A continuación, hemos seleccionado las últimas noticias de seguridad a nivel mundial

Campaña de malware con nuevas técnicas de ocultación

Investigadores de Kaspersky han descubierto una sofisticada campaña de distribución de malware que estaría utilizando una novedosa técnica de ocultación con el fin de implementar malware sin archivos (fileless) en las máquinas objetivo. La actividad detectada por Kaspersky estaría activa desde el pasado mes de febrero. Concretamente, los atacantes estarían inyectando shellcode directamente en los registros de eventos de Windows, para utilizarlos como “tapadera” de los troyanos de acceso remoto (RAT) presentes en las últimas fases de la cadena de infección. Para ello, previamente el actor malicioso debe ser capaz de dirigir a las víctimas a un sitio web legítimo e incitarlas a descargar un archivo .RAR que contiene herramientas como Cobalt Strike que, posteriormente, permitirá inyectar código en cualquier proceso. Más información en https://securelist.com/

Alerta de estafas en la plataforma de empleo LinkedIn

El investigador de seguridad André Lameiras ha realizado una publicación en la que alerta sobre las campañas maliciosas más comunes que se han popularizado durante los últimos meses en la plataforma de empleo LinkedIn. El autor menciona diferentes tipos de estafa, destacando: notificaciones falsas de empleo, distribuidas mediante correos con enlaces que redirigen a una página fraudulenta de phishing que simula ser la plataforma LinkedIn en donde solicitan y sustraen credenciales de usuario; ofertas de trabajo fraudulentas, publicadas por perfiles no oficiales que solicitan una tarifa por adelantado en calidad de formación, y/o información complementaria de naturaleza privada, a cambio de un supuesto empleo. Más información en https://www.welivesecurity.com/

Millones de dispositivos IoT afectados por un error grave en el sistema DNS

El equipo de Nozomi Networks Labs ha descubierto una vulnerabilidad no parcheada que afecta directamente al sistema de nombres de dominio (DNS) de múltiples enrutadores y dispositivos IoT, implementados en varios sectores de la infraestructura crítica. Concretamente, el fallo detectado se ubica en dos librerías C (uClibc y uClibc-ng) de uso muy común en productos IoT, empleadas por distribuciones de Linux como Embedded Gento, y ampliamente utilizadas por los principales proveedores como Netgear, Axis y Linksys. Según la investigación, un actor amenaza podría usar el envenenamiento de DNS o la suplantación de DNS para redirigir el tráfico de red a un servidor bajo su control directo y, por lo tanto, robar o manipular la información transmitida por los usuarios y realizar otros ataques contra los dispositivos para comprometerlos por completo. Accede a la noticia completa en https://go.recordedfuture.com/

Credenciales comprometidas tras el incidente de Heroku

La plataforma en la nube Heroku ha admitido que el incidente ocurrido en el mes de abril, momento en que se comprometieron tokens OAuth de integración de GitHub, ha desencadenado finalmente en un compromiso de una base de datos interna de clientes. El incidente original se produjo cuando actores maliciosos exfiltraron tokens OAuth emitidos a Heroku y Travis-CI, utilizados para descargar datos de repositorios privados de GitHub pertenecientes a diversas organizaciones, incluida npm. A través de un nuevo comunicado, la compañía ha admitido que los actores maliciosos responsables del incidente utilizaron el token comprometido para extraer las credenciales en forma de hash de una base de datos de clientes y filtrar las contraseñas codificadas. Heroku ha remitido a sus usuarios un correo electrónico informando de que las contraseñas de sus cuentas necesitaban ser restablecidas, sin mencionar detalles del motivo. Accede a la noticia completa en https://status.heroku.com/incidents/2413

Raspberry Robin: nuevo gusano distribuido mediante dispositivos USB

Investigadores de Red Canary Intelligence han informado acerca de un nuevo grupo malicioso activo desde septiembre de 2021 que utiliza un malware de tipo gusano (worm), cuyo vector de entrada son dispositivos USB de almacenamiento externo. . El malware, catalogado por los investigadores como Raspberry Robin, se propaga a través de dispositivos USB infectados y se hace pasar por procesos legítimos de Windows. Se ejecuta por primera vez a través de la consola de comandos (CMD) para, posteriormente, contactar con su servidor Command & Control (C2) a través del instalador de Windows, con el fin de descargar y ejecutar un archivo DLL malicioso, presumiblemente para establecer persistencia en el equipo. Además, Raspberry Robin usa una gran cantidad de procesos de Windows para ejecutar sus comandos e incluso los ejecuta como administrador una vez ha conseguido elevar sus privilegios. Accede a la noticia completa en https://redcanary.com/blog/raspberry

Los virus y el malware evolucionan continuamente y cada vez son más peligrosos. Para no correr riesgos innecesarios, te recomendamos que protejas tu empresa y evites ser víctima de un ciberataque.

Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.

¡Hasta pronto!