Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

31 mar>
1 abr

⚡TL;DR

Esta semana se presentó una demanda contra Google en Argentina: un banco provincial se cansó de que sus usuarios se vean engañados por los resultados patrocinados que aparecen primeros, que contienen sitios de ciberestafas en lugar de la entidad bancaria. Es un problema que lleva años: cibercriminales pueden pautar phishing en Google Ads.

Los bancos pelean hace rato con este problema: el usuario googlea a su banco, cae en un phishing patrocinado que aparece arriba de todo, se queja (o demanda) a la entidad bancaria y el banco se queja con Google. Al final, los que ganan son los que explotan el sistema de Ads del buscador, que logran darle visibilidad a su estafa. Y Google, que cobra por cada clic en ese aviso.

El problema, que ya ha sido planteado en Argentina por otros bancos en otras oportunidades, sigue sin tener solución a pesar de que quede en evidencia con estas denuncias. El colega Mariano Vidal escribió un reportaje en Clarín, resumido en la apertura de esta edición del newsletter.

En el plano regional, apareció un reporte que detectó el resurgimiento de una gran campaña de Grandoreiro, uno de los troyanos bancarios más grandes de la región, luego de que la base operativa fuera detenida durante el año pasado. Muchos analistas advierten que, a pesar de esto último, Grandoreiro nunca había dejado de operar.

A nivel global, Oracle, que había tenido un breach la semana pasada, tuvo otra filtración de datos, esta vez con registros médicos. X (Twitter) también fue protagonista de otro leak (donde no está para nada claro si la información es nueva o no).

Entre los reportes de inteligencia, Google publicó uno muy interesante sobre el crecimiento del esquema de ingeniería social de “trabajadores IT de Corea del Norte”.

La perlita: Microsoft cumple 50 años esta semana. Me gustó mucho este reportaje de Zdnet. La empresa, dicho sea de paso, es una de las más grandes de la industria del software y hoy es una referencia en el mundo de la ciberseguridad. Y Bill Gates publicó el código fuente de la compañía en un especial interactivo que vale la pena ver.

En esta edición:

• 🪝 Phishing por Google Ads: un banco provincial denuncia a la empresa

• 👾 Grandoreiro, muy activo en América Latina

• 💧 Otra filtración en Oracle

• 💻 Windows 11 ya no permite hacer una cuenta local: online y con licencia

• 💾 Bill Gates publica el código fuente original de Microsoft

⏰ Substack dice que leer este correo completo lleva 9 minutos

Dark News #134

Phishing por Google Ads: un banco provincial denuncia a la empresa

El Nuevo Banco de Chaco denunció penalmente a Google por ser un engranaje “fundamental” para las estafas de cibercriminales que patrocinan enlaces de phishing en el sistema de anuncios de Google.

Phishing en Ads. Explicó el periodista Mariano Vidal:

Los estafadores montan una página falsa que copia detalle por detalle la fachada del Home Banking de la entidad, incluyendo el espacio para ingresar el usuario y contraseña. Este paso a paso se puede comprar incluso como un Kit cerrado vía Telegram, donde se explica el paso a paso. Luego adquieren un paquete de anuncios a través de Google Ads, el servicio de publicidad digital que ofrece el buscador para que una página aparezca entre los primeros resultados cuando se busca una palabra o frase en concreto.

La denuncia. La presentación fue realizada en la Fiscalía N°13 de Resistencia, especializada en cibercrimen, a cargo de Víctor Recio.

La respuesta de Google. Google Argentina confirmó la recepción de un "oficio" por parte de la justicia de Chaco pero negó que se trate de una demanda. Consultados por las medidas puntuales para brindar mayor seguridad a sus usuarios y herramientas a las empresas, se limitaron a enviar un comunicado. Tampoco accedieron a responder preguntas sobre ciberseguridad o prevención de estafas, reportó Vidal.

Google Ads. Google Ads funciona con un sistema de subastas: los anunciantes eligen palabras clave relacionadas con su negocio y compiten por mostrarse cuando alguien las busca. Google cobra cada vez que un usuario hace clic en un anuncio (modelo pay-per-click), y su ganancia proviene de estos pagos publicitarios.

Problema global. De manera llamativa y hace mucho tiempo, se puede patrocinar enlaces de phishing en este sistema y Google pide que los usuarios denuncien los enlaces fraudulentos. Otros bancos realizaron denuncias, sin tener una respuesta concreta por parte de Google. El problema no ocurre en Argentina, sino en todo el mundo.

La fuente de ingreso más grande de Alphabet, empresa matriz de Google, es la publicidad digital.

Grandoreiro, muy activo en América Latina

Grandoreiro, uno de los troyanos bancarios más activos de América Latina, está operativo con campañas de phishing de gran escala luego de que los líderes operativos del malware fueran detenidos hace más de un año. Argentina, España y México son los principales targets.

Los datos. Un reporte de Forcepoint destaca grandes volúmenes de detecciones a partir de correos electrónicos de phishing, con archivos .zip maliciosos.

Cadena de infección. La campaña utiliza servidores alojados en Contabo y servidores de Mediafire para distribuir malware. El ataque involucra archivos comprimidos que contienen scripts VBS ofuscados que descargan un EXE basado en Delphi. Una vez ejecutado, el malware roba credenciales, busca directorios de billeteras de Bitcoin y se conecta a un servidor C2.

Evasión. Grandoreiro emplea técnicas para ofuscar las detecciónes, desde inflar el tamaño de los binarios hasta usar CAPTCHAS para evadir las detecciones de los EDR. Los atacantes cambian frecuentemente los subdominios para evadir la detección.

Cómo opera. El malware puede registrar las pulsaciones del teclado, hacer capturas de pantalla y hasta generar un overlay cuando se abren páginas bancarias para que el usuario entregue sin saberlo sus claves.

En febrero de 2024, la Policía de Brasil desmanteló la base operativa del troyano bancario, en una operación conjunta con la colaboración de ESET, que encontró una falla de diseño en este conocido malware.

Otra filtración en Oracle

Cibercriminales entraron a sistemas de Oracle y robaron datos de pacientes para extorsionar a la compañía, según una notificación que la empresa le envió a sus clientes.

Nuevo breach. Según Bloomberg, el incidente ocurrió cerca del 22 de enero, cuando un grupo de hackers logró acceder a servidores de la empresa y copiaron datos de pacientes. El FBI investiga qué tipo de datos hay en la filtración, además de tratar de dar con el grupo cibercriminal responsable del ataque.

Contexto. El incidente ocurre luego de que, la semana pasada, el gigante cloud sufriera un hackeo y filtración que preocupó a la industria. Un usuario subió a un foro múltiples archivos de texto con información interna de bases de datos, información LDAP y una lista de compañías comprometidas.

Oracle desmintió el breach, pero diversos analistas lo confirmaron con la información subida.

Windows 11 ya no permite hacer una cuenta local: online y con licencia

Microsoft removió la posibilidad de instalar Windows 11 con una cuenta local.

Por qué importa. Esto fuerza a la creación de una cuenta Microsoft con una licencia válida y conexión a internet para correr el sistema operativo. No todos los usuarios quieren crear una cuenta Microsoft para usar Windows.

Desde el lanzamiento de Windows 11, Microsoft fue cerrando las opciones en su software para hacer cada vez más difícil usar cuentas locales en el sistema operativo. Esta es la primera vez que Microsoft lo hace público en una comunicación oficial.

Workaround. Diversos analistas señalaron que todavía es posible bypassear esta restricción, aunque es probable que Windows tenga todos los frentes cubiertos pronto y no quede más alternativa por fuera de la creación de una cuenta Microsoft.

Bill Gates publica el código fuente original del sistema operativo de Altair

Bill Gates publicó el código fuente del primer sistema operativo que los Altair 8800, minicomputadoras que usaban un chip Intel, lanzada en 1975.

Por qué importa. Se trata de un documento histórico, la primera pieza de código que programaron Bill Gates y Paul Allen en BASIC, que sentó las bases del desarrollo de sistemas operativos.

Gates y Allen, sin acceso directo a un Altair 8800, utilizaron un emulador en un PDP-10 para escribir y probar el código. El resultado debía funcionar en un entorno con solo 4 KB de memoria RAM, lo que requirió una programación altamente eficiente. ​

Este proyecto no sólo llevó al nacimiento de Microsoft, sino que también estableció un modelo para el desarrollo de software que transformaría la industria tecnológica. Productos como Word, Excel y el sistema operativo Windows tienen sus raíces en este trabajo. ​

En la actualidad, Microsoft no es sólo una de las principales desarrolladoras de software del mundo sino una compañía que, para muchos, está más centrada en ciberseguridad.

🔓 Breaches y hacks

• Filtran información interna de la empresa de seguridad Check Point

• Roban 46 millones en criptoactivos en Coinbase

• Hackean el sistema ferroviario de Rusia

🔒 Ransomware

• HellCat Ransomware: cómo es este nuevo RaaS

• Hunters International se rebrandea como grupo de data extortion

• Análisis técnico de Black Basta

💣 Exploits y malware

• Clientes de Ivanti, otra vez afectados por un APT de China

• Nueva vulnerabilidad en GitHub Copilot

• TookPS, un nuevo malware que usa DeepSeek para atraer usuarios

🔍 Threat intel y vulnerabilidades

• Lazarus está usando ClickFix, una técnica de ingeniería social con popups para correr código malicioso

• Wiz lanza un sitio de monitoreo de vulnerabilidades de alto perfil

• Cisco advierte sobre vulnerabilidades en tres de sus productos

🛠️ Tools y updates

• Google agrega mails encriptados end-to-end en entornos corporativos

• Apple lanza una serie de actualizaciones de seguridad

• Reportes: Cisco Talos, CertiK, Palo Alto, Sophos.

📋 Privacidad y regulaciones

• La Unión Europea invierte 1.300 millones de dólares en IA y ciber-riesgo

• Multan a Apple con 150 millones de euro en Francia

• EE.UU. extiende la emergencia en ciberseguridad nacional

Share