Noticias de seguridad a nivel mundial destacadas
Malware, phishing, ransomware y smishing
Nueva campaña de ingeniería social asociada a Lazarus
GitHub ha identificado una sofisticada campaña de ingeniería social dirigida a empleados de empresas tecnológicas, que emplea una combinación de invitación a repositorios y npm package dependencies maliciosas. Aunque la mayoría de los objetivos pertenecían a los sectores de blockchain, criptomonedas y apuestas, algunos estaban asociados con el sector de ciberseguridad. Esta campaña ha sido asociada con el grupo de hacking norcoreano Lazarus, también conocido como Jade Sleet y TradeTraitor. El atacante se hace pasar por un desarrollador o reclutador empleando cuentas falsas, estableciendo contacto con la víctima e incitándola a clonar y ejecutar los contenidos de ciertos repositorios de GitHub, de tal manera que los npm packages maliciosos descargan y ejecutan un segundo malware en el sistema de la víctima. Accede a la noticia completa en https://github.blog/2023-07-18-security
P2PInfect: gusano dirigido contra instancias de redis
La Unidad 42 de Palo Alto ha publicado un informe en el que señalan que han identificado un nuevo gusano p2p que se dirige contra instancias de redis. En concreto, los investigadores señalan que fue el pasado 11 de julio el momento que descubrieron este nuevo software malicioso al que han denominado P2PInfect y que se caracteriza por estar escrito en rust lo que facilita a la hora de explotar los servidores Redis que se ejecutan tanto los sistemas operativos Linux y Windows. En cuanto a su metodología de infección, P2PInfect explota la vulnerabilidad CVE-2022-0543, CVSSv3 de 10, que afecta a Lua sandbox. En último lugar, cabe señalar que desde Palo Alto han identificado más de 307.000 sistemas Redis expuestos durante las últimas dos semanas, de los cuales 934 pueden ser vulnerables a P2PInfect. Accede a la noticia completa en https://unit42.paloaltonetworks.com/peer-to-peer
WyrmSpy y DragonEgg: nuevos spyware de APT41 que apuntan a dispositivos móviles
El grupo de amenazas APT41, también conocido como Axiom o Blackfly, ha sido vinculado a dos nuevos tipos de software espía de Android llamados WyrmSpy y DragonEgg. Según una investigación realizada por Lookout, APT41 recientemente utilizó la herramienta de código abierto Google Command and Control (GC2) para ataques dirigidos a medios y plataformas de trabajo en Taiwán e Italia. WyrmSpy se disfraza de aplicaciones como Baidu Waimai, Adobe Flash, y otras de contenido para adultos; además puede deshabilitar la función de seguridad SELinux en Android y obtener privilegios elevados usando herramientas como KingRoot11. Por otro lado, DragonEgg se distribuye como aplicaciones de teclados Android de terceros y aplicaciones de mensajería como Telegram y se comunica con el servidor C2 para obtener un tercer módulo desconocido. Una vez instalados, ambos tipos de malware descargan módulos de un servidor C2, evitando la detección y facilitando la recopilación de datos mediante la obtención de permisos intrusivos que son capaces de recopilar y exfiltrar datos, como fotos, ubicaciones, mensajes SMS y grabaciones de audio de los usuarios. Más información en https://www.lookout.com/threat-intelligence/article/wyrmspy-dragonegg
Campaña de ataques masivos a WooCommerce
La vulnerabilidad denominada CVE-2023-28121, que afecta al plugin de pagos de WooCommerce, está siendo explotada activamente. Aunque ya fue identificada en marzo de 2023 y parcheada posteriormente en las versiones 4.8.0 y superiores, no habiéndose observado una explotación activa en ese momento, según Wordfence el 14 de julio empezó una campaña de ataques masivos. La explotación de esta vulnerabilidad permite a los atacantes hacerse pasar por un administrador de forma remota y tomar el control de un WordPress site, pudiendo instalar un file uploader en el servidor que sirve como backdoor incluso cuando la vulnerabilidad ha sido solucionada. Accede a la noticia completa en https://www.wordfence.com/blog/2023/07/
JumpCloud víctima de un ciberataque
La compañía dedicada a software empresarial JumpCloud señala que ha sido objeto de un ciberataque complejo por parte de una APT estatal. La compañía señala que los hechos tuvieron lugar a finales del pasado mes de junio, concretamente, la entidad identificó el día 27 de dicho mes que una semana antes actores maliciosos atacaron los sistemas de JumpCloud mediante un ataque de phishing. Sin embargo, no fue hasta el pasado 5 de julio cuando descubrieron actividad inusual en la actividad de un pequeño grupo de clientes de la compañía. Bob Phan, CISO de JumpCloud indicó que tras el análisis realizado descubrieron que se produjo una inyección de datos con capacidades de alta sofisticación en sus sistemas de comandos, y que el ataque estaba especialmente dirigido y limitado a clientes específicos. En último lugar, cabe señalar que JumpCloud aún no ha proporcionado información sobre la cantidad de clientes afectados por el ataque y no ha hecho ninguna atribución específica del grupo APT detrás de estos hechos. Accede a la noticia completa en https://jumpcloud.com/blog/security-update-incident-details
Análisis del ransomware Kanti
El equipo de Cyble Research and Intelligence Labs, detectó recientemente una nueva familia de ransomware a la que ha denominado Kanti. La identificación tuvo lugar tras detectar un archivo comprimido llamado BTC Wallet.zip, dentro del que se encuentra un .LNK y otro ZIP. Según los investigadores, el archivo ZIP podría haberse distribuido a través de correos electrónicos o phishing y el nombre indica que estaría relacionado con el ámbito de las criptomonedas. Tras la ejecución del archivo LNK, se ejecuta Locked_253_BTC.zip, el cual contiene el ransomware Kanti, escrito en NIM. Kanti escanea el sistema y utiliza funciones API para detectar los archivos y directorios que van a ser cifrados, excluyendo aquellos necesarios para el buen funcionamiento del sistema. Todos los ficheros cifrados pasan a renombrarse con la extensión .kanti y además, los atacantes incluyen una nota de rescate en la que aparece un email para ponerse en contacto con ellos y negociar el pago. Desde Cyble destacan el notable aumento de los ataques relacionados con criptomonedas, y la utilización del lenguaje NIM, que no dispone de mecanismos de seguridad suficientes al ser relativamente nuevo. Accede a la noticia completa en https://blog.cyble.com/2023/07/20/
Campaña que utiliza software descifrado para propagar HotRat
Actores de amenazas están utilizando HotRat, un malware entregado oculto en software descifrado cuya carga útil final deriva de la implementación de código abierto de AsyncRAT. Según una investigación realizada por Avast, se basan en software ilegal y torrents para propagarlo. HotRat roba credenciales, criptomonedas y registra la actividad del teclado. Utilizan un script AutoHotKey para activarlo en sistemas afectados. El proceso de entrega e instalación consta de varias etapas que involucra la modificación de cracks de software, creando un falso software de destino. Seguidamente, deshabilitan el administrador de consentimiento con un script de PowerShell llamado "powerpoint.xml" lo que permite que las operaciones que requieren aprobación se realicen sin consentimiento o credenciales; y eliminan alertas de Avira AV y Windows Defender. Para mantener la persistencia, se ejecuta un VBS Loader cada dos minutos, que crea una tarea programada para inyectar gradualmente el malware HotRat después de desactivar los antivirus. Accede a la noticia completa en https://decoded.avast.io/
Los virus y el malware evolucionan continuamente y cada vez son más peligrosos. Para no correr riesgos innecesarios, te recomendamos que protejas tu empresa y evites ser víctima de un ciberataque.
Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.
¡Hasta pronto!
