Noticias de ciberseguridad
A continuación, hemos seleccionado las noticias de seguridad a nivel mundial más relevantes.
Warmcookie distribuida a través de ofertas de trabajo falsas
Elastic Security Labs ha detectado una ola de campañas de correo electrónico que utilizan una nueva backdoor denominada Warmcookie. Este malware se distribuye a través de correos de phishing con ofertas de trabajo falsas, con el objetivo de infiltrarse en redes corporativas. Warmcookie es un malware con múltiples capacidades, diseñado para infiltrarse, persistir y recopilar inteligencia de los sistemas de las víctimas. Entre sus funciones se incluyen un amplio reconocimiento de las máquinas, captura de pantallas y despliegue de cargas útiles adicionales. Las campañas de phishing emplean ofertas de trabajo y reclutamiento falsas enviadas por correo electrónico con asuntos llamativos. Estos correos están dirigidos a individuos específicos, con un toque de personalización que incluye sus nombres. Accede a la noticia completa en https://www.elastic.co/security-labs
Campaña de Arid Viper distribuyendo el malware AridSpy
El equipo de investigadores de ESET ha realizado una publicación en la que explican la identificación de una campaña atribuida al actor de amenaza Arid Viper que consiste en la distribución de un software espía en dispositivos Android. Dicho actor, al que también se le conoce como APT-C-23, Desert Falcon, Gray Karkadann, Mantis y/o Two-tailed Scorpion estaría afiliado a Hamas, por lo que sus objetivos apuntan a personal militar en Oriente Medio, periodistas y disidentes. En cuanto a lo que respecta de esta campaña, este actor estaría distribuyendo el malware a través de sitios web que suplantan ser aplicaciones de mensajería, una aplicación de empleo y otra de Registro Civil Palestino, que son funcionales pero que en realidad están troyanizados. Accede a la noticia completa en https://www.welivesecurity.com
Miles de dispositivos Fortinet podrían seguir comprometidos por ataque de ciberespionaje
El Servicio de Inteligencia y Seguridad Militar holandés (MIVD) ha advertido que el impacto de la campaña de ciberespionaje china descubierta a principios de este año es mayor de lo conocido. En febrero, el MIVD y el Servicio General de Inteligencia y Seguridad (AIVD) revelaron que actores de amenaza asociados a China explotaron la vulnerabilidad CVE-2022-42475, CVSS 9.8 según fabricante, en FortiOS/FortiProxy entre 2022 y 2023, infectando 14.000 dispositivos. Concretamente, los objetivos incluían gobiernos occidentales, organizaciones internacionales y empresas de defensa, en los cuales se desplegó el troyano Coathanger. Entre los afectados por esta campaña se encuentra la red del Ministerio de Defensa holandés, cuya investigación y análisis del incidente permitió conocer que el malware puede sobrevivir a reinicios y actualizaciones de firmware. Accede a la noticia completa en https://www.ncsc.nl/actueel/nieuws/2024
ValleyRAT malware reaparece con una nueva variante
Zscaler ThreatLabz ha identificado recientemente una nueva campaña que distribuye la última versión de ValleyRAT, desarrollada por un grupo de amenazas con sede en China. ValleyRAT es un troyano de acceso remoto (RAT) documentado inicialmente a principios de 2023, cuyo código sigue siendo actualizado. Las nuevas funcionalidades incluyen la capacidad de capturar pantallas de sistemas infectados y manipular eventos del sistema. ValleyRAT utiliza un proceso complejo de múltiples etapas para infectar un sistema con una carga útil final que lleva a cabo la mayoría de las operaciones maliciosas. Este enfoque escalonado, combinado con la carga lateral de DLL, está probablemente diseñado para evadir mejor las soluciones de seguridad basadas en el host, como EDR y aplicaciones antivirus. Accede a la noticia completa en https://www.zscaler.com/blogs/security
Grupo de ransomware Black Basta vinculado a ataques de día cero en Windows
El grupo de ransomware Black Basta podría haber explotado una vulnerabilidad de elevación de privilegios en Microsoft Windows, previamente divulgada y parcheada, como si fuera un 0-day, según una nueva investigación de Symantec. Esta investigación analizó un intento de ataque de ransomware en el que se utilizó una herramienta de explotación para CVE-2024-26169 (CVSSv3 de 7.8), tras una infección inicial por el loader DarkGate, que Black Basta ha estado empleando desde la desactivación de QakBot. Aunque los atacantes no lograron desplegar un payload de ransomware en este ataque, las tácticas, técnicas y procedimientos (TTP) utilizados fueron muy similares a los descritos en un informe reciente de Microsoft sobre la actividad de Black Basta, que incluían el uso de scripts por lotes disfrazados de actualizaciones de software. Accede a la noticia completa en https://symantec-enterprise-blogs.security.com
Campaña de Arid Viper distribuyendo el malware AridSpy
El equipo de investigadores de ESET ha realizado una publicación en la que explican la identificación de una campaña atribuida al actor de amenaza Arid Viper que consiste en la distribución de un software espía en dispositivos Android. Dicho actor, al que también se le conoce como APT-C-23, Desert Falcon, Gray Karkadann, Mantis y/o Two-tailed Scorpion estaría afiliado a Hamas, por lo que sus objetivos apuntan a personal militar en Oriente Medio, periodistas y disidentes. Este actor estaría distribuyendo el malware a través de sitios web que suplantan ser aplicaciones de mensajería, una aplicación de empleo y otra de Registro Civil Palestino, que son funcionales pero que en realidad están troyanizados. El objetivo principal de AridSpy es la recopilación y exfiltración de datos del dispositivo de la víctima, aunque también es capaz de descargar otras cargas útiles desde su servidor de comando y control (C2). Accede a la noticia completa en https://www.welivesecurity.com/
Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.
¡Hasta pronto!
