• Blogs
  • Ruben
  • Lo más relevante en Ciberseguridad este Mayo '18

Lo más relevante en Ciberseguridad este Mayo '18

Vulnerabilidades

  • Vulnerabilidad de ejecución de código remoto en Windows : Se ha detectado una nueva vulnerabilidad de ejecución remota de código desencadenada por un fallo en Windows Host Computer Service Shim (hcsshim). El fallo tiene lugar cuando una librería no consigue validar las entradas que recibe al importar una imagen. Los atacantes pueden manipular la imagen para inyectar código malicioso una vez que esta llega al Shim. Una vez logrado esto, el atacante tendría acceso al host del sistema operativo.
  • Múltiples vulnerabilidades en productos CISCO: CISCO ha publicado actualizaciones para abordar vulnerabilidades críticas y altas en varios de sus productos: CVE-2018-0253 y CVE-2018-0258 (CVSSv3 9.8), CVE-2018-0264 (CVSSv3 9.6), CVE-2018-0262 (CVSSv3 8.8), CVE-2018-0234 y CVE-2018-0252 (CVSSv3 8.6), CVE-2018-0226 (CVSSv3 7.5), CVE-2018-0235 (CVSSv3 7.4). Las vulnerabilidades con mayor criticidad son, por tendencia general, de inyección de código malicioso.
  • Nuevo caso Spectre: En las últimas horas se han dado a conocer hasta ocho nuevas vulnerabilidades que afectan a los procesadores Intel y que serán parcheadas en los próximos días. Las vulnerabilidades tienen características parecidas a las de Spectre y Meltdown, que fueron reportadas y parcheadas en enero. Ahora, un investigador de seguridad ha logrado explotar las nuevas vulnerabilidades para eludir las protecciones de los parches. Por su relación con Spectre, este nuevo conjunto de fallos se ha denominado Spectre NG (New Generation).
  • Boletín de seguridad de Microsoft: Microsoft ha lanzado actualizaciones para abordar vulnerabilidades en Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office Office Services y Web Apps, ChakraCore, Adobe Flash Player, .NET Framework, Servidor Microsoft Exchange y Windows Host Compute Service Shim. Dieciocho de estas vulnerabilidades han sido catalogadas como críticas y cuarenta y cuatro como importantes.
  • 0-day en Office365: Se ha publicado una vulnerabilidad a través de la cual un atacante podría construir un correo electrónico con URL maliciosas sin que sean detectadas y bloqueadas por Office365. Esto se debe a que la herramienta de Microsoft no es capaz de analizar URL divididas en una base y una parte extra de modo que solo analiza la base.
  • Vulnerabilidad de ejecución de código en Adobe Flash: Se ha detectado una vulnerabilidad en Adoble Flash Player que permite la ejecución arbitraria de código que permitiría, a su vez, instalar programas, acceder y modificar datos, y crear nuevas cuentas con privilegios de administrador. Actualmente no se han detectado campañas activas de explotación de esta vulnerabilidad.
  • Fallo de seguridad de Windows en explotación: Como parte del boletín de actualizaciones mensual, Microsoft lanzó ayer un parche para solucionar una vulnerabilidad crítica en el motor VBScript de Windows que permitía a un atacante comprometer máquinas con SO Windows a través de Internet Explorer. La explotación de esta vulnerabilidad, CVE-2018-8174, a través del ataque denominado Double Kill podría estar siendo activamente explotada por agentes amenaza desde abril.
  • Sacando credenciales de Windows con un "Bad PDF": Se ha publicado un artículo que detalla la explotación de una vulnerabilidad crítica en Adobe, publicada por CheckPoint a finales de abril, para conseguir las credenciales NTLM de Windows de cualquier usuario a través de un PDF específicamente modificado. Esta vulnerabilidad no tiene asignado un CVE, pues Adobe ha anunciado que no van a trabajar en resolver esta vulnerabilidad porque Windows ya proporciona un parche de seguridad opcional que proporciona al usuario la posibilidad de deshabilitar la autenticación por NTLM.
  • Parches de mitigación para Meltdown en Android: Como parte de su boletín mensual de mayo, Google ha publicado parches de mitigación para la vulnerabilidad Meltdown que afectaría a los dispositivos Android. Estos parches serían una medida seguridad adicional, complementaria con los primeros parches publicados por la compañía después de que Meltdown y Spectre salieran a la luz en enero de 2018.
  • **Ejecución remota de código en Smartphones LG **: La compañía LG ha parcheado dos vulnerabilidades graves que habían sido detectadas en los teclados de la mayoría de sus dispositivos smartphone. El fallo se hallaba a la hora de configurar un nuevo lenguaje en un dispositivo, ya que éste necesitaba descargar una librería concreta de un servidor y esta descarga se realizaba a través de un protocolo HTTP. Esto permitiría a un atacante interceptar la descarga y sustituirla por un archivo malicioso.
  • Una interpretación errónea desencadenó las últimas vulnerabilidades de Intel: Las autoridades estadounidenses del CERT/CC estarían barajando errores humanos como la causa de las últimas vulnerabilidades detectadas en los productos Intel. Al parecer, el equipo de desarrolladores de la mayoría de los sistemas operativos no entendieron partes específicas de la documentación de Intel sobre los chips, lo que habría desencadenado la instalación de vulnerabilidades en sus productos. Estos fallos estarían relacionados con la CVE-2018-8897.
  • PoC para vulnerabilidad en Electron (CVE-2018-1000136): Se han hecho públicos los detalles de explotación de la vulnerabilidad de ejecución remota de código en Electron (CVE-2018-1000136) que se publicó el 21 de marzo. Para que la vulnerabilidad pueda explotarse mediante esta prueba de concepto, debe cumplirse que la opción nodeIntegration esté deshabilitada, se incluya alguna vulnerabilidad XSS en la aplicación, y que tenga una configuración específica en varias opciones.
    **Exploit para la vulnerabilidad Drupalgeddon2 (CVE-2018-7600): Se ha integrado en Metasploit el exploit, publicado en Github el 13 de abril, para la vulnerabilidad Drupalgeddon2 (CVE-2018-7600) del 28 de marzo. La vulnerabilidad afecta a las versiones de Drupal anteriores a 7.58, 8.x anteriores a 8.3.9, 8.4.x anteriores a 8.4.6 y 8.5.x anteriores a 8.5.1. Está catalogada con una severidad crítica contando con un CVSSv3 de 9.8
  • Debilidades en el sistema de autenticación portugués: Se han descubierto varias vulnerabilidades en el sistema de autenticación proporcionado por parte del gobierno de Portugal para la administración de aplicaciones en las redes públicas. Al parecer, si un atacante quisiera explotar varias de estas vulnerabilidades, solo necesitaría 30 minutos. Además, las aplicaciones desarrolladas por los servicios públicos almacenan, con toda probabilidad, numerosa información personal que podría verse vulnerada.
  • Comandos ocultos en Alexa, Google y Siri: Un grupo de investigadores ha descubierto un fallo en los asistentes de voz Alexa, Siri y Google Assistant que permite enviarles comandos a través de sonidos de baja frecuencia. Estos comandos son inaudibles para el oído humano, pero pueden esconderse en “ruido blanco”, música o ultrasonidos para solicitar a los asistentes que realicen tareas, lo que abre la puerta a nuevos vectores de ataque.
  • Vulnerabilidad crítica en el cliente DHCP incluido RHEL 6 y 7: Se ha detectado una vulnerabilidad de tipo inyección de órdenes en el cliente DHCP (paquete dhclient) incluido en las distribuciones Red Hat Enterprise Linux 6 y 7. La vulnerabilidad ha sido catalogada como crítica. Un servidor DHCP malicioso podría usar esta vulnerabilidad para conseguir la ejecución de órdenes arbitrarias con privilegios de root en los clientes afectados. Los clientes deberían estar usando NetworkManager configurado para usar DHCP como método de configuración de red. NetworkManager tiene un script que se ejecuta cada vez que se recibe una respuesta DHCP de un servidor DHCP. Lo que se consigue con esta vulnerabilidad es que el cliente ejecute cualquier cosa que desee el servidor.
  • Historia de dos 0-Days: Gracias a una muestra encontrada en un pdf malicioso, los investigadores de ESET han sido capaces de identificar exploits para dos vulnerabilidades desconocidas hasta ahora. Estas se tratarían de un fallo de ejecución de código en remoto que afecta a Adobe Reader y de un fallo de escalado de privilegios en Microsoft Windows. El uso de estas vulnerabilidades en un solo documento la convierte en una amenaza considerable, ya que la interacción con el usuario se reduciría al mínimo. Se sospecha que este ataque puede ser obra de alguna APT.
  • Boletín de seguridad de CISCO: Cisco ha lanzado actualizaciones para abordar vulnerabilidades que afectan a múltiples productos: CVE-2018-0222 (CVSSv3 10): vulnerabilidad de credenciales estáticas en el Centro de Arquitectura de Digital Network; CVE-2018-0271 (CVSSv3 10): vulnerabilidad de evasión de autenticación del Centro de arquitectura de Digital Network; CVE-2018-0268 (CVSSv3 10): vulnerabilidad de acceso no autorizado en el Centro de Arquitectura de Digital Network; CVE-2018-0277 (CVSSv3 8.6): vulnerabilidad de denegación de servicio del certificado TLS de Identity Services Engine EAP; CVE-2018-0270 (CVSSv3 8.1): vulnerabilidad de CSRF en IoT Field Network Director; CVE-2018-0280 (CVSSv3 7.5): vulnerabilidad de denegación de servicio en los servicios de Meeting Server Media; CVE-2018-0279 (CVSSv3 6.3): vulnerabilidad de acceso al Shell de Linux del software de la infraestructura Enterprise NFV.
  • **Vulnerabilidades en sistemas corporativos **: La empresa Synopsys ha publicado un informe sobre el estado de la seguridad de los programas de código libre y cómo afecta a las empresas. Este informe hace especial hincapié en que la alerta y la concienciación por las vulnerabilidades críticas ha crecido en las empresas, pero que ésta no va acompañada de esfuerzos reales para parchear los sistemas. Según Synopsys, algunas de las vulnerabilidades que más daño hicieron al entorno corporativo durante el último año se conocían desde años atrás.
  • Análisis y PoC de CVE-2018-8120 (0-day): Se ha publicado un análisis y un PoC de la vulnerabilidades CVE-2018-8120, que formaba parte del boletín de mayo (publicado el 8 de mayo de 2018). Esta vulnerabilidad es un fallo de elevación de privilegios. Un atacante que consiguiera explotarla podría conseguir ejecutar código de su elección en modo privilegiado. Para la explotación de esta vulnerabilidad, el atacante debe poder loguearse previamente en el sistema. La vulnerabilidad afecta a Windows Server 2008 y Windows 7. La PoC es sólo para Windows 7.
  • Controversia por fallo en Keeper: La investigación de un especialista de seguridad sobre un fallo en el gestor de contraseñas Keeper ha derivado en un problema para la compañía desarrolladora. Esto se debe a que la compañía detrás de Keeper siempre ha asegurado que no guarda ningún tipo de información relativa a las contraseñas de los usuarios. Sin embargo, la investigación ha revelado que cualquier usuario con que controle el servidor de la API de Keeper puede lograr acceder a la clave de descifrado que funciona para todas las contraseñas de los usuarios.
  • Fallo grave en Signal: La aplicación de escritorio de Signal, aplicación de mensajería popular por su cifrado end-to-end, ha tenido que ser parcheada de nuevo tras detectarse una vulnerabilidad crítica de inyección de código (CVE-2018-11101). La vulnerabilidad podía explotarse al enviar un mensaje con código malicioso a la aplicación de escritorio de Signal con el simple envío de un mensaje, por lo que no requería de la interacción del usuario. Gracias a este fallo, un atacante podría acceder a las conversaciones almacenadas en texto plano.
  • Fallo en sistemas de alarma interconectados:Un grupo de investigadores ha logrado acceder al backend de un popular sistema de vehículos conectados a internet. Se desconoce si este fallo ha sido ya explotado por algún atacante, pero de haberlo hecho, éste podría haber logrado extraer la geolocalización de los vehículos, así como información de usuario. También es posible que este fallo permita acceder y manipular el motor de los automóviles.
  • Ataques sobre vulnerabilidad 0-Day en routerse DrayTek: La empresa taiwanesa fabricante de routers y otros equipos DrayTrek ha anunciado que se ha detectado una vulnerabilidad 0-Day en una de sus series de routers que estaría siendo explotada activamente. Al parecer, varios usuarios se han quejado de que alguien habría cambiado la configuración DNS de sus routers para dirigirla a un servidor determinado. El ataque se estaría realizando mediante uso de un exploit y no a través de la obtención de contraseñas por defecto, como se especulaba inicialmente.
  • Exploit para la vulnerabilidad crítica en Internet Explorer (CVE-2018-8174): Se ha detectado un exploit para la vulnerabilidad crítica en el motor VBScript de Windows (CVE-2018-8174), corregida en el boletín de seguridad de Microsoft de mayo de 2018, que permitía a un atacante comprometer máquinas con SO Windows a través de Internet Explorer. Por otro lado, se ha creado un módulo en Metasploit que permite crear documentos Word que lanzan el exploit para esta vulnerabilidad de Internet Explorer desde un documento de Word.
  • BMW arregla fallo de seguridad grave en sus coches: BMW está trabajando en unas actualizaciones de firmware después de que un grupo de investigadores descubriera 14 fallos distintos en varios modelos de coches fabricados desde 2012 hasta la actualidad. Estos fallos se hallan en los componentes informáticos de los vehículos, específicamente en los sistemas de comunicación móvil o la telemetría. Los fallos han permitido a los investigadores escalar a través de los distintos sistemas del vehículo, incluidos aquellos que no constaban de vulnerabilidades originalmente.
  • 100 millones de dispositivos IoT expuestos:Un grupo de investigadores ha demostrado que el protocolo de comunicación Z-Wave Wireless, presente en más de 100 millones de dispositivos IoT, es vulnerable a ciberataques. En teoría, un atacante que se encuentre en el radio de acción de los dispositivos puede interceptar la comunicación entre los dispositivos para romper sus sistemas de seguridad e intervenir los datos.
  • Vulnerabilidad en Fortinet FortiOS (CVE-2017-14187):Se ha publicado una vulnerabilidad de escalada de privilegios y ejecución de código en local en las versiones de Fortinet FortiOS 5.6.0 hasta 5.6.2, 5.4.0 hasta 5.4.8, y versiones 5.2 y posteriores. Esta vulnerabilidad permitiría a un atacante ejecutar un programa binario no autorizado contenido en un dispositivo USB conectado a un FortiGate y vinculando dicho programa binario a un comando que puede ejecutar el comando fnsysctl CLI.
  • Vulnerabilidades en sector energético:Un investigador de Letonia ha descubierto una serie de vulnerabilidades en los productos Telem fabricados por la compañía estonia Martem. Este descubrimiento es importante ya que estos dispositivos se usan principalmente en plantas de generación de energía y la explotación de las vulnerabilidades permitiría realizar ejecuciones de código arbitrario y denegaciones de servicio (DoS). Los principales países afectados son las repúblicas bálticas y Finlandia.
  • Puertas traseras en routers D-Link:Kaspersky ha publicado un análisis en el que detalla el descubrimiento de varias vulnerabilidades y cuentas de usuario instaladas por defecto en el firmware de los routers D-Link DIR-620. Al parecer, este tipo de routers son frecuentemente distribuidos por ISPs en Rusia, el este de Europa y Reino Unido. Las cuentas de usuario por defecto pueden ser explotadas por un ataque sin autenticación para obtener privilegios de acceso al firmware y obtener datos sensibles como contraseñas en texto plano.

Malware

  • Primer ransomware con Process Doppelgänging: Kaspersky Lab ha detectado el primer ransomware, variante de SynAck, que utiliza Process Doppelgänging (técnica de inyección de código sin archivos) para evadir su sistema de detección y tiene como objetivo usuarios de Estados Unidos, Kuwait, Alemania e Irán principalmente. El ataque funciona mediante transacciones NTFS iniciando con ellas, un proceso malicioso que reemplaza la memoria de un proceso legítimo. Para identificar el país de un usuario específico, compara los diseños de teclado instalados en el objetivo. Si encuentra una coincidencia (Rusia, Bielorrusia, Ucrania, Georgia, Tayikistán, Kazajistán y Uzbekistán), el ransomware duerme 30 segundos y llama a ExitProcess para evitar el cifrado de los archivos. En caso contrario, SynAck cifra el contenido de cada archivo con el algoritmo AES-256-ECB.
  • Reaparición del ransomware PSCrypt: Se ha detectado una nueva campaña de utilización del ransomware PSCrypt, un malware detectado a finales de 2017 que afectaba principalmente a organizaciones en Ucrania. El malware, además, está basado en el ransomware GlobeImposter.
  • La botnet "Hide & Seek" sobrevive al reinicio del sistema: Los investigadores de ciberseguridad han detectado una variante de la botnet Hide & Seek, que afecta mayoritariamente a dispositivos IoT, que es capaz de permanecer en los sistemas incluso después de que estos se hayan reiniciado o restaurado. Hasta ahora, bastaba con restaurar o resetear los dispositivos para que éstos dejaran de ser parte de la botnet, pero Hide & Seek es capaz de copiar los ficheros maliciosos en el menú del dispositivo, por lo que seguirá presente en el sistema.
  • Actualización sobre el ransomware GrandCrab: La unidad Talos de Cisco ha publicado un nuevo artículo actualizando la información disponible sobre las últimas campañas de infección con el ransomware GrandCrab. Éstas han estado basadas en la difusión del malware a través de spam malicioso que asemejaba confirmaciones de envíos y facturas falsas. Este spam redirigía a su vez a webs comprometidas.
  • ALLANITE: Dragos dio a conocer en el de ayer una campaña de ataques denominada ALLANITE que estaría dirigida a las redes de control industrial del sector de distribución eléctrica de EE.UU. y Reino Unido. El objetivo de los operadores de ALLANITE es el de realizar reconocimientos de sistemas y obtener información. Se sospecha que la explotación de ALLANITE comenzó en mayo de 2017 y podría estar relacionado con la APT Dragonfly.
  • Filtrado el código del malware TreasureHunter: El código fuente del malware destinado a puntos de venta TreasureHunter ha sido detectado en un foro en lengua rusa. El post que incluye el código fue publicado en marzo y permite que cualquier usuario con acceso a la publicación pueda utilizar este malware. Se espera que se de un repunte de detecciones de este malware al igual que ya sucediera con la filtración de otros malware como Zeus, Mirai o Alina.
  • El malware Panda ataca redes sociales y portales de criptomoneda:El malware Panda, una poderosa variante del popular troyano bancario Zeus, habría sido usado para atacar portales de intercambio de criptomoneda y redes sociales en sus últimas campañas detectadas entre febrero y mayo de 2018. Estas últimas campañas se han dirigido, además, al sistema financiero japonés, estadounidense, italiano y de varios países latinoamericanos.
  • Malware en la tienda online de Ubuntu: Se han descubierto dos paquetes instalación maliciosos en la tienda online de Ubuntu subidos por un usuario cuya cuenta se halla ya intervenida. Al parecer, el usuario habría cargado los paquetes 2048buntu y Hextris, los cuales contendrían malware para minar criptomoneda oculto en su código fuente.
  • Ataques al sector del marketing: Vega Stealer: Se ha detectado una nueva variante de ransomware denominada Vega Stealer que estaría dirigida al sector del marketing, las relaciones públicas y las industrias de fabricación y retail. Vega Stealer se trataría de una variante de August Stealer que buscaría obtener las credenciales e información bancaria almacenada en los navegadores Chrome y Firefox.
  • STALINLOCKER: El nuevo malware que borra los equipos en 10 minutos: StalinLocker es un malware también conocido como StalinScreamer. La peligrosidad reside en que es capaz de vaciar un equipo en apenas 10 minutos. Este es el tiempo que da para que la víctima ingrese un código que evite el borrado. Es decir, cobra por ese dinero a cambio de no formatear el equipo. No afecta únicamente al disco duro principal, sino a todas las unidades conectadas a ese sistema. Analiza todas las unidades y las borra. Mientras se ejecuta este malware, muestra una imagen de Stalin, así como reproduce el himno de la Unión Soviética, con una cuenta atrás. Una vez pasa ese tiempo marcado, comienza el borrado de archivos.
  • Campaña de minado afecta a 500.000 usuarios en tres días:Se ha detectado una campaña de infección masiva de malware que busca difundir un nuevo tiempo de minero de criptomoneda. La nueva variante del malware se denomina WinstarNssmMiner y afecta principalmente a sistemas Windows. WinstarNssmMiner está basado en la aplicación de minado de monero XMRig y tiene capacidades para desactivar las protecciones de determinados tipos de antivirus.
  • Powershell maliciosa ataca a clientes de bancos británicos: Se ha detectado el uso de un script PowerShell cuyo objetivo parece ser los clientes de los principales bancos de Reino Unido. Entre sus funciones, el script está diseñado para hacer capturas de pantalla, descargar payloads maliciosos y capturar listas de los resolver DNS almacenados en el cache de los usuarios.
  • Turla Mosquito: La conocida APT Turla, grupo cibercriminal especializado en espionaje, habría iniciado una campaña denominada Mosquito en marzo de 2018. Esta campaña estaría utilizando Metasploits disponibles en fuentes abiertas para lograr acceder a los dispositivos y poder instalar la puerta trasera mosquito.
  • Malware en 141 modelos de móviles de bajo coste: Avast ha publicado un listado de 141 modelos de móviles de bajo coste en los que se ha detectado malware. Entre ellos, están ZTE, Archos, y myPhone. Es posible que haya más modelos afectados ya que existen muchas variantes de algunos de los modelos listados, algunos con nombre similares. El único patrón común que se ha detectado es que tienen un chipset Mediatek, aunque no se estima que esto sea relevante para el ataque que ya ha afectado a más de 100 países.
  • VPNFilter, campaña de tipo APT gubernamental: Esta campaña probablemente esté dirigida contra Ucrania para la infección de dispositivos domésticos (de red y almacenamiento) empleando vulnerabilidades que disponen de exploits públicos. Hasta el momento, se han comprometido más de 500.000 dispositivos en 54 países. El APT cuenta con capacidades de control de dispositivo, interceptación de tráfico (robo de credenciales y tráfico Modbus SCADA) e inutilización del dispositivo; además de contar con capacidades avanzadas de persistencia, ofuscación y modularidad.
Lo más relevante en Ciberseguridad este Mayo '18

Lo más relevante en Ciberseguridad este Mayo '18

Fugas

  • GitHub almacenó contraseñas en texto plano en sus logs: GitHub ha alertado a sus usuarios acerca de la detección de un fallo en la función “reestablecer contraseña” que ha provocado que sus contraseñas de acceso a la plataforma se hayan almacenado en texto plano en los logs internos de la compañía. Desde GitHub han asegurado que estas contraseñas se han visto expuestas a un número muy reducido de empleados de la compañía
  • Fuga masiva de datos en el banco más grande de Australia: El Commonwealth Bank australiano fue víctima de la fuga de los historiales financieros de más de 12 millones de clientes y no lo ha comunicado en tiempo y forma. Al parecer, los datos perdidos pertenecen al periodo 2004-2014 y fueron extraviados por una empresa colaboradora del banco, Fuji Xerox en 2016. Tras el incidente, el banco alerto a la comisión del mercado correspondiente, pero decidió no avisar a sus clientes.
  • Uso de la vulnerabilidad Krack contra la industria médica: En los últimos días se ha descubierto que varios productos de la compañía de diseño de equipo médico Becton, Dickinson & Company son vulnerables al ataque de reinstalación de claves KRACK, lo que permitiría a un atacante penetrar, cambiar y extraer información de los historiales médicos de los pacientes. Pese a que KRACK lleva varios meses en el dominio público, no se han detectado ataques concretos contra esta serie de equipos médicos.
  • Fallo de seguridad en Twitter expone contraseñas de usuarios: Twitter publicó ayer un tweet a través de su cuenta oficial de soporte en la que afirmaba que habían descubierto un error en sus sistemas que almacenaba las contraseñas en texto plano en un registro interno. Según la red social, el error ha sido solucionado y no se tiene constancia de un mal uso de estas contraseñas. Aun así, como precaución, recomiendan que todos sus usuarios modifiquen sus contraseñas.
  • Explotación de fallo WebLogic: Se ha publicado un análisis de la explotación de la vulnerabilidad CVE-2018-2628 que afecta a WebLogic de Oracle. Según el análisis, se han detectado cerca de 450 casos de ataques que han utilizado esta vulnerabilidad en las 48 horas posteriores a que se publicara el parche para mitigar el fallo y 24 horas después de que apareciera una prueba de concepto en GitHub. El objetivo de estos ataques fue, principalmente, el minado de criptomoneda.
  • Difusión de la herramienta RAT Remcos : El equipo de análisis de Fortiguard ha analizado muestras de malware detectados de forma reciente y ha identificado una campaña de explotación de la vulnerabilidad de Microsoft Office CVE-2017-11882 que se estaría difundiendo con ayuda de una nueva versión de la herramienta de acceso remoto Remcos. Esta campaña se habría iniciado a principios de abril y se aprovecha de aquel software no actualizado cuando se parcheó la vulnerabilidad en noviembre de 2017.
  • Vulnerabilidad en IBM WebSphere (CVE-2017-1743) : Se ha publicado una vulnerabilidad en IBM WebSphere Application Server 7.0, 8.0, 8.5 y 9.0 que permitiría que un atacante remoto obtenga información confidencial causada por un manejo inadecuado de los campos del panel de la consola administrativa. Cuando se explota, un atacante podría navegar por el sistema de archivos.
  • Guerra de ciberataques entre Turquía y Grecia : Los conflictos tradicionales entre los gobiernos de Grecia y Turquía se han desplazado ahora al ámbito de la ciberguerra. Durante los últimos días, las autoridades de ambos países han confirmado y desmentido una serie de ataques sufridos a manos de grupos como Akincilar cuyos objetivos son, por el momento, agencias gubernamentales, medios de comunicación y empresas de telecomunicaciones. Se sospecha que este aumento de ciberataques fue iniciado desde Grecia con motivo de las próximas elecciones en Turquía.
  • App de Android deja al descubierto fotos y mensajes de audio: Los usuarios de la aplicación de Android Drupe han sido víctimas de una sobreexposición de su información en un servidor alojado en Amazon Web Services. La escasa protección de este servidor dejaba al descubierto fotos de perfil, mensajes de audio y otra información procedente de otras redes sociales como Skype o WhatsApp.
  • Un "grave" fallo en la web del CGPJ deja al descubierto datos personales de sentencias: El Consejo General del Poder Judicial ha sido alertado de un fallo grave en su página web que permitía a cualquier usuario tener acceso a sugerencias automáticas para autocompletar campos a la hora de realizar búsquedas en la plataforma de consulta de sentencias. Esta plataforma permitía buscar sentencias de forma rápida y anónima para proteger la identidad de los ciudadanos, pero el fallo ha dejado a la vista información que permite adivinar delitos y causas pendientes de cualquier ciudadano.
  • Ciberataque a la unión crediticia de Sheffield: Cerca de 15.000 miembros de la Sheffield Credit Union han sido víctimas de un robo de información personal después de que la institución haya sufrido un ciberataque. La información vulnerada durante este ataque, que se dio en febrero, contendría nombres, números de la seguridad social, direcciones y detalles bancarios de los clientes.
  • Fuga de información en Goodyear, Arizona: Los ciudadanos de Googyear, en el estado de Arizona, podrían haber sido víctimas de una fuga de información que afectaría a 30.000 de sus vecinos. Por el momento se desconoce el origen de la fuga, pero ésta afectaría a los usuarios de los servicios públicos de la ciudad. El ayuntamiento ha anunciado una investigación en profundidad, pero se sospecha que parte de la información sustraída serían los datos bancarios de los usuarios.
  • Nueva fuga de información que afecta a Facebook: Un informe ha revelado que la Universidad de Cambridge habría estado usando datos privados de Facebook obtenidos de una popular app de personalidades denominada myPersonality. Esta app habría sido descargada por cerca de 3 millones de usuarios cuyos datos privados – entre los que se incluyen las respuestas a preguntas de carácter íntimo – habrían sido expuestos y todavía hoy podrían ser accedidos por cualquier usuario.
  • Fuga de información en LocationSmart: La compañía estadounidense LocationSmart ha sido víctima de una fuga de información debido a un fallo en un componente de su página web. Según informa Brian Krebs, cualquier usuario podría utilizar este fallo para poder obtener información en tiempo real sobre la geolocalización de terminales móviles, sin necesidad de contraseña o autenticación.
  • Datos de millones de japoneses comprometidos: Se ha detectado una publicación en un foro con base en China en la que se pondrían a la venta varios millones de datos de usuarios japoneses. Los datos son una compilación de registros obtenidos de 50 páginas japonesas dedicadas a los sectores retail, restauración, entretenimiento, transporte y financiero. Los datos se estarían vendiendo por cerca de 150 dólares.
  • Fuga de datos en routers Comcast: Los clientes que dispongan de los routers Wireless Xfinity desarrollados por Comcast podrían haber sido víctimas de una fuga de información grave que afectaría a datos privados incluidas contraseñas. Esto se debe a que las cuentas de acceso de los usuarios de estos routers están sincronizadas con su número identificador y su dirección física, lo que a la larga permite conocer la contraseña del WiFi y el SSID. Comcast ya ha confirmado que está trabajando en un parche para mitigar esta fuga de información.
  • Subdominio de T-Mobile expone información confidencial: Un fallo en la privacidad del subdominio promotool.t-mobile.com de T-Mobile permitía acceder a los detalles de las cuentas de clientes. Este dominio, únicamente pensado para uso de empleados de T-Mobile, era fácilmente accesible desde diversos motores de búsqueda y contenía una API oculta que devolvía datos de clientes añadiendo únicamente el número de teléfono al final de la dirección web. Estos datos incluían el nombre completo, dirección postal, número de cuenta bancaria y, en algunos casos, el PIN utilizado como pregunta de seguridad.
  • Fuga de datos en sudáfrica:Medios sudafricanos han alertado de una fuga de información y datos privados que ha afectado a cerca de 934.000 personas en el país. Al parecer, la fuga procede de un sistema de pago online de multas de tráfico. Los datos expuestos incluyen números de identificación (DNIs), direcciones de correo electrónico, nombres y contraseñas en texto plano.

Incidentes de seguridad

  • Impacto de la fuga de datos en los resultados de Equifax:Equifax ha publicado nueva información sobre el impacto de la fuga de datos revelada en septiembre de 2017 y, por primera vez, ha publicado toda la información sobre el tipo de datos afectados. La compañía ha admitido que la mitad de los ciudadanos estadounidenses vio como se sobreexponía sus direcciones físicas, fechas de nacimiento, números de la seguridad social, géneros, números de teléfono, carnés de conducir, números de tarjeta de crédito y de identificación fiscal.
  • EternalBlue: más usado en 2018 que durante el WannaCry: ESET ha publicado un artículo estudiando el uso del exploit EternalBlue un año después del WannaCry y ha detectado que éste estaría siendo explotado más a menudo ahora que en mayo de 2017. Se sospecha que este incremento en uso puede deberse a su incorporación al malware Satan, pero también señala que muchos usuarios aún no han logrado parchear sus sistemas.
  • Incidente informático en debate político:Un usuario del foro online que realizaba el streaming oficial del debate del Congreso de California logró hackear e interrumpir la emisión del debate para sustituirla con imágenes de alto contenido pornográfico. El moderador del debate informó del ataque y la conexión se recuperó minutos más tarde.

Cibercrimen

  • Compañía rusa vende 0-Day de software hospitalario: La compañía moscovita Gleg estaría distribuyendo exploits para vulnerabilidades 0-Day que afectan a software médico usado principalmente en hospitales. Gleg vende cerca de 25 exploits relacionados con el mundo de la salud al año por un precio cercano a los 4.000 dólares. Algunos de estos exploits han podido ser utilizados para atacar y obtener los datos de la compañía MediTEX, que ha sufrido recientes intrusiones y ataques a través de ransomware.
  • Descubren cómo atacar dispositivos Android usando su GPU: Se ha detectado un nuevo tipo de ataque que se aprovecha de defectos físicos en la memoria de los dispositivos Android para burlar su seguridad. Este tipo de ataque, Rowhammer, se creía imposible de realizar hasta que un grupo de investigadores han desarrollado un exploit para ejecutar código malicioso en remoto a través de la GPU del móvil. El exploit se conoce como GLitch y permite cambiar contenido de partes individuales almacenadas en la RAM después de que el usuario haya visitado una web maliciosa cargada con un javascript.
  • Campaña de phishing valiéndose de la protección de datos: Ante la entrada en vigor de la nueva ley europea de protección de datos (GDPR) el próximo día 25, multitud de compañías están enviando correos a sus usuarios con información sobre ésta. Este hecho está siendo aprovechado por los atacantes que están enviando correos haciéndose pasar por empresas como Airbnb para confirmar las credenciales e introducir los números de cuenta bancaria.
  • Esconden puertas traseras en paquete JavaScript: El equipo responsable del paquete JavaScript Node Package Manager (npm) ha detectado que un atacante habría escondido puertas traseras en su código. La puerta trasera se detectó en el paquete “getcookies”, un paquete de reciente incorporación a la librería JavaScript que sirve para trabajar con las cookies del navegador. Esta puerta se instalaría en cualquier app que incorporara esta librería.
  • Campañas de ransomware Iron y Cobalt Strike : Se ha detectado una serie de campañas maliciosas en las que uno o varios grupos de atacantes, probablemente de origen chino, están usando PowerShell y scripts de Shell para atacar máquinas a través de diferentes técnicas: el ransomware Iron, mineros de criptomoneda y herramientas de acceso persistente como Cobalt Strike. Estas campañas afectan a dispositivos Windows y Linux y utilizan mecanismos para lograr el movimiento lateral a través de una red.
  • Campañas de robo de criptomoneda en Drupal:Días después de que se conocieran las últimas vulnerabilidades críticas que afectan al software Drupal, se ha detectado una campaña activa de infección de malware que busca robar y minar criptomonedas. Se estima que cerca de 350 sitios con software Drupal habrían sido ya atacados con puertas traseras y mineros, estando entre estos los sitios web de varias agencias gubernamentales de EE.UU. y Turquía o la Universidad de Aleppo, en Siria. Además, se ha detectado una campaña de difusión del malware Kitty que afecta a estos mismos sitios.
  • El renacer de Armor, el antivirus falso para Android: El equipo de MalwareBytes ha detectado una nueva aplicación denominada Android’s Antivirus que se trataría de una copia de la app Armor Android AV, un antivirus falso que se hizo muy popular en 2013 y cuyo uso había decaído considerablemente. Este supuesto antivirus fingía proteger los dispositivos al tiempo que infectaba los terminales de miles de dispositivos con anuncios y peticiones de descarga de aplicaciones de pago.
  • La Nueve de Anon amenaza a los anunciantes de Forocoches: La facción más notable de Anonymous en España, La Nueve de Anonymous, publicó ayer un tuit en el que se intuye un posible ataque contra los anunciantes de Forocoches.com. Este foro es el que más usuarios tiene en España y en los últimos días ha saltado a los titulares después de que varios usuarios compartieran datos personales de la víctima del conocido caso de La Manada. Se especula que la amenaza de La 9 puede estar dirigida contra algunos de sus anunciantes con más relación con el foro, como Telepizza o Hawkers.
  • Defacement a cámaras Canon en Japón:Un grupo de hackers ha logrado realizar defacements en decenas de cámaras de la marca Canon por toda la geografía japonesa. El ataque fue descubierto a principios de mayo, pero se sospecha que comenzó a mediados de abril. Tras el defacement, las cámaras de seguridad seguían mostrando imágenes, pero iban acompañadas por el mensaje “I’m hacked. Bye2”. Para su ataque, los hackers se aprovecharon de que las cámaras aún usaban las contraseñas por defecto del fabricante.
  • Ataque al sistema de bicicletas públicas de Copenhague:El sistema de administración y control de la red de bicicletas municipales de la ciudad de Copenhague, Bycyklen ha sido víctima de un ataque que ha afectado a todo el servicio, dejando cerca de 2.000 bicicletas inutilizables. Durante el ataque, todas las bases de datos del sistema fueron eliminadas.
  • Rowhammer se activaría solo con el envío de paquetes a través de una LAN: Se ha publicado una nueva variante de los ataques tipo Rowhammer que permitiría su explotación remota. En este caso, para lanzar el ataque (que podría llegar a permitir la ejecución de código) sería suficiente con enviar tráfico de red (en redes de al menos 10Gbps) contra un equipo remoto. Los atacantes han realizado una prueba de concepto contra un servidor memcahed. No obstante, la explotación es compleja.
  • Google Maps permite redirecciones a sitios maliciosos: Sophos ha identificado un nuevo vector de ataque que afecta a Google Maps en su versión maps.app.goo.gl. Según los investigadores, este servicio incluiría una vulnerabilidad que podría ser explotada por cibercriminales para redirigir a los usuarios a sitios maliciosos y campañas de phishing. Esto sería posible a través de direcciones acortadas y compartidas en la plataforma, ya que el motor de Google no las identifica como maliciosas y no es capaz de eliminarlas.
  • Hackeando trenes de pasajeros: Un estudio realizado en las redes inalámbricas de varios trenes de pasajeros ha encontrado varios fallos en éstas que podrían propiciar que un grupo de atacantes se hiciera con el control de los trenes. Entre los fallos más corrientes se encuentran el uso de contraseñas por defecto y la falta de separación entre redes de usuarios, de uso interno y de control del tráfico.
  • La 9 ataca Acciona: En la tarde de ayer, el grupo hacktivista La9deanon ha publicado diversos tweets en los que anunciaban de una inminente acción relacionada hacia una compañía del IBEX35. Minutos después el perfil del grupo hizo público que habían vulnerado los sistemas logísticos del grupo Acciona, concretamente los que afectan a aquellos servicios que ofrecen a terceros a través de la extranet de la compañía. Entre las empresas cliente afectadas se puede observar el Grupo Leche Pascual y CSM Bakery Solutions.
  • Un ciberatraco millonario golpea a varios bancos mexicanos: Un grupo de hackers han robado sustraído entre 300 y 400 millones de pesos mexicanos (de 15 a 20 millones de dólares) por medio de los sistemas de banca en línea de instituciones como Banorte —el segundo banco más grande del país— y Banco del Bajío. El robo habría ocurrido el último fin de semana de abril, lo que obligó a una reestructuración del Sistema de Pagos Electrónicos Interbancarios (SPEI), operado por el Banco de México. Esto, a su vez, ha ralentizado todas las operaciones bancarias de dicho país durante las últimas semanas.
  • Nethammer: explotación remota de ataques Rowhammer: Un grupo de investigadores independiente de los descubridores de Throwhammer ha publicado un ataque muy similar al que han bautizado como Nethammer. Rowhammer explota errores en DRAM para modificar el contenido de una celda de memoria sin acceder a ella. En su lugar, se accede a otras ubicaciones de memoria a una frecuencia alta. Según los investigadores, Nethammer es el primer ataque remoto de Rowhammer que, sin una sola línea de código controlada por el atacante en el sistema objetivo, pueden afectar a sistemas que usan memoria no cacheada o instrucciones flush para tratar peticiones de red para, por ejemplo, la interacción con el dispositivo de red.
  • Ataque mundial a impresoras Ricoh: Durante el día de ayer el investigador de seguridad ruso Ankit Anubhav alertó de que alguien había vulnerado la seguridad de cerca de 180 impresoras de la marca Ricoh a través de uno de sus puertos conectados a Internet, probablemente el 137. Al parecer los atacantes habrían lanzado un escaneo mundial a través de Shodan para acceder a las impresoras y cambiar los nombres de la NetBiOS escribiendo “PRINTER-HACKED” en su lugar.
  • **Intrusión en Securus **: Un hacker desconocido habría sido capaz de penetrar en los servidores de la compañía Securus. Esta compañía es famosa por ser la encargada de proveer a los cuerpos de seguridad de EE.UU. de la tecnología para realizar seguimientos a cualquier teléfono móvil del país. Entre las pruebas aportadas por el hacker para demostrar su ataque, se encontraban números de usuarios y miles de contraseñas poco seguras.
  • Malware PoS afecta a restaurantes Chili: Los usuarios de los restaurantes Chili pueden haber sido víctima de un ataque que habría logrado acceder a su número de tarjeta de crédito o débito. Este ataque se habría producido por obra de un malware que también habría logrado acceder a otros datos privados de los clientes, pero no a sus datos de la seguridad social o de identificación federal. El case se encuentra todavía bajo investigación.
  • Anunciados nuevos ataques en la #OpCatalunya: El grupo hacktivista Anonymous_opt ha publicado una serie de tweets en su perfil de Twitter en los que amenaza con nuevos ataques en contra del gobierno de España por la no retirada del articulo 155. Aún se desconocen los detalles de esta nueva fase de la #OpCatalunya.
  • Wicked, otra nueva variante de Mirai:Fortinet Labs ha identificado una nueva variante del bot Mirai, Wicked. A diferencia del malware original de Mirai, que usaba técnicas de fuerza bruta basadas en listas de credenciales predefinidas para tratar de vulnerar los dispositivos IoT, Wicked explora la red al intentar abrir un socket en los puertos 8080, 8443, 80 y 81 a las direcciones IP de dispositivos IoT potencialmente vulnerables. Si la conexión es exitosa, el malware intenta explotar vulnerabilidades conocidas de los dispositivos IoT (listadas en la fuente) con una serie de exploits públicos para descargar su carga maliciosa en el sistema remoto.
  • Biñeros: fraude a los sistemas financieros en América Latina:Un grupo de cibercriminales latinoamericanos estaría aprovechándose de errores en el sistema de validación de los números de identificación bancaria (BINs) para generar números falsos de pagos con tarjeta de crédito. Una vez creados los identificadores de pago falsos, los atacantes usan tarjetas falsas para completar las transacciones. Para la creación de los números, los viñeros (como se conoce a estos criminales), se aprovechan de un fallo en los bancos que permite validar una tarjeta, aunque esta sea falsa.
  • Botnet Satori busca mineros de Ethereum expuestos:Los operadores de la botnet Satori estarían escaneando la red en busca de mineros de criptomoneda expuestos. Los criminales buscan aquellos mineros que tienen los puertos 3333 abiertos, ya que este puerto permite la gestión remota en muchos dispositivos construidos para minar Ethereum. Estos mismos atacantes habrían probado ya a realizar escaneos tras comprometer miles de routers GPON desde IPs situadas en México.
  • Script de PHP infecta 2.400 páginas en una semana:Un grupo de atacantes habría conseguido realizar una serie ataques en páginas a través de un script denominado Brain Food que estaría siendo difundido a través de la botnet homónima. Cerca de 5.000 páginas habrían sido comprometidas en el último mes, con casi la mitad de las infecciones teniendo lugar en la última semana. El script está configurado con múltiples capas de defensas para evitar ser detectado y poder inyectar código que genere redirecciones automáticas.
  • Investigación de fuga de información en Tidal: El servicio de streaming de música Tidal ha anunciado que ha sufrido una fuga de información. Dicha fuga, a su vez, derivó en las sospechas de que la compañía podría estar inflando sus cuentas y retrasándose en los pagos de derechos de autor. La fuga de información continua bajo investigación y podría derivar en más problemas para la empresa.
  • Nuevo método para instalar puertas traseras en sitios Wordpress: Se ha detectado un nuevo método de instalación de plugins que sirven como puertas traseras en las páginas web que utilicen WordPress CMS. La técnica de instalación es bastante compleja y solo sirve para aquellas cuentas de Wordpress que estén indebidamente protegidas y requiere el uso del plugin Jetpack. Esto no ha impedido que se haya detectada una campaña de uso activo del nuevo método desde el 16/05.
  • Nuevo ataque de los responsables de Triton: Xenotime, el grupo criminal que llevó a cabo un ataque contra una planta petroquímica en Arabia Saudí a través del malware Triton, ha sido detectado ampliando su espectro de ataques. Así lo asegura Dragos, la compañía que junto a FireEye detectó el malware por primera vez en noviembre. Al parecer en sus ataques actuales, el grupo habría empezado a usar otros tipos de malware que no están limitados a la tecnología que usaba Triton.
  • La Nueve anuncia nuevos ataques a partir del día 26/05: El perfil de carácter hacktivista La Nueve ha publicado una entrada en su perfil de la red social Twitter, en el que informa que estarían apoyando al conocido rapero Valtonyc, el cual debe ingresar en prisión por varios delitos relacionados con sus letras. Además de mostrar su apoyo al rapero, la publicación advierte a las empresas, estados, autonomías y otras entidades que aseguren sus bases de datos, ya que a partir del 26 de mayo se proponen realizar ataques contra sus activos.
  • <a href="http://www.zonavirus.com/noticias/2018/nuevo-phishing-que-se-hace-pasar-por-