Noticias

Archivo Boletín CIC 2018

Cyber Intelligence Center 

Todas las semanas, nuestros expertos comparten las últimas novedades en ciberseguridad. Revisa acá nuestros boletines publicados.

El Cyber Intelligence Center de Deloitte Chile pertenece  a la red global de Cyber Intelligence Centers de Deloitte Global. Esta red opera las 24 horas del día y los 365 días del año ofreciendo un servicio altamente personalizado que ayuda a las organizaciones a prevenir, detectar y responder frente al panorama cambiante de las ciber amenazas. 

Boletín: 12 de octubre de 2018

El grupo APT Hidden Cobra reaparece con nuevo ataque apodado FASTCash:

El conocido grupo Hidden Cobra presuntamente avalado por el gobierno de Corea del Norte, ha sido detectado detrás una nueva operación que tiene como objetivo comprometer servidores bancarios.

Más específicamente servidores de aplicaciones de pago fueron infectados, de esta manera los atacantes interceptan las solicitudes de transacción emitiendo confirmaciones falsas sin validación de los sistemas bancarios centrales, permitiendo retirar cualquier monto de efectivo de un cajero bancario sin ser detectados.

Se cree que el vector de infección utilizado por los ciberdelincuentes fue phishing, donde a través de correos electrónicos con contenido malicioso son infectadas las víctimas.

Una intrusión exitosa en la red puede tener graves impactos, particularmente si el compromiso se hace público. Los posibles impactos a la organización incluyen pérdidas monetarias, Pérdida temporal o permanente de información confidencial o de propiedad exclusiva y Daño potencial a la reputación de una organización.

 

Boletín CIC 12 de octubre

Boletín: 02 de octubre de 2018

Nueva versión de VPNFilter posee capacidades aún mayores:

VPNFilter es un conocido malware multi-modular que ha infectado a miles de dispositivos de red en todo el mundo, especialmente dispositivos MikroTik. La nueva versión de VPNFilter posee múltiples herramientas que podrían utilizarse para llevar a cabo movimientos laterales dentro la red comprometida y también identificar nuevos dispositivos de borde en otras redes de interés para los atacantes. Adicionalmente, posee la capacidad de construir una red distribuida de proxies para enmascarar la fuente del ataque, lo cual sugiere que los actores podrían estar planificando una serie de futuros ataques.

La naturaleza sofisticada de VPNFilter ilustra aún más las capacidades avanzadas de los actores que hacen uso de él, así como la necesidad de que las organizaciones implementen medidas robustas para combatir amenazas como VPNFilter.

Boletín: 25 de septiembre de 2018

Estafa denominada “Evil Cursor” es utilizada para secuestrar sesiones de Google Chrome

Una estafa de un supuesto soporte técnico proporcionado por Windows está utilizando una técnica novedosa para secuestrar sesiones de navegación de usuarios del conocido explorador Google Chrome.

La campaña re direcciona a los usuarios a páginas falsas que contienen la nueva técnica de “browlock”, creada específicamente para explotar la versión 69.0.3497.81. de Google Chrome.

Las víctimas son redirigidas a dominios maliciosos a través de publicidades engañosas, hasta la fecha 16.000 dominios han sido identificados bajo la estafa Evil Cursor.

La técnica utilizada por Evil Cursor secuestra el mouse del usuario a través de un código HTML que decodifica un cursor de baja resolución. La inclusión de un píxel transparente de 128x128 convierte el puntero en una "caja grande" que según los investigadores engaña a los usuarios haciéndoles creer que están haciendo clic en un punto específico, o fuera de la sesión, cuando en realidad no pueden.

Posteriormente, la supuesta advertencia de Windows aparece donde es proporcionado un número de "soporte técnico" para resolver el problema, en el cual los estafadores pueden intentar vender software malicioso u obtener acceso remoto al computador de un usuario.

Boletín: 20 de septiembre de 2018

El Ransomware Ryuk evoluciona deshabilitando soluciones de seguridad conocidas   

Según los investigadores el ransomware Ryuk está vinculado al notorio grupo APT Lazarus, acumulando hasta la fecha más de $640,000 en bitcoins. El ransomware ha sido detectado intentando deshabilitar soluciones de seguridad instaladas en los computadores de las víctimas. Adicionalmente, las copias VSS (Volume Shadow Copy) de Windows son eliminadas antes que el ransomware comience el procedimiento de encriptado, esta tecnología permite realizar de forma manual o automática copias de seguridad de los archivos el sistema o volúmenes.

Windows realiza de forma predeterminada hasta 64 copias de respaldo, que permite a los usuarios recuperar datos en caso de pérdida, sin embargo, Ryuk al eliminar dichos respaldos y también modificando el espacio de almacenamiento elimina cualquier posibilidad de recuperar los archivos. Ryuk también intenta detener los procesos que pertenecen a algún software de protección AV, entre ellos los procesos de los productos Sophos y Symantec System Recovery.

Boletín: 04 de septiembre de 2018

Una nueva cadena de ataque, la cual explota Microsoft Windows Utilities para evitar detecciones y potencialmente al exfiltrar datos ha sido detectada.

Los atacantes descargan un archivo XLS desde un servidor remoto a través de una campaña de phishing que contiene un enlace URL malicioso con un comando de instrumentación de Windows. El archivo malicioso XLS contiene código JavaScript que se ejecuta mediante el uso de mshta.exe, un proceso legítimo de Windows utilizado para ejecutar el host de aplicaciones HTML de Microsoft. La amenaza incluye módulos tanto para el robo de información como contraseñas de correo electrónico, al mismo tiempo que utiliza una puerta trasera para mantener persistencia el na red comprometida.

Los ataques “fileless” se caracterizan por utilizar procesos y herramientas legitimas disponibles en los sistemas de las víctimas. El uso de Microsoft Windows Utilities es comúnmente explotado por ciber-criminales para propagar amenazas, sin embargo, en este caso es usada para realizar descargas de archivos maliciosos y evitar algún tipo de detección por software especializado.

Boletín: 28 de agosto de 2018

El grupo APT Lazarus ha sido detectado utilizando el malware apodado “Fallchild” para infectar a sus víctimas.

El conocido grupo APT ha desarrollado Fallchild para sistemas operativos macOS, lo cual sugeriría que el grupo está expandiendo sus ataques a una variedad más amplia de plataformas para así obtener mayores ganancias monetarias. La operación ha sido apodada por los investigadores como “AppleJeus” y es utilizada dentro de una aplicación de intercambio de criptomonedas aparentemente legítima para repartir el malware Fallchild. Múltiples informes incluido uno de la US-CERT en el último año han señalado la reaparición de Fallchild. El malware corresponde a un troyano de acceso remoto (RAT) completamente funcional y es una de las herramientas más comúnmente utilizadas por el grupo APT.

Dentro de la Operación “AppleJeus”, el código malicioso fue introducido en la actualización de una aplicación de comercio de criptomonedas. El actualizador es utilizado para recopilar información sobre el sistema de la víctima para luego transmitir los datos al servidor de comando y control de los atacantes. Si los atacantes deciden continuar con el ataque, es enviada una actualización de software para instalar Fallchild. De esta manera, es posible extraer información confidencial de la víctima.

Boletín: 21 de agosto de 2018

Nueva variante de Trickbot detectada en campaña de Spam

Trickbot es un troyano bancario modular en su diseño, el cual se conoce desde 2016. Una nueva variante de Trickbot ha sido recientemente descubierta, la cual innova en el vector de infección utilizado para infectar a sus víctimas. Campañas recientes de spam que distribuyen Trickbot (principalmente a España y EEUU) comienzan por esparcir archivos Word maliciosos. La ejecución del troyano comienza cuando el usuario habilita Macros, y solo si la función de “zoom” es utilizada en el documento. El requerimiento del uso de la función de zoom previo a la infección es una novedosa técnica de anti-sandobxing incorporada por Trickbot, la cual es complementada con la desactivación de herramientas de seguridad, para así evitar su detección.

Para comprometer a sus víctimas, Trickbot “vacía” (holllows) código legítimo de espacios de memoria en el sistema objetivo y los sobre-escribe con código malicioso, en lugar de inyectar dicho código directamente a programas ejecutándose en el sistema.

Boletín: 14 de agosto de 2018

Nueva campaña de ransomware bajo el nombre KeyPass ha sido detectada:

Se ha detectado que el ransomware KeyPass está siendo propagado a través de instaladores de software falsos, los cuales al ser descargados se encargan de instalar el módulo malicioso en el sistema de la víctima. Adicionalmente, se ha observado que KeyPass tiene la capacidad de tomar control manual del proceso de encriptado a través de un formulario oculto. Este permitiría al atacante personalizar parámetros, lo cual podría ser un indicador que los atacantes detrás de la amenaza podrían usarla para ataques manuales. Hasta la fecha Brasil encabeza la lista con la mayor cantidad de usuarios infectados por KeyPass.

KeyPass enumera unidades locales y recursos compartidos de red accesibles desde la máquina infectada. Busca todos los archivos, independientemente de su extensión y salta archivos ubicados en varios directorios, cuyas rutas están codificadas en la muestra. De acuerdo a la nota del ransom, el precio para el descifrado es de USD $300, de igual forma se indica que el único método para la recuperación de los archivos es a través de la compra del software ofrecido.

Boletín: 07 de agosto de 2018

Campaña de malware compromete más de 210.000 routers MikroTik en el mundo

Al menos tres campañas masivas de malware enfocadas en explotar miles de routers MikroTik han sido detectadas recientemente. El objetivo principal de estas campañas es instalar malware de minado de criptomonedas en los sistemas afectados (Coinhive), explotando una vulnerabilidad conocida (CVE-2018-14847) en el componente Winbox del sistema operativo RouterOS usado por dichos routers. Cabe destacar que MikroTik liberó un parche para mitigar la vulnerabilidad durante abril. Aproximadamente un 33% (~70.000) de los routers afectados se encuentran en Brasil. Sin embargo, ya se han detectado casos de routers MikroTik comprometidos en otras regiones.

La falla de seguridad puede permitir potencialmente que un atacante obtenga acceso remoto no autenticado a cualquier router MikroTik vulnerable. Al tomar control del router, los atacantes inyectan código JavaScript asociado a Coinhive en cada página web que un usuario visita, lo que finalmente obliga a cada computador conectado a minar criptomonedas. Los usuarios afectados por esta campaña pueden sufrir de una potencial degradación del sistema y exfiltración de datos.

Boletín: 31 de julio del 2018

El backdoor malware FELIXROOT resurge en una nueva campaña:

Después de unos meses de ausencia, el backdoor malware FELIXROOT ha sido detectado en una nueva campaña de malspam. La campaña usa documentos maliciosos que afirman contener información sobre seminarios de protección ambiental. Este malware tiene una gama de funciones, incluida la capacidad de ejecutar archivos y secuencias de comandos, ejecución remota de Shell y exfiltración de información.

El archivo adjunto explota la vulnerabilidad de Microsoft Office CVE-2017-0199 para descargar una carga útil de segunda etapa; luego, el archivo descargado se arma con código malicioso a través del CVE-2017-11882 para colocar y ejecutar el binario de puerta trasera en la máquina de la víctima.

Tras la ejecución, la puerta trasera duerme durante 10 minutos, luego continúa con un triage inicial del sistema antes de establecer comunicaciones con el servidor de comando y control (C2). Consulta la API de Windows para obtener el nombre de la computadora, el nombre de usuario, la versión de Windows, la arquitectura del procesador, etc. Los parches para ambas vulnerabilidades están disponibles, sin embargo, los investigadores aseguran que son dos de las vulnerabilidades más comúnmente explotadas, por lo que las organizaciones deben asegurarse de que estén protegidas.

Boletín: 24 de julio del 2018

Troyano bancario Emotet resurge en nueva campaña de malspam

Emotet es un troyano bancario avanzado y modular que funciona principalmente como downloader o dropper de otros troyanos bancarios. Adicionalmente, se comporta como un troyano de banca polimórfica que puede evadir la detección típica basada en firmas. Tiene varios métodos para mantener la persistencia y utiliza bibliotecas de enlaces dinámicos (DLL) para evolucionar y actualizar continuamente sus capacidades. Las campañas más recientes de malspam utilizadas para propagar Emotet imitan recibos de PayPal, notificaciones de envío o facturas vencidas supuestamente de MS-ISAC. La infección inicial se produce cuando un usuario abre o hace clic en el enlace de descarga malicioso, PDF o documento de Microsoft Word incluido en el malspam. Una vez descargado, Emotet establece la persistencia e intenta propagarse en las redes locales a través de módulos expansores incorporados.

Boletín: 18 de julio del 2018

La campaña de ciberespionaje de Blackgear resurge abusando de las redes sociales para la comunicación

Blackgear, una campaña de ciberespionaje basada en la puerta trasera Protux, ahora resurge con cambios notables dirigidos a varias industrias, incluidas las agencias del sector público y las telecomunicaciones. La versión actualizada cambia la forma en que se recupera la información de comando y control al encontrar la configuración encriptada a través de palabras clave en servicios de blog.

Para evadir la detección oculta su configuración de comando y control, abusando de los servicios de blogging, microblogging y redes sociales. Esto permite a los actores amenazados cambiar rápidamente los servidores, según sea necesario, prolongando la infección en el sistema y permitiendo a los atacantes llevar a cabo más movimientos laterales.

Boletín: 10 de julio del 2018

Botnet Hide 'N Seek

El botnet Hide 'N Seek surgió inicialmente en enero del 2018, infectando a más de 20.000 dispositivos, el mismo aprovechó la vulnerabilidad CVE-201-10401 para propagar código malicioso y robar datos del usuario. Hide 'N Seek está ahora apuntando también a soluciones de bases de datos multiplataforma. Actualmente es el primer malware IoT que implementa un mecanismo de persistencia para mantener los dispositivos infectados después del reinicio. El botnet ahora tiene como objetivo los tipos de dispositivos que utilizan los siguientes exploits: TPLink-Routers RCE, Netgear RCE, AVTECH RCE, CISCO Linksys Router RCE, JAW/1.0 RCE, OrientDB RCE, CouchDB RCE.

Boletín: 05 de julio del 2018

Vulnerabilidad crítica llamada “Rampage” afecta dispositivos Android

Investigadores han publicado detalles sobre una vulnerabilidad crítica llamada “Rampage” que afecta a dispositivos Android como tablets y teléfonos inteligentes. Si se explota con éxito, la vulnerabilidad se puede utilizar para obtener acceso completo y control sobre el dispositivo de la víctima. La vulnerabilidad afecta el aislamiento entre el sistema operativo y las aplicaciones de usuario, como también las páginas de memoria dentro de la RAM, lo cual permite acceso arbitrario de lectura y escritura en un dispositivo. Los investigadores también notaron que es probable que un ataque similar sea posible en dispositivos móviles con otro sistema operativo, computadoras personales y la nube.

Aún no existe parche para la vulnerabilidad. En particular, Rampage explota el error de Rowhammer, un conocido error de hardware descubierto hace unos años, donde los transistores dejan pasar electricidad a filas adyacentes. Según los investigadores, los chips de memoria antes mencionados se utilizan de manera efectiva en dispositivos Android enviados desde 2012.Aún no hay parche para la vulnerabilidad. Los investigadores también notaron que es probable que un ataque similar sea posible en productos Apple, computadoras personales y la nube.

Boletín: 26 de junio del 2018

Vulnerabilidad TLBleed afecta a procesadores Intel

Un grupo de investigadores de seguridad ha descubierto una vulnerabilidad que afecta el búfer de traducción anticipada de instrucciones (Translation Lookaside Buffer - TLB) en procesadores Intel. La vulnerabilidad, conocida como “TLBleed”, puede ser explotada para extraer claves criptográficas de programas en ejecución, asegurando un 98% de éxito según el modelo de procesador. El grupo que ha descubierto TLBleed asegura que los procesadores AMD estarían en riesgo de ser afectados una falla similar. Intel ha anunciado que no lanzará parches o actualizaciones de emergencia para esta vulnerabilidad, indicando que las medidas de mitigación ya existentes son suficientes para prevenir que TLBleed sea explotada por actores maliciosos.

 

Boletín: 21 de junio del 2018

Grupo APT15 resurge con nuevo malware MirageFox

El grupo de cibercriminales APT15, también conocido como K3chang, Vixen Panda y Playful Dragon, ha reaparecido con un nuevo malware, al cual los expertos han llamado MirageFox. Análisis preliminares muestran que MirageFox es una versión actualizada de un troyano de acceso remoto (RAT) lanzado en 2012. MirageFox es capaz de recopilar información del equipo infectado y espera órdenes de un servidor de comando y control (C&C), además de infiltrarse en la red interna de la organización ya comprometida usando una red privada virtual (VPN). APT15 ha sido previamente vinculada al gobierno chino, dirigiendo sus ataques a sectores como organizaciones gubernamentales, empresas contratistas de defensa y otras entidades privadas.

Boletín: 13 de junio del 2018

Ransomware “RedEye” ataca Master Boot Record de víctimas y destruye información:

El recientemente descubierto ransomware “RedEye” se caracteriza por bloquear la máquina afectada y pedir un pago de 0.1 Bitcoins (~ $652 USD), advirtiendo a la víctima que destruirá el disco duro si no efectúa el pago en cuatro días.  Al cumplirse el plazo, “RedEye” sobrescribe el contenido de los archivos secuestrado con Bytes en “0”, dejándolos inutilizables. Luego, RedEye reinicia la máquina para reemplazar el Master Boot Record (MBR) de ésta, bloqueando así el acceso al sistema operativo. El ransomware se caracteriza por contener varios efectos de audio y video, lo cual explica el tamaño inusual del archivo ejecutable, que oscila en los 35 MB.

“RedEye” se distribuye a través de Twitter, y habría sido creado por el equipo detrás de los ransomware “Jigsaw” y “Annabelle”, descubiertos en 2016 y 2017 respectivamente.

Boletín 05 de junio del 2018

Grupo “HIDDEN COBRA” ataca a instituciones financieras en América Latina:

El grupo de cibercriminales "HIDDEN COBRA" está llevando a cabo una serie de ataques a instituciones financieras y de infraestructura crítica con el fin de robar información y manipular redes de forma remota. El grupo usa el troyano de acceso remoto (RAT) Joanap para obtener acceso a sistemas críticos y establecer conexión con botnets, y Brambul, un gusano de autenticación de fuerza bruta que abusa del protocolo de bloqueo de mensajes del servidor (SMB) para propagarse a otros sistemas. Se han detectado redes comprometidas en Argentina, Brasil y Colombia, entre otros.  Expertos recomiendan mantener los sistemas operativos actualizados, desactivar SMB y evitar la ejecución de software desconocido. 

Boletín: 29 de mayo del 2018

Malware VPNFilter amenaza a dispositivos de red a nivel global:

Según investigadores que descubrieron el malware, VPNFilter cuenta con un diseño modular, lo cual lo vuelve una herramienta versátil para conducir operaciones de recolección de inteligencia en sus objetivos. Del mismo modo, VPNFilter tiene la capacidad de afectar directamente las operaciones de negocios de organizaciones que se ven infectadas por la amenaza.

Investigación inicial indicaría que le malware podría estar relacionado al grupo de actores APT28 (Sofacy / Fancy Bear) el cual se especula tiene vínculos directos y es patrocinado por el gobierno Ruso.

VPNFilter utiliza un proceso de compromiso de múltiples etapas: La primera fase se encarga de asegurar la persistencia del malware en el sistema, incluso luego de un reinicio. La segunda fase permite a los atacantes deshabilitar uno todos los dispositivos comprometidos de una sola vez, por lo cual se considera la fase más destructiva del malware. La fase tres del malware es utilizada para descargar plug-ins que aumentan las capacidades del malware, permitiendo comprometer a sus víctimas en un mayor nivel.

Boletín: 22 de Mayo del 2018

Malware de criptominado “WinstarNssmMiner” infecta a más de 500.000 víctimas en 3 días:

El recientemente descubierto malware de criptominado ha sido capaz de minar 133 monedas de Monero (XMR) en un período de tres días (~$26,000 USD). El malware presenta un desafío particular para los usuarios, ya que además de efectuar funciones de minado, es capaz de generar un fallo de sistema en la máquina afectada. 


WinstarNssmMiner basa parte de su código fuente en la herramienta legitima de código abierto de minado ce monedas XMRig. El malware incluye funciones de anti-detección que buscan indicadores de presencia de herramientas de anti-virus de marcas específicas de renombre, deteniendo su ejecución en caso de ser positivo. En caso de detectar otras marcas de anti-virus presentes en el sistema, WinstarNssmMiner intenta desactivarlas para evitar su detección. Ya que el malware utiliza el proceso svchost.exe para su ejecución, si un usuario detecta un proceso malicioso de minado y lo termina, esto culmina en un fallo del sistema, forzando un reinicio del mismo.

Boletín: 15 de mayo del 2018

Bug en Framework Electron permitiría ataques de RCE (Remote Code Execution):

Analistas de seguridad han encontrado una vulnerabilidad crítica en el framework de código abierto Electron, ampliamente utilizado para la creación de aplicaciones web. El framework permite la creación de aplicaciones híbridas de escritorio al facilitar la integración de los framework Chromium in Node.js por medio de APIs. Para limitar el acceso a node.js, Electro utiliza por defecto un flag llamado “webviewTag:false”. La vulnerabilidad encontrada abusa a aplicaciones creadas con el framework que no declaran explícitamente el valor del flag “webviewTag”, lo que permite a los adversarios realizar un ataque de XSS (Cross-Site Scripting) lo cual les permite la ejecución de código remoto (RCE).

Electros es utilizado pro aplicaciones móviles masivas, como lo son WhatsApp, WordPress, Skype, GitHub desktop, Slack, Signal y otros.

Boletín: 08 de mayo 2018

Malware para móviles Android “ZooPark” puede grabar llamadas y robar información:

La cuarte iteración de la familia ZooPark de malware móvil expande ampliamente las capacidades de sus predecesores. La reciente versión de ZooPark permite a los atacantes robar información almacenada en el portapapeles del dispositivo, registrar actividad del teclado (keylog), exfiltrar archivos almacenados en el dispositivo (fotos, videos, etc.) e incluso el grabar conversaciones telefónicas.

Debido a que la firma que descubrió ZooPark ha notado un nivel de infección relativamente bajo (en comparación con otros malware), se cree que los actores detrás de ZooPark escogen selectivamente a sus objetivos de infección. Esto da pie para especular sobre la posibilidad de que las operaciones del grupo sean patrocinadas por un estado nación.

Actualmente las victimas de ZooPark se encuentran localizadas principalmente en Oriente Medio y Norte de África, con foco particular en Moroco, Egipto, Lévano, Irán y Jordania.

El malware se distribuye principalmente por medio de canales de Telegram, y también por medio de ataques de bebedero (waterhole) a través de sitios de noticias en árabe.

Boletín: 24 de abril 2018

Actores Rusos amenazas sector de energía y producción industrial:

El grupo de actores asociado al gobierno Ruso Energetic Bear (también conocidos como DragonflyCrouching YetiGroup 24Havex y Koala Team) ha estado operativo desde al menos el 2011, atacando a organizaciones en diversos sectores de industria, como los son aeroespacial y defensa. Sin embargo, las campañas más recientes del grupo se han enfocado en organizaciones en el sector de energía y recursos, o aquellas que utilizan procesos industriales apoyados por redes ICS/SCADA.

El grupo utiliza servidores de organizaciones comprometidas como punto de pivota para lanzar otros ataques, típicamente hosteando herramientas o utilizándolos para ataques de bebedero (waterhole attacks).

La actividad del grupo está estrechamente relacionada con un alerta (TA18-106A) liberada recientemente por parte del US-CERT en conjunto con el gobierno de UK, donde detallan operaciones de la campaña denominada “Grizzly Steppe”, la cual entre otros, se enfoca en comprometer dispositivos de red en sus objetivos.

 

Boletín: 9 de Abril de 2018

Nueva variante de la Botnet Mirai lanza ataque DDoS al sector financiero:

Una nueva variante de la Botnet Mirai ha sido utilizada para lanzar ataques de negación distribuida de servicio (DDoS) contra instituciones financieras. Los ataques utilizaron al menos 13.000 dispositivos IoT secuestrados que generan volúmenes de tráfico de hasta 30Gbps. Investigadores detectaron los ataques que se dividieron en tres etapas, concentrándose en instituciones financieras ubicadas en Rusia y Ucrania, con algunos casos también registrados en Brasil.

La botent Mirai está constantemente buscando dispositivos conectados (IoT) con bajas medidas de seguridad para reclutar a su red, la cual durante 2018 se estimo contiene aproximadamente 800,000 dispositivos zombie.

Boletín: 4 de Abril 2018

ANDROIDOS HIDDENMINER puede “brickear” dispositivos infectados: El malware diseñado para afectar a dispositivos móviles Android secuestra la CPU de su víctima para minar la criptomoneda Monero. El uso de CPU por parte de HIDDENMINER es tan alto, que puede causar reinicio del dispositivo, e incluso daño permanente. El malware se distribuye por medio de Google Play, disfrazado como una aplicación legítima. HIDDENM]INER abusa una vulnerabilidad presente en el sistema operativo Android (Nougat y versiones anteriores) para bloquear la pantalla cuando el usuario intenta remover permisos de administrador a la aplicación.

“njRAT Lime Edition” distribuye ransomware y malware para billeteras de criptomonedas: Si bien njRAT es conocido desde el 2013, la última variante de malware utilizada por atacantes incorpora Lime ransomware como un elemento adicional para comprometer a sus víctimas, encriptando archivos locales con AES-256. Esta nueva versión de njRAT además intenta obtener información sobre billeteras de criptomonedas presentes en el sistema infectado para ser enviadas a servidores de comando y control (C&C)

Plataforma SWIFT abusada para enviar transacciones fraudulentas en Banco Central de Malasia: Autoridades del Banco central de Malasia alertaron respecto a transacciones SWIFT fraudulentas detectadas en sus sistemas, las cuales pretendían generar transferencias de fondos ilegitimas. El banco pudo detener dichas transacciones y evitar pérdidas. A raíz de esto, el Banco Central de Filipinas anunció que tomará medidas para resguardarse frente a un potencial ataque, sospechando una posible campaña en la región.

Ciber Riesgo | Deloitte Chile

Deloitte ofrece un portafolio completo de servicios para asistir a las organizaciones a establecer su apetito al riesgo cibernético, diseñar e implementar programas seguros, vigilantes y resilientes y en la adaptación continua de la gestión, mantenimiento y adaptación de sus programas a los cambios en el entorno.

Bolétin CIC: 21 de marzo 2018

Ataque de malware a momentos de generar explosión en planta de petróleos en Arabia Saudita: Atacantes que se creen están asociados con una nación estado rival de Arabia Saudita  lanzaron un ataque con malware, el cual tenía como objetivo generar una explosión en la planta, lo cual típicamente se conoce como DeOS (Destruction of Service). El ataque en cuestión afecta a dispositivos de control Triconex, y no logro su objetivo de generar una explosión debido a una mal configuración en el código del malware utilizado. Sin embargo, el ataque forzó el apagado del sistema afectado.

US-CERT advierte sobre infiltración Rusa en sistemas críticos: El US-CERT lanzó una alerta (TA18-074A) en base a un análisis desarrollado por el Department of Homeland Security (DHS) y el Federal Bureau of Investigation (FBI), en el cual se describen los esfuerzos por actores Rusos de infiltrar y atacar diversas organizaciones consideradas como infraestructura crítica en U.S. El reporte detalla esfuerzos de actores rusos para comprometer organizaciones americanas desde Marzo del 2016,  enfocándose en sectores como energía (nuclear), servicios básicos (suministro de agua), aviación y otros.

APT28 utiliza vulnerabilidad en Adobe Flash para campaña de espionaje: El grupo de actores se cree está directamente liderado por autoridades rusas, y es reconocido por operaciones previas las cuales han tenido como objetivo gobiernos adversarios. El grupo, también conocido como Fancy Bear, abusa una vulnerabilidad presente en Adobe Flash Player en su última campaña para servir malware espía (spyware) a sus objetivos, la cual se enfoca principalmente en entidades dentro de Europa. La campaña utiliza DealersChoice (Plataforma para la explotación de Flash) con una nueva técnica de evasión, la cual solo gatilla el exploit cunado una página específica del documento señuelo es vista por el usuario.

Boletín CIC: 13 de marzo 2018

Ataque de malware a momentos de generar explosión en planta de petróleos en Arabia Saudita: Atacantes que se creen están asociados con una nación estado rival de Arabia Saudita  lanzaron un ataque con malware, el cual tenía como objetivo generar una explosión en la planta, lo cual típicamente se conoce como DeOS (Destruction of Service). El ataque en cuestión afecta a dispositivos de control Triconex, y no logro su objetivo de generar una explosión debido a una mal configuración en el código del malware utilizado. Sin embargo, el ataque forzó el apagado del sistema afectado.

US-CERT advierte sobre infiltración Rusa en sistemas críticos: El US-CERT lanzó una alerta (TA18-074A) en base a un análisis desarrollado por el Department of Homeland Security (DHS) y el Federal Bureau of Investigation (FBI), en el cual se describen los esfuerzos por actores Rusos de infiltrar y atacar diversas organizaciones consideradas como infraestructura crítica en U.S. El reporte detalla esfuerzos de actores rusos para comprometer organizaciones americanas desde Marzo del 2016,  enfocándose en sectores como energía (nuclear), servicios básicos (suministro de agua), aviación y otros.

APT28 utiliza vulnerabilidad en Adobe Flash para campaña de espionaje: El grupo de actores se cree está directamente liderado por autoridades rusas, y es reconocido por operaciones previas las cuales han tenido como objetivo gobiernos adversarios. El grupo, también conocido como Fancy Bear, abusa una vulnerabilidad presente en Adobe Flash Player en su última campaña para servir malware espía (spyware) a sus objetivos, la cual se enfoca principalmente en entidades dentro de Europa. La campaña utiliza DealersChoice (Plataforma para la explotación de Flash) con una nueva técnica de evasión, la cual solo gatilla el exploit cunado una página específica del documento señuelo es vista por el usuario.

Boletín CIC: 6 de marzo 2018

Bolétin CIC: 6 de marzo 2018

Campaña de malvertising (publicidad engañosa) redirige a usuarios a página de RIG EK: La campaña utiliza diversos sitios con contenido referente a cripto-monedas para engañar a sus visitantes, quienes son redirigidos a una página de explotación de RIG EK. La campaña cuenta con la sofisticación de validar si los visitantes re-direccionados son bots o no, terminando el proceso de infección, o en su defecto cargando RIG EK en un iframe. Luego de ser redirigidos y de una explotación efectiva del objetivo, RIG EK sirve las variantes de malware TrickBot (Troyano bancario) o Ramnit (troyano) para comprometer a sus víctimas.

Malware "RedDrop" afecta a dispositivos Android: Una vez instalado, RedDrop permite a los atacantes exfiltrar información contenida dentro del dispositivo como lo son fotografías, contactos y archivos de configuración. Para la exfiltración de datos, los atacantes utilizan servicios de almacenamiento en la nube, como lo son Dropbox and Google Drive. A demás de robar información, el dispositivo infectado es utilizado para enviar mensajes SMS a servicios premium, generando así una ganancia financiera para los perpetradores. El malware ha sido catalogado como sofisticado por investigadores que lo analizaron, el cual además cuenta con capacidades de resiliencia y persistencia para asegurar su presencia en el dispositivo afectado, incluso luego de actualizaciones del sistema.

Ataques DDoS Amplificados utilizan servidores memcache para incrementar su impacto: Recientes ataques de DDoS (Distributed Denial of Service) se basan en esta técnica llamada "Memcached Reflection", la cual principalmente genera niveles masivos de tráfico a través del puerto UDP 11211. Los atacantes abusan a los servidores de caché (los cuales típicamente no cuentan con medidas de seguridad estrictas) para generar peticiones al servidor, las cuales son amplificadas (generando mayor tráfico) al ser enviadas al servidor objetivo. Está técnica se utilizó recientemente para ejecutar el ataque DDoS más grande detectado hasta el momento, alcanzando velocidades de 1.4Tbps en su peak..

 

Boletín CIC: 13 de Febrero 2018

Bolétin CIC: 6 de marzo 2018

Campaña de malvertising (publicidad engañosa) redirige a usuarios a página de RIG EK: La campaña utiliza diversos sitios con contenido referente a cripto-monedas para engañar a sus visitantes, quienes son redirigidos a una página de explotación de RIG EK. La campaña cuenta con la sofisticación de validar si los visitantes re-direccionados son bots o no, terminando el proceso de infección, o en su defecto cargando RIG EK en un iframe. Luego de ser redirigidos y de una explotación efectiva del objetivo, RIG EK sirve las variantes de malware TrickBot (Troyano bancario) o Ramnit (troyano) para comprometer a sus víctimas.

Malware "RedDrop" afecta a dispositivos Android: Una vez instalado, RedDrop permite a los atacantes exfiltrar información contenida dentro del dispositivo como lo son fotografías, contactos y archivos de configuración. Para la exfiltración de datos, los atacantes utilizan servicios de almacenamiento en la nube, como lo son Dropbox and Google Drive. A demás de robar información, el dispositivo infectado es utilizado para enviar mensajes SMS a servicios premium, generando así una ganancia financiera para los perpetradores. El malware ha sido catalogado como sofisticado por investigadores que lo analizaron, el cual además cuenta con capacidades de resiliencia y persistencia para asegurar su presencia en el dispositivo afectado, incluso luego de actualizaciones del sistema.

Ataques DDoS Amplificados utilizan servidores memcache para incrementar su impacto: Recientes ataques de DDoS (Distributed Denial of Service) se basan en esta técnica llamada "Memcached Reflection", la cual principalmente genera niveles masivos de tráfico a través del puerto UDP 11211. Los atacantes abusan a los servidores de caché (los cuales típicamente no cuentan con medidas de seguridad estrictas) para generar peticiones al servidor, las cuales son amplificadas (generando mayor tráfico) al ser enviadas al servidor objetivo. Está técnica se utilizó recientemente para ejecutar el ataque DDoS más grande detectado hasta el momento, alcanzando velocidades de 1.4Tbps en su peak..

Boletín CIC: 17 de enero

Vulnerabilidad CVE-2017-10271 utilizada para esparcir malware minador de cripto-monedas: Este mes de enero se ha detectado una campaña que utiliza una vulnerabilidad crítica en Oracle WebLogic para esparcir malware que mina Monero, lo cual parece ser un cambio de objetivo a una campaña anterior detectada durante diciembre del 2017 que minaba la cripto-moneda AEON. La campaña actual esparce versiones del malware tanto para sistemas corriendo sobre Microsoft Windows o Linux, siendo la última la que ha presentado la mayor habilidad de evadir detección.

APT Turla conduce campaña de espionaje contra consulados y embajadas en Europa del Este: El reconocido grupo de actores (también identificados por los alias “Venomous Bear”, “Snake/Uroburos” y “Krypton”) ha sido asociado al gobierno ruso, el cual -a su vez- ha sido asociado con ataques sofisticados contra organizaciones de gobierno y empresas en el sector de energía y recursos.  El grupo ha sido asociado con sofisticadas herramientas de ciber-espionaje, como lo son la Carbon Backdoor, el troyano KazuarAgent.BTZ y el downloader de malware PNG_Dropper. Adicionalmente, el grupo conduce campañas sociales de spear-phishing y utiliza exploits de día cero (zero-day) en Microsoft Office Encapsulated Postscripts (EPS).

Campaña de espionaje en contra de entidades relacionadas con las Olimpiadas de Invierno del 2018: Diversas entidades asociadas con la organización de las próximas Olimpiadas de Invierno a tener lugar en Pyeongchang, Corea del Sur en febrero del 2018, han sido objetivo de campañas de phishing que apuntan a esparcir malware espía. Según análisis inicial de la campaña por investigadores de seguridad, se cree que ésta podría estar asociada con algún grupo de avanzada, posiblemente asociados a algún gobierno extranjero. Se espera que, a medida que se acercan las Olimpiadas, el número de campañas se incremente.

Boletín CIC: 9 de enero

Malware minador de cripto-moneda es esparcido por medio de peticiones SOAP: Fuentes internas de Deloitte han descubierto en los primeros días de enero un malware no identificado, el cual es utilizado por atacantes para minar la cripto-moneda "Monero". El malware es distribuido por medio de peticiones HTTP POST SOAP (Simple Object Access Protocol) las cuales incluyen un campo el cual corresponde a un script PowerShell codificado en Base64. El script decodificado hace un llamado a un servidor previamente comprometido, desde el cual descarga un archivo ejecutable malicioso y procede con su ejecución. De momento no es claro como los atacantes posteaban el archivo SOAP (XML) hacia el servidor objetivo.

Vulnerabilidad CVE-2017-12149 y SSH utilizados por malware de minería contra servidores Linux: Un grupo de investigadores ha descubierto la nueva botnet de cripto-minado de monedas, llamada PyCryptoMiner, la cual se esparce por medio de SSH. Según los investigadores, desde mediados de Diciembre la campaña ha estado enfocándose en comprometer servidores JBOSS vulnerables, al explotar la cVE-2017-12149. El hecho que el malware sea basado en lenguajes de scripting hace que inherentemente sea más efectivo al evadir controles de seguridad, ya que puede ser fácilmente ofuscado, en comparación con su alternativa binaria.

Nuevo Troyano Android se enfoca en más de 200 aplicaciones bancarias:Investigadores de seguridad han descubierto un nuevo malware que afecta a dispositivos Android, llamado Android.banker.A2f8a. Aparte de aplicaciones bancarias, el malware también se enfoca en comprometer apps de e-commerce, juegos y aplicaciones de cripto-monedas. Una vez que el sistema ha sido infectado, el malware es capaz de extraer credenciales de login, interceptar SMS y recolectar y exfiltrar información de contactos. Se cree que el malware se distribuye principalmente por medio de repositorios de aplicaciones alternativos, disfrazado como una aplicación de Adobe Flash Player.

Boletín CIC: 2 de enero

Backdoors encontradas en tres plugins de WordPress: Investigadores de seguridad notaron que el 27 de diciembre pasado el repositorio de WordPress eliminó tres plugins que contenían puertas traseras (backdoors). Los plugins en cuestión son  “WP No External Links”, “Duplicate Page and Post” y “No Follow All External Links". Los plugins maliciosos han sido atribuidos a un ataque de cadena de abastecimiento, ya que los mismos han cambiado de dueño en reiteradas ocasiones durante los últimos 6 meses. Se cree que el objetivo final detrás de estos backdoors es el de poder inyectar spam oculto de optimización de motores de búsqueda (Search Engine Optimization, SEO) en los sitios afectados.

Vulnerabilidad zero-day en macOS permite escalamiento local de privilegios: Se estima que la vulnerabilidad ha estado presente en dispositivos corriendo sobre OSX/macOS desde el 2002. La vulnerabilidad de escalamiento local de privilegios (Local Privilege Escalation - LPE) afecta a la extensión de kernel IOHIDFamily utilizada por instrumentos de interacción con humanos (como la pantalla touch, acelerómetros, botones, etc.). Explotación efectiva de la vulnerabilidad permitiría a un atacante la ejecución de código arbitrario con privilegios root.

Grupo Lazarus utiliza PowerRatankba en campañas recientes: El grupo asociado al régimen Norcoreano ha utilizado PowerRatankba (variante en PowerShell de Ratankba) durante la segunda mitad del 2017 para comprometer tanto terminales de POS (Point-of-Sales) como cuentas de usuarios con criptomonedas. Se estima que los ataques son dirigidos por Corea del Norte para evadir las sanciones económicas impuestas por la ONU y seguir financiando su programa nuclear. Este es el primer caso en que ataques a POS se han asociado a un grupo de actores vinculado a un gobierno.

  • Sectores vulnerables: Banca y Retail
Did you find this useful?