Noticias de ciberseguridad
A continuación, hemos seleccionado las noticias de seguridad a nivel mundial más relevantes.
Campaña de secuestro de cuentas de Microsoft Azure
Proofpoint ha publicado un análisis acerca de una nueva campaña en la que un grupo de ciberdelincuentes distribuye correos electrónicos de phishing a empleados para obtener acceso a sus cuentas de Microsoft Azure y Office 365. A través de esos correos, redirigen a las víctimas a un falso inicio de sesión de Microsoft. En cuanto a las actividades post-explotación, utilizan una cadena de agente de usuario específica para acceder a varias aplicaciones de Microsoft 365, como Exchange Online, My Signins, My Apps y My Profile, además de emplear proxies o servicios de alojamiento de datos para ocultar su infraestructura operativa. Cabe destacar que se dirigen especialmente contra empleados que tienen más privilegios dentro de sus organizaciones, como directores, gerentes y ejecutivos. Proofpoint recomienda varias medidas como monitorear el uso de la cadena de agente de usuario y los dominios de origen, restablecer las contraseñas vulneradas, usar herramientas de seguridad para detectar eventos o aplicar mitigaciones estándar contra el phishing. Accede a la noticia completa en https://www.proofpoint.com/us/
Detectada campaña de Anatsa que apunta a Europa
El troyano bancario Anatsa ha afectado a usuarios de Europa, infectando dispositivos Android a través de aplicaciones maliciosas en Google Play, en una nueva campaña observada desde noviembre de 2023. En los últimos cuatro meses, investigadores de ThreatFabric observaron cinco oleadas distintas de esta campaña en las que se distribuyó el malware en el Reino Unido, Alemania, España, Eslovaquia, Eslovenia y la República Checa, con al menos 150.000 infecciones. Anatsa, también conocido como TeaBot y Toddler, se distribuye a través de droppers que se hacen pasar por aplicaciones aparentemente inofensivas en Google Play Store, explotando con éxito el servicio de accesibilidad, y eludiendo la configuración restringida de Android 13. El troyano puede obtener control total sobre los dispositivos infectados y robar credenciales para realizar transacciones fraudulentas. Accede a la noticia completa en https://www.threatfabric.com/blogs/
Descubiertas dos vulnerabilidades de elusión de autenticación WiFi
Dos investigadores de KU Leuven en conjunto con la empresa TopVPN han descubierto dos vulnerabilidades de elusión de autenticación Wi-Fi que afectan a Wpa_supplicant y al software iNet Wireless Daemon (IWD) de Intel. La primera de ellas, CVE-2023-52160, permite a los atacantes interceptar el tráfico de la víctima sin requerir interacción de dicho usuario al hacerse pasar por una red Wi-Fi legítima. Este fallo puede explotarse en clientes Wi-Fi que no verifiquen correctamente el certificado del servidor de autenticación. Por otro lado, CVE-2023-52161 permitiría a un atacante acceder a redes WiFi domésticas o de pequeñas empresas, pudiendo interceptar datos sensibles, atacar a otros dispositivos conectados a la misma red y desplegar malware. Los investigadores han afirmado que las empresas afectadas ya han sido alertadas de los fallos con el objetivo de parchearlos, siendo Google la única, por el momento, en lanzar actualizaciones al respecto. Accede a la noticia completa en https://www.top10vpn.com/research/
Vulnerabilidad en Ivanti aprovechada para implementar puerta trasera DSLog
Recientemente, Ivanti emitió un aviso alertando sobre un fallo de seguridad registrado como CVE-2024-21893, CVSSv3 de 8.2, el cual permitía la falsificación de solicitudes del lado del servidor en el componente SAML y cuyo aprovechamiento podría desencadenar en eludir la autenticación y acceder a recursos restringidos en dispositivos vulnerables. Asimismo, cabe indicar que un nuevo informe del equipo de investigadores de Orange Cyberdefense señala que actores maliciosos estarían aprovechando dicha vulnerabilidad con el objetivo de implementar una puerta trasera, denominada DSLog, en el código del dispositivo afectado mediante la emisión de solicitudes de autenticación SAML que contenían comandos codificados. En concreto, la principal funcionalidad de esta puerta trasera es ejecutar comandos como root a través de solicitudes HTTP por parte de los atacantes. Accede a la noticia completa en https://www.orangecyberdefense.com/
El ransomwarre JKwerlo dirige sus ataques a usuarios españoles y franceses
Los investigadores de Cyble Research & Intelligence Labs (CRIL) han descubierto un nuevo ransomware escrito en Go al que han denominado JKwerlo y cuyos ataques van dirigidos a usuarios hispanohablantes y francófonos. El acceso inicial parece obtenerse mediante emails de phishing de carácter supuestamente legal con archivos HTML adjuntos y con archivos ZIP incorporados que, o bien despliegan directamente la carga útil del ransomware, como ocurre con los emails en español, o bien inician una serie de eventos que finalizan con el despliegue de este, caso observado en los emails en francés. En la campaña en francés, se observó el uso de scripts PowerShell para descargar y ejecutar otros archivos de Dropbox, ejecutando finalmente otro script de PowerShell que despliega JKwerlo. Asimismo, este ransomware usa PsExec y Rubeus para moverse lateralmente por la red, eliminando Resmon.exe y Tasmgr.exe en el proceso con el objetivo de no ser monitorizado. Accede a la noticia completa en https://cyble.com/blog/new-go-based
Detectado aumento exponencial en táctica de malware denominada "hunter-killer"
Picus Security ha publicado su informe Picus Red 2024, basado en un análisis exhaustivo de más de 600.000 muestras de malware observadas. El informe destaca el crecimiento preocupante de una táctica llamada "hunter-killer", que evita la detección y desactiva las defensas. Según se indica, las técnicas más comunes empleadas bajo la mencionada táctica incluyen la inyección de procesos, el uso de intérpretes de comandos y secuencias de comandos, el deterioro de defensas y el descubrimiento de información del sistema. Lo que implica que existe un mayor uso de la evasión y el deterioro de las defensas antes de soltar la carga útil de malware. El informe sugiere, además, que las tensiones geopolíticas actuales podrían estar impulsando este nivel de sofisticación, con la participación de grupos APT de conocida trayectoria. Picus insta a las organizaciones a adoptar el aprendizaje automático y validar constantemente sus defensas para enfrentar estas nuevas amenazas. Accede a la noticia completa en https://www.picussecurity.com/resource/
Campaña del malware Glupteba
Los investigadores de Unit42 de Palo Alto Networks han publicado un informe detallando una nueva campaña del malware Glupteba que tuvo lugar en noviembre de 2023. Glupteba, que fue detectado por primera vez hace más de una década como backdoor para posteriormente transformarse en una botnet, se caracteriza por estar en continua evolución debido a su estructura modular. Durante la última campaña, se observó una nueva función de este malware, en concreto un Unified Extensible Firmware Interface (UEFI) bootkit que permite a un atacante controlar el proceso de boot, dificultando la detección de Glupteba. La última campaña analizada por los investigadores presenta varias fases, comenzando el ataque con la descarga de un archivo ZIP malicioso que, al abrirlo, inicia una cadena de infección que descarga e instala múltiples malwares además de Glupteba, entre ellos PrivateLoader, RedLine y XMRig Miner. Accede a la noticia completa en https://unit42.paloaltonetworks.com/
Los virus y el malware evolucionan continuamente y cada vez son más peligrosos. Para no correr riesgos innecesarios, te recomendamos que protejas tu empresa y evites ser víctima de un ciberataque.
Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.
¡Hasta pronto!
