Noticias de ciberseguridad boletín nº369: malware, phishing y ransomware

Noticias de ciberseguridad boletín nº369: malware, phishing y ransomware

 

Seguridad.jpg

 

 

Noticias de ciberseguridad

 

A continuación, hemos seleccionado las noticias de seguridad a nivel mundial más relevantes.

 

PKfail: vulnerabilidad que compromete el arranque seguro en equipos informáticos

 

Binarly, empresa de seguridad de la cadena de suministro de firmware y software, ha alertado acerca de una vulnerabilidad que permite a los atacantes ejecutar código malicioso durante el proceso de arranque en cientos de modelos de ordenadores, afectando el Secure Boot. La vulnerabilidad, denominada PKfail, e identificada internamente por Binarly como BRLY-2024-005 CVSSv3 8.2. Se debe a una clave de plataforma (PK) expuesta de American Megatrends International (AMI). Dicha clave expuesta, que no debía usarse en producción, fue distribuida por varios fabricantes como Dell, HP, Lenovo y Fujitsu. Con esta clave, los atacantes pueden firmar código malicioso y eludir Secure Boot, permitiendo la distribución de bootkits UEFI como BlackLotus. Binarly ha encontrado que los dispositivos vulnerables datan de 2012 hasta 2024 y ha publicado una lista completa de PK no fiables identificados por su Plataforma. Accede a la noticia completa en https://www.binarly.io/blog/pkfail

 

 

 

Detectan campaña que explota Selenium Grid para desplegar criptomineros

 

Wiz Research ha detectado una campaña de amenazas denominada SeleniumGreed que explota los servicios expuestos del mismo nombre para desplegar criptomineros. Selenium Grid, un servicio de código abierto que permite la automatización de pruebas en múltiples máquinas y navegadores, carece de un mecanismo de autenticación activo por defecto. Esto permite que un servicio expuesto públicamente sea accesible para cualquiera, permitiendo la descarga de archivos y la ejecución de comandos en instancias de pruebas de aplicaciones. El atacante utiliza varias tácticas para evitar la detección y el rastreo, incluyendo no dejar registro del historial de shell interactivo, la realización de timestomping, el uso de cabeceras UPX personalizadas para empaquetar el minero, la evasión de la codificación fija de la IP del proxy de pool, y el uso de otros servicios Selenium comprometidos como servidor C2 para alojar cargas útiles y un proxy de pool de minado. Accede a la noticia completa en https://www.wiz.io/blog/seleniumgreed

 

 

GXC Team: actor malicioso de habla hispana siguiendo modelo de MaaS

 

El equipo de investigadores de Group-IB ha realizado una publicación en la que analizan a un actor malicioso de habla hispana que ofrece servicios de Malware as a Service (MaaS) denominado GXC Team. Destacan que sus servicios afectan a bancos españoles y organismos gubernamentales e instituciones a nivel global. GXC Team ofrece a sus clientes una combinación de kits de phishing y un malware dirigido contra sistemas Android, que se trata de un ladrón de OTP de SMS. No obstante, lo más destacado de este servicio de MaaS es su sofisticada plataforma de phishing como servicio impulsado por inteligencia artificial capaz de generar llamadas de voz a sus víctimas en función de sus indicaciones. En último lugar, cabe indicar que desde Group-IB alertan que, a pesar de que sus herramientas no son muy sofisticadas, las características innovadoras de GXC Team pueden ser una amenaza para la seguridad del sector bancario en España. Accede a la noticia completa en https://www.group-ib.com/blog/gxc-team-unmasked/

 

 

 

Un error en el control de validación propició el incidente de Crowdstrike Falcon Sensor

 

CrowdStrike ha publicado una actualización sobre el incidente en Falcon Sensor del pasado 19 de julio que provocó que, al menos, más de 8,5 millones de dispositivos a nivel mundial quedaran inoperativos. Según la compañía texana, la actualización fallida pasó por alto verificaciones críticas debido a la confianza previa en despliegues exitosos de plantillas IPC (Inter-Process Communication). Esto significó que la actualización defectuosa no fue sometida a pruebas adicionales antes de ser desplegada, lo que permitió que el error llegara a los sistemas de los clientes. Accede a la noticia completa en https://www.crowdstrike.com/falcon-content

 

 

 

Vulnerabilidad ConfusedFunction en Google Cloud Platform

 

Investigadores de ciberseguridad de Tenable han publicado un fallo de seguridad denominado “ConfusedFunction”, que afecta al servicio Cloud Functions de Google Cloud Platform. Un atacante podría aprovechar para escalar privilegios a la cuenta predeterminada del servicio Cloud Build, en tanto que esta se crea en segundo plano, vinculándose a una instancia de Cloud Build por defecto cuando se crea o actualiza una función. De este modo, un actor malicioso podría acceder a diversos servicios tales como almacenamiento, registro de contenedores y registro de artefactos. Tras estos accesos, los atacantes podrían llevar a cabo movimiento lateral y escalada de privilegios en el proyecto de la víctima, pudiendo acceder, modificar o eliminar datos no autorizados. Accede a la noticia completa en https://www.tenable.com/blog/confusedfunction

 

 

 

Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.

 

¡Hasta pronto



Consulta las opciones disponibles para tu empresa: Fusión Digital, Fibra óptica, Movistar Prosegur Alarmas, y Soluciones digitales

Gestiona los productos y servicios contratados en el área privada de Mi Gestión Digital.

Etiquetas (4)
Mensaje 1 de 1
590 Visitas
0 RESPUESTAS 0