Noticias de ciberseguridad
A continuación, hemos seleccionado las noticias de seguridad a nivel mundial más relevantes.
Snowblind: malware para Android
Investigadores de Promon han analizado el malware Snowblind. Éste utiliza una característica de seguridad de Android llamada seccomp, una función de seguridad del kernel de Linux diseñada para reducir la superficie de ataque de las aplicaciones restringiendo las llamadas al sistema (syscalls) que pueden realizar para evadir las protecciones de las aplicaciones que manejan datos sensibles. Este malware inyecta una biblioteca nativa que intercepta las llamadas al sistema y manipula los registros para evitar la detección de manipulaciones, permitiendo acciones maliciosas como la recolección de credenciales o el control remoto del dispositivo. Dado que la técnica utilizada por Snowblind no parece ser muy conocida, no se espera que muchas aplicaciones protejan contra ella. Accede a la noticia completa en https://promon.co/app-threat-reports/snowblind
Campaña de malware para macOS a través de anuncios falsos de Google
Una campaña maliciosa distribuye el malware "Poseidon" para macOS a través de anuncios de Google para el navegador Arc. Este malware, desarrollado por el actor malicioso conocido como Rodrigo4, roba archivos, datos de criptomonedas y contraseñas. La descarga maliciosa se realiza desde sitios falsos que imitan a Arc. Según Malwarebytes, al hacer clic en los anuncios se redirigía a los internautas a arc-download[.]com, una página de navegador de Arc falsa y de aspecto casi idéntico a la real. Este stealer comparte código con el anterior OSX.RodStealer y ha sido renombrado como "Poseidón", añadiendo nuevas funciones como el robo de configuraciones VPN. Accede a la noticia completa en https://www.malwarebytes.com/blog/news/2024/06/
Nueva variante del troyano bancario Medusa
Los investigadores de Cleafy han descubierto una nueva variante del troyano bancario Medusa, también conocido como TangleBot. Este malware-as-a-service (MaaS) para Android que presenta capacidades de Troyano de Acceso Remoto (RAT) fue descubierto en 2020, se distribuye mediante técnicas de smishing, desplegando el malware con un dropper. Asimismo, la última campaña de distribución de Medusa estaría relacionada con el uso de 5 botnets diferentes, y sus objetivos principales estarían localizados en múltiples países de Europa incluyendo Reino Unido, Francia, Italia y España, así como en Turquía, EE. UU. y Canadá. Además de las funcionalidades ya observadas en versiones anteriores del malware, como leer y escribir SMS o keylogging, la última variante permite superponer la pantalla completa y desinstalar aplicaciones remotamente. Accede a la noticia completa en https://www.cleafy.com/cleafy-labs/
Nueva técnica jailbreak de IA: Skeleton Key
Los investigadores de Microsoft Security han publicado un artículo sobre un nuevo tipo de ataque jailbreak que afectaría a múltiples modelos de IA generativa. Un ataque jailbreak permite a los atacantes sobrepasar las limitaciones éticas de modelos de IA como ChatGPT, de tal manera que estos ofrezcan respuestas ofensivas, dañinas e incluso ilegales. En concreto, Microsoft ha identificado una nueva técnica a la que ha denominado Skeleton Key y que consiste en proveer a la IA de un contexto específico para que esta genere respuestas que no debería. Por ejemplo, indicando a una IA que la consulta que se le está realizando está enmarcada en un contexto educativo y ético, e indicando que añada una cláusula de exención de responsabilidad o un aviso legal, esta podría responder a preguntas tales como los pasos para crear un malware. Accede a la noticia completa en https://www.microsoft.com/en-us/security/blog/
Nueva campaña del actor SneakyChef distribuyendo malware
El equipo de investigadores de Cisco Talos ha publicado los resultados de una investigación en la que señalan el descubrimiento de una nueva campaña realizada por el actor SneakyChef distribuyendo malware. En concreto, según los expertos, dicha campaña llevaría realizándose desde agosto del año 2023 y es dirigida contra instituciones gubernamentales de países de Asía, Oriente Medio y Europa. En cuanto a la metodología de ataque, SneakyChef remitiría correos electrónicos suplantando agencias gubernamentales e instituciones de investigación para engañar a sus víctimas con el fin de que ejecuten archivos adjuntos RAR maliciosos. Una vez se abren los archivos que se encuentran dentro de los documentos RAR, comienza el proceso de infección, distribuyéndose en los equipos infectados la herramienta de acceso remoto y filtración de datos SugarGh0st, así como del troyano de acceso remoto SpiceRAT. Accede a la noticia completa en https://blog.talosintelligence.com/
Vulnerabilidad crítica empleada para robos masivos de tarjetas de crédito
Friends-of-Presta ha publicado una Prueba de Concepto (PoC) que explotaría una vulnerabilidad crítica del complemento de Facebook para PrestaShop denominado Promokit. El fallo, CVE-2024-36680 (CVSSv3 9.8 según proveedor), habría sido inicialmente descubierto a finales de mayo, pero Promokit afirmó que ya habría sido solucionado sin aportar pruebas al respecto. En concreto, la vulnerabilidad permite llevar a cabo inyecciones SQL mediante peticiones HTTP en el script Ajax facebookConnect.php del complemento pkfacebook. Asimismo, la PoC publicada por Friends-of-Presta estaría siendo activamente empleada por actores maliciosos para desplegar un skimmer web cuyo objetivo sería la sustracción masiva de tarjetas de crédito. Accede a la noticia completa en https://security.friendsofpresta.org/
Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.
¡Hasta pronto!
