Cuidado con los parches falsos para Meltdown y Spectre
Título original: Beware fake Meltdown and Spectre patches
Fuente: Computer Weekly
Resumen:
Los expertos en seguridad han advertido que los atacantes cibernéticos utilizarán rápidamente las fallas Meltdown y Spectre, pero el primer intento de capitalizarlos ha sido en forma de actualizaciones falsas.
Los primeros intentos de los atacantes cibernéticos de utilizar las fallas Meltdown y Spectre parecen ser actualizaciones de seguridad falsas para corregir los defectos.
Investigadores de la firma de seguridad Malwarebytes descubrieron un sitio web en idioma alemán que parece respaldado por el gobierno y ofrece ayuda sobre Meltdown y Spectre, pero incluye enlaces a malware.
«Aunque parece provenir de la Oficina Federal Alemana de Seguridad de la Información (BSI), este sitio de phishing habilitado para SSL no está afiliado a ninguna entidad gubernamental legítima u oficial», escribió en un blog Jérôme Segura, analista líder de inteligencia de malware en Malwarebytes.
El sitio falso «sicherheit-informationstechnik.bid» incluye un enlace a un archivo zip que dice contener un parche para los exploits recientemente divulgados que afectan a la mayoría de los dispositivos informáticos modernos.
Pero la actualización de seguridad falsa (Intel-AMD-SecurityPatch-10-1-v1.exe) es realmente una pieza de malware llamada “Smoke Loader” que puede utilizarse para robar información.
«El tráfico posterior a la infección muestra el archivo malicioso que intenta conectarse a varios dominios y enviar información encriptada. El campo Nombre alternativo del sujeto dentro del certificado SSL abusado, muestra otras propiedades asociadas con el dominio .bid, incluida una que es una plantilla alemana para una actualización falsa de Adobe Flash Player», escribió Segura.
Malwarebytes notificó a “Comodo” y “Cloudflare” sobre el sitio web de ayuda falso, que fue desconectado en cuestión de minutos.
«Los delincuentes en línea son conocidos por aprovechar eventos publicitados y explotarlos rápidamente, generalmente a través de campañas de phishing. Este en particular es interesante porque a las personas se les dijo que aplicaran un parche, que es exactamente lo que los ladrones están ofreciendo bajo disfraz «, dijo Segura.
Segura también advirtió a las organizaciones que no tomen ninguna medida cuando se les pida que realicen una acción por parte de los proveedores.
«Existe la posibilidad de que esas solicitudes sean falsas y pretendan estafarlo o infectar su computadora».
Según Segura, hay muy pocos casos legítimos cuando los proveedores contactan directamente para instar a las organizaciones a aplicar actualizaciones. En tales casos, las organizaciones siempre deben verificar primero la información a través de otros recursos en línea.
Segura también advirtió que los sitios que usan SSL (HTTPS) no son necesariamente confiables.
«La presencia de un certificado simplemente implica que la información que transita entre su computadora y el sitio es segura, pero eso no tiene nada que ver con las intenciones o el contenido ofrecido, lo que podría ser una estafa total».
En Alternativas en Computación le ayudaremos a tomar conciencia de su nivel de seguridad y conocer qué problemas de seguridad son más importantes para su organización. Contamos con un servicio de administración de seguridad y monitoreo que le permitirá poner en marcha su estrategia en breve y orientar sus recursos en labores operativas propias del negocio.
¡Si desea agendar una cita, por favor déjenos sus datos!
