Noticias

Archivo Boletín CIC 2018

Cyber Intelligence Center 

Todas las semanas, nuestros expertos comparten las últimas novedades en ciberseguridad. Revisa acá nuestros boletines publicados.

El Cyber Intelligence Center de Deloitte Chile pertenece  a la red global de Cyber Intelligence Centers de Deloitte Global. Esta red opera las 24 horas del día y los 365 días del año ofreciendo un servicio altamente personalizado que ayuda a las organizaciones a prevenir, detectar y responder frente al panorama cambiante de las ciber amenazas. 

Boletín: 14 de agosto de 2018

Nueva campaña de ransomware bajo el nombre KeyPass ha sido detectada:

Se ha detectado que el ransomware KeyPass está siendo propagado a través de instaladores de software falsos, los cuales al ser descargados se encargan de instalar el módulo malicioso en el sistema de la víctima. Adicionalmente, se ha observado que KeyPass tiene la capacidad de tomar control manual del proceso de encriptado a través de un formulario oculto. Este permitiría al atacante personalizar parámetros, lo cual podría ser un indicador que los atacantes detrás de la amenaza podrían usarla para ataques manuales. Hasta la fecha Brasil encabeza la lista con la mayor cantidad de usuarios infectados por KeyPass.

KeyPass enumera unidades locales y recursos compartidos de red accesibles desde la máquina infectada. Busca todos los archivos, independientemente de su extensión y salta archivos ubicados en varios directorios, cuyas rutas están codificadas en la muestra. De acuerdo a la nota del ransom, el precio para el descifrado es de USD $300, de igual forma se indica que el único método para la recuperación de los archivos es a través de la compra del software ofrecido.

Boletín CIC 14 de agosto

Boletín: 07 de agosto de 2018

Campaña de malware compromete más de 210.000 routers MikroTik en el mundo

Al menos tres campañas masivas de malware enfocadas en explotar miles de routers MikroTik han sido detectadas recientemente. El objetivo principal de estas campañas es instalar malware de minado de criptomonedas en los sistemas afectados (Coinhive), explotando una vulnerabilidad conocida (CVE-2018-14847) en el componente Winbox del sistema operativo RouterOS usado por dichos routers. Cabe destacar que MikroTik liberó un parche para mitigar la vulnerabilidad durante abril. Aproximadamente un 33% (~70.000) de los routers afectados se encuentran en Brasil. Sin embargo, ya se han detectado casos de routers MikroTik comprometidos en otras regiones.

La falla de seguridad puede permitir potencialmente que un atacante obtenga acceso remoto no autenticado a cualquier router MikroTik vulnerable. Al tomar control del router, los atacantes inyectan código JavaScript asociado a Coinhive en cada página web que un usuario visita, lo que finalmente obliga a cada computador conectado a minar criptomonedas. Los usuarios afectados por esta campaña pueden sufrir de una potencial degradación del sistema y exfiltración de datos.

Boletín: 31 de julio del 2018

El backdoor malware FELIXROOT resurge en una nueva campaña:

Después de unos meses de ausencia, el backdoor malware FELIXROOT ha sido detectado en una nueva campaña de malspam. La campaña usa documentos maliciosos que afirman contener información sobre seminarios de protección ambiental. Este malware tiene una gama de funciones, incluida la capacidad de ejecutar archivos y secuencias de comandos, ejecución remota de Shell y exfiltración de información.

El archivo adjunto explota la vulnerabilidad de Microsoft Office CVE-2017-0199 para descargar una carga útil de segunda etapa; luego, el archivo descargado se arma con código malicioso a través del CVE-2017-11882 para colocar y ejecutar el binario de puerta trasera en la máquina de la víctima.

Tras la ejecución, la puerta trasera duerme durante 10 minutos, luego continúa con un triage inicial del sistema antes de establecer comunicaciones con el servidor de comando y control (C2). Consulta la API de Windows para obtener el nombre de la computadora, el nombre de usuario, la versión de Windows, la arquitectura del procesador, etc. Los parches para ambas vulnerabilidades están disponibles, sin embargo, los investigadores aseguran que son dos de las vulnerabilidades más comúnmente explotadas, por lo que las organizaciones deben asegurarse de que estén protegidas.

Boletín: 24 de julio del 2018

Troyano bancario Emotet resurge en nueva campaña de malspam

Emotet es un troyano bancario avanzado y modular que funciona principalmente como downloader o dropper de otros troyanos bancarios. Adicionalmente, se comporta como un troyano de banca polimórfica que puede evadir la detección típica basada en firmas. Tiene varios métodos para mantener la persistencia y utiliza bibliotecas de enlaces dinámicos (DLL) para evolucionar y actualizar continuamente sus capacidades. Las campañas más recientes de malspam utilizadas para propagar Emotet imitan recibos de PayPal, notificaciones de envío o facturas vencidas supuestamente de MS-ISAC. La infección inicial se produce cuando un usuario abre o hace clic en el enlace de descarga malicioso, PDF o documento de Microsoft Word incluido en el malspam. Una vez descargado, Emotet establece la persistencia e intenta propagarse en las redes locales a través de módulos expansores incorporados.

Boletín: 18 de julio del 2018

La campaña de ciberespionaje de Blackgear resurge abusando de las redes sociales para la comunicación

Blackgear, una campaña de ciberespionaje basada en la puerta trasera Protux, ahora resurge con cambios notables dirigidos a varias industrias, incluidas las agencias del sector público y las telecomunicaciones. La versión actualizada cambia la forma en que se recupera la información de comando y control al encontrar la configuración encriptada a través de palabras clave en servicios de blog.

Para evadir la detección oculta su configuración de comando y control, abusando de los servicios de blogging, microblogging y redes sociales. Esto permite a los actores amenazados cambiar rápidamente los servidores, según sea necesario, prolongando la infección en el sistema y permitiendo a los atacantes llevar a cabo más movimientos laterales.

Boletín: 10 de julio del 2018

Botnet Hide 'N Seek

El botnet Hide 'N Seek surgió inicialmente en enero del 2018, infectando a más de 20.000 dispositivos, el mismo aprovechó la vulnerabilidad CVE-201-10401 para propagar código malicioso y robar datos del usuario. Hide 'N Seek está ahora apuntando también a soluciones de bases de datos multiplataforma. Actualmente es el primer malware IoT que implementa un mecanismo de persistencia para mantener los dispositivos infectados después del reinicio. El botnet ahora tiene como objetivo los tipos de dispositivos que utilizan los siguientes exploits: TPLink-Routers RCE, Netgear RCE, AVTECH RCE, CISCO Linksys Router RCE, JAW/1.0 RCE, OrientDB RCE, CouchDB RCE.

Boletín: 05 de julio del 2018

Vulnerabilidad crítica llamada “Rampage” afecta dispositivos Android

Investigadores han publicado detalles sobre una vulnerabilidad crítica llamada “Rampage” que afecta a dispositivos Android como tablets y teléfonos inteligentes. Si se explota con éxito, la vulnerabilidad se puede utilizar para obtener acceso completo y control sobre el dispositivo de la víctima. La vulnerabilidad afecta el aislamiento entre el sistema operativo y las aplicaciones de usuario, como también las páginas de memoria dentro de la RAM, lo cual permite acceso arbitrario de lectura y escritura en un dispositivo. Los investigadores también notaron que es probable que un ataque similar sea posible en dispositivos móviles con otro sistema operativo, computadoras personales y la nube.

Aún no existe parche para la vulnerabilidad. En particular, Rampage explota el error de Rowhammer, un conocido error de hardware descubierto hace unos años, donde los transistores dejan pasar electricidad a filas adyacentes. Según los investigadores, los chips de memoria antes mencionados se utilizan de manera efectiva en dispositivos Android enviados desde 2012.Aún no hay parche para la vulnerabilidad. Los investigadores también notaron que es probable que un ataque similar sea posible en productos Apple, computadoras personales y la nube.

Boletín: 26 de junio del 2018

Vulnerabilidad TLBleed afecta a procesadores Intel

Un grupo de investigadores de seguridad ha descubierto una vulnerabilidad que afecta el búfer de traducción anticipada de instrucciones (Translation Lookaside Buffer - TLB) en procesadores Intel. La vulnerabilidad, conocida como “TLBleed”, puede ser explotada para extraer claves criptográficas de programas en ejecución, asegurando un 98% de éxito según el modelo de procesador. El grupo que ha descubierto TLBleed asegura que los procesadores AMD estarían en riesgo de ser afectados una falla similar. Intel ha anunciado que no lanzará parches o actualizaciones de emergencia para esta vulnerabilidad, indicando que las medidas de mitigación ya existentes son suficientes para prevenir que TLBleed sea explotada por actores maliciosos.

 

Boletín: 21 de junio del 2018

Grupo APT15 resurge con nuevo malware MirageFox

El grupo de cibercriminales APT15, también conocido como K3chang, Vixen Panda y Playful Dragon, ha reaparecido con un nuevo malware, al cual los expertos han llamado MirageFox. Análisis preliminares muestran que MirageFox es una versión actualizada de un troyano de acceso remoto (RAT) lanzado en 2012. MirageFox es capaz de recopilar información del equipo infectado y espera órdenes de un servidor de comando y control (C&C), además de infiltrarse en la red interna de la organización ya comprometida usando una red privada virtual (VPN). APT15 ha sido previamente vinculada al gobierno chino, dirigiendo sus ataques a sectores como organizaciones gubernamentales, empresas contratistas de defensa y otras entidades privadas.

Boletín: 13 de junio del 2018

Ransomware “RedEye” ataca Master Boot Record de víctimas y destruye información:

El recientemente descubierto ransomware “RedEye” se caracteriza por bloquear la máquina afectada y pedir un pago de 0.1 Bitcoins (~ $652 USD), advirtiendo a la víctima que destruirá el disco duro si no efectúa el pago en cuatro días.  Al cumplirse el plazo, “RedEye” sobrescribe el contenido de los archivos secuestrado con Bytes en “0”, dejándolos inutilizables. Luego, RedEye reinicia la máquina para reemplazar el Master Boot Record (MBR) de ésta, bloqueando así el acceso al sistema operativo. El ransomware se caracteriza por contener varios efectos de audio y video, lo cual explica el tamaño inusual del archivo ejecutable, que oscila en los 35 MB.

“RedEye” se distribuye a través de Twitter, y habría sido creado por el equipo detrás de los ransomware “Jigsaw” y “Annabelle”, descubiertos en 2016 y 2017 respectivamente.

Boletín 05 de junio del 2018

Grupo “HIDDEN COBRA” ataca a instituciones financieras en América Latina:

El grupo de cibercriminales "HIDDEN COBRA" está llevando a cabo una serie de ataques a instituciones financieras y de infraestructura crítica con el fin de robar información y manipular redes de forma remota. El grupo usa el troyano de acceso remoto (RAT) Joanap para obtener acceso a sistemas críticos y establecer conexión con botnets, y Brambul, un gusano de autenticación de fuerza bruta que abusa del protocolo de bloqueo de mensajes del servidor (SMB) para propagarse a otros sistemas. Se han detectado redes comprometidas en Argentina, Brasil y Colombia, entre otros.  Expertos recomiendan mantener los sistemas operativos actualizados, desactivar SMB y evitar la ejecución de software desconocido. 

Boletín: 29 de mayo del 2018

Malware VPNFilter amenaza a dispositivos de red a nivel global:

Según investigadores que descubrieron el malware, VPNFilter cuenta con un diseño modular, lo cual lo vuelve una herramienta versátil para conducir operaciones de recolección de inteligencia en sus objetivos. Del mismo modo, VPNFilter tiene la capacidad de afectar directamente las operaciones de negocios de organizaciones que se ven infectadas por la amenaza.

Investigación inicial indicaría que le malware podría estar relacionado al grupo de actores APT28 (Sofacy / Fancy Bear) el cual se especula tiene vínculos directos y es patrocinado por el gobierno Ruso.

VPNFilter utiliza un proceso de compromiso de múltiples etapas: La primera fase se encarga de asegurar la persistencia del malware en el sistema, incluso luego de un reinicio. La segunda fase permite a los atacantes deshabilitar uno todos los dispositivos comprometidos de una sola vez, por lo cual se considera la fase más destructiva del malware. La fase tres del malware es utilizada para descargar plug-ins que aumentan las capacidades del malware, permitiendo comprometer a sus víctimas en un mayor nivel.

Boletín: 22 de Mayo del 2018

Malware de criptominado “WinstarNssmMiner” infecta a más de 500.000 víctimas en 3 días:

El recientemente descubierto malware de criptominado ha sido capaz de minar 133 monedas de Monero (XMR) en un período de tres días (~$26,000 USD). El malware presenta un desafío particular para los usuarios, ya que además de efectuar funciones de minado, es capaz de generar un fallo de sistema en la máquina afectada. 


WinstarNssmMiner basa parte de su código fuente en la herramienta legitima de código abierto de minado ce monedas XMRig. El malware incluye funciones de anti-detección que buscan indicadores de presencia de herramientas de anti-virus de marcas específicas de renombre, deteniendo su ejecución en caso de ser positivo. En caso de detectar otras marcas de anti-virus presentes en el sistema, WinstarNssmMiner intenta desactivarlas para evitar su detección. Ya que el malware utiliza el proceso svchost.exe para su ejecución, si un usuario detecta un proceso malicioso de minado y lo termina, esto culmina en un fallo del sistema, forzando un reinicio del mismo.

Boletín: 15 de mayo del 2018

Bug en Framework Electron permitiría ataques de RCE (Remote Code Execution):

Analistas de seguridad han encontrado una vulnerabilidad crítica en el framework de código abierto Electron, ampliamente utilizado para la creación de aplicaciones web. El framework permite la creación de aplicaciones híbridas de escritorio al facilitar la integración de los framework Chromium in Node.js por medio de APIs. Para limitar el acceso a node.js, Electro utiliza por defecto un flag llamado “webviewTag:false”. La vulnerabilidad encontrada abusa a aplicaciones creadas con el framework que no declaran explícitamente el valor del flag “webviewTag”, lo que permite a los adversarios realizar un ataque de XSS (Cross-Site Scripting) lo cual les permite la ejecución de código remoto (RCE).

Electros es utilizado pro aplicaciones móviles masivas, como lo son WhatsApp, WordPress, Skype, GitHub desktop, Slack, Signal y otros.

Boletín: 08 de mayo 2018

Malware para móviles Android “ZooPark” puede grabar llamadas y robar información:

La cuarte iteración de la familia ZooPark de malware móvil expande ampliamente las capacidades de sus predecesores. La reciente versión de ZooPark permite a los atacantes robar información almacenada en el portapapeles del dispositivo, registrar actividad del teclado (keylog), exfiltrar archivos almacenados en el dispositivo (fotos, videos, etc.) e incluso el grabar conversaciones telefónicas.

Debido a que la firma que descubrió ZooPark ha notado un nivel de infección relativamente bajo (en comparación con otros malware), se cree que los actores detrás de ZooPark escogen selectivamente a sus objetivos de infección. Esto da pie para especular sobre la posibilidad de que las operaciones del grupo sean patrocinadas por un estado nación.

Actualmente las victimas de ZooPark se encuentran localizadas principalmente en Oriente Medio y Norte de África, con foco particular en Moroco, Egipto, Lévano, Irán y Jordania.

El malware se distribuye principalmente por medio de canales de Telegram, y también por medio de ataques de bebedero (waterhole) a través de sitios de noticias en árabe.

Boletín: 24 de abril 2018

Actores Rusos amenazas sector de energía y producción industrial:

El grupo de actores asociado al gobierno Ruso Energetic Bear (también conocidos como DragonflyCrouching YetiGroup 24Havex y Koala Team) ha estado operativo desde al menos el 2011, atacando a organizaciones en diversos sectores de industria, como los son aeroespacial y defensa. Sin embargo, las campañas más recientes del grupo se han enfocado en organizaciones en el sector de energía y recursos, o aquellas que utilizan procesos industriales apoyados por redes ICS/SCADA.

El grupo utiliza servidores de organizaciones comprometidas como punto de pivota para lanzar otros ataques, típicamente hosteando herramientas o utilizándolos para ataques de bebedero (waterhole attacks).

La actividad del grupo está estrechamente relacionada con un alerta (TA18-106A) liberada recientemente por parte del US-CERT en conjunto con el gobierno de UK, donde detallan operaciones de la campaña denominada “Grizzly Steppe”, la cual entre otros, se enfoca en comprometer dispositivos de red en sus objetivos.

 

Boletín: 9 de Abril de 2018

Nueva variante de la Botnet Mirai lanza ataque DDoS al sector financiero:

Una nueva variante de la Botnet Mirai ha sido utilizada para lanzar ataques de negación distribuida de servicio (DDoS) contra instituciones financieras. Los ataques utilizaron al menos 13.000 dispositivos IoT secuestrados que generan volúmenes de tráfico de hasta 30Gbps. Investigadores detectaron los ataques que se dividieron en tres etapas, concentrándose en instituciones financieras ubicadas en Rusia y Ucrania, con algunos casos también registrados en Brasil.

La botent Mirai está constantemente buscando dispositivos conectados (IoT) con bajas medidas de seguridad para reclutar a su red, la cual durante 2018 se estimo contiene aproximadamente 800,000 dispositivos zombie.

Boletín: 4 de Abril 2018

ANDROIDOS HIDDENMINER puede “brickear” dispositivos infectados: El malware diseñado para afectar a dispositivos móviles Android secuestra la CPU de su víctima para minar la criptomoneda Monero. El uso de CPU por parte de HIDDENMINER es tan alto, que puede causar reinicio del dispositivo, e incluso daño permanente. El malware se distribuye por medio de Google Play, disfrazado como una aplicación legítima. HIDDENM]INER abusa una vulnerabilidad presente en el sistema operativo Android (Nougat y versiones anteriores) para bloquear la pantalla cuando el usuario intenta remover permisos de administrador a la aplicación.

“njRAT Lime Edition” distribuye ransomware y malware para billeteras de criptomonedas: Si bien njRAT es conocido desde el 2013, la última variante de malware utilizada por atacantes incorpora Lime ransomware como un elemento adicional para comprometer a sus víctimas, encriptando archivos locales con AES-256. Esta nueva versión de njRAT además intenta obtener información sobre billeteras de criptomonedas presentes en el sistema infectado para ser enviadas a servidores de comando y control (C&C)

Plataforma SWIFT abusada para enviar transacciones fraudulentas en Banco Central de Malasia: Autoridades del Banco central de Malasia alertaron respecto a transacciones SWIFT fraudulentas detectadas en sus sistemas, las cuales pretendían generar transferencias de fondos ilegitimas. El banco pudo detener dichas transacciones y evitar pérdidas. A raíz de esto, el Banco Central de Filipinas anunció que tomará medidas para resguardarse frente a un potencial ataque, sospechando una posible campaña en la región.

Ciber Riesgo | Deloitte Chile

Deloitte ofrece un portafolio completo de servicios para asistir a las organizaciones a establecer su apetito al riesgo cibernético, diseñar e implementar programas seguros, vigilantes y resilientes y en la adaptación continua de la gestión, mantenimiento y adaptación de sus programas a los cambios en el entorno.

Bolétin CIC: 21 de marzo 2018

Ataque de malware a momentos de generar explosión en planta de petróleos en Arabia Saudita: Atacantes que se creen están asociados con una nación estado rival de Arabia Saudita  lanzaron un ataque con malware, el cual tenía como objetivo generar una explosión en la planta, lo cual típicamente se conoce como DeOS (Destruction of Service). El ataque en cuestión afecta a dispositivos de control Triconex, y no logro su objetivo de generar una explosión debido a una mal configuración en el código del malware utilizado. Sin embargo, el ataque forzó el apagado del sistema afectado.

US-CERT advierte sobre infiltración Rusa en sistemas críticos: El US-CERT lanzó una alerta (TA18-074A) en base a un análisis desarrollado por el Department of Homeland Security (DHS) y el Federal Bureau of Investigation (FBI), en el cual se describen los esfuerzos por actores Rusos de infiltrar y atacar diversas organizaciones consideradas como infraestructura crítica en U.S. El reporte detalla esfuerzos de actores rusos para comprometer organizaciones americanas desde Marzo del 2016,  enfocándose en sectores como energía (nuclear), servicios básicos (suministro de agua), aviación y otros.

APT28 utiliza vulnerabilidad en Adobe Flash para campaña de espionaje: El grupo de actores se cree está directamente liderado por autoridades rusas, y es reconocido por operaciones previas las cuales han tenido como objetivo gobiernos adversarios. El grupo, también conocido como Fancy Bear, abusa una vulnerabilidad presente en Adobe Flash Player en su última campaña para servir malware espía (spyware) a sus objetivos, la cual se enfoca principalmente en entidades dentro de Europa. La campaña utiliza DealersChoice (Plataforma para la explotación de Flash) con una nueva técnica de evasión, la cual solo gatilla el exploit cunado una página específica del documento señuelo es vista por el usuario.

Boletín CIC: 13 de marzo 2018

Ataque de malware a momentos de generar explosión en planta de petróleos en Arabia Saudita: Atacantes que se creen están asociados con una nación estado rival de Arabia Saudita  lanzaron un ataque con malware, el cual tenía como objetivo generar una explosión en la planta, lo cual típicamente se conoce como DeOS (Destruction of Service). El ataque en cuestión afecta a dispositivos de control Triconex, y no logro su objetivo de generar una explosión debido a una mal configuración en el código del malware utilizado. Sin embargo, el ataque forzó el apagado del sistema afectado.

US-CERT advierte sobre infiltración Rusa en sistemas críticos: El US-CERT lanzó una alerta (TA18-074A) en base a un análisis desarrollado por el Department of Homeland Security (DHS) y el Federal Bureau of Investigation (FBI), en el cual se describen los esfuerzos por actores Rusos de infiltrar y atacar diversas organizaciones consideradas como infraestructura crítica en U.S. El reporte detalla esfuerzos de actores rusos para comprometer organizaciones americanas desde Marzo del 2016,  enfocándose en sectores como energía (nuclear), servicios básicos (suministro de agua), aviación y otros.

APT28 utiliza vulnerabilidad en Adobe Flash para campaña de espionaje: El grupo de actores se cree está directamente liderado por autoridades rusas, y es reconocido por operaciones previas las cuales han tenido como objetivo gobiernos adversarios. El grupo, también conocido como Fancy Bear, abusa una vulnerabilidad presente en Adobe Flash Player en su última campaña para servir malware espía (spyware) a sus objetivos, la cual se enfoca principalmente en entidades dentro de Europa. La campaña utiliza DealersChoice (Plataforma para la explotación de Flash) con una nueva técnica de evasión, la cual solo gatilla el exploit cunado una página específica del documento señuelo es vista por el usuario.

Boletín CIC: 6 de marzo 2018

Bolétin CIC: 6 de marzo 2018

Campaña de malvertising (publicidad engañosa) redirige a usuarios a página de RIG EK: La campaña utiliza diversos sitios con contenido referente a cripto-monedas para engañar a sus visitantes, quienes son redirigidos a una página de explotación de RIG EK. La campaña cuenta con la sofisticación de validar si los visitantes re-direccionados son bots o no, terminando el proceso de infección, o en su defecto cargando RIG EK en un iframe. Luego de ser redirigidos y de una explotación efectiva del objetivo, RIG EK sirve las variantes de malware TrickBot (Troyano bancario) o Ramnit (troyano) para comprometer a sus víctimas.

Malware "RedDrop" afecta a dispositivos Android: Una vez instalado, RedDrop permite a los atacantes exfiltrar información contenida dentro del dispositivo como lo son fotografías, contactos y archivos de configuración. Para la exfiltración de datos, los atacantes utilizan servicios de almacenamiento en la nube, como lo son Dropbox and Google Drive. A demás de robar información, el dispositivo infectado es utilizado para enviar mensajes SMS a servicios premium, generando así una ganancia financiera para los perpetradores. El malware ha sido catalogado como sofisticado por investigadores que lo analizaron, el cual además cuenta con capacidades de resiliencia y persistencia para asegurar su presencia en el dispositivo afectado, incluso luego de actualizaciones del sistema.

Ataques DDoS Amplificados utilizan servidores memcache para incrementar su impacto: Recientes ataques de DDoS (Distributed Denial of Service) se basan en esta técnica llamada "Memcached Reflection", la cual principalmente genera niveles masivos de tráfico a través del puerto UDP 11211. Los atacantes abusan a los servidores de caché (los cuales típicamente no cuentan con medidas de seguridad estrictas) para generar peticiones al servidor, las cuales son amplificadas (generando mayor tráfico) al ser enviadas al servidor objetivo. Está técnica se utilizó recientemente para ejecutar el ataque DDoS más grande detectado hasta el momento, alcanzando velocidades de 1.4Tbps en su peak..

 

Boletín CIC: 13 de Febrero 2018

Bolétin CIC: 6 de marzo 2018

Campaña de malvertising (publicidad engañosa) redirige a usuarios a página de RIG EK: La campaña utiliza diversos sitios con contenido referente a cripto-monedas para engañar a sus visitantes, quienes son redirigidos a una página de explotación de RIG EK. La campaña cuenta con la sofisticación de validar si los visitantes re-direccionados son bots o no, terminando el proceso de infección, o en su defecto cargando RIG EK en un iframe. Luego de ser redirigidos y de una explotación efectiva del objetivo, RIG EK sirve las variantes de malware TrickBot (Troyano bancario) o Ramnit (troyano) para comprometer a sus víctimas.

Malware "RedDrop" afecta a dispositivos Android: Una vez instalado, RedDrop permite a los atacantes exfiltrar información contenida dentro del dispositivo como lo son fotografías, contactos y archivos de configuración. Para la exfiltración de datos, los atacantes utilizan servicios de almacenamiento en la nube, como lo son Dropbox and Google Drive. A demás de robar información, el dispositivo infectado es utilizado para enviar mensajes SMS a servicios premium, generando así una ganancia financiera para los perpetradores. El malware ha sido catalogado como sofisticado por investigadores que lo analizaron, el cual además cuenta con capacidades de resiliencia y persistencia para asegurar su presencia en el dispositivo afectado, incluso luego de actualizaciones del sistema.

Ataques DDoS Amplificados utilizan servidores memcache para incrementar su impacto: Recientes ataques de DDoS (Distributed Denial of Service) se basan en esta técnica llamada "Memcached Reflection", la cual principalmente genera niveles masivos de tráfico a través del puerto UDP 11211. Los atacantes abusan a los servidores de caché (los cuales típicamente no cuentan con medidas de seguridad estrictas) para generar peticiones al servidor, las cuales son amplificadas (generando mayor tráfico) al ser enviadas al servidor objetivo. Está técnica se utilizó recientemente para ejecutar el ataque DDoS más grande detectado hasta el momento, alcanzando velocidades de 1.4Tbps en su peak..

Boletín CIC: 17 de enero

Vulnerabilidad CVE-2017-10271 utilizada para esparcir malware minador de cripto-monedas: Este mes de enero se ha detectado una campaña que utiliza una vulnerabilidad crítica en Oracle WebLogic para esparcir malware que mina Monero, lo cual parece ser un cambio de objetivo a una campaña anterior detectada durante diciembre del 2017 que minaba la cripto-moneda AEON. La campaña actual esparce versiones del malware tanto para sistemas corriendo sobre Microsoft Windows o Linux, siendo la última la que ha presentado la mayor habilidad de evadir detección.

APT Turla conduce campaña de espionaje contra consulados y embajadas en Europa del Este: El reconocido grupo de actores (también identificados por los alias “Venomous Bear”, “Snake/Uroburos” y “Krypton”) ha sido asociado al gobierno ruso, el cual -a su vez- ha sido asociado con ataques sofisticados contra organizaciones de gobierno y empresas en el sector de energía y recursos.  El grupo ha sido asociado con sofisticadas herramientas de ciber-espionaje, como lo son la Carbon Backdoor, el troyano KazuarAgent.BTZ y el downloader de malware PNG_Dropper. Adicionalmente, el grupo conduce campañas sociales de spear-phishing y utiliza exploits de día cero (zero-day) en Microsoft Office Encapsulated Postscripts (EPS).

Campaña de espionaje en contra de entidades relacionadas con las Olimpiadas de Invierno del 2018: Diversas entidades asociadas con la organización de las próximas Olimpiadas de Invierno a tener lugar en Pyeongchang, Corea del Sur en febrero del 2018, han sido objetivo de campañas de phishing que apuntan a esparcir malware espía. Según análisis inicial de la campaña por investigadores de seguridad, se cree que ésta podría estar asociada con algún grupo de avanzada, posiblemente asociados a algún gobierno extranjero. Se espera que, a medida que se acercan las Olimpiadas, el número de campañas se incremente.

Boletín CIC: 9 de enero

Malware minador de cripto-moneda es esparcido por medio de peticiones SOAP: Fuentes internas de Deloitte han descubierto en los primeros días de enero un malware no identificado, el cual es utilizado por atacantes para minar la cripto-moneda "Monero". El malware es distribuido por medio de peticiones HTTP POST SOAP (Simple Object Access Protocol) las cuales incluyen un campo el cual corresponde a un script PowerShell codificado en Base64. El script decodificado hace un llamado a un servidor previamente comprometido, desde el cual descarga un archivo ejecutable malicioso y procede con su ejecución. De momento no es claro como los atacantes posteaban el archivo SOAP (XML) hacia el servidor objetivo.

Vulnerabilidad CVE-2017-12149 y SSH utilizados por malware de minería contra servidores Linux: Un grupo de investigadores ha descubierto la nueva botnet de cripto-minado de monedas, llamada PyCryptoMiner, la cual se esparce por medio de SSH. Según los investigadores, desde mediados de Diciembre la campaña ha estado enfocándose en comprometer servidores JBOSS vulnerables, al explotar la cVE-2017-12149. El hecho que el malware sea basado en lenguajes de scripting hace que inherentemente sea más efectivo al evadir controles de seguridad, ya que puede ser fácilmente ofuscado, en comparación con su alternativa binaria.

Nuevo Troyano Android se enfoca en más de 200 aplicaciones bancarias:Investigadores de seguridad han descubierto un nuevo malware que afecta a dispositivos Android, llamado Android.banker.A2f8a. Aparte de aplicaciones bancarias, el malware también se enfoca en comprometer apps de e-commerce, juegos y aplicaciones de cripto-monedas. Una vez que el sistema ha sido infectado, el malware es capaz de extraer credenciales de login, interceptar SMS y recolectar y exfiltrar información de contactos. Se cree que el malware se distribuye principalmente por medio de repositorios de aplicaciones alternativos, disfrazado como una aplicación de Adobe Flash Player.

Boletín CIC: 2 de enero

Backdoors encontradas en tres plugins de WordPress: Investigadores de seguridad notaron que el 27 de diciembre pasado el repositorio de WordPress eliminó tres plugins que contenían puertas traseras (backdoors). Los plugins en cuestión son  “WP No External Links”, “Duplicate Page and Post” y “No Follow All External Links". Los plugins maliciosos han sido atribuidos a un ataque de cadena de abastecimiento, ya que los mismos han cambiado de dueño en reiteradas ocasiones durante los últimos 6 meses. Se cree que el objetivo final detrás de estos backdoors es el de poder inyectar spam oculto de optimización de motores de búsqueda (Search Engine Optimization, SEO) en los sitios afectados.

Vulnerabilidad zero-day en macOS permite escalamiento local de privilegios: Se estima que la vulnerabilidad ha estado presente en dispositivos corriendo sobre OSX/macOS desde el 2002. La vulnerabilidad de escalamiento local de privilegios (Local Privilege Escalation - LPE) afecta a la extensión de kernel IOHIDFamily utilizada por instrumentos de interacción con humanos (como la pantalla touch, acelerómetros, botones, etc.). Explotación efectiva de la vulnerabilidad permitiría a un atacante la ejecución de código arbitrario con privilegios root.

Grupo Lazarus utiliza PowerRatankba en campañas recientes: El grupo asociado al régimen Norcoreano ha utilizado PowerRatankba (variante en PowerShell de Ratankba) durante la segunda mitad del 2017 para comprometer tanto terminales de POS (Point-of-Sales) como cuentas de usuarios con criptomonedas. Se estima que los ataques son dirigidos por Corea del Norte para evadir las sanciones económicas impuestas por la ONU y seguir financiando su programa nuclear. Este es el primer caso en que ataques a POS se han asociado a un grupo de actores vinculado a un gobierno.

  • Sectores vulnerables: Banca y Retail
Did you find this useful?