dispositivos móviles.
  • No descargues aplicaciones a través de enlaces recibidos, accede al repositorio oficial.
  • No abras enlaces de usuarios desconocidos o que no haya solicitado, elimínalos directamente. En caso de que el mensaje proceda de una entidad legítima, no contendrá enlaces ni documentos adjuntos. No contestes en ningún caso a estos mensajes.
  • Aunque sean de contactos conocidos, confirma por otros medios antes de seguir enlaces o descargar ficheros adjuntos.

[ACTUALIZACIÓN 20/12/2021] Si crees que has podido ser víctima de este malware consulta la página de Flubot del servicio Antibotnet.

Además, para prevenir y reforzar estos consejos es importante realizar acciones de concienciación en ciberseguridad entre los empleados:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de Twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017, y los canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario web.

Detalle: 

La campaña detectada tiene como finalidad la instalación de una aplicación maliciosa a través de una suplantación de identidad a la compañía DHL. Una vez instalada, esta aplicación podría obtener credenciales bancarias, interceptar SMS y acceder al historial de llamadas del terminal de la víctima, entre otras acciones.
En dicha suplantación, los ciberdelincuentes tratan de engañar a sus víctimas con el envío de un SMS del tipo al que se muestra en las imágenes.

DHL SMS suplantación

 

DHL SMS Suplantación

El enlace facilitado conduce a un sitio web fraudulento donde se insta a la víctima a descargar la aplicación maliciosa que, posteriormente, infectará el dispositivo con malware.

DHL Suplantación malware

Línea de ayuda en ciberseguridad 017

Referencias: 

Vulnerabilidad crítica en Apache Log4j

Fecha de publicación: 
13/12/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Todas las versiones de Apache log4j-core con versiones desde la 2.0-beta9 hasta la 2.14.1, ambas incluidas.

Esta librería es utilizada en muchos productos. El investigador SwiHak ha publicado una lista para poder consultar los productos afectados.

[Actualización 22/12/2021]: Todas las versiones de Apache log4j-core, desde la 2.0-beta9 hasta la 2.16, ambas incluidas.

Descripción: 

Se ha corregido una vulnerabilidad de severidad crítica que afecta a Log4j que podría permitir la ejecución remota de código. Log4j es una utilidad de registro de código abierto basada en Java, ampliamente utilizada por aplicaciones empresariales y servicios en la nube.

Solución: 
  • [Actualización 15/12/2021]: El equipo de Log4j ha publicado la versión 2.16.0 pues la versión 2.15.0 no solucionaba completamente la vulnerabilidad lo que podría permitir a un atacante provocar una denegación del servicio.
  • [Actualización 20/12/2021]: El equipo de Log4j ha publicado una nueva versión 2.17 que soluciona la vulnerabilidad de severidad alta, también pueden emplearse medidas de mitigación.

Para las versiones anteriores a la 2.10, puede mitigarse estableciendo la propiedad del sistema log4j2.formatMsgNoLookups = true

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.

Detalle: 

Logo de Apache con sello PtE

El procesador Log4j gestiona los mensajes de registro. Si un ciberdelincuente envía un mensaje especialmente diseñado, podría ejecutar código de forma remota. Esta vulnerabilidad podría estar ejecutándose de forma activa.

Tu soporte técnico puede consultar una solución más detallada en el área de avisos de INCIBE-CERT.

Línea de ayuda en ciberseguridad 017