Noticias de ciberseguridad boletín nº362: malware, phishing y ransomware

Noticias de ciberseguridad boletín nº362: malware, phishing y ransomware

 

Seguridad.jpg

 

 

Noticias de ciberseguridad

 

A continuación, hemos seleccionado las noticias de seguridad a nivel mundial más relevantes.

 

GoldPickaxe malware roba datos de reconocimiento facial y cuentas bancarias

 

Investigadores de Group-IB han identificado un malware denominado GoldPickaxe que afecta a dispositivos iOS, diseñado para robar datos de reconocimiento facial y credenciales bancarias. En concreto, este troyano para iOS ha sido desarrollado a partir del troyano para Android GoldDigger. GoldPickaxe se aprovecha de la vulnerabilidad Checkm8, un defecto de hardware que no puede ser parcheado mediante actualizaciones de software, permitiendo a los atacantes evadir las medidas de seguridad de iOS. Los dispositivos más antiguos son particularmente susceptibles y, una vez comprometido un dispositivo, otros dispositivos vinculados a la misma ID de Apple también corren peligro. Accede a la noticia completa en

https://www.group-ib.com/blog/goldpickaxe-ios-trojan/

 

 

TikTok advierte sobre una vulnerabilidad dirigida a cuentas de celebridades y marcas

 

Fuentes dentro de TikTok creen que actores no identificados están difundiendo una cepa de malware a través de la función de mensajes directos de la plataforma. Este malware ya ha comprometido las cuentas oficiales de celebridades y marcas, incluida la cuenta oficial de CNN. La transmisión del malware ocurre mediante mensajes directos dentro de la aplicación TikTok y no requiere que los usuarios realicen ninguna acción más allá de abrir un mensaje. Las cuentas comprometidas no parecen estar publicando contenido, y no está claro cuántas han sido afectadas. Según un portavoz de TikTok, los atacantes han comprometido solo un número muy pequeño de cuentas. Accede a la noticia completa en vulnerabilidad explotada hasta que se solucione el fallo subyacente. https://www.forbes.com/sites/

 

 

Microsoft alerta sobre ataques a dispositivos OT

 

Microsoft ha publicado un aviso sobre la importancia de la seguridad de dispositivos de tecnología operativa (OT) expuestos a internet, aviso motivado por la detección de una oleada de ciberataques dirigidos a este tipo de entornos desde finales de 2023. En concreto, Microsoft afirma que un ataque a dispositivos OT podría permitir a actores maliciosos manipular parámetros críticos utilizados en procesos industriales, provocando fallos de funcionamiento a través del controlador lógico programable (PLC) o utilizando los controles gráficos de la interfaz hombre-máquina (HMI). Asimismo, los sistemas OT son propicios a ser explotados por los atacantes debido a que tienden a carecer de los mecanismos de seguridad adecuados, lo cual también es agravado debido a los riesgos adicionales asociados a la conexión directa con internet. Accede a la noticia completa en https://www.microsoft.com/en-us/security/blog/

 

 

La Función Recall de Microsoft podría permitir la exfiltración de datos

 

Investigadores de seguridad han demostrado cómo los actores de amenaza podrían robar datos recopilados por la función Recall de Microsoft. Recall, activada por defecto en nuevos PC Copilot+, permite a los usuarios de Windows encontrar fácilmente información vista anteriormente en su PC mediante capturas de pantalla periódicas. Microsoft intentó restar importancia asegurando que los datos se procesan localmente y se necesita acceso físico y credenciales válidas para obtenerlos, pero los investigadores han refutado esta afirmación. Concretamente, Marc-André Moreau mostró cómo una contraseña puede recuperarse fácilmente de una base de datos SQLite sin cifrar. Alexander Hagenah creó TotalRecall, una herramienta de código abierto que extrae datos de Recall. Asimismo, Kevin Beaumont advirtió que los infostealers pueden modificarse para robar datos de Recall, demostrando que un malware comercial puede exfiltrar información antes de ser detectado por Microsoft Defender. Accede a la noticia completa en https://doublepulsar.com/

 

 

DarkGate cambia sus tácticas de infección

 

Cisco Talos está monitoreando activamente un reciente aumento en la actividad de campañas de correo electrónico maliciosas que contienen un adjunto sospechoso de Microsoft Excel que, al ser abierto, infecta el sistema de la víctima con el malware DarkGate. Estas campañas emplean una técnica denominada "Inyección de Plantilla Remota" para evadir los controles de seguridad del correo electrónico y engañar al usuario, logrando que descargue y ejecute código malicioso al abrir el documento de Excel. La carga final de DarkGate está diseñada para ejecutarse en la memoria, sin ser escrita en el disco, operando directamente desde el proceso AutoHotKey.exe. DarkGate ha utilizado scripts de AutoIT como parte del proceso de infección durante mucho tiempo. Sin embargo, en estas campañas se ha utilizado scripting de AutoHotKey en lugar de AutoIT. Accede a la noticia en https://blog.talosintelligence.com/

 

 

Gitloker: campaña de ataques contra cuentas de GitHub

 

El investigador de seguridad Germán Fernández ha realizado una publicación en la que informa sobre la identificación de una campaña maliciosa que apunta contra repositorios de GitHub. En concreto, el experto señala que identificó dichas acciones el pasado miércoles y ha denominado esta campaña como GitLoker debido a que el actor amenaza tras estos hechos se identifica así en Telegram. En cuanto a la metodología de acción, esta consiste en que el actor malicioso compromete el repositorio utilizando cuentas robadas, posteriormente crea copias de seguridad de su contenido para finalizar con la eliminación del mismo. Una vez realizado estas acciones cambia el nombre del repositorio y deja un archivo para que las víctimas se comuniquen con GitLocker para tratar de encontrar una solución a modo de extorsión. Accede a la noticia completa en https://x.com/1ZRR4H/status/1798412587484496068

 

 

Commando Cat: campaña contra Docker para desplegar criptomineros

 

Los investigadores de Trend Micro han publicado el análisis de una campaña a la que han denominado Commando Cat y que explota fallos de configuración de Docker. Los atacantes, que no han sido identificados a fecha de publicación de la investigación, estarían aprovechándose de dichos fallos para obtener acceso a contenedores, empleando imágenes de Docker para desplegar mineros. En concreto, los actores maliciosos habrían identificado inicialmente servidores remotos API de Docker expuestos. Tras esto, los atacantes habrían obtenido acceso inicial mediante el despliegue de la imagen cmd.cat/chattr empleando la herramienta Commando, para posteriormente salir del contenedor de Docker empleando técnicas como chroot y volume binding con el objetivo de conseguir acceso al sistema anfitrión.  Finalmente, se establece comunicación con su C2 y se despliega el malware de cryptojacking. Accede a la noticia completa en https://www.trendmicro.com/en_us/research

 

 

Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.

 

¡Hasta pronto



Consulta las opciones disponibles para tu empresa: Fusión Digital, Fibra óptica, Movistar Prosegur Alarmas, y Soluciones digitales

Gestiona los productos y servicios contratados en el área privada de Mi Gestión Digital.

Etiquetas (3)
Mensaje 1 de 1
258 Visitas
0 RESPUESTAS 0