Archivo Boletín CIC

Boletín: 16 de agosto de 2019

Vulnerabilidad en RDP de Microsoft facilita atacantes el escape de huésped virtualizado a host

La vulnerabilidad (CVE-2019-0887) permite a un adversario realizar un ataque RDP inverso al hipervisor por defecto de Microsoft, permitiéndole potencialmente escapar un ambiente confinado de sandbox para afectar al sistema que lo hostea.

Para explotar la vulnerabilidad, los atacantes utilizan una técnica llamada path-traversal para ejecutar código arbitrario en el sistema objetivo, lo cual les permite utilizar los privilegios del usuario para efectuar cambios en aplicaciones y dato.

Boletín: 08 de agosto de 2019

APT28 utiliza dispositivos IoT como vector de infección

El reconocido grupo APT28 (FancyBear, Stronium) abusa activamente de dispositivos conectados (IoT) para infiltrarse en organizaciones, variando desde impresoras, teléfonos, máquinas de fax, hasta dispositivos tipo VoIP. Principalmente, el grupo abusa aquellos dispositivos que operan con las credenciales por defecto del fabricante, o explotando vulnerabilidades conocidas en los mismos las cuales aún no han sido parchadas.

Se especula que el grupo APT28 es patrocinado por el estado Ruso, enfocando sus campañas principalmente a sectores de alto perfil como lo son los de defensa, militar, gobierno, IT y educación.Si bien ya existe un parche que mitiga la vulnerabilidad, las organizaciones que aún no lo aplican siguen expuestas a esta amenaza.

Boletín: 02 de agosto de 2019

Exploit para vulnerabilidad Bluekeep ofrecido comercialmente

Una firma de seguridad ofrece a la venta un exploit funcional para la vulnerabilidad BlueKeep (CVE-2019-0708), la cual reside en el protocolo RDP de Windows 7, Windows XP, Server 2003, Server 2008 y Server 2008 R2. Una explotación exitosa de la vulnerabilidad permitiría a un adversario ejecutar código remoto en el activo atacado.

De momento el exploit es ofrecido como un modulo de una herramienta de pruebas de penetración, pero se teme que pueda ser utilizada por adversarios para propagar amenazas al estilo de un gusano informático.

Si bien ya existe un parche que mitiga la vulnerabilidad, las organizaciones que aún no lo aplican siguen expuestas a esta amenaza.

Boletín: 25 de julio de 2019

Sitio falso de Office 365 infecta usuarios con trojan camuflado como update del browser.

El trojan tipo Trickbot se especializa en robar información desde contraseñas, historial de búsqueda y información que se auto rellena. El malware se distribuye a través de una campaña de phishing, donde el usuario recibe un mail que pareciera ser un update de Office 365. Una vez que el usuario hace click en la parte que dice “update” en el mail, el trojan se instala en el dispositivo y empieza a recopilar información.

El Trickbot es difícil de detectar, ya que se instalada dentro del servicio svchost.exe de Windows, lo cual esconde de la detección del Task Manager.

De momento no se conoce el vector de infección, ni los responsables de la campaña. Dado a las características del ataque, especialistas creen que fue desarrollado junto a empleados o ex-empleados bancarios que tienen información confidencial de la programación de los cajeros.

Boletín: 11 de julio de 2019

Malware ataca cajeros automáticos en Latinoamérica

El malware (conocido como "ATMJaDi“) está diseñado para permitir la extracción de dinero de cajeros automáticos sin la autorización del banco.

El malware que está escrito en Java, busca el proceso que controla el cajero automático y se inyecta en él, lo que le otorga al atacante el control del cajero automático de forma remota, mientras que otro atacante espera fuera del ATM para recibir el dinero.

De momento no se conoce el vector de infección, ni los responsables de la campaña. Dado a las características del ataque, especialistas creen que fue desarrollado junto a empleados o ex-empleados bancarios que tienen información confidencial de la programación de los cajeros.

Boletín: 04 de julio de 2019

Campañas que utilizan técnica “Heaven’s Gate” se reactivan

Investigadores de seguridad han detectado una campaña que distribuye archivos de Microsoft Office maliciosos, los cuales explotan la vulnerabilidad CVE-2017-1182 para comprometer al sistema objetivo. Luego de la explotación, los atacantes utilizan un loader con capacidades de evasión de antivirus (solo escribe payloads en memoria, no en disco). “Heaven’s Gate” es una técnica que permite a malware de 32-bit esconder llamadas de API al ejecutarse en sistemas de 64-bit.

Como payload secundario, las campañas distribuyen el keylogger HawkEye Reborn, el RAT Remcos, y varios criptominers basados en XMR.

Boletín: 27 de junio de 2019

Campaña asociada al grupo TA505 que utiliza FlawedAmmyy se reactiva

La campaña utiliza correos de phishing para esparcir archivos Excel maliciosos, los cuales descargan el troyano de acceso remoto (RAT) FlawedAmmyy.

Este malware tiene funcionalidades de backdoor, y permite a un atacante el acceso y control remoto del terminal comprometido. Asimismo, permite la modificación de archivos, ejecutar código adicional, e instalar otros programas maliciosos. 

Boletín: 21 de junio de 2019

Campaña afecta a servidores de correo Exim

La campaña utiliza un gusano de Linux que explota la vulnerabilidad CVE-2019-10149 para ganar privilegios de ejecución de código remoto en el servidor afectado. Luego de la infección, el malware busca otras máquinas para moverse lateralmente, e instala un malware de cripto-minado.

La vulnerabilidad radica en una validación impropia del parámetro del destinatario del correo electrónico por una función de Exim. Asimismo, se ha reportado que el gusano tiene la capacidad de afectar a servidores Azure por medio de la explotación de la misma vulnerabilidad.

Boletín: 13 de junio de 2019

Vulnerabilidad crítica descubierta en componentes Cisco Industrial Enterprise

Explotación de la vulnerabilidad (CVE-2019-1861) permitiría a un atacante la ejecución de código arbitrario con privilegios elevados sobre componentes afectados, generalmente presentes en redes industriales y empresariales.

La vulnerabilidad radica en la validación incorrecta de los archivos cargados en la aplicación Industrial Network Director, permitiendo a un adversario cargar un archivo con código arbitrario a ejecutar.

Boletín: 30 de mayo de 2019

Nuevo malware denominado LightNeuron que afecta a los servidores de correo electrónico de Microsoft Exchange

Investigadores han descubierto un nuevo malware denominado LightNeuron que afecta a organizaciones a lo largo de latino américa. El malware es una puerta trasera de Microsoft Exchange con las capacidades de leer, bloquear y hasta redactar correos electrónicos de forma remota en el sistema infectado.

LightNeuron es el primer malware conocido que se aprovecha del mecanismo de agente de transporte de Microsoft Exchange. El malware usa técnicas de estenografía para ocultar sus comandos dentro de documentos PDF o imágenes JPG. Esto le da al atacante la habilidad de exfiltrar de forma sigilosa información sensibles y también para controlar otras máquinas locales a través de un mecanismo de C&C que es complejo de detectar y bloquear.

Boletín: 22 de mayo de 2019

Se revelan ataques a las vulnerabilidades MDS que afectan a procesadores Intel

Investigadores han revelado una nueva forma de atacar y explotar las vulnerabilidades que afectan a la microarquitectura de datos (MDS) de los procesadores de Intel.

Estas vulnerabilidades abusan de los Buffers internos de la CPU, lo cual podría ser utilizado por un adversario para exfiltrar datos sensibles/privados escritos en la memoria caché, sin necesidad de contar con acceso privilegiado o de administrador.

Las vulnerabilidades explotadas se identifican de los siguientes CVE:
CVE-2018-12126: Vulnerabilidad Fallout.
CVE-2018-12127: Vulnerabilidad RIDL.
CVE-2019-11091: Vulnerabilidad RIDL.

Boletín: 16 de mayo de 2019

Vulnerabilidad que afecta a diversas versiones de Windows

Una nueva vulnerabilidad crítica (CVE-2019-0708) se ha descubierto en los sistemas operativos de Windows, afectando específicamente las versiones XP, 7, 2003 y Windows Server 2008 R2.

La vulnerabilidad radica en los servicios de escritorio remoto (RDP), la cual puede ser explotada de forma remota por un atacante, permitiéndole obtener privilegios de administrador en los sistemas comprometidos.

Boletín: 09 de mayo de 2019

Vulnerabilidad en servidores Elastic de CISCO.

Una nueva vulnerabilidad crítica (CVE-2019-1867) se ha descubierto en servidores Elastic de CISCO, la cual permitiría a actores maliciosos tomar posesión de los “controladores” de Cisco. La vulnerabilidad radica en la validación incorrecta de solicitudes API REST.

La falla puede ser explotada de forma remota y cuenta con las capacidades de permitir a los atacantes ejecutar acciones arbitrarias en los sistemas afectados, sin requerir privilegios de administrador.

Boletín: 02 de mayo de 2019

Vulnerabilidad de Zero-Day en servidores WebLogic de Oracle.

Se han observado al menos dos campañas explotando la vulnerabilidad de día cero CVE-2019-2725 en servidores WebLogic de Oracle para la distribución de ransomware (Sodinokibi y GandCrab) y además para distribuir Muhstik Botnet (generalmente utilizado para Cryptomining y ataques de denegación de servicios-DDoS).

La vulnerabilidad afecta a todas las versiones de WebLogic que tienen los componentes wls9_async_response.war y wls-wsat.war habilitados en sus servicios.

Boletín: 25 de abril de 2019

Nueva campaña de troyano Qbot afecta a Sudamérica

Qbot (QakBot), es un troyano diseñado para robar información financiera, ha resurgido nuevamente con una técnica de infección basada en Phishing que es capaz de evadir las defensas anti-spam.

El malware es conocido por su comportamiento polimórfico y por su capacidad de replicarse como gusano a través de unidades compartidas y medios extraíbles.

El vector de infección comienza con un correo electrónico (Phishing), el cual está contextualizado con una cadena existente de correos, para así evadir filtros anti-spam. El correo contiene un enlace a un archivo malicioso en OneDrive, el cual entrega un VBScript (Microsoft Visual Basic Scripting Edition) en un archivo comprimido Zip.

El objetivo del malware es extraer información financiera de la victima utilizando técnicas y herramientas tales como keyloggers para robar credenciales / cookies y el uso de Process Hooking.

Boletín: 18 de abril de 2019

Vulnerabilidad en servidores Apache Tomcat

Se ha identificado una nueva vulnerabilidad que afecta a la Interfaz de Entrada Común (CGI) de los servidores de aplicaciones de Apache Tomcat. La vulnerabilidad, conocida como CVE-2019-0232, permite a actores de amenazas tomar control remoto y ejecutar código malicioso en los sistemas comprometidos sobre Windows.

Versiones de Tomcat afectadas por la vulnerabilidad:

• Apache Tomcat 9.0.0.M1 hasta 9.0.17
• Apache Tomcat 8.5.0 hasta 8.5.39
• Apache Tomcat 7.0.0 hasta 7.0.93

Boletín: 11 de abril de 2019

N40, el troyano que amenaza al sector financiero.

Se ha identificado una nueva campaña de Phishing esparciendo el troyano, la cual intenta engañar a sus objetivos por medio de una alerta de demanda pendiente, ofreciendo servicios de la empresa “Asesoría Legal Comercial Ltda” para representar al usuario en tribunales judiciales.

N40 cuneta con un flujo de ejecución de varias etapas, lo cual utiliza para evitar su detección. N40 esta diseñado para para robar todo tipo de datos personales y financieros del usuario afectado.

¿Qué tiene de especial?

• Utiliza vulnerabilidades para eludir sistemas de control.
• Utiliza binarios firmados con certificados comprometidos, para eludir sistemas de detección.
• Utiliza técnicas de ofuscación.
• Utiliza técnicas de Clipboard Criptojacking.

Boletín: 28 de marzo de 2019

Trojano EMOTET activo en la región

Nuevas campañas esparciendo el troyano EMOTET se han detectado en los sistemas de organizaciones en el sector financiero en la región.

EMOTET es un troyano bancario que obtiene información financiera al inyectar código malicioso en los sistemas objetivo, permitiendo que información sensible y confidencial (como credenciales bancarias) sea robada por los atacantes.

El malware cuenta con los siguientes módulos:

• Modulo de spam.
• Modulo de gusano de red.
• Modulo para la visualizar la contraseña del correo electrónico.
• Modulo para visualizar las contraseñas del navegador web. 

Boletín: 13 de noviembre de 2018

Aplicación bancaria falsa se propaga a través de SMShing

En esta campaña, los atacantes cargaron con éxito una aplicación maliciosa en Google Play Store que suplantaba a una popular marca bancaria española. La aplicación se extendió a través de lo que se conoce en la industria como phishing sofisticado; las víctimas fueron engañadas fácilmente para que descargaran la aplicación falsa, dado que estaba alojada en Google Play Store y que estaba asociada con una marca de banca familiar y de confianza en su región geográfica. Además, la aplicación se entregó a través de enlaces de phishing basados ​​en SMS que en algunos casos puede ser más exitosos desde una perspectiva de ingeniería social en los ataques centrados en la industria de servicios financieros.

La aplicación maliciosa recopiló el ID de dispositivo, la versión del sistema operativo y el código de país. Adicionalmente, también transmitió números de teléfono y mensajes SMS a su servidor de Comando y Control (C2), esta información sensible que podría ser utilizada por los atacantes para autorizar transacciones bancarias. Google ha eliminado con éxito la aplicación de Play Store.

Si bien esta campaña ha sido detenida, es un caso de estudio útil para determinar que deben realizar las organizaciones para un ejecutar un monitoreo preventivo riguroso sobre su marca y potencialmente prevenir la distribución potencial de aplicaciones móviles que suplanta las aplicaciones de marca legítima.

Boletín: 06 de noviembre de 2018

El malware Trickbot evoluciona con módulo de captura de contraseñas

El malware Trickbot ha sido objeto de mucho análisis dada su prevalencia persistente en ataques contra la industria de servicios financieros y su notable capacidad de adaptación; el malware evoluciona constantemente a través de actualizaciones modulares que le permiten atacar a sus víctimas con formas nuevas e innovadoras. Trickbot es digno de consideración actual dada su reciente adición de un módulo que apunta a robar las credenciales de contraseña de los usuarios de una variedad de navegadores y aplicaciones comunes. Los investigadores de seguridad de TrendMicro publicaron recientemente un análisis técnico del nuevo módulo pwgrab32 dirigido a usuarios en los Estados Unidos, Canadá y Filipinas.

El módulo pwgrab32, también conocido como PasswordGrabber, roba credenciales de aplicaciones como Filezilla, Microsoft Outlook y WinSCP. El módulo de captura de contraseñas también tiene la capacidad de obtener credenciales de navegadores web comunes como Google Chrome, Mozilla Firefox, Internet Explorer, y Microsoft Edge, que otorga al actor de amenazas detrás de la infección de malware acceso a nombres de usuario y contraseñas, cookies de Internet, historial de navegación, autocompletado y publicaciones HTTP transmitidas en los navegadores afectados.

Esta reciente innovación en la operatividad de Trickbot debería, por lo tanto, ser motivo de preocupación para los defensores de la infraestructura empresarial; Trickbot se propaga de manera eficiente con correos electrónicos de phishing diseñados socialmente y de gran calidad, y este módulo reciente presenta el riesgo de un serio compromiso, dada su capacidad para robar credenciales de una amplia gama de interfaces de uso común.

Boletín: 23 de octubre de 2018

Bugs encontrados en sistema operativo en tiempo real permiten comprometer dispositivos IoT:

Investigadores han encontrado que un conocido sistema operativo utilizado en dispositivos IoT contiene vulnerabilidades que podrían ser explotadas por atacantes para exfiltrar datos y tomar control total de los dispositivos. Entre los sistemas operativos afectados se encuentran: FreeRTOS V10.0.1 (con FreeRTOS + TCP), AWS FreeRTOS V1.3.1 y versiones posteriores.

FreeRTOS proporciona un sistema operativo para los microcontroladores, que los proveedores pueden agrupar junto con otros componentes en dispositivos y soluciones de IoT, incluido el stack TCP/IP, los módulos de conectividad y las actualizaciones por aire (OTA).

En el 2017 Amazon asumió la administración del sistema operativo y extendió el kernel FreeRTOS a sus bibliotecas de software, por lo que los dispositivos IoT podrían conectarse a los servicios en la nube de AWS como AWS IoT Core.

Las vulnerabilidades se encontraron específicamente en el stack TCP/IP del kernel FreeRTOS y en los módulos de conectividad segura de AWS.

Las vulnerabilidades detectadas incluyen cuatro errores de ejecución remota de código (CVE-2018-16522, CVE-2018-16525, CVE-2018-16526 y CVE-2018-16528); siete vulnerabilidades de fuga de información (CVE-2018-16524, CVE-2018-16527, CVE-2018-16599, CVE-2018-16600, CVE-2018-16601, CVE-2018-16602 y (CVE-2018-16603) una denegación de servicio (CVE-2018-16523).

Boletín: 12 de octubre de 2018

El grupo APT Hidden Cobra reaparece con nuevo ataque apodado FASTCash:

El conocido grupo Hidden Cobra presuntamente avalado por el gobierno de Corea del Norte, ha sido detectado detrás una nueva operación que tiene como objetivo comprometer servidores bancarios.

Más específicamente servidores de aplicaciones de pago fueron infectados, de esta manera los atacantes interceptan las solicitudes de transacción emitiendo confirmaciones falsas sin validación de los sistemas bancarios centrales, permitiendo retirar cualquier monto de efectivo de un cajero bancario sin ser detectados.

Se cree que el vector de infección utilizado por los ciberdelincuentes fue phishing, donde a través de correos electrónicos con contenido malicioso son infectadas las víctimas.

Una intrusión exitosa en la red puede tener graves impactos, particularmente si el compromiso se hace público. Los posibles impactos a la organización incluyen pérdidas monetarias, Pérdida temporal o permanente de información confidencial o de propiedad exclusiva y Daño potencial a la reputación de una organización.

Boletín: 02 de octubre de 2018

Nueva versión de VPNFilter posee capacidades aún mayores:

VPNFilter es un conocido malware multi-modular que ha infectado a miles de dispositivos de red en todo el mundo, especialmente dispositivos MikroTik. La nueva versión de VPNFilter posee múltiples herramientas que podrían utilizarse para llevar a cabo movimientos laterales dentro la red comprometida y también identificar nuevos dispositivos de borde en otras redes de interés para los atacantes. Adicionalmente, posee la capacidad de construir una red distribuida de proxies para enmascarar la fuente del ataque, lo cual sugiere que los actores podrían estar planificando una serie de futuros ataques.

La naturaleza sofisticada de VPNFilter ilustra aún más las capacidades avanzadas de los actores que hacen uso de él, así como la necesidad de que las organizaciones implementen medidas robustas para combatir amenazas como VPNFilter.

Boletín: 25 de septiembre de 2018

Estafa denominada “Evil Cursor” es utilizada para secuestrar sesiones de Google Chrome

Una estafa de un supuesto soporte técnico proporcionado por Windows está utilizando una técnica novedosa para secuestrar sesiones de navegación de usuarios del conocido explorador Google Chrome.

La campaña re direcciona a los usuarios a páginas falsas que contienen la nueva técnica de “browlock”, creada específicamente para explotar la versión 69.0.3497.81. de Google Chrome.

Las víctimas son redirigidas a dominios maliciosos a través de publicidades engañosas, hasta la fecha 16.000 dominios han sido identificados bajo la estafa Evil Cursor.

La técnica utilizada por Evil Cursor secuestra el mouse del usuario a través de un código HTML que decodifica un cursor de baja resolución. La inclusión de un píxel transparente de 128x128 convierte el puntero en una "caja grande" que según los investigadores engaña a los usuarios haciéndoles creer que están haciendo clic en un punto específico, o fuera de la sesión, cuando en realidad no pueden.

Posteriormente, la supuesta advertencia de Windows aparece donde es proporcionado un número de "soporte técnico" para resolver el problema, en el cual los estafadores pueden intentar vender software malicioso u obtener acceso remoto al computador de un usuario.

Boletín: 20 de septiembre de 2018

El Ransomware Ryuk evoluciona deshabilitando soluciones de seguridad conocidas   

Según los investigadores el ransomware Ryuk está vinculado al notorio grupo APT Lazarus, acumulando hasta la fecha más de $640,000 en bitcoins. El ransomware ha sido detectado intentando deshabilitar soluciones de seguridad instaladas en los computadores de las víctimas. Adicionalmente, las copias VSS (Volume Shadow Copy) de Windows son eliminadas antes que el ransomware comience el procedimiento de encriptado, esta tecnología permite realizar de forma manual o automática copias de seguridad de los archivos el sistema o volúmenes.

Windows realiza de forma predeterminada hasta 64 copias de respaldo, que permite a los usuarios recuperar datos en caso de pérdida, sin embargo, Ryuk al eliminar dichos respaldos y también modificando el espacio de almacenamiento elimina cualquier posibilidad de recuperar los archivos. Ryuk también intenta detener los procesos que pertenecen a algún software de protección AV, entre ellos los procesos de los productos Sophos y Symantec System Recovery.

Boletín: 04 de septiembre de 2018

Una nueva cadena de ataque, la cual explota Microsoft Windows Utilities para evitar detecciones y potencialmente al exfiltrar datos ha sido detectada.

Los atacantes descargan un archivo XLS desde un servidor remoto a través de una campaña de phishing que contiene un enlace URL malicioso con un comando de instrumentación de Windows. El archivo malicioso XLS contiene código JavaScript que se ejecuta mediante el uso de mshta.exe, un proceso legítimo de Windows utilizado para ejecutar el host de aplicaciones HTML de Microsoft. La amenaza incluye módulos tanto para el robo de información como contraseñas de correo electrónico, al mismo tiempo que utiliza una puerta trasera para mantener persistencia el na red comprometida.

Los ataques “fileless” se caracterizan por utilizar procesos y herramientas legitimas disponibles en los sistemas de las víctimas. El uso de Microsoft Windows Utilities es comúnmente explotado por ciber-criminales para propagar amenazas, sin embargo, en este caso es usada para realizar descargas de archivos maliciosos y evitar algún tipo de detección por software especializado.

Boletín: 28 de agosto de 2018

El grupo APT Lazarus ha sido detectado utilizando el malware apodado “Fallchild” para infectar a sus víctimas.

El conocido grupo APT ha desarrollado Fallchild para sistemas operativos macOS, lo cual sugeriría que el grupo está expandiendo sus ataques a una variedad más amplia de plataformas para así obtener mayores ganancias monetarias. La operación ha sido apodada por los investigadores como “AppleJeus” y es utilizada dentro de una aplicación de intercambio de criptomonedas aparentemente legítima para repartir el malware Fallchild. Múltiples informes incluido uno de la US-CERT en el último año han señalado la reaparición de Fallchild. El malware corresponde a un troyano de acceso remoto (RAT) completamente funcional y es una de las herramientas más comúnmente utilizadas por el grupo APT.

Dentro de la Operación “AppleJeus”, el código malicioso fue introducido en la actualización de una aplicación de comercio de criptomonedas. El actualizador es utilizado para recopilar información sobre el sistema de la víctima para luego transmitir los datos al servidor de comando y control de los atacantes. Si los atacantes deciden continuar con el ataque, es enviada una actualización de software para instalar Fallchild. De esta manera, es posible extraer información confidencial de la víctima.

Boletín: 21 de agosto de 2018

Nueva variante de Trickbot detectada en campaña de Spam

Trickbot es un troyano bancario modular en su diseño, el cual se conoce desde 2016. Una nueva variante de Trickbot ha sido recientemente descubierta, la cual innova en el vector de infección utilizado para infectar a sus víctimas. Campañas recientes de spam que distribuyen Trickbot (principalmente a España y EEUU) comienzan por esparcir archivos Word maliciosos. La ejecución del troyano comienza cuando el usuario habilita Macros, y solo si la función de “zoom” es utilizada en el documento. El requerimiento del uso de la función de zoom previo a la infección es una novedosa técnica de anti-sandobxing incorporada por Trickbot, la cual es complementada con la desactivación de herramientas de seguridad, para así evitar su detección.

Para comprometer a sus víctimas, Trickbot “vacía” (holllows) código legítimo de espacios de memoria en el sistema objetivo y los sobre-escribe con código malicioso, en lugar de inyectar dicho código directamente a programas ejecutándose en el sistema.

Boletín: 14 de agosto de 2018

Nueva campaña de ransomware bajo el nombre KeyPass ha sido detectada:

Se ha detectado que el ransomware KeyPass está siendo propagado a través de instaladores de software falsos, los cuales al ser descargados se encargan de instalar el módulo malicioso en el sistema de la víctima. Adicionalmente, se ha observado que KeyPass tiene la capacidad de tomar control manual del proceso de encriptado a través de un formulario oculto. Este permitiría al atacante personalizar parámetros, lo cual podría ser un indicador que los atacantes detrás de la amenaza podrían usarla para ataques manuales. Hasta la fecha Brasil encabeza la lista con la mayor cantidad de usuarios infectados por KeyPass.

KeyPass enumera unidades locales y recursos compartidos de red accesibles desde la máquina infectada. Busca todos los archivos, independientemente de su extensión y salta archivos ubicados en varios directorios, cuyas rutas están codificadas en la muestra. De acuerdo a la nota del ransom, el precio para el descifrado es de USD $300, de igual forma se indica que el único método para la recuperación de los archivos es a través de la compra del software ofrecido.

Boletín: 07 de agosto de 2018

Campaña de malware compromete más de 210.000 routers MikroTik en el mundo

Al menos tres campañas masivas de malware enfocadas en explotar miles de routers MikroTik han sido detectadas recientemente. El objetivo principal de estas campañas es instalar malware de minado de criptomonedas en los sistemas afectados (Coinhive), explotando una vulnerabilidad conocida (CVE-2018-14847) en el componente Winbox del sistema operativo RouterOS usado por dichos routers. Cabe destacar que MikroTik liberó un parche para mitigar la vulnerabilidad durante abril. Aproximadamente un 33% (~70.000) de los routers afectados se encuentran en Brasil. Sin embargo, ya se han detectado casos de routers MikroTik comprometidos en otras regiones.

La falla de seguridad puede permitir potencialmente que un atacante obtenga acceso remoto no autenticado a cualquier router MikroTik vulnerable. Al tomar control del router, los atacantes inyectan código JavaScript asociado a Coinhive en cada página web que un usuario visita, lo que finalmente obliga a cada computador conectado a minar criptomonedas. Los usuarios afectados por esta campaña pueden sufrir de una potencial degradación del sistema y exfiltración de datos.

Boletín: 31 de julio del 2018

El backdoor malware FELIXROOT resurge en una nueva campaña:

Después de unos meses de ausencia, el backdoor malware FELIXROOT ha sido detectado en una nueva campaña de malspam. La campaña usa documentos maliciosos que afirman contener información sobre seminarios de protección ambiental. Este malware tiene una gama de funciones, incluida la capacidad de ejecutar archivos y secuencias de comandos, ejecución remota de Shell y exfiltración de información.

El archivo adjunto explota la vulnerabilidad de Microsoft Office CVE-2017-0199 para descargar una carga útil de segunda etapa; luego, el archivo descargado se arma con código malicioso a través del CVE-2017-11882 para colocar y ejecutar el binario de puerta trasera en la máquina de la víctima.

Tras la ejecución, la puerta trasera duerme durante 10 minutos, luego continúa con un triage inicial del sistema antes de establecer comunicaciones con el servidor de comando y control (C2). Consulta la API de Windows para obtener el nombre de la computadora, el nombre de usuario, la versión de Windows, la arquitectura del procesador, etc. Los parches para ambas vulnerabilidades están disponibles, sin embargo, los investigadores aseguran que son dos de las vulnerabilidades más comúnmente explotadas, por lo que las organizaciones deben asegurarse de que estén protegidas.

Boletín: 24 de julio del 2018

Troyano bancario Emotet resurge en nueva campaña de malspam

Emotet es un troyano bancario avanzado y modular que funciona principalmente como downloader o dropper de otros troyanos bancarios. Adicionalmente, se comporta como un troyano de banca polimórfica que puede evadir la detección típica basada en firmas. Tiene varios métodos para mantener la persistencia y utiliza bibliotecas de enlaces dinámicos (DLL) para evolucionar y actualizar continuamente sus capacidades. Las campañas más recientes de malspam utilizadas para propagar Emotet imitan recibos de PayPal, notificaciones de envío o facturas vencidas supuestamente de MS-ISAC. La infección inicial se produce cuando un usuario abre o hace clic en el enlace de descarga malicioso, PDF o documento de Microsoft Word incluido en el malspam. Una vez descargado, Emotet establece la persistencia e intenta propagarse en las redes locales a través de módulos expansores incorporados.

Boletín: 18 de julio del 2018

La campaña de ciberespionaje de Blackgear resurge abusando de las redes sociales para la comunicación

Blackgear, una campaña de ciberespionaje basada en la puerta trasera Protux, ahora resurge con cambios notables dirigidos a varias industrias, incluidas las agencias del sector público y las telecomunicaciones. La versión actualizada cambia la forma en que se recupera la información de comando y control al encontrar la configuración encriptada a través de palabras clave en servicios de blog.

Para evadir la detección oculta su configuración de comando y control, abusando de los servicios de blogging, microblogging y redes sociales. Esto permite a los actores amenazados cambiar rápidamente los servidores, según sea necesario, prolongando la infección en el sistema y permitiendo a los atacantes llevar a cabo más movimientos laterales.

Boletín: 10 de julio del 2018

Botnet Hide 'N Seek

El botnet Hide 'N Seek surgió inicialmente en enero del 2018, infectando a más de 20.000 dispositivos, el mismo aprovechó la vulnerabilidad CVE-201-10401 para propagar código malicioso y robar datos del usuario. Hide 'N Seek está ahora apuntando también a soluciones de bases de datos multiplataforma. Actualmente es el primer malware IoT que implementa un mecanismo de persistencia para mantener los dispositivos infectados después del reinicio. El botnet ahora tiene como objetivo los tipos de dispositivos que utilizan los siguientes exploits: TPLink-Routers RCE, Netgear RCE, AVTECH RCE, CISCO Linksys Router RCE, JAW/1.0 RCE, OrientDB RCE, CouchDB RCE.

Boletín: 05 de julio del 2018

Vulnerabilidad crítica llamada “Rampage” afecta dispositivos Android

Investigadores han publicado detalles sobre una vulnerabilidad crítica llamada “Rampage” que afecta a dispositivos Android como tablets y teléfonos inteligentes. Si se explota con éxito, la vulnerabilidad se puede utilizar para obtener acceso completo y control sobre el dispositivo de la víctima. La vulnerabilidad afecta el aislamiento entre el sistema operativo y las aplicaciones de usuario, como también las páginas de memoria dentro de la RAM, lo cual permite acceso arbitrario de lectura y escritura en un dispositivo. Los investigadores también notaron que es probable que un ataque similar sea posible en dispositivos móviles con otro sistema operativo, computadoras personales y la nube.

Aún no existe parche para la vulnerabilidad. En particular, Rampage explota el error de Rowhammer, un conocido error de hardware descubierto hace unos años, donde los transistores dejan pasar electricidad a filas adyacentes. Según los investigadores, los chips de memoria antes mencionados se utilizan de manera efectiva en dispositivos Android enviados desde 2012.Aún no hay parche para la vulnerabilidad. Los investigadores también notaron que es probable que un ataque similar sea posible en productos Apple, computadoras personales y la nube.

Boletín: 26 de junio del 2018

Vulnerabilidad TLBleed afecta a procesadores Intel

Un grupo de investigadores de seguridad ha descubierto una vulnerabilidad que afecta el búfer de traducción anticipada de instrucciones (Translation Lookaside Buffer - TLB) en procesadores Intel. La vulnerabilidad, conocida como “TLBleed”, puede ser explotada para extraer claves criptográficas de programas en ejecución, asegurando un 98% de éxito según el modelo de procesador. El grupo que ha descubierto TLBleed asegura que los procesadores AMD estarían en riesgo de ser afectados una falla similar. Intel ha anunciado que no lanzará parches o actualizaciones de emergencia para esta vulnerabilidad, indicando que las medidas de mitigación ya existentes son suficientes para prevenir que TLBleed sea explotada por actores maliciosos.

Boletín: 21 de junio del 2018

Grupo APT15 resurge con nuevo malware MirageFox

El grupo de cibercriminales APT15, también conocido como K3chang, Vixen Panda y Playful Dragon, ha reaparecido con un nuevo malware, al cual los expertos han llamado MirageFox. Análisis preliminares muestran que MirageFox es una versión actualizada de un troyano de acceso remoto (RAT) lanzado en 2012. MirageFox es capaz de recopilar información del equipo infectado y espera órdenes de un servidor de comando y control (C&C), además de infiltrarse en la red interna de la organización ya comprometida usando una red privada virtual (VPN). APT15 ha sido previamente vinculada al gobierno chino, dirigiendo sus ataques a sectores como organizaciones gubernamentales, empresas contratistas de defensa y otras entidades privadas.

Boletín: 13 de junio del 2018

Ransomware “RedEye” ataca Master Boot Record de víctimas y destruye información:

El recientemente descubierto ransomware “RedEye” se caracteriza por bloquear la máquina afectada y pedir un pago de 0.1 Bitcoins (~ $652 USD), advirtiendo a la víctima que destruirá el disco duro si no efectúa el pago en cuatro días.  Al cumplirse el plazo, “RedEye” sobrescribe el contenido de los archivos secuestrado con Bytes en “0”, dejándolos inutilizables. Luego, RedEye reinicia la máquina para reemplazar el Master Boot Record (MBR) de ésta, bloqueando así el acceso al sistema operativo. El ransomware se caracteriza por contener varios efectos de audio y video, lo cual explica el tamaño inusual del archivo ejecutable, que oscila en los 35 MB.

“RedEye” se distribuye a través de Twitter, y habría sido creado por el equipo detrás de los ransomware “Jigsaw” y “Annabelle”, descubiertos en 2016 y 2017 respectivamente.

Boletín 05 de junio del 2018

Grupo “HIDDEN COBRA” ataca a instituciones financieras en América Latina:

El grupo de cibercriminales "HIDDEN COBRA" está llevando a cabo una serie de ataques a instituciones financieras y de infraestructura crítica con el fin de robar información y manipular redes de forma remota. El grupo usa el troyano de acceso remoto (RAT) Joanap para obtener acceso a sistemas críticos y establecer conexión con botnets, y Brambul, un gusano de autenticación de fuerza bruta que abusa del protocolo de bloqueo de mensajes del servidor (SMB) para propagarse a otros sistemas. Se han detectado redes comprometidas en Argentina, Brasil y Colombia, entre otros.  Expertos recomiendan mantener los sistemas operativos actualizados, desactivar SMB y evitar la ejecución de software desconocido. 

Boletín: 29 de mayo del 2018

Malware VPNFilter amenaza a dispositivos de red a nivel global:

Según investigadores que descubrieron el malware, VPNFilter cuenta con un diseño modular, lo cual lo vuelve una herramienta versátil para conducir operaciones de recolección de inteligencia en sus objetivos. Del mismo modo, VPNFilter tiene la capacidad de afectar directamente las operaciones de negocios de organizaciones que se ven infectadas por la amenaza.

Investigación inicial indicaría que le malware podría estar relacionado al grupo de actores APT28 (Sofacy / Fancy Bear) el cual se especula tiene vínculos directos y es patrocinado por el gobierno Ruso.

VPNFilter utiliza un proceso de compromiso de múltiples etapas: La primera fase se encarga de asegurar la persistencia del malware en el sistema, incluso luego de un reinicio. La segunda fase permite a los atacantes deshabilitar uno todos los dispositivos comprometidos de una sola vez, por lo cual se considera la fase más destructiva del malware. La fase tres del malware es utilizada para descargar plug-ins que aumentan las capacidades del malware, permitiendo comprometer a sus víctimas en un mayor nivel.

Boletín: 22 de Mayo del 2018

Malware de criptominado “WinstarNssmMiner” infecta a más de 500.000 víctimas en 3 días:

El recientemente descubierto malware de criptominado ha sido capaz de minar 133 monedas de Monero (XMR) en un período de tres días (~$26,000 USD). El malware presenta un desafío particular para los usuarios, ya que además de efectuar funciones de minado, es capaz de generar un fallo de sistema en la máquina afectada. 

WinstarNssmMiner basa parte de su código fuente en la herramienta legitima de código abierto de minado ce monedas XMRig. El malware incluye funciones de anti-detección que buscan indicadores de presencia de herramientas de anti-virus de marcas específicas de renombre, deteniendo su ejecución en caso de ser positivo. En caso de detectar otras marcas de anti-virus presentes en el sistema, WinstarNssmMiner intenta desactivarlas para evitar su detección. Ya que el malware utiliza el proceso svchost.exe para su ejecución, si un usuario detecta un proceso malicioso de minado y lo termina, esto culmina en un fallo del sistema, forzando un reinicio del mismo.

Boletín: 15 de mayo del 2018

Bug en Framework Electron permitiría ataques de RCE (Remote Code Execution):

Analistas de seguridad han encontrado una vulnerabilidad crítica en el framework de código abierto Electron, ampliamente utilizado para la creación de aplicaciones web. El framework permite la creación de aplicaciones híbridas de escritorio al facilitar la integración de los framework Chromium in Node.js por medio de APIs. Para limitar el acceso a node.js, Electro utiliza por defecto un flag llamado “webviewTag:false”. La vulnerabilidad encontrada abusa a aplicaciones creadas con el framework que no declaran explícitamente el valor del flag “webviewTag”, lo que permite a los adversarios realizar un ataque de XSS (Cross-Site Scripting) lo cual les permite la ejecución de código remoto (RCE).

Electros es utilizado pro aplicaciones móviles masivas, como lo son WhatsApp, WordPress, Skype, GitHub desktop, Slack, Signal y otros.

Boletín: 08 de mayo 2018

Malware para móviles Android “ZooPark” puede grabar llamadas y robar información:

La cuarte iteración de la familia ZooPark de malware móvil expande ampliamente las capacidades de sus predecesores. La reciente versión de ZooPark permite a los atacantes robar información almacenada en el portapapeles del dispositivo, registrar actividad del teclado (keylog), exfiltrar archivos almacenados en el dispositivo (fotos, videos, etc.) e incluso el grabar conversaciones telefónicas.

Debido a que la firma que descubrió ZooPark ha notado un nivel de infección relativamente bajo (en comparación con otros malware), se cree que los actores detrás de ZooPark escogen selectivamente a sus objetivos de infección. Esto da pie para especular sobre la posibilidad de que las operaciones del grupo sean patrocinadas por un estado nación.

Actualmente las victimas de ZooPark se encuentran localizadas principalmente en Oriente Medio y Norte de África, con foco particular en Moroco, Egipto, Lévano, Irán y Jordania.

El malware se distribuye principalmente por medio de canales de Telegram, y también por medio de ataques de bebedero (waterhole) a través de sitios de noticias en árabe.

Boletín: 24 de abril 2018

Actores Rusos amenazas sector de energía y producción industrial:

El grupo de actores asociado al gobierno Ruso Energetic Bear (también conocidos como Dragonfly, Crouching Yeti, Group 24, Havex y Koala Team) ha estado operativo desde al menos el 2011, atacando a organizaciones en diversos sectores de industria, como los son aeroespacial y defensa. Sin embargo, las campañas más recientes del grupo se han enfocado en organizaciones en el sector de energía y recursos, o aquellas que utilizan procesos industriales apoyados por redes ICS/SCADA.

El grupo utiliza servidores de organizaciones comprometidas como punto de pivota para lanzar otros ataques, típicamente hosteando herramientas o utilizándolos para ataques de bebedero (waterhole attacks).

La actividad del grupo está estrechamente relacionada con un alerta (TA18-106A) liberada recientemente por parte del US-CERT en conjunto con el gobierno de UK, donde detallan operaciones de la campaña denominada “Grizzly Steppe”, la cual entre otros, se enfoca en comprometer dispositivos de red en sus objetivos.

Boletín: 9 de Abril de 2018

Nueva variante de la Botnet Mirai lanza ataque DDoS al sector financiero:

Una nueva variante de la Botnet Mirai ha sido utilizada para lanzar ataques de negación distribuida de servicio (DDoS) contra instituciones financieras. Los ataques utilizaron al menos 13.000 dispositivos IoT secuestrados que generan volúmenes de tráfico de hasta 30Gbps. Investigadores detectaron los ataques que se dividieron en tres etapas, concentrándose en instituciones financieras ubicadas en Rusia y Ucrania, con algunos casos también registrados en Brasil.

La botent Mirai está constantemente buscando dispositivos conectados (IoT) con bajas medidas de seguridad para reclutar a su red, la cual durante 2018 se estimo contiene aproximadamente 800,000 dispositivos zombie.

Boletín: 4 de Abril 2018

ANDROIDOS HIDDENMINER puede “brickear” dispositivos infectados: El malware diseñado para afectar a dispositivos móviles Android secuestra la CPU de su víctima para minar la criptomoneda Monero. El uso de CPU por parte de HIDDENMINER es tan alto, que puede causar reinicio del dispositivo, e incluso daño permanente. El malware se distribuye por medio de Google Play, disfrazado como una aplicación legítima. HIDDENM]INER abusa una vulnerabilidad presente en el sistema operativo Android (Nougat y versiones anteriores) para bloquear la pantalla cuando el usuario intenta remover permisos de administrador a la aplicación.

“njRAT Lime Edition” distribuye ransomware y malware para billeteras de criptomonedas: Si bien njRAT es conocido desde el 2013, la última variante de malware utilizada por atacantes incorpora Lime ransomware como un elemento adicional para comprometer a sus víctimas, encriptando archivos locales con AES-256. Esta nueva versión de njRAT además intenta obtener información sobre billeteras de criptomonedas presentes en el sistema infectado para ser enviadas a servidores de comando y control (C&C)

Plataforma SWIFT abusada para enviar transacciones fraudulentas en Banco Central de Malasia: Autoridades del Banco central de Malasia alertaron respecto a transacciones SWIFT fraudulentas detectadas en sus sistemas, las cuales pretendían generar transferencias de fondos ilegitimas. El banco pudo detener dichas transacciones y evitar pérdidas. A raíz de esto, el Banco Central de Filipinas anunció que tomará medidas para resguardarse frente a un potencial ataque, sospechando una posible campaña en la región.

Bolétin CIC: 21 de marzo 2018

Ataque de malware a momentos de generar explosión en planta de petróleos en Arabia Saudita: Atacantes que se creen están asociados con una nación estado rival de Arabia Saudita  lanzaron un ataque con malware, el cual tenía como objetivo generar una explosión en la planta, lo cual típicamente se conoce como DeOS (Destruction of Service). El ataque en cuestión afecta a dispositivos de control Triconex, y no logro su objetivo de generar una explosión debido a una mal configuración en el código del malware utilizado. Sin embargo, el ataque forzó el apagado del sistema afectado.

US-CERT advierte sobre infiltración Rusa en sistemas críticos: El US-CERT lanzó una alerta (TA18-074A) en base a un análisis desarrollado por el Department of Homeland Security (DHS) y el Federal Bureau of Investigation (FBI), en el cual se describen los esfuerzos por actores Rusos de infiltrar y atacar diversas organizaciones consideradas como infraestructura crítica en U.S. El reporte detalla esfuerzos de actores rusos para comprometer organizaciones americanas desde Marzo del 2016,  enfocándose en sectores como energía (nuclear), servicios básicos (suministro de agua), aviación y otros.

APT28 utiliza vulnerabilidad en Adobe Flash para campaña de espionaje: El grupo de actores se cree está directamente liderado por autoridades rusas, y es reconocido por operaciones previas las cuales han tenido como objetivo gobiernos adversarios. El grupo, también conocido como Fancy Bear, abusa una vulnerabilidad presente en Adobe Flash Player en su última campaña para servir malware espía (spyware) a sus objetivos, la cual se enfoca principalmente en entidades dentro de Europa. La campaña utiliza DealersChoice (Plataforma para la explotación de Flash) con una nueva técnica de evasión, la cual solo gatilla el exploit cunado una página específica del documento señuelo es vista por el usuario.

Boletín CIC: 13 de marzo 2018

Ataque de malware a momentos de generar explosión en planta de petróleos en Arabia Saudita: Atacantes que se creen están asociados con una nación estado rival de Arabia Saudita  lanzaron un ataque con malware, el cual tenía como objetivo generar una explosión en la planta, lo cual típicamente se conoce como DeOS (Destruction of Service). El ataque en cuestión afecta a dispositivos de control Triconex, y no logro su objetivo de generar una explosión debido a una mal configuración en el código del malware utilizado. Sin embargo, el ataque forzó el apagado del sistema afectado.

US-CERT advierte sobre infiltración Rusa en sistemas críticos: El US-CERT lanzó una alerta (TA18-074A) en base a un análisis desarrollado por el Department of Homeland Security (DHS) y el Federal Bureau of Investigation (FBI), en el cual se describen los esfuerzos por actores Rusos de infiltrar y atacar diversas organizaciones consideradas como infraestructura crítica en U.S. El reporte detalla esfuerzos de actores rusos para comprometer organizaciones americanas desde Marzo del 2016,  enfocándose en sectores como energía (nuclear), servicios básicos (suministro de agua), aviación y otros.

APT28 utiliza vulnerabilidad en Adobe Flash para campaña de espionaje: El grupo de actores se cree está directamente liderado por autoridades rusas, y es reconocido por operaciones previas las cuales han tenido como objetivo gobiernos adversarios. El grupo, también conocido como Fancy Bear, abusa una vulnerabilidad presente en Adobe Flash Player en su última campaña para servir malware espía (spyware) a sus objetivos, la cual se enfoca principalmente en entidades dentro de Europa. La campaña utiliza DealersChoice (Plataforma para la explotación de Flash) con una nueva técnica de evasión, la cual solo gatilla el exploit cunado una página específica del documento señuelo es vista por el usuario.

Boletín CIC: 6 de marzo 2018

Bolétin CIC: 6 de marzo 2018

Campaña de malvertising (publicidad engañosa) redirige a usuarios a página de RIG EK: La campaña utiliza diversos sitios con contenido referente a cripto-monedas para engañar a sus visitantes, quienes son redirigidos a una página de explotación de RIG EK. La campaña cuenta con la sofisticación de validar si los visitantes re-direccionados son bots o no, terminando el proceso de infección, o en su defecto cargando RIG EK en un iframe. Luego de ser redirigidos y de una explotación efectiva del objetivo, RIG EK sirve las variantes de malware TrickBot (Troyano bancario) o Ramnit (troyano) para comprometer a sus víctimas.

Malware "RedDrop" afecta a dispositivos Android: Una vez instalado, RedDrop permite a los atacantes exfiltrar información contenida dentro del dispositivo como lo son fotografías, contactos y archivos de configuración. Para la exfiltración de datos, los atacantes utilizan servicios de almacenamiento en la nube, como lo son Dropbox and Google Drive. A demás de robar información, el dispositivo infectado es utilizado para enviar mensajes SMS a servicios premium, generando así una ganancia financiera para los perpetradores. El malware ha sido catalogado como sofisticado por investigadores que lo analizaron, el cual además cuenta con capacidades de resiliencia y persistencia para asegurar su presencia en el dispositivo afectado, incluso luego de actualizaciones del sistema.

Ataques DDoS Amplificados utilizan servidores memcache para incrementar su impacto: Recientes ataques de DDoS (Distributed Denial of Service) se basan en esta técnica llamada "Memcached Reflection", la cual principalmente genera niveles masivos de tráfico a través del puerto UDP 11211. Los atacantes abusan a los servidores de caché (los cuales típicamente no cuentan con medidas de seguridad estrictas) para generar peticiones al servidor, las cuales son amplificadas (generando mayor tráfico) al ser enviadas al servidor objetivo. Está técnica se utilizó recientemente para ejecutar el ataque DDoS más grande detectado hasta el momento, alcanzando velocidades de 1.4Tbps en su peak..

Boletín CIC: 17 de enero

Vulnerabilidad CVE-2017-10271 utilizada para esparcir malware minador de cripto-monedas: Este mes de enero se ha detectado una campaña que utiliza una vulnerabilidad crítica en Oracle WebLogic para esparcir malware que mina Monero, lo cual parece ser un cambio de objetivo a una campaña anterior detectada durante diciembre del 2017 que minaba la cripto-moneda AEON. La campaña actual esparce versiones del malware tanto para sistemas corriendo sobre Microsoft Windows o Linux, siendo la última la que ha presentado la mayor habilidad de evadir detección.

APT Turla conduce campaña de espionaje contra consulados y embajadas en Europa del Este: El reconocido grupo de actores (también identificados por los alias “Venomous Bear”, “Snake/Uroburos” y “Krypton”) ha sido asociado al gobierno ruso, el cual -a su vez- ha sido asociado con ataques sofisticados contra organizaciones de gobierno y empresas en el sector de energía y recursos.  El grupo ha sido asociado con sofisticadas herramientas de ciber-espionaje, como lo son la Carbon Backdoor, el troyano Kazuar, Agent.BTZ y el downloader de malware PNG_Dropper. Adicionalmente, el grupo conduce campañas sociales de spear-phishing y utiliza exploits de día cero (zero-day) en Microsoft Office Encapsulated Postscripts (EPS).

Campaña de espionaje en contra de entidades relacionadas con las Olimpiadas de Invierno del 2018: Diversas entidades asociadas con la organización de las próximas Olimpiadas de Invierno a tener lugar en Pyeongchang, Corea del Sur en febrero del 2018, han sido objetivo de campañas de phishing que apuntan a esparcir malware espía. Según análisis inicial de la campaña por investigadores de seguridad, se cree que ésta podría estar asociada con algún grupo de avanzada, posiblemente asociados a algún gobierno extranjero. Se espera que, a medida que se acercan las Olimpiadas, el número de campañas se incremente.

Boletín CIC: 9 de enero

Malware minador de cripto-moneda es esparcido por medio de peticiones SOAP: Fuentes internas de Deloitte han descubierto en los primeros días de enero un malware no identificado, el cual es utilizado por atacantes para minar la cripto-moneda "Monero". El malware es distribuido por medio de peticiones HTTP POST SOAP (Simple Object Access Protocol) las cuales incluyen un campo el cual corresponde a un script PowerShell codificado en Base64. El script decodificado hace un llamado a un servidor previamente comprometido, desde el cual descarga un archivo ejecutable malicioso y procede con su ejecución. De momento no es claro como los atacantes posteaban el archivo SOAP (XML) hacia el servidor objetivo.

Vulnerabilidad CVE-2017-12149 y SSH utilizados por malware de minería contra servidores Linux: Un grupo de investigadores ha descubierto la nueva botnet de cripto-minado de monedas, llamada PyCryptoMiner, la cual se esparce por medio de SSH. Según los investigadores, desde mediados de Diciembre la campaña ha estado enfocándose en comprometer servidores JBOSS vulnerables, al explotar la cVE-2017-12149. El hecho que el malware sea basado en lenguajes de scripting hace que inherentemente sea más efectivo al evadir controles de seguridad, ya que puede ser fácilmente ofuscado, en comparación con su alternativa binaria.

Nuevo Troyano Android se enfoca en más de 200 aplicaciones bancarias:Investigadores de seguridad han descubierto un nuevo malware que afecta a dispositivos Android, llamado Android.banker.A2f8a. Aparte de aplicaciones bancarias, el malware también se enfoca en comprometer apps de e-commerce, juegos y aplicaciones de cripto-monedas. Una vez que el sistema ha sido infectado, el malware es capaz de extraer credenciales de login, interceptar SMS y recolectar y exfiltrar información de contactos. Se cree que el malware se distribuye principalmente por medio de repositorios de aplicaciones alternativos, disfrazado como una aplicación de Adobe Flash Player.

Boletín CIC: 2 de enero

Backdoors encontradas en tres plugins de WordPress: Investigadores de seguridad notaron que el 27 de diciembre pasado el repositorio de WordPress eliminó tres plugins que contenían puertas traseras (backdoors). Los plugins en cuestión son  “WP No External Links”, “Duplicate Page and Post” y “No Follow All External Links". Los plugins maliciosos han sido atribuidos a un ataque de cadena de abastecimiento, ya que los mismos han cambiado de dueño en reiteradas ocasiones durante los últimos 6 meses. Se cree que el objetivo final detrás de estos backdoors es el de poder inyectar spam oculto de optimización de motores de búsqueda (Search Engine Optimization, SEO) en los sitios afectados.

Vulnerabilidad zero-day en macOS permite escalamiento local de privilegios: Se estima que la vulnerabilidad ha estado presente en dispositivos corriendo sobre OSX/macOS desde el 2002. La vulnerabilidad de escalamiento local de privilegios (Local Privilege Escalation - LPE) afecta a la extensión de kernel IOHIDFamily utilizada por instrumentos de interacción con humanos (como la pantalla touch, acelerómetros, botones, etc.). Explotación efectiva de la vulnerabilidad permitiría a un atacante la ejecución de código arbitrario con privilegios root.

Grupo Lazarus utiliza PowerRatankba en campañas recientes: El grupo asociado al régimen Norcoreano ha utilizado PowerRatankba (variante en PowerShell de Ratankba) durante la segunda mitad del 2017 para comprometer tanto terminales de POS (Point-of-Sales) como cuentas de usuarios con criptomonedas. Se estima que los ataques son dirigidos por Corea del Norte para evadir las sanciones económicas impuestas por la ONU y seguir financiando su programa nuclear. Este es el primer caso en que ataques a POS se han asociado a un grupo de actores vinculado a un gobierno.

• Sectores vulnerables: Banca y Retail