A continuación, hemos seleccionado las últimas noticias de seguridad a nivel mundial

Vulnerabilidad Log4Shell

Se ha detectado un nuevo vector de ataque que permitiría explotar la vulnerabilidad de Log4Shell en servidores de forma local empleando una conexión Websocket de JavaScript. Este nuevo vector implica que cualquier persona con una versión de Log4j vulnerable en su máquina o red privada local, puede navegar por un sitio web y potencialmente desencadenar la vulnerabilidad. En estos momentos no hay pruebas de explotación activa, pero este vector expandiría la superficie de ataque y puede afectar los servicios que incluso se ejecutan como localhost y que no estaban expuestos a ninguna red.

En los últimos días dos nuevas familias de ransomware se han sumado a la explotación activa de este fallo. La familia de ransomware hasta ahora prácticamente inactiva conocida como TellYouThePass se estaría aprovechando de Log4Shell para la afectación fundamentalmente de objetivos chinos. Accede a la noticia completa en https://logging.apache.org/

Tropic Trooper: actor dirigido contra empresas e instituciones de transporte

El equipo de TrendMicro ha publicado un análisis sobre un actor amenaza, denominado Tropic Trooper o Earth Centaur, que apunta a empresas e instituciones públicas relacionadas con el transporte. Según los investigadores, el objetivo en los incidentes perpetrados por Tropic Trooper era exfiltrar documentos e información interna de los hosts afectados, denotando una clara predisposición al ciberespionaje.

Desde TrendMicro señalan la alta sofisticación de las técnicas empleadas por este actor, destacando sus altas capacidades de RedTeam. Están especializados en eludir soluciones de seguridad, emplean puertas traseras con diferentes protocolos en función de la víctima objetivo y usan un proxy inverso para evitar ser monitorizados. El proceso de infección observado para este actor consta de varias fases, dinámicas y ajustadas a cada víctima, pero como vector de entrada siempre parece coincidir la explotación de vulnerabilidades en servidores IIS y Exchange. Accede a la noticia completa en  https://www.trendmicro.com/en_us/.

Distribución de malware por SMS suplantando a DHL

Se ha detectado una campaña a través de SMS (smishing), cuyo objetivo es que el usuario se descargue un app maliciosa. La campaña identificada tiene como pretexto la entrega o problemas con la entrega de un paquete de DHL.

Esta campaña puede afectar a cualquier empleado, empresario o autónomo que haya recibido un SMS en un dispositivo Android y que haya pulsado el enlace y descargado e instalado la app.

Si tu dispositivo ya ha sido infectado, elimina la aplicación y escanea el móvil con un antivirus actualizado cuanto antes. Más detalle de la noticia en Incibe.

Troyano bancario Anubis, nueva campaña maliciosa

Investigadores de Lookout han informado sobre una campaña maliciosa en la que se distribuye una nueva versión del troyano bancario Anubis ofuscado en una aplicación móvil de Android que simula ser de la compañía francesa de telecomunicaciones Orange. Actores maliciosos habrían fijado como objetivos a un total de 394 aplicaciones financieras como bancos, billeteras de criptomonedas y plataformas de pago virtual con el objetivo de exfiltrar las credenciales de estos servicios.

Anubis es un troyano bancario conocido desde el 2016 cuyo desarrollo no se ha detenido en ningún momento. Una vez instalado en el dispositivo de la víctima, su funcionamiento pasa por mostrar formularios de inicio de sesión fraudulentos de las aplicaciones que se fijan como objetivo para comprometer las credenciales del usuario, así como también cuenta con otras funciones como, grabación de pantalla y sonido, envío y lectura de SMS o escaneo del dispositivo en busca de archivos de interés para exfiltrar. Más detalle de la noticia en https://www.bleepingcomputer.com/.

0-day en Chrome aprovechada por actores maliciosos

Google ha lanzado la versión 96.0.4664.110 para Windows, Mac y Linux de su navegador Chrome. Dentro de esta actualización ha corregido una nueva vulnerabilidad 0-day que estaría siendo aprovechada por actores maliciosos y de la cual tendría constancia de la existencia de un exploit público. Codificado como CVE-2021-4102, corresponde a un fallo del tipo Use after free en el motor de JavaScript Chrome V8. Cabe destacar que actores maliciosos suelen aprovechar este tipo de errores para ejecutar código arbitrario en equipos que ejecutan versiones de Chrome sin parchear. Como viene siendo habitual, Google no ha compartido información adicional sobre incidentes relacionados con este asunto. Adicionalmente, la actualización también corrige otras vulnerabilidades entre las que se encuentra un fallo en la interfaz Mojo calificado como crítico (CVE-2021-4098). Más detalle de la noticia en https://chromereleases.googleblog.com/.

Los virus y el malware evolucionan continuamente y cada vez son más peligrosos. Para no correr riesgos innecesarios, te recomendamos que protejas tu empresa y evites ser víctima de un ciberataque.

Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.

¡Hasta pronto!