Noticias de ciberseguridad boletín nº331: malware, phishing y ransomware

Noticias de ciberseguridad boletín nº331: malware, phishing y ransomware

Ciberseguridad.png

 

Noticias de seguridad a nivel mundial destacadas

 

 

Millones de servidores de correo Exim expuestos a ataques RCE por 0-day

 

Un investigador de seguridad anónimo a través de la Trend Micro´s Zero Day Initiative (ZDI) ha descubierto una vulnerabilidad 0-day, ya clasificada como CVE-2023-42115, que permite a atacantes no autentificados obtener ejecución remota de código (RCE) en servidores expuestos en todas las versiones del software de agente de transferencia de correo (MTA) Exim. La vulnerabilidad se debe a un punto débil out-of-bounds detectado en el servicio SMTP y si bien este tipo de vulnerabilidad puede provocar la caída del software o la corrupción de datos tras su explotación con éxito, también puede ser aprovechado por los atacantes para la ejecución de código o comandos en servidores vulnerables. Actualmente hay más de 3,5 millones de servidores Exim expuestos en línea, la mayoría de ellos en Estados Unidos, seguidos de Rusia y Alemania. Accede a la noticia completa en https://www.zerodayinitiative.com/

 

 

Detectada campaña fraudulenta que se hace pasar por la agencia tributaria

 

Ha sido detectada una campaña de smishing que está suplantando a la Agencia Tributaria.

Este método de ingeniería social consiste en que la víctima recibe un SMS con un enlace adjunto, al pulsar en el enlace, automáticamente redirige a una web maliciosa que suplanta a la Agencia Tributaria y solicita al usuario datos personales de una nómina y del DNI.

Hasta ahora los SMS identificados incluyen errores ortográficos y estos alertan al remitente de una sanción de 1059.75 EUR, debido a una incidencia grave. Para poder evitarla es necesario adjuntar una determinada documentación a través del enlace. Accede a la noticia completa en Incibe https://www.incibe.es/

 

 

Nueva campaña de distribución del malware Xenomorph

 

El equipo de investigadores de ThreatFabric ha publicado una investigación en la que señalan que se ha identificado una nueva campaña de distribución del malware Xenomorph dirigida contra usuarios de Android. Según los expertos, esta nueva campaña se habría dirigido principalmente contra entidades bancarias y billeteras de criptográficas de EE.UU., aunque también con afectación en otros países como España, Italia, Portugal, Bélgica y Canadá. En concreto, esta nueva operación habría sido desarrollada el pasado mes de agosto para distribuir la nueva versión de Xenomorph, cuyos operadores han optado por utilizar páginas maliciosas engañando a las víctimas que deben actualizar su navegador Chrome para descargar una APK maliciosa. En cuanto a la nueva variante de Xenomorph, esta se caracteriza por ser muy similar a anteriores versiones, aunque han ampliado su alcance para incluir instituciones financieras de Estados Unidos y múltiples aplicaciones de criptomonedas, así como otras capacidades como actuar como otra aplicación o impedir que el dispositivo apague su pantalla, entre otras. Accede a la noticia completa en https://www.threatfabric.com/blogs/xenomorph

 

 

PoC para dos vulnerabilidades en Microsoft SharePoint

 

Investigadores de StarLabs han descubierto dos vulnerabilidades críticas en Microsoft SharePoint Server. Una de ellas, identificada como CVE-2023-29357 y CVSS 9.8, se trata de un fallo que permite la escalada de privilegios en SharePoint Server 2019. Su explotación permite a un atacante no autenticado, utilizar un token web JSON falso para eludir las comprobaciones de autenticación y obtener privilegios de administrador. Por otro lado, la vulnerabilidad identificada como CVE-2023-24955 y CVSS 7.2, se trata de un fallo de ejecución remota de código en SharePoint Server 2019, 2016 y Subscription Edition. Ambos fallos quedaron corregidos en los Patch Tuesday de junio y de mayo, si bien Microsoft advirtió de su posible explotación. El equipo de StarLabs publicó una cadena de exploits que han desarrollado y les permite explotar la vulnerabilidad CVE-2023-24955, falsificando un token JWT haciéndose pasar por un usuario con privilegios de administrador para lograr la ejecución remota de código. Accede a la noticia completa en https://starlabs.sg/blog/2023/09-sharepoint

 

 

Dos vulnerabilidades en Simple Membership Plugin exponen sitios WordPress

 

Investigadores de seguridad de Patchstack han identificado dos nuevas vulnerabilidades en el plugin para WordPress Simple Membership, que afectan a las versiones 4.3.4 e inferiores. Las vulnerabilidades han sido clasificadas como CVE-2023-41957, que puede provocar una escalada de privilegios en el rol de miembro no autenticado y CVE-2023-41956, que permite tomar el control de la cuenta autenticada. Con la primera vulnerabilidad, los usuarios no autenticados podían registrar cuentas con niveles de afiliación arbitrarios, mientras que la segunda permitía a los usuarios autenticados hacerse con el control de cualquier cuenta de miembro mediante un proceso inseguro de restablecimiento de contraseña. Según el aviso de Patchstack, el proveedor del plugin respondió rápidamente después de que se informara de la vulnerabilidad el 29 de agosto, publicando la versión 4.3.5 al día siguiente, que implementaba comprobaciones para validar los parámetros controlados por el usuario en los procesos personalizados de registro y restablecimiento de contraseña. Accede a la noticia completa en https://patchstack.com/articles/

 

 

Detectada campaña de troyano bancario contra usuarios

 

Investigadores de Kaspersky informaron acerca de una nueva campaña del troyano bancario Zanubis, que afecta a dispositivos Android, haciéndose pasar por una aplicación gubernamental peruana para engañar a los usuarios. Según se indica, este troyano fue observado por primera vez en agosto de 2022 y su principal método de infección es disfrazarse de aplicaciones legítimas para luego obtener permisos de accesibilidad y tomar el control del dispositivo infectado. Además, Zanubis ha estado dirigido principalmente a

Latinoamérica y apunta a más de 40 bancos y entidades financieras. El malware, utiliza permisos de accesibilidad para mostrar pantallas falsas sobre aplicaciones específicas y robar credenciales, también recopila datos de contactos, aplicaciones y metadatos. Accede a la noticia completa en https://securelist.com/crimeware

 

 

Los virus y el malware evolucionan continuamente y cada vez son más peligrosos. Para no correr riesgos innecesarios, te recomendamos que protejas tu empresa y evites ser víctima de un ciberataque.

 

Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.

 

¡Hasta pronto

 



Consulta las opciones disponibles para tu empresa: Fusión Digital, Fibra óptica, Movistar Prosegur Alarmas, y Soluciones digitales

Gestiona los productos y servicios contratados en el área privada de Mi Gestión Digital.

Etiquetas (3)
Mensaje 1 de 1
609 Visitas
0 RESPUESTAS 0