Finlandia se enfrenta a una tormenta de mensajes de texto que se difunden en Flubot - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Finlandia se enfrenta a una tormenta de mensajes de texto que se difunden en Flubot

Hola de nuevo. Te escribe Eduardo Arroyo y en esta ocasión te voy a hablar sobre Finlandia se enfrenta a una tormenta de mensajes de texto que se difunden en Flubot

Finlandia enfrenta una tormenta de mensajes de texto que propagan FluBot

Millones de mensajes de texto que conducen al software espía / troyano bancario Flubot se dirigen a todos los usuarios de Android en el país en un ataque «excepcional».

El troyano bancario Flubot cubre Finlandia y se propaga a través de teléfonos Android que envían millones de mensajes de texto maliciosos.

El viernes, el Centro Nacional de Ciberseguridad (NCSC-FI) de la Agencia de Comunicaciones y Transporte de Finlandia publicó una alarma «seria» sobre la tormenta de malware, que se está propagando a través de decenas de variaciones de mensajes que estornudan como locos a Flubot.

Una vez instalado, Flubot se encarga de obtener autorizaciones, robar información bancaria y credenciales, eliminar contraseñas almacenadas en el dispositivo y robar información personal diversa. También envía mensajes de texto adicionales a la lista de contactos del dispositivo infectado, lo que le permite «volverse viral», como la gripe.

“Un malware de Android llamado Flubot se propaga a través de SMS. Según nuestra estimación actual, se enviaron decenas de miles de mensajes a personas en Finlandia en un día. Esperamos que la cantidad aumente en los próximos días y semanas «, dijo en alerta Aino-Maria Väyrynen, consultora de seguridad de la información en NCSC-FI.

Comenzó no lento y siguió creciendo-creciendo-creciendo

De hecho, la campaña se ha vuelto mucho más virulenta, tal como predijo Väyrynen: en un artículo publicado el martes por la mañana, Väyrynen fue citado por Bloomberg como para decir que los mensajes diarios ahora son millones.

Las empresas de telecomunicaciones más grandes del país dijeron a la noticia que habían interceptado cientos de miles de mensajes. Teemu Makela, CISO de Elisa Oyj, calificó el ataque como «extremadamente excepcional y muy preocupante».

Cuando Android, iPhone, etc. Ellos atacan

El aviso NCSC-FI dice que el malware apunta a «cualquier persona que use un dispositivo Android y una suscripción móvil», mientras que los iPhones y otros dispositivos «apuntan a otro material fraudulento en el sitio web».

Los mensajes de texto maliciosos utilizan mensajes que comunican a los destinatarios que han recibido un mensaje de voz o un mensaje de su operador de telefonía móvil. Todos los mensajes variantes solicitan al destinatario que abra un enlace malicioso.

El acceso directo no instala el malware de inmediato, sino que se les pide a los objetivos que otorguen permisos para el correo de voz, que en realidad es una tapadera para instalar el malware. Luego, una vez instalado, el malware roba datos de su dispositivo y envía mensajes fraudulentos que propagan malware en segundo plano.

Hay señales de alerta: los mensajes «a menudo se escriben sin letras escandinavas (å, ä y ö) y pueden contener los caracteres +, /, &,% y @ en lugares aleatorios e ilógicos del texto», explica el aviso. .

Las autoridades finlandesas compartieron ejemplos de los mensajes, así como la solicitud para instalar el malware, ambos que se muestran a continuación.

Ejemplos de mensajes de texto fraudulentos. Fuente: NCSC-FI.

La solicitud para instalar el malware. Fuente: NCSC-FI.

No se obtuvo inmunidad después de la campaña anterior de Flubot.

Esta es la segunda vez que Flubot llega a Finlandia. Se lanzó una campaña de malware móvil Flubot en Finlandia en junio de 2021 y persistió hasta agosto, enviando mensajes escritos en finlandés a miles de finlandeses. En esa campaña anterior, los mensajes maliciosos decían que se estaba entregando un paquete e incluían un enlace de seguimiento que intentaba atraer a los objetivos en un sitio web fraudulento que intentaba instalar Flubot.

En esa ocasión, gracias a la cooperación entre las autoridades y las telecomunicaciones, la NCSC-FI dijo que el país había logrado eliminar a Flubot «casi por completo».

Antti Turunen, jefe de fraude en la compañía de telecomunicaciones sueca Telia (que opera en Finlandia) le dijo a Bloomberg que esta vez es peor, un sentimiento compartido por NCSC-FI. La nueva ola muestra que los operadores de Flubot mutaron su malware para enganchar sus tentáculos a las víctimas, independientemente de las medidas de control implementadas para erradicar la campaña de verano de Flubot, dijo el centro de seguridad.

Flubot a menudo cambia de táctica: en octubre, por ejemplo, se vio al troyano bancario usando una advertencia de seguridad falsa para intentar engañar a los usuarios de Android haciéndoles pensar que ya habían sido infectados … por Flubot.

Era una mentira, pero se convirtió en una realidad para los destinatarios del mensaje de texto que hicieron clic en el botón «Instalar actualización de seguridad».

Hank Schless, gerente senior de soluciones de seguridad de Lookout, dijo a Threatpost por correo electrónico el martes que la difícil situación de Finlandia es un ejemplo de los «problemas que crea el mercado de malware como servicio (MaaS) tanto para los consumidores como para las empresas».

Este mercado ha hecho que los kits de malware y phishing sean «increíblemente accesibles incluso para los actores menos capacitados», dijo. “Por lo general, por un precio muy bajo, alguien puede conectarse Online y encontrar uno de estos kits completamente construido y listo para usar. Una vez que se adquiere el kit, todo lo que tiene que hacer el atacante es alojarlo en un dominio web y luego crear un mecanismo de entrega. Muy a menudo, este mecanismo es una forma de mensaje dirigido a usuarios móviles debido a la cantidad de formas en que se puede enviar un mensaje a estos dispositivos a través de SMS, correo electrónico, plataformas de redes sociales, aplicaciones de mensajería de terceros, juegos e incluso aplicaciones de citas.

La única diferencia entre la campaña anterior de Flubot en Finlandia y esta son los diferentes ganchos de ingeniería social, señaló, una señal de cómo «los ataques de phishing diseñados socialmente pueden seguir siendo efectivos a lo largo del tiempo».

El phishing se ha convertido en «el problema más preocupante para cualquier empresa», señaló Schless. “Los actores de amenazas no solo lo usan para robar credenciales de inicio de sesión, sino también para enviar malware a dispositivos e infraestructura. Los datos de Lookout muestran que los actores de amenazas se dirigen en gran medida a los usuarios a través de canales móviles como SMS, plataformas de redes sociales, aplicaciones de mensajería de terceros, juegos e incluso aplicaciones de citas «.

Señaló los datos de Lookout que muestran una tasa de exposición trimestral promedio a los ataques de phishing del 15,35% en los primeros tres trimestres de 2021, un salto desde la tasa de exposición del 10,25% registrada por la compañía en los primeros tres trimestres del año. 2020.

«El phishing es claramente un problema creciente para todas las organizaciones», dijo.

Si bien esta campaña de Flubot se dirige a los consumidores, las mismas tácticas se utilizan para atacar a las organizaciones corporativas, dijo Schless: por ejemplo, el mensaje señuelo del atacante podría decir que el acceso de un objetivo a Outlook o Salesforce ha sido comprometido, atrayéndolos a una página de inicio de sesión falsa con el objetivo de robar sus credenciales de inicio de sesión corporativas.

«Una vez que el atacante tiene las credenciales comprometidas, es libre de iniciar sesión en cualquier aplicación corporativa y moverse lateralmente a través de la infraestructura», continuó Schless. «Esto podría llevarlos a exfiltrar o cifrar los datos para un posible ataque de ransomware».

Concluyó llamando a la inteligencia de amenazas «rey» cuando se trata de protegerse contra ataques como este. “Las soluciones respaldadas por conjuntos de datos con suficiente telemetría de amenazas son la única forma de detectar y protegerse contra estos ataques antes de que lleguen al usuario final”, dijo. “Dado que estas campañas suelen durar poco tiempo, las soluciones de seguridad tradicionales serán demasiado lentas para adoptar. Impulsar la cobertura automatizada contra ataques como este como una página maliciosa cuando se crea es la única forma de mitigar la brecha de seguridad «.

¿Qué hacer si ha sido sometido a flubot?

El NCSC-FI ofreció guía sobre qué hacer si su dispositivo está infectado con Flubot. Advertencia: la medicina es amarga.

La forma más fácil de remediar la perturbación es realizar un restablecimiento de fábrica lo antes posible, dijo el centro de seguridad. Cuando restaure desde una copia de seguridad, asegúrese de utilizar una copia de seguridad que se remonta a antes de la infección, recomendada por el aviso.

Proporcionó estas instrucciones adicionales, destinadas a evitar que el troyano bancario Flubot atraviese las cuentas financieras:

  • Si usó una aplicación bancaria o administró información de tarjeta de crédito en el dispositivo infectado, comuníquese con su banco.
  • Informe cualquier pérdida financiera a la policía.
  • Restablezca sus contraseñas en todos los servicios que utilizó con el dispositivo. Es posible que el malware haya robado su contraseña si ha iniciado sesión después de instalar el malware.
  • Comuníquese con su proveedor, ya que su suscripción puede haber sido utilizada para enviar mensajes de texto pagos. El malware actualmente activo para dispositivos Android se propaga mediante el envío de mensajes de texto desde dispositivos infectados.

Existe un mar de datos no estructurados en Internet relacionados con las últimas amenazas a la seguridad. REGÍSTRESE HOY para aprender los conceptos clave del procesamiento del lenguaje natural (NLP) y cómo usarlo para navegar por el océano de datos y agregar contexto a las amenazas de ciberseguridad (¡sin ser un experto!). Esta Ayuntamiento de Threatpost en VIVO e interactivo, patrocinado por Rapid 7, contará con los investigadores de seguridad Erick Galinkin de Rapid7 e Izzy Lazerson de IntSights (una empresa de Rapid7), así como la reportera de Threatpost y presentadora de seminarios web Becky Bracken.

.

Recuerda compartir en tus redes sociales para que tus amigos lo sepan

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *