{"id":17403,"date":"2020-01-10T09:22:14","date_gmt":"2020-01-10T17:22:14","guid":{"rendered":"http:\/\/www.palada.net\/index.php\/2020\/01\/10\/news-11139\/"},"modified":"2020-01-10T09:22:14","modified_gmt":"2020-01-10T17:22:14","slug":"news-11139","status":"publish","type":"post","link":"http:\/\/www.palada.net\/index.php\/2020\/01\/10\/news-11139\/","title":{"rendered":"El malware navide\u00f1o utiliza \u201cSupport Greta Thunberg\u201d como se\u00f1uelo"},"content":{"rendered":"<p><strong>Credit to Author: Naked Security| Date: Fri, 03 Jan 2020 12:18:48 +0000<\/strong><\/p>\n<div class=\"entry-content\">\n<p>SophosLabs ha detectado varias campa\u00f1as de spam durante Navidad que descaradamente se suben al carro de la activista clim\u00e1tica Greta Thunberg.<\/p>\n<p>Los spam que propagan malware llegan con asuntos como:<\/p>\n<ul>\n<li>Por favor ayuda a salvar el planeta<\/li>\n<li>Greta<\/li>\n<li>Ayuda a los amigos<\/li>\n<li>Apoya a Greta Thunberg &#8211; Persona del a\u00f1o 2019 de Time<\/li>\n<li>Greta Thunberg<\/li>\n<li>La mayor demostraci\u00f3n<\/li>\n<li>Demostraci\u00f3n 2019<\/li>\n<\/ul>\n<p>Adem\u00e1s piden que te unas a una pr\u00f3xima manifestaci\u00f3n.<\/p>\n<p>El problema, sin embargo, es que la hora y el lugar de la supuesta manifestaci\u00f3n no est\u00e1n en el cuerpo del correo electr\u00f3nico.<\/p>\n<p>Para obtener m\u00e1s informaci\u00f3n, debes abrir un documento de Word que est\u00e1 adjunto en el correo electr\u00f3nico:<\/p>\n<p style=\"padding-left:40px;\"><em>FELIZ NAVIDAD<\/em><\/p>\n<p style=\"padding-left:40px;\"><em>Puedes pasar la Nochebuena buscando regalos para ni\u00f1os.<\/em><\/p>\n<p style=\"padding-left:40px;\"><em>Te dir\u00e1n Gracias solo ese d\u00eda.<\/em><\/p>\n<p style=\"padding-left:40px;\"><em>Pero los ni\u00f1os te lo agradecer\u00e1n toda su vida si vas a la mayor manifestaci\u00f3n en protesta por la inacci\u00f3n del gobierno en la crisis clim\u00e1tica.<\/em><\/p>\n<p style=\"padding-left:40px;\"><em>Apoya a Greta Thunberg &#8211; Persona del a\u00f1o 2019 de Time<\/em><\/p>\n<p style=\"padding-left:40px;\"><em>\u00a0<\/em><\/p>\n<p style=\"padding-left:40px;\"><em>Te invito. La hora y la direcci\u00f3n se encuentran en el archivo adjunto.<\/em><\/p>\n<p style=\"padding-left:40px;\"><em>\u00a0<\/em><\/p>\n<p style=\"padding-left:40px;\"><em>ENVIA esta carta a todos los colegas, amigos y familiares.<\/em><\/p>\n<p style=\"padding-left:40px;\"><em>AHORA MISMO \u00a1Antes de que lo olvides!<\/em><\/p>\n<p style=\"padding-left:40px;\"><em>\u00a0<\/em><\/p>\n<p style=\"padding-left:40px;\"><em>Muchas gracias<\/em><\/p>\n<p>&nbsp;<\/p>\n<p>Algunos de los emails no ten\u00edan un archivo adjunto, en cambio ten\u00edan un enlace en el que pod\u00edas descargar el archivo t\u00fa mismo.<\/p>\n<p>Afortunadamente, los enlaces que hemos visto no funcionan en este momento, lo que significa que incluso si haces clic en uno de ellos, no enviar\u00e1 malware a tu ordenador.<\/p>\n<p>Desafortunadamente, eso tambi\u00e9n significa que no podemos estar seguros de qu\u00e9 malware intentaron instalar los ciberdelincuentes, o qu\u00e9 malware podr\u00eda aparecer repentinamente en esos enlaces en el futuro.<\/p>\n<p>Cuando recibimos un documento infectado, el proceso puede estar orientado a entregar el malware Emotet.<\/p>\n<p>Como ya sabr\u00e1s, Emotet es una familia de malware que parece haber evolucionado para llenar un nicho de delito cibern\u00e9tico muy espec\u00edfico: entregar malware para otros delincuentes.<\/p>\n<p>Como <a href=\"https:\/\/nakedsecurity.sophos.com\/2019\/01\/25\/fighting-emotet-lessons-from-the-front-line\/\">explic\u00f3<\/a> Mark Stockley de Naked Security en enero de 2019:<\/p>\n<p style=\"padding-left:40px;\"><em>Durante sus cinco a\u00f1os de vida [hasta finales de 2018], Emotet ha evolucionado de un troyano que silenciosamente roba las credenciales bancarias de las v\u00edctimas a una plataforma altamente sofisticada y ampliamente implementada para distribuir otros tipos de malware, especialmente otros tipos de troyanos bancarios.<\/em><\/p>\n<p style=\"padding-left:40px;\"><em>Emotet se distribuye gracias a campa\u00f1as de spam malicioso e instala todo el malware que pague sus servicios. En lo que va de a\u00f1o, esto significa TrickBot y QBot troyanos bancarios, aunque tambi\u00e9n se ha relacionado con BitPaymer, una variedad de sofisticado ransomware que extorsiona con rescates de seis cifras.<\/em><\/p>\n<p>Los ciberdelincuentes detr\u00e1s de Emotet, que parece que comenzaron a usar su malware para robar las credenciales bancarias de los usuarios finales, se dieron cuenta que pod\u00edan ganarse la vida directamente de otros delincuentes al proporcionar un sistema de distribuci\u00f3n de malware utilizando su propio malware, una especie de red de entrega de contenido B2B para otros delincuentes.<\/p>\n<h2>\u00bfQu\u00e9 pasa si lo abres?<\/h2>\n<p>Si abres uno de estos archivos adjuntos infectados, ver\u00e1s lo que parece una advertencia de sistema de aspecto inocente, aparentemente desde el propio Word:<\/p>\n<p><img decoding=\"async\" data-attachment-id=\"63059\" data-permalink=\"https:\/\/news.sophos.com\/es-es\/2020\/01\/03\/el-malware-navideno-utiliza-support-greta-thunberg-como-senuelo\/gt-warn-600\/\" data-orig-file=\"https:\/\/sophos.files.wordpress.com\/2020\/01\/gt-warn-600.png\" data-orig-size=\"604,425\" data-comments-opened=\"1\" data-image-meta=\"{&quot;aperture&quot;:&quot;0&quot;,&quot;credit&quot;:&quot;&quot;,&quot;camera&quot;:&quot;&quot;,&quot;caption&quot;:&quot;&quot;,&quot;created_timestamp&quot;:&quot;0&quot;,&quot;copyright&quot;:&quot;&quot;,&quot;focal_length&quot;:&quot;0&quot;,&quot;iso&quot;:&quot;0&quot;,&quot;shutter_speed&quot;:&quot;0&quot;,&quot;title&quot;:&quot;&quot;,&quot;orientation&quot;:&quot;0&quot;}\" data-image-title=\"alerta\" data-image-description=\"\" data-medium-file=\"https:\/\/sophos.files.wordpress.com\/2020\/01\/gt-warn-600.png?w=300\" data-large-file=\"https:\/\/sophos.files.wordpress.com\/2020\/01\/gt-warn-600.png?w=604\" class=\"aligncenter size-full wp-image-63059\" src=\"https:\/\/sophos.files.wordpress.com\/2020\/01\/gt-warn-600.png?w=640\" alt=\"\" srcset=\"https:\/\/sophos.files.wordpress.com\/2020\/01\/gt-warn-600.png 604w, https:\/\/sophos.files.wordpress.com\/2020\/01\/gt-warn-600.png?w=150 150w, https:\/\/sophos.files.wordpress.com\/2020\/01\/gt-warn-600.png?w=300 300w\" sizes=\"(max-width: 604px) 100vw, 604px\"   \/><\/p>\n<p>\u00a1No te dejes enga\u00f1ar!<\/p>\n<p>La &#8220;advertencia&#8221; es solo una imagen insertada en el documento por los delincuentes para enga\u00f1arte y evitar la configuraci\u00f3n de seguridad predeterminada de Word para bloquear el contenido activo, como macros de programas de Word (c\u00f3digo de software incrustado) en el archivo.<\/p>\n<p>No necesitas usar el bot\u00f3n [Habilitar contenido] para cargar archivos en formato Word creados por paquetes alternativos de procesamiento de texto (o, para el caso, abrir documentos de versiones anteriores de Word), si el documento se guarda en un formato compatible con Word entonces Word lo abrir\u00e1; de lo contrario no lo har\u00e1.<\/p>\n<p>Si pulsas [Habilitar contenido], el c\u00f3digo de macro dentro del archivo de Word ejecutar\u00e1 un comando de Powershell que se conectar\u00e1 en l\u00ednea para recuperar el malware que instalar\u00e1, probablemente Emotet.<\/p>\n<p>Recuerda que cuando el malware llega en una cadena de varios pasos, como aqu\u00ed, nunca puedes estar seguro de lo que viene despu\u00e9s. Esa es una raz\u00f3n por la que a los ciberdelincuentes les gusta entregar sus cargas finales de malware a trav\u00e9s de una descarga web que se produce en el momento y el lugar en que comenz\u00f3 la infecci\u00f3n. De esa manera, pueden adaptar el malware final no solo por tiempo, sino tambi\u00e9n por geolocalizaci\u00f3n e incluso por qu\u00e9 tipo de ordenador es. Por ejemplo, si resulta ser un port\u00e1til Mac, algunos delincuentes tratar\u00e1n deliberadamente de atacarlo con malware espec\u00edfico para Mac en lugar de enviarle un programa de Windows que no se ejecutar\u00e1 en absoluto.<\/p>\n<h2>\u00bfQu\u00e9 hacer?<\/h2>\n<ul>\n<li><strong>No abras archivos adjuntos que no solicit\u00f3 ni espera<\/strong>. Recibir correos electr\u00f3nicos no solicitados es bastante malo, as\u00ed que no pierdas m\u00e1s tiempo con los spammers abriendo archivos adjuntos para ayudarlos a\u00fan m\u00e1s. Si se tratara de una invitaci\u00f3n genuina, la hora y la ubicaci\u00f3n estar\u00edan a la vista en el cuerpo del correo electr\u00f3nico, no ocultas en un archivo adjunto innecesario y no deseado.<\/li>\n<li><strong>No desactives las funciones de seguridad porque un documento se lo pide<\/strong>. Microsoft seleccion\u00f3 [Desactivar contenido] como predeterminado para protegerte de documentos comprometidos, incluidos de los documentos comprometidos que te piden que [Habilitar contenido].<\/li>\n<li><strong>Busca un antivirus con bloqueo de comportamiento y filtrado web, as\u00ed como escaneo de archivos sin formato<\/strong>. El enfoque de m\u00faltiples pasos utilizado por el malware significa que los delincuentes deben salirse con la suya en cada paso: el archivo DOC en s\u00ed no necesita el malware completo y final integrado. Pero eso significa que puede detener el ataque bloqueando cualquiera de los pasos, mientras que los delincuentes tienen que tener \u00e9xito en todas ellas. Tienes ventaja si dispones de varias capas de defensa.<\/li>\n<\/ul>\n<p><a href=\"https:\/\/www.sophos.com\/es-es\/products\/intercept-x.aspx\">Sophos Intercept X con EDR<\/a> es la protecci\u00f3n m\u00e1s completa para endpoints. Descarga una evaluaci\u00f3n gratuita <a href=\"https:\/\/secure2.sophos.com\/es-es\/products\/intercept-x\/free-trial.aspx\">aqu\u00ed<\/a>.<\/p>\n<p>Sophos Home es <a href=\"https:\/\/home.sophos.com\/es-es\/download-mac-anti-virus.aspx\">100% gratis<\/a> para Windows y Mac. La versi\u00f3n Premium, con m\u00e1s funciones y cobertura para hasta 10 ordenadores (incluidos los de amigos y familiares), est\u00e1 a mitad de precio en este momento.<\/p>\n<\/p><\/div>\n<p><a href=\"http:\/\/feedproxy.google.com\/~r\/sophos\/dgdY\/~3\/K5sQhoMYRU4\/\" target=\"bwo\" >http:\/\/feeds.feedburner.com\/sophos\/dgdY<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p><img decoding=\"async\" src=\"https:\/\/sophos.files.wordpress.com\/2020\/01\/gt-1200.png\"\/><\/p>\n<p><strong>Credit to Author: Naked Security| Date: Fri, 03 Jan 2020 12:18:48 +0000<\/strong><\/p>\n<p>SophosLabs ha detectado varias campa\u00f1as de spam durante Navidad que descaradamente se suben al carro de la activista clim\u00e1tica Greta Thunberg. Los spam que propagan malware llegan con asuntos como: Por favor ayuda a salvar el planeta Greta Ayuda a los amigos Apoya a Greta Thunberg &amp;#8211; Persona del a\u00f1o 2019 de Time Greta Thunberg [&amp;#8230;]&lt;img src=&#8221;http:\/\/feeds.feedburner.com\/~r\/sophos\/dgdY\/~4\/K5sQhoMYRU4&#8243; height=&#8221;1&#8243; width=&#8221;1&#8243; alt=&#8221;&#8221;\/&gt;<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[10378,10377],"tags":[10379],"class_list":["post-17403","post","type-post","status-publish","format-standard","hentry","category-security","category-sophos","tag-corporate"],"_links":{"self":[{"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/posts\/17403","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/comments?post=17403"}],"version-history":[{"count":0,"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/posts\/17403\/revisions"}],"wp:attachment":[{"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/media?parent=17403"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/categories?post=17403"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/tags?post=17403"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}