Noticias

Archivo Boletín CIC 2017

Cyber Intelligence Center Santiago 

Todas las semanas, nuestros expertos comparten las últimas novedades en ciberseguridad. Revisa acá nuestros boletines publicados.

El Cyber Intelligence Center de Deloitte Chile pertenece  a la red global de Cyber Intelligence Centers de Deloitte Global. Esta red opera las 24 horas del día y los 365 días del año ofreciendo un servicio altamente personalizado que ayuda a las organizaciones a prevenir, detectar y responder frente al panorama cambiante de las ciber amenazas. 

 

Boletín CIC 19 de diciembre 2017

Malware TRITON amenaza a infraestructura crítica: TRITON es un framework de ataque, el cual los investigadores de seguridad especulan ha sido desarrollado para generar daño físico permanente en controladores Schneider Electric’s Triconex Safety Instrumented System (SIS). El sistema SIS lee información en redes de producción y controla válvulas, maquinaria, robots y otros, por lo cual una manipulación indebida pudiese generar efectos en el mundo físico.

 

Tráfico TLS vulnerable a ataque ROBOT: Investigadores de seguridad han descubierto una vulnerabilidad presente en el protocolo de Transport Layer Security (TLS) por 19 años. La explotación  de la vulnerabilidad llamada ROBOT (Return of Bleichenbacher's Oracle Attack) permitiría a atacantes desencriptar tráfico web TLS, habilitando la posibilidad de un ataque Man-in-the-Middle. La vulnerabilidad en cuestión afecta a la implementación de RSA por al menos 8 proveedores distintos.

 

Campaña MoneyTaker afecta al sector financiero: Investigadores de seguridad estiman que las pérdidas causadas por la campaña llegan a la suma de $10M USD, afectando principalmente a organizaciones financieras en SA y Rusia durante los últimos 18 meses. Los atacantes enfocas sus esfuerzos principalmente en sistemas de procesamiento de pagos, como lo es SWIFT y AWS CBR (sistema interbancario ruso)

Sectores de la industria vulnerables

Banca: Riesgo alto

Salud: Riesgo bajo

Retail: Riesgo alto

Minería: Riesgo bajo

Boletín CIC 11 de diciembre 2017

StorageCrypt ransomware abusa vulnerabilidad presente en Samba: Esta nueva familia de ransomware se enfoca en infectar dispositivos de almacenamiento en red (Network Attached Storage, NAS). Para infectar a sus víctimas, actores maliciosos han coordinado campañas que abusan la vulnerabilidad CVE-2017-7494 la cual afecta al servicio de archivos e impresoras Samba en Linux, en versiones 3.5.0 y superiores. Una efectiva explotación de la vulnerabilidad permite a los adversarios la ejecución de código remoto (RCE), método que es utilizado para entregar StorageCrypt como payload maliciosa.
 
Nueva versión de botnet Mirai “Satori” emerge: La nueva botnet se esparce por medio de escaneos de puertos y posiblemente también a través de la explotación de vulnerabilidades de día cero (zero-day) presentes en routers. Investigadores de seguridad han notado un incremento en los escaneos a puertos 37215 y 52869 por parte del malware; el cual intenta explotar las vulnerabilidades CVE-2014-8361 para el puerto  52869, y una supuesta vulnerabilidad de día cero para el puerto 37215.
 
Vulnerabilidad presente en WordPad y MS Office utilizada para esparcir malware: La vulnerabilidad CVE-2017-11882 (la cual ha sido recientemente parchada por Microsoft) ha sido adoptada por diversos grupos de actores para esparcir malware, principalmente debido a la amplia información y pruebas de concepto disponibles públicamente para su explotación.

Sectores de la industria vulnerables

Banca: Riesgo moderado

Salud: Riesgo moderado

Retail: Riesgo moderado

Minería: Riesgo moderado

Boletín CIC 28 de noviembre

Grupo Cobalt abusa vulnerabilidad CVE-2017-11882 para ejecutar código remoto: La vulnerabilidad afecta al editor Equation de Microsoft Office (versión 2000 en adelante, 365 inclusive) y está siendo explotada por el grupo para comprometer a objetivos principalmente en el sector financiero. La explotación exitosa de la vulnerabilidad permite a un atacante la ejecución de código arbitrario de manera remota (Remote Code Execution, RCE)

Vulnerabilidad en impresoras empresariales amenaza a variados negocios: Investigadores de seguridad han descubierto una nueva vulnerabilidad (CVE-2017-2750) en una marca de impresoras empresariales, la cual permitiría a atacantes la ejecución de código de forma remota (RCE). Ya existe una prueba de concepto (PoC) para explotar la vulnerabilidad.

Actor “dodoaska” ofrece nuevo downloader "Genryu": Un actor que va por el nombre "dodoaska" ofrece el downloader de malware Genryu en un foro underground moderado frecuentado por ciber-criminales. El malware está desarrollado sobre el lenguaje C, y de acuerdo a dodoaska es capaz de evitar diversas herramientas de seguridad. El actor se ha asociado a otras campañas dirigidas en contra del sector público.

Sectores de la industria vilnerables

Banca: Riesgo moderado

Salud: Riesgo bajo

Retail: Riesgo bajo

Minería: Riesgo bajo

21 de noviembre

Vulnerabilidad crítica "JoltAndBleed" descubierta en productos PeopleSoft:Las  vulnerabilidades descubiertas afectan al módulo de servidor Jolt en las versiones 11.1.1, 12.1.1, 12.1.3, 12.2.2 de Oracle Tuxedo (plataforma para el manejo de transacciones en ambientes distribuidos). Múltiples productos PeopleSoft utilizan la plataforma Tuxedo, lo cual los hace vulnerables a ataques de red que no requiere el uso de credenciales de acceso para los productos afectados. Una explotación efectiva de la vulnerabilidad permite a los atacantes acceder a toda la información contenida dentro de productos ERP. Las vulnerabilidades han sido catalogadas como CVE-2017-10269, CVE-2017-10272, CVE-2017-10267, CVE-2017-10278 and CVE-2017-10266.

Nuevo malware "Vulture Stealer" afecta a usuarios en Brasil: El malware está siendo utilizado en campañas de múltiples fases, el cual cuenta con un loader de malware, plug-in de navegador malicioso y el troyano bancario BanLoad. El malware se esparce por campañas de phishing que entregan archivos HTML maliciosos. Al abrirlos, el componente loader, disfrazado como un instalador de un lector de PDF, pide al usuario los permisos para instalar BanLoad y los plug-ins de navegador malicioso. .

Nuevo troyano "BlowBot" ofrecido para la venta: Un actor que va por el pseudónimo "Neoz11" ofrece en un foro Ruso exclusivo un nuevo troyano bancario llamado BlowBot junto con su panel de control asociado por $550 USD al primer comprador ($750 USD en adelante). El malware fue desarrollado en el lenguaje C, y cuenta con capacidades para detectar sandboxing y otras soluciones de seguridad. Luego de su instalación, el malware puede ser utilizado para descargar código malicioso adicional, insertar web injects, robar información de formularios y habilitar un servidor proxy SOCKS. El malware a su vez incluye sesiones de Hidden Virtual Network Computing (HVNC), lo cual permite a un actor anejar el terminal infectado remotamente.

Sectores de la industria vulnerables

Banca: Riesgo alto

Salud: Riesgo alto

Retail: Riesgo moderado

Minería: Riesgo moderado

Boletín CIC: 14 de noviembre

Ransomware "Sigma" se distribuye por emails de spam: El nuevo ransomware detectado se esparce por medio de archivos Word maliciosos, los cuales vienen protegidos con contraseña para dar más veracidad a la campaña. Al ingresar la contraseña (contenida en el cuerpo del email) el archivo pide habilitar Macros, los cuales se encargan de descargar un malware downloader. Luego de chequear por conectividad, el downloader descarga e instala una copia de Sigma ransomware.

LockCrypt ransomware distribuido por medio de sesiones RDP forzadas:Investigadores de seguridad han descubierto una nueva campaña, la cual utiliza ataques de fuerza bruta sobre sesiones RDP para infectar a sus víctimas. Luego de la infección, el ransomware ejecuta un archivo batch para terminar procesos no-críticos como método de evasión de soluciones de anti-virus y análisis de sandboxing. Los ataques de fuerza bruta han sido rastreados a un origen de una dirección IP en Irán, los cuales intentan explotar la vulnerabilidad CVE-2001-0540 (afecta a servidores de terminal en Windows NT y Windows 2000). Una infección exitosa obliga a su víctima a pagar desde 0.05 a 1.0 BitCoin por servidor.

Grupo "Sowbug" amenaza a agencias de gobiernos en Sudamérica: El grupo ha dirigido sus campañas a agencias de gobierno ubicadas en Sudamérica (Argentina, Brasil, Ecuador y Perú)  y el Sudeste Asiático (Malasia y Brunéi), enfocándose principalmente en diplomáticos y en instituciones de políticas extranjeras. Para comprometer a sus víctimas, el grupo utiliza el RAT (Remote Administration Tool) “Felismus”, el cual es entregado a sus víctimas por medio del dropper "Starloader". Además de Felismus, el grupo utiliza keyloggers y malware de robo de credenciales en sus objetivos. 

Sectores de la industria vulnerables:

Banca: Riesgo Alto

Salud: Riesgo Alto

Retail: Riesgo Moderado

Minería: Riesgo Bajo

Boletín CIC: 7 de noviembre

Nuevo malware "Silence" afecta a organizaciones financieras: Una reciente campaña de spear-phising apuntada hacia instituciones financieras entrega a sus objetivos archivos CHM (Microsoft Compiled HTML), los cuales son utilizados como vector inicial de infección. La actual campaña se asemeja a otra detectada a comienzos de octubre, la cual también utilizaba archivos CHM para infectar a sus objetivos, esta vez localizados en Brasil.

Nueva versión de Z-Worm disponible: Un malware bajo el nombre "Z-Worm V2.5 PRO" está siendo ofrecido en foros árabes por un actor bajo el pseudónimo "Zakaria_Karem". La versión actualizada de Z-Worm modifica llaves de registro para mantener persistencia, y crea a su vez reglas de firewall para permitir el tráfico de comunicación con servidores de comando y control. Z-Worm se enfoca en robar credenciales guardadas en navegadores, controlar el manejador de procesos y propagarse a través de USB y unidades de red.

Actor "KingPush" ofrece bots VNC personalizados: El actor ha estado ofreciendo estos servicios en foros rusos comúnmente frecuentados por cibercriminales. El actor asegura que los bots ofrecidos están alojados en los Estados Unidos y corren bajo Windows 7, teniendo un costo de $20 USD cada uno. KingPush aclara que los bots se venden exclusivamente para operaciones que manejan información de tarjetas de crédito.

Sectores vulnerables 31 de octubre:

Minería: Riesgo bajo

Retail: Riesgo bajo

Salud: Riesgo bajo

Banca: Riesgo alto

Boletín CIC: 17 de octubre

Ataque KRACK permite vulnerar redes con seguridad WPA2: Múltiples vulnerabilidades críticas  descubiertas en el protocolo WPA2 (llamadas colectivamente como KRACK, Key Reinstallation Attack) permitirían a un atacante reutilizar llaves de sesión y/o reinstalado de llaves en una sesión de WiFi.

Nuevo ransomware para móviles DoubleLocker descubierto: El malware afecta a dispositivos Android y hereda ciertas funcionalidades de la familia de malware Anroid.BankBot. Si bien una versión en desarrollo del malware había sido descubierta en mayo del 2017, la actual versión actúa netamente como ransomware e implementa dos métodos de encriptación para bloquear el dispositivo.

Grupo Iraní OilRig utiliza nuevo malware “Agent Injector”: La nueva herramienta, que es a su vez referenciada como ISMInjector (dado que construye sobre el código de ISMAgent), abusa de CVE-2017-0199 para comprometer a sus víctimas. El grupo OilRig es un grupo de avanzada que con anterioridad ha sido vinculado con campañas de espionaje en el medio oriente.

Sectores vulnerables 17 octubre:

Minería: Riesgo Bajo

Retail: Riesgo moderado

Salud: Riesgo bajo

Banca: Riesgo moderado

 

Boletín CIC: 11 de octubre

Troyano bancario Retefe reaparece atacando la banca europea: Se ha observado al conocido troyano bancario atacando nuevamente a la banca europea. La amenaza se encuentra vigente desde el año 2015 y ha estado constantemente evolucionando para evadir sus detecciones. Actualmente, Retefe se aprovecha del exploit de “EternalBlue” (parche publicado por Microsoft durante el mes de marzo) el cual es enviado a través de documentos maliciosos dentro de correos phishing. Finalmente, una infección exitosa permitiría a los atacantes el robo de credenciales bancarias y realizar fraude electrónico.

Malware AdWind utiliza servicios en la nube para el robo de información confidencial: Los servicios en la nube son cada vez más utilizados, permitiendo compartir archivos de manera más rápida y de fácil acceso. Anteriores amenazas se han aprovechado de los servicios de Google y Dropbox tanto para la distribución de malware como para el robo de información. AdWind ha sido observado en el último mes utilizando el servicio en la nube de Autodesk360 para el robo de información. La actual campaña distribuye documentos maliciosos a través de correos phishing para realizar la infección a través de PowerShell, el cual descarga y ejecuta el payload del malware en la plataforma Java.

Ataque “Knock Knock” comprometen cuentas de Office365: Operativo desde mayo 2017, la presente amenaza se enfoca en atacar correos corporativos de Office365, las cuales no se encuentran ligada a un individuo en particular (Ej: correo centralizado de soporte). Estos correos usualmente son configurados por los administradores de tal manera que permiten a los atacantes aprovecharse de posibles fallas para acceder de manera exitosa al correo electrónico. El acceso remoto a las cuentas comprometidas permite el robo de información confidencial como también la posibilidad de realizar ataques secundarios y enviar malware adicional. 

Sectores vulnerables 11 octubre:

Minería: Riesgo moderado

Retail: Riesgo alto

Salud: Riesgo alto

Banca: Riesgo alto

Boletín CIC: 3 de octubre

Botnet Necurs distribuye Locky o Trickbot basado en la geo-posición de sus objetivos: La campaña distribuye archivos 7zip maliciosos, los cuales tienen embebido un script Visual Basic (VBS) malicioso. Los scripts tienen funciones y utilizan servicios públicos para realizar variados chequeos sobre la dirección IP y locación de la víctima. Si la locación de la víctima es Reino Unido, Australia, Bélgica, Luxemburgo o Irlanda, entonces el malware Trickbot es descargado e instalado. Para todas las otras locaciones, Locky es servido en su lugar.

Campaña de phishing esparce GlobeImposter o Lukitus ransomware: Una campaña masiva de phishing ha sido detectada por investigadores, la cual utiliza el tema de confirmaciones de compras para engañar a su víctima en dar clic a un vínculo malicioso. El vínculo malicioso apunta a GlobeImposter o Lukitus (variante de Locky) variando en intervalos de tiempo predefinidos, y afecta a usuarios en más de 70 países.

Ataque DDoS afecta a lotería en Reino Unido: Un ataque distribuido de denegación de servicio (DDoS) ha afectado a la lotería del Reino Unido, previniendo que miles de jugadores puedan acceder al sitio oficial y a la app móvil de la institución. El ataque DDoS coincide (aunque no está confirmado) con la fecha definida por el grupo de extorsión “Phantom Squad”, el cual durante este mes amenazó a varias empresas en diversos sectores de industrias, demandando un pago en Bitcoins para evitar ser víctimas de un DDoS.

Sectores vulnerables: 3 de octubre

Minería: Riesgo bajo

Retail: Riesgo moderado

Salud: Riesgo moderado

Banca: Riesgo alto

Boletín CIC: 26 de septiembre

Grupo Iraní APT33 amenaza a sectores de energía y aeroespacial: El grupo (que, según especulaciones de analistas de seguridad, podría ser financiado por una nación) se especializa en operaciones de espionaje en ambos sectores, amenazando a objetivos principalmente en Arabia Saudita, Estados Unidos y Corea del Sur. El grupo utiliza el dropper DROPSHOPT para entregar la backdoor TURNEDUP como payload de segunda fase (DROPSHOT en ocasiones también es utilizado como payload de segunda fase, al ser distribuido después del wiper malware SHAPESHIFT).

Nueva variante de RETADUP amenaza a Sudamérica: Argentina, Bolivia, Ecuador y Perú han sido algunos de los países en donde se ha detectado presencia de variantes de RETADUP amenazando a objetivos en las industrias de minería, energía, gobierno y otras. RETADUP es un malware de robo de información (infostealer) detectado por primera vez en Junio de 2017 en Israel. Las recientes variantes de RETADUP detectadas incluyen un módulo de mineo de cripto-monedas, las cuales abusan del CPU del sistema infectado para este fin.

Vulnerabilidad "OptionsBleed" en Apache podría filtrar información: La vulnerabilidad puede potencialmente afectar a servidores Apache mal configurados, y permite a atacantes explotar las solicitudes HTTP OPTIONS para forzar a un servidor mal configurado a filtrar información arbitraria desde su memoria. LA CVSS (Common Vulnerability Score System) le da a esta vulnerabilidad un puntaje de 5.9.

Revisa acá el #BoletínCIC de la semana 

Sectores vulnerables: 26 de septiembre

Minería: Riesgo alto

Retail: Riesgo moderado

Salud: Riesgo alto

Banca: Riesgo alto

Boletín CIC: 12 de septiembre

“Sisyphus”, nuevo malware para POS a la venta: El actor “Refreshers” ha disponibilizado para la venta en foros underground rusos de elite su nuevo malware para comprometer sistemas POS. El malware cuenta con un bajo nivel de detección por parte de soluciones de anti-virus, y según su desarrollador, ha sido programado desde cero, sin basarse en otras familias de malware de POS existentes.

Troyano bancario “Red Alert 2.0” amenaza dispositivos móviles: El malware fue desarrollado por el actor “Sochi”, y está siendo distribuido por medio de la tienda oficial Google Play Store y por otras repositorios de apps de terceros. El malware afecta a dispositivos Android versión 4.4 en adelante, con un ratio de infección de un 70%. Adicionalmente, Sochi aclara que en un 85% de las infecciones Red Alert 2.0 es capaz de obtener privilegios de administrador sobre el dispositivo afectado.

Vulnerabilidad en Apache Struts amenaza a organizaciones en diversos sectores: La vulnerabilidad (CVE-2017-9508) está presente en el plugin REST presente en el framework, y afecta a todas las versiones de Apache Struts desde el 2008 en adelante. La explotación de la vulnerabilidad permitiría a un atacante la ejecución remota de código en cualquier servidor que aloje una aplicación desarrollada con el framework.  

Sectores vulnerables: 12 de septiembre

Minería: Riesgo moderado

Retail: Riesgo moderado

Salud: Riesgo alto

Banca: Riesgo alto

Boletín CIC: 5 de septiembre

Grupo Turla usa nuevo backdoor Gazer: El grupo ruso es conocido por orquestar campañas de espionaje contra entidades de gobierno y personal diplomático en USA, Chipre y el medio oriente. El grupo es conocido por utilizar herramientas sofisticadas y diseñadas a medida, como lo son el backdoor Skipper, el malware Kopiluwak (basado en Java) y los backdoor de segunda fase Carbon y Kazuar. La recientemente descubierta backdoor Gazer ha sido utilizada por el grupo en campañas desde 2016 que apuntan a embajadas y consulados, principalmente en el Sudeste de Europa y en países de la ex unión soviética.

Troyano bancario "XBot" puesto a la venta en foros underground: El actor "Botmast3r" ha ofrecido un nuevo troyano bancario en foros rusos underground. XBot permite a actores el descargar y ejecutar payloads maliciosos adicionales, insertar web-injects, interceptar data de formularios y establecer un servidor proxy. Adicionalmente, luego de la infección con XBot, los actores pueden comenzar una sesión VNC para controlar el sistema comprometido remotamente, ya que el malware contiene un módulo de HVNC (Hidden Virtual Network Computing). El malware es ofrecido con un panel de control que permite manejar sus funciones, el cual opera bajo la red TOR.

Nuevo ransomware modular "Jimmy" descubierto: De acuerdo a los investigadores de seguridad que descubrieron el nuevo malware, este podría ser una variante del troyano bancario Nuke Bot (descubierto en Diciembre 2016). El código fuente de Nuke Bot fue liberado públicamente por su desarrollador "Gosya" en Marzo del 2017, el cual ha sido utilizado por otros actores para crear variantes del malware original. Jimmy puede descargar módulos adicionales en el sistema comprometido, los cuales pueden incluir web-injects y malware para minar cripto-monedas. Otras funciones del malware son similares a las recientemente detectadas en NeutrinoPOS, como lo son el registrar capturas de pantalla de las actividades del usuario.

Sectores vulnerables: 5 de septiembre

Minería: Riesgo bajo

Retail: Riesgo bajo

Salud:Riesgo alto

Banca: Riesgo alto

Boletín CIC: 29 de agosto

Ransomware Defray amenaza a sector educacional y de salud: Ciber-criminales están esparciendo el ransomware Defray a objetivos localizados principalmente en Estados Unidos y en el Reino Unido. El malware se esparce por medio de campañas de phishing, las cuales distribuyen archivos Word maliciosos. Luego de una infección exitosa, Defray encripta los archivos locales, demandando un pago de $500 USD en Bitcoins a cambio de la llave de encriptación.

Shade ransomware se esparce a través de la botnet Necurs: Esta variante de ransomware (también conocida como Troldesh) está siendo distribuida por medio de Necurs, una botnet de spam conocida por distribuir Locky previamente. Necurs esparce emails que contienen vínculos a un archivo .zip malicioso, el cual al ser extraído ejecuta un JavaScript, el cual corresponde a Nemucod downlaoder. Nemucod es finalmente utilizado para descargar y ejecutar Shade en el sistema objetivo.

Campaña de malvertising utiliza Neptune EK para esparcir Monero Miner: Actores desconocidos están orquestando una campaña de malvertising, la cual afecta a usuarios en Sudamérica, Europa, Japón, Canadá y el Medio Oriente. La campaña utiliza servicios legítimos de publicidad para presentar vínculos maliciosos que redirigen a sus víctimas a páginas de aterrizaje del exploit kit Neptune. Los exploits utilizados por Neptune EK afectan a  Internet Explorer (CVE-2016-0189, CVE-2015-2419 y CVE-2014-6332) y Adobe Flash Player (CVE-2015-8651, CVE-2015-7645). Luego de la explotación, Monero Miner es instalado en el sistema objetivo.

 

Sectores vulnerables: 29 de agosto

  • Minería: Riesgo bajo
  • Retail: Riesgo bajo
  • Salud: Riesgo alto
  • Banca: Riesgo moderado 

Boletín CIC: 24 de agosto

Emerge nueva metodología de DDoS "Pulse Wave": La nueva técnica de denegación de servicios se basa en una serie de ataques consecutivos de corta duración  y alta intensidad (al contrario de ataques tradicionales que gradualmente incrementan la velocidad), alcanzando capacidad peak rápidamente. Luego de alcanzar el peak de capacidad, el ataque presenta una "caída" que genera una huella de "picos y valles". Esta caída en el ataque se debe a que los atacantes puedes re-distribuir y asignar host de su botnet para orquestar ataques más eficientes.

Nueva variante de Cerber detecta "Archivos Canario" (Canary Files): Los archivos canarios (generalmente imágenes) son documentos falsos puestos en documentos legítimos para identificar tempranamente acceso no autorizado, copia o modificaciones. La nueva variante de Cerber es capaz de validar archivos de imágenes (.png, .bmp, .tiff, .jpg, etc.), omitiendo el directorio actual si resuelve que la imagen en cuestión es "malformada".

Programa de ransomware afiliado "Gryphon" anunciado en foros rusos: El actor bajo el pseudónimo "Absolutely" ha anunciado cupos para el programa afiliado de ransomware Gryphon en foros rusos underground. El programa distribuiría familias de ransomware como BTCWare, Cryptobyte y Cryprtowin, afectando a sistemas Windows en arquitecturas x86 y x64.

Sectores vulnerables: 24 de agosto

  • Minería: Riesgo bajo
  • Retail: Riesgo moderado
  • Salud: Riesgo moderado
  • Banca: Riesgo alto

Boletín CIC: 27 de junio

WikiLeaks libera documentos de "Brutal Kangaroo": La suite de herramientas tiene por objetivo comprometer sistemas que se encuentran dentro de redes cerradas ("air-gapped"). El proceso de infección comienza por comprometer un computador conectado a internet, el cual a su vez infectará dispositivos USB que se utilizan para transferir archivos entre él y el sistema objetivo.

Nueva versión de Alina PoS descubierta: La nueva variante del malware que ataca terminales de pago PoS (Point-of-Sales) añade el uso de Secure Sockets Layer (SSL) a sus comunicaciones con servidor de command-and-control, junto con ofuscar información a exfiltrar por medio de un XOR (funcionalidad presente desde Alina v5.x.). Luego de infectar a su objetivo, Alina se registra a sí mismo como un servicio de Windows (llamado "WinErrSvc") para mantener persistencia en el sistema.

Nuevo malware para minar crypto-monedas "BtcMiner" emerge: BtcMiner está siendo esparcido como malware de segunda etapa a través de loaders que son implantados en objetivos por medio de DoublePulsar. BtcMiner es capaz de infectar sistemas con arquitectura de 32 o 64 bits, y utiliza una versión modificada de Gh0st RAT para sus operaciones.

Sectores vulnerables: 27 de junio

  • Minería: Riesgo bajo
  • Retail: Riesgo alto
  • Salud: Riesgo moderado
  • Banca: Riesgo alto

Boletín CIC: 15 de junio

Nuevo Troyano Bancario "Matrix Banker" emerge: El malware ha sido utilizado por actores maliciosos para atacar a instituciones financieras en Latinoamérica, principalmente en México y Perú. El troyano actúa como un loader de payloads maliciosos, agregándose en el registro el sistema para mantener persistencia. El malware inyecta DLLs (de 32 y 64 bits) al navegador del sistema, los cuales se enganchan a funciones del navegador para finalmente realizar un ataque Man-in-the-Browser.

"Industroyer"(Crash Override) amenaza a sistemas de control industriales (ICS): El malware ha sido catalogado como la evolución de Stuxnet, y se especula que fue utilizado en el reciente ataque a una planta de energía Ucraniana en la ciudad de Kiev. El malware podría potencialmente ser modificado para atacar a otros sectores de industria.

Vulnerabilidad en Samba utilizada para minar crypto-monedas: A pesar de haber sido parchada recientemente, CVE-2017-7494 afecta a todas a Samba desde v3.5.0 en adelante, permitiéndole a atacantes la ejecución de código remoto en el sistema afectado. Campañas recientes que abusan la vulnerabilidad esparcen el malware "CPUMiner", principalmente para minar "Monero".

Sectores vulnerables - 15 de junio

  • Minería: Riesgo alto
  • Retail: Riesgo moderado
  • Salud: Riesgo moderado
  • Banca: Riesgo alto 

Boletín CIC: 8 de junio

Backdoor "Fireball" compromete a 250 millones de sistemas: El malware se utiliza para secuestrar los navegadores y redirigir tráfico para generar ganancias por publicidad. Además, actúa como backdoor que permite a cibercriminales distribuir malware adicional.

EternalBlue utilizado para distribuir Gh0st RAT y Nitol Bot: El exploit parte de las herramientas filtradas de la NSA es utilizado por actores maliciosos para distribuir el Remote Access Trojan (RAT) Gh0st y la Nitol botnet, típicamente utilizada para lanzar ataques distribuidos de denegación de servicio (DDoS) junto con esparcir malware adicional.

Malware "Zusy" distribuido por medio de archivos PowerPoint: El malware no requiere que los usuarios habiliten macros, ya que tan sólo con pasar el cursor por sobre un vínculo dentro de la presentación, se gatilla una aplicación que comienza la cadena de infección. Zusy ejecuta el proceso mstsc.exe que permite acceso mediante RDP al sistema infectado.

Sectores vulnerables - 8 de junio

  • Minería: Riesgo moderado
  • Retail: Riesgo moderado
  • Salud: Riesgo moderado
  • Banca: Riesgo moderado

Boletín CIC: 1 de junio

Troyano bancario ‘Pazera’ amenaza a usuarios chilenos: Nuevas variantes se han detectado del troyano bancario chileno distribuido a través de correos de phishing. El atacante se hace pasar por una entidad conocida como la Policía de Investigaciones de Chile (PDI)  para engañar al usuario. Dentro del correo se contiene un archivo malicioso, que si es ejecutado instala “Pazera”, el cual posteriormente roba credenciales bancarias desde los navegadores de los usuarios afectados.

‘Jaff’ ransomware distribuido a través de correos masivos de spam: El ransomware descubierto durante mayo se distribuye de manera masiva a través de ‘Necurs’ botnet, la cual es capaz de generar hasta 5 millones de correos por hora. Los correos maliciosos contienen un documento PDF como señuelo. En caso de ejecución, el usuario es infectado con ‘Jaff’ y sus archivos son encriptados con AES-256.

Operación  ‘RoughTed’ distribuye malware a través de cientos de sitios conocidos: La campaña de malware utiliza una técnica conocida como ‘malvertising’, en la cual los atacantes abusan sitios de alta concurrencia con publicidad embedida para infectar de manera transparente a los usuarios que la visitan. Los usuarios eventualmente pueden ser afectados por otros payloads maliciosos (Trojanos, ransomware), independiente del sistema operativo.

Sectores vulnerables - 1 de junio

  • Minería: Riesgo moderado
  • Retail: Riesgo alto
  • Salud: Riesgo moderado
  • Banca: Riesgo alto 

Boletín CIC: 25 de mayo

Adylkuzz (malware de minería de crypto-monedas) distribuido por ETERNALBLUE+DOUBLEPULSAR: Se estima que la campaña de Adylkuzz está activa desde inicios del mes. A parte de minar crypto-monedas, se calcula que Adylkuzz puede haber prevenido infecciones por WannaCry, ya que luego de comprometer a una víctima, el malware deshabilita el protocolo SMB.

Sage ransomware distribuido por medio del Nymaim downloader: Nymaim está siendo esparcido por medio de emails de phishing, el cual luego descarga Sage ransomware. La infraestructura de command-and-control y el hosteo de Sage utilizan dos redes DNS Fast-flux, típicamente utilizados para enmascarar sitios que esparcen malware o distribuyen spam.

Gootkit trojan amenaza a usuarios bancarios en el Reino Unido: La reciente campaña detrás de Gootkit utiliza redirecciones para llevar a visitantes de páginas bancaras a sitios maliciosos. Esta técnica es una evolución a los web-injects utilizados por Gootkit en el pasado, la cual no requiere que éstos estén escritos directamente en el archivo de configuración, por ende haciendo el proceso de detección más complejo.

Sectores vulnerables - 25 de mayo
  • Minería: Riesgo moderado
  • Retail: Riesgo alto
  • Salud: Riesgo alto
  • Banca: Riesgo alto

Boletín CIC: 18 de mayo

WannaCry ransomware: Un ataque masivo a escala mundial que comenzó el 12 de mayo, afectando a cientos de empresas en más de 150 países. El ransomware se encarga de “secuestrar” los archivos infectados pidiendo un monto monetario a cambio de la clave de encriptación. Dadas sus capacidades de expansión a través de Internet, las empresas infectadas se vieron forzadas a desconectar sus sistemas, lo cual conllevó a otras empresas que no fueron afectadas a realizar la misma acción como medida preventiva.

Rakos Botnet: Malware que ataca a dispositivos IoT (Internet of Things), el cual se aprovecha ingresar remotamente debido a la baja seguridad que éstos poseen por defecto. Una vez que un atacante logra acceder, se apropia del dispositivo para inyectar un malware y posteriormente “reclutarlo” para su botnet P2P, el cual se encuentra en constante crecimiento, amenazando con un posible futuro ataque DDoS.

Operación WilySupply: Campaña de malware el cual se aprovechó de la explotación de un servidor de software ampliamente utilizado por empresas de tecnología (UltraEdit). Una falsa actualización permitía infectar a los usuarios de ésta, permitiendo a un atacante ingresar remotamente y silenciosamente a la máquina infectada para el robo de información sensible.

Sectores vulnerables - 18 de mayo
  • Minería: Riesgo Alto
  • Retail: Riesgo Alto
  • Salud: Riesgo Alto
  • Banca: Riesgo Moderado

Boletín CIC: 11 de mayo

“File Frozr” emerge como nuevo Ransomware-as-a-Service: También conocido como FrozrLock, la licencia del RaaS puede ser obtenida por $220 USD. File Frozr elimina archivos de respaldo SVC (Shadow Volume Copies) antes de encriptar los archivos locales con una combinación de AES-256 + RSA-4096 (o en ocasiones, TwoFish-256). El panel de control del RaaS funciona por medio de la red Tor.

Campaña "Blank State" distribuye el ransomware Globeimposter: El ransomware es distribuido por medio de archivos .zip, los cuales contienen JavaScripts maliciosos que instalan Globeimposter en el objetivo. Globeimposter encripta los archivos locales con AES-256, y los actores a cargo de la operación exigen 1 Bitcoin para obtener la clave de cifrado.

Herramienta “HdCh3ck” amenaza a organizaciones en diversas industrias: La herramienta es utilizada por cibercriminales para automatizar ataques de fuerza bruta. Organizaciones afectadas por “HdCh3ck” pueden ver sus operaciones de negocio afectadas, e incluso sufrir de pérdida o robo de información sensible.

Sectores vulnerables - 11 mayo
  • Minería: Riesgo Bajo
  • Retail: Riesgo Alto
  • Salud: Riesgo Alto
  • Banca: Riesgo Alto 

 

Boletín CIC: 4 de mayo

Troyano OSX.dok instala poderosa backdoor en sistemas macOS: El troyano se distribuye a través de una aplicación maliciosa (la cual está firmada con un certificado revocado) que distribuye la backdoor "Bella".

Empresa distribuye dispositivos de almacenamiento USB con malware incluido: Una firma americana de tecnología detectó la presencia del troyano Faedevour (Pondre/Reconyc) en dispositivos de almacenamiento USB enviados a clientes. Dispositivos afectados contienen  "01AC585" en su código de producto.

Emerge ransomware "Mordor“ con soporte multi-threading: La nueva variante de ransomware (basada en el framework .NET 4.0) está siendo ofrecida en foros frecuentados por cibercriminales por $350 USD. El malware es una variante de la familia Hidden Tear, y utiliza AES-256 para encriptar archivos locales.

Sectores vulnerables - 4 de mayo 
  • Minería: Riesgo bajo
  • Retail: Riesgo moderado
  • Salud: Riesgo moderado
  • Banca: Riesgo moderado

 

Boletín CIC: 27 de abril

Emerge “LovxCrypt”  ransomware, la nueva variante de CryptVault: La familia LovexCrypt de ransomware utiliza el software de código libre "GnuPG" para encriptar los archivos locales, y se distribuye por medio de archivos Microsoft Compiled HTML (CHM).

Ciber-criminales usan “tracking pixels” para vigilar a sus víctimas: Criminales cibernéticos han adoptado la técnica típicamente utiliza por servicios de marketing para vigilar y generar un perfil de sus víctimas, lo cual les permite diseñar campañas de phishing más efectivas.

Vulnerabilidad “Zero-day” en Magento permite ejecución de código remoto: La vulnerabilidad afecta a las plataformas de e-commerce Magento, ampliamente utilizadas por el sector de retail. Se estima que Magento es utilizado por al menos 200.000 retailers globalmente.

Sectores vulnerables - 27 de abril
  • Minería: Riesgo moderado
  • Retail: Riesgo alto
  • Salud: Riesgo moderado
  • Banca: Riesgo moderado 

Boletín CIC: 21 de abril

Vulnerabilidad Zero-day en MS Word explotada en ataques: Cibercriminales actualmente explotan la vulnerabilidad por medio de documentos RTF (Rich Text Format) con extensión .doc, los cuales contienen un objeto OLE2link el cual descarga un archivo .hta (HTML Application)

“EmbusteBot” malware amenaza a usuarios bancarios en Brasil: Malware escrito en Delphi que se enfoca en tomar control total del sistema afectado, utilizándolo para generar transacciones fraudulentas desde la cuenta bancaria de la víctima.

“Terror” exploit kit utilizado en campañas de malvertising: La campaña redirige a usuarios a páginas maliciosas que distribuyen Smoke Loader (downloader de malware), o inyectan scripts en iframes para redirigir al visitante a una página que contiene exploits para Internet Explorer, Adobe Flash y Microsoft Silverlight.

Sectores vulnerables - 21 de abril
  • Minería: Riesgo moderado
  • Retail: Riesgo alto
  • Salud: Riesgo alto
  • Banca: Riesgo alto 

Boletín CIC: 10 de Abril

Amenazas detectadas

Nueva versión de backdoor Carbon descubierta: La nueva versión ha sido asociada con el grupo Ruso “Turla”, quienes anteriormente han comprometido a múltiples organizaciones en distintas industrias.

“Felismus”, una nueva herramienta de administración remota: El malware es parte de una campaña que opera desde fines del 2016 y que permite a los cibercriminales terminar procesos, ejecutar código arbitrario, descargar archivos y deshabilitar herramientas de seguridad (como antivirus) en los sistemas afectados.

Vulnerabilidad en Apache Stratus explotada para entregar malware: CVE-2017-5638 está siendo explotada por cibercriminales para esparcir malware como Cerber (ransomware) y PowerBot (DDoS Bot).

Sectores vulnerables - 10 de abril
  • Minería: Riesgo bajo
  • Retail: Riesgo moderado
  • Salud: Riesgo alto
  • Banca: Riesgo alto  

El Cyber Intelligence Center de Deloitte Chile pertenece  a la red global de Cyber Intelligence Centers de Deloitte Global. Esta red opera las 24 horas del día y los 365 días del año ofreciendo un servicio altamente personalizado que ayuda a las organizaciones a prevenir, detectar y responder frente al panorama cambiante de las ciber amenazas. 

 

Did you find this useful?