Noticias de ciberseguridad boletín nº354: malware, phishing y ransomware

Noticias de ciberseguridad boletín nº354: malware, phishing y ransomware

 

Seguridad.jpg

 

 

Noticias de ciberseguridad

 

A continuación, hemos seleccionado las noticias de seguridad a nivel mundial más relevantes.

 

Campaña de phishing utilizando archivos de OneNote

 

El equipo de investigadores de The Dfir Report han publicado los resultados de una investigación sobre una campaña maliciosa de phishing que utiliza archivos de Microsoft OneNote como vector de entrada. Los actores maliciosos tras estos hechos dirigieron su actividad contra empresas del sector industrial, tecnología, energía, retail y seguros. En cuanto al vector de entrada, el ataque consiste en la remisión de correos con un archivo adjunto de OneNote que al ejecutarlo aparece una pantalla con un botón abrir, el cual al ejecutarse comienza a descargarse una dll del software malicioso IcedID. Según los expertos, este tipo de campañas remarca como los atacantes explotan la confianza en las aplicaciones de uso común para eludir las medidas de seguridad tradicionales y comprometer a sus víctimas. Accede a la noticia completa en https://thedfirreport.com/2024/04/01/

 

 

UNAPIMON: malware utilizado para evadir soluciones de seguridad

 

El equipo de investigadores de Trend Micro ha publicado una investigación en la que señalan que una filial de APT41, denominada Earth Freybug, ha utilizado un nuevo malware llamado UNAPIMON en sus operaciones para evadir las soluciones de seguridad. UNAPIMON se trata de un malware escrito en C+ y está equipado para evitar que los procesos secundarios sean monitoreados aprovechando una biblioteca de código abierto de Microsoft llamada Detours para desconectar funciones API críticas, evadiendo así la detección en entornos sandbox que implementan el monitoreo de API a través de enlaces. En cuanto a su vector de entrada, Earth Freybug utiliza un ejecutable legítimo asociado con VMware Tools ("vmtoolsd.exe") para crear una tarea programada usando "schtasks.exe " e implementar un archivo llamado "cc.bat" en el equipo, si bien se desconoce cómo se inyectó el código malicioso en vmtoolsd.exe, se sospecha que puede haber implicado la explotación de servidores externos. Accede a la noticia completa en https://www.trendmicro.com/en_us/

 

 

Atomic stealer se distribuye a través de anuncios y webs maliciosas

 

Los investigadores de Jamf Threat Labs han publicado un nuevo análisis sobre el malware Atomic stealer, cuyos ataques están siendo principalmente dirigidos a usuarios de macOS. En concreto, se detallan dos tipos de ataques cuyo objetivo es la distribución de este infostealer. En el primero de ellos, los atacantes emplean anuncios maliciosos que dirigen al usuario a una página web que se hace pasar por Arc Web Browser y a la que solo se puede acceder por medio del link, con el objetivo de evitar ser detectada. Por otro lado, en el otro ataque los actores maliciosos también emplean otro sitio web, en este caso la plataforma Meethub, para distribuir Atomic stealer. Los investigadores destacan que este malware presenta la capacidad de sustraer credenciales de buscadores, datos de tarjetas de crédito y billeteras de criptomonedas, incluyendo Ledger y Trezor. Accede a la noticia completa en https://www.jamf.com/blog/

 

 

Vulnerabilidad en Magento aprovechada por actores maliciosos

 

El equipo de investigadores de Sansec ha publicado una investigación en la que señala que actores maliciosos han aprovechado una vulnerabilidad en Magento para implementar puertas traseras en sitios web de comercio electrónico. En concreto, el fallo de seguridad aprovechado sería el registrado como CVE-2024-20720, CVSSv3 de 9.1 según fabricante, el cual podría producir una ejecución de código arbitrario y destaca por no requerir la interacción del usuario para su explotación. Según los investigadores de Sansec, descubrieron una plantilla de diseño especialmente diseñada en la base de datos, que se utilizó para inyectar un skimmer con el fin de exfiltrar datos bancarios. Los expertos instan a los administradores de sitios web de comercio electrónico basados ​​en Magento a actualizar a las versiones 2.4.6-p4, 2.4.5-p6 o 2.4.4-p7 lo antes posible para evitar una posible afectación. Accede a la noticia completa en https://sansec.io/research/

 

 

Vulnerabilidad en routers de Cisco se queda sin actualización

 

Cisco ha emitido una advertencia sobre una vulnerabilidad de gravedad media en los routers de la serie RV para pequeñas empresas. El problema, identificado como CVE-2024-20362 CVSSv3 6.1 según fabricante, permite que un atacante remoto no autenticado realice un ataque de scripting (XSS) contra un usuario de la interfaz basada en web del router. Cisco ha declarado que estos dispositivos ya están al final de su vida útil y no lanzará actualizaciones de software para solucionar el problema. No hay soluciones conocidas para esta vulnerabilidad. Se recomienda desactivar la gestión remota en los routers RV320 y RV325 para mitigar el riesgo. En los routers RV016, RV042, RV042G y RV082, se recomienda deshabilitar la gestión remota y bloquear el acceso a los puertos 443 y 60443. Accede a la noticia completa en https://sec.cloudapps.cisco.com/security/

 

 

Descubierta vulnerabilidad en dispositivos NAS D-Link

 

El investigador de amenazas conocido como Netsecfish recientemente reveló la existencia de un fallo de seguridad en los dispositivos NAS D-Link, identificando un backdoor codificado y una inyección de comando arbitrario. La vulnerabilidad, identificada como CVE-2024-3273 y con una puntuación CVSSv3 de 7.3 según VulDB, permite a los atacantes ejecutar comandos remotamente mediante una solicitud HTTP GET en el script '/cgi-bin/nas_sharing.cgi', lo que permitiría acceder a información confidencial, alterar la configuración del sistema y realizar una denegación de servicio. Además, según indica Netsecfish, más de 92 000 dispositivos NAS D-Link en línea son vulnerables. Los dispositivos afectados incluyen los modelos DNS-340L, DNS-320L, DNS-327L y DNS-325. Accede a la noticia completa en https://github.com/netsecfish/

 

 

Los virus y el malware evolucionan continuamente y cada vez son más peligrosos. Para no correr riesgos innecesarios, te recomendamos que protejas tu empresa y evites ser víctima de un ciberataque.

 

Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.

 

¡Hasta pronto



Consulta las opciones disponibles para tu empresa: Fusión Digital, Fibra óptica, Movistar Prosegur Alarmas, y Soluciones digitales

Gestiona los productos y servicios contratados en el área privada de Mi Gestión Digital.

Mensaje 1 de 1
279 Visitas
0 RESPUESTAS 0