Noticias de ciberseguridad boletín nº361: malware, phishing y ransomware

Noticias de ciberseguridad boletín nº361: malware, phishing y ransomware

 

Seguridad.jpg

 

 

Noticias de ciberseguridad

 

A continuación, hemos seleccionado las noticias de seguridad a nivel mundial más relevantes.

 

Malware para cajeros automáticos

 

Los expertos han alertado sobre la aparición de una nueva familia de malware para cajeros automáticos en Europa. Este software malicioso tiene la capacidad de comprometer casi cualquier cajero automático en Europa y aproximadamente el 60% de los cajeros automáticos a nivel mundial, con una tasa de éxito sin precedentes del 99%. Según el anuncio, el malware puede atacar máquinas fabricadas por varios proveedores líderes, incluidos Diebold Nixdorf, Hyosung, Oki, Bank of America, NCR, GRG y Hitachi. Los desarrolladores de este malware afirman que puede generar hasta 30.000$ por cajero automático. Accede a la noticia completa en https://securityaffairs.com/163732/

 

 

 

Campaña de explotación activa de vulnerabilidades en plugins de WordPress

 

Recientemente se ha observado una campaña que está explotando vulnerabilidades en tres plugins de WordPress para inyectar scripts maliciosos y backdoors en sitios web, según un informe publicado por Fastly. Concretamente, estas fallas de alta gravedad admiten ataques XSS (cross-site scripting) sin autenticación, permitiendo a los atacantes crear cuentas de administrador, insertar backdoors PHP y configurar scripts de seguimiento. El primer fallo, CVE-2024-2194 CVSSv3 7.2 según Wordfence, afecta al plugin WP Statistics, con más de 600 000 instalaciones activas, y permite la inyección de scripts a través del parámetro de búsqueda URL. El segundo fallo, CVE-2023-6961 CVSSv3 7.2 según Wordfence, impacta al plugin WP Meta SEO, con más de 20 000 instalaciones activas, y permite la inyección de cargas útiles en páginas de error 404, robando credenciales si un administrador autenticado visita la página. El tercer fallo, CVE-2023-40000 CVSSv3 8.3 segúnPatchstack, afecta al plugin LiteSpeed Cache, con más de 5 millones de instalaciones activas, y permite ejecutar scripts maliciosos disfrazados como notificaciones de administrador. Accede a la noticia completa en https://www.fastly.com/blog/

 

 

Versión de software espía LightSpy dirigida contra macOS

 

ThreatFabric ha realizado una publicado en la que señalan el descubrimiento de una versión del software malicioso LightSpy dirigido contra sistemas operativos macOS. En concreto, LightSpy tradicionalmente se utiliza en iOS y Android contra objetivos en la región de Asia y el Pacífico para robar una amplia variedad de datos como archivos, capturas de pantalla, datos de ubicación, grabaciones de voz e información de pago de WeChat Pay, y exfiltración de datos de Telegram y QQ Messenger. Sin embargo, según los investigadores se ha descubierto que un implante de macOS activo desde al menos enero de 2024, para ello actores de amenazas utilizan las fallas de WebKit CVE-2018-4233, CVSSv3 de 8.8 y CVE-2018-4404, CVSSv3 de 7.8, para activar la ejecución de código dentro de Safari. Cabe destacar que los activos que podrían verse afectados por esta amenaza serían macOS 10.13.3 y versiones anteriores. Accede a la noticia completa en https://www.threatfabric.com/blogs/

 

 

Malware de criptominería RedTail explota redes de Palo Alto

 

Los actores maliciosos detrás del malware de criptominería RedTail, reportado por primera vez a principios de 2024, han añadido la reciente vulnerabilidad CVE-2024-3400, CVSSv3 10.0 según proveedor, de Palo Alto PAN-OS a su arsenal. Estos atacantes han dado un paso más al utilizar pools de criptominería privados, lo que les permite tener mayor control sobre los resultados de la minería. La nueva variante de RedTail ahora incorpora técnicas para evitar la investigación. El malware se propaga utilizando al menos seis exploits web diferentes, que atacan dispositivos del Internet de las cosas (IoT), aplicaciones web (incluido el sistema de gestión de contenido chino ThinkPHP), VPNs SSL y dispositivos de seguridad como Ivanti Connect Secure y Palo Alto GlobalProtect. La infraestructura de distribución del malware se basa en múltiples servidores no relacionados, alojados por diversas compañías de hosting legítimas. Accede a la noticia en https://www.akamai.com/blog/

 

 

 

Nueva campaña de ataques explotando servicios legítimos en la nube

 

Los cibercriminales están explotando servicios en la nube como Amazon S3, Google Cloud Storage, Backblaze B2 e IBM Cloud Object Storage para llevar a cabo ataques cuyo vector de acceso inicial sería un SMS. De acuerdo con los investigadores de Enea, los actores maliciosos buscarían que dicho SMS no fueran detectados por cortafuegos, llegando a los usuarios con el objetivo de convencerles de que los enlaces del mensaje son fiables. Esto último lo llevan a cabo mediante el uso de estas plataformas de almacenamiento en la nube que alojan sitios web estáticos con URL de spam incrustadas a las que son redirigidos los usuarios. Asimismo, los investigadores destacan el uso de la técnica HTML meta refresh, que implica la actualización o la redirección automática a una web después de un cierto periodo de tiempo, con fines maliciosos, concretamente para redirigir a los usuarios a páginas fraudulentas de premios o sorteos. Accede a la noticia completa https://www.enea.com/insights/exploiting-the-cloud

 

 

Check Point avisa de ataques a cuentas de VPN sin MFA

 

En un advisory de seguridad publicado por Check Point, la empresa ha alertado de que actores de amenazas estarían dirigiendo sus ataques a dispositivos Check Point Remote Access VPN para acceder a entornos corporativos. En concreto, la empresa afirma que los atacantes se dirigen a gateways de seguridad empleando cuentas locales antiguas que no emplean autenticación multifactor (MFA). Debido a esto, Check Point ha recomendado a sus clientes que cambien el método de autenticación de estas cuentas en los productos Quantum Security Gateway, CloudGuard Network Security, Mobile Access y Remote Access VPN software. Accede a la noticia completa

https://blog.checkpoint.com/security

 

 

Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.

 

¡Hasta pronto



Consulta las opciones disponibles para tu empresa: Fusión Digital, Fibra óptica, Movistar Prosegur Alarmas, y Soluciones digitales

Gestiona los productos y servicios contratados en el área privada de Mi Gestión Digital.

Etiquetas (4)
Mensaje 1 de 1
525 Visitas
0 RESPUESTAS 0