top of page
Foto del escritor DIGISOC®

Últimas amenazas y vulnerabilidades en ciberseguridad: De brechas de datos a ataques de fuerza bruta

Actualizado: 22 jul


Índice

Crítica

Alta

Media

  • Malware

0

5

0

  • Phishing

0

1

0

  • Vulnerabilidades

0

5

0

  • Indicadores de compromiso (IoC)




La brecha de datos de Space-Eyes ha comprometido la seguridad nacional de Estados Unidos, según informes de vulnerabilidades. Esta situación plantea preocupaciones sobre la protección de la información sensible y confidencial del país. Por otro lado, Telegram ha solucionado una vulnerabilidad en su aplicación de Windows que permitía la ejecución de scripts de Python, lo que podría haber sido aprovechado por ciberdelincuentes para llevar a cabo ataques maliciosos.


En cuanto a malware, se ha descubierto una campaña maliciosa de Google Ads que distribuye software falso de escáner de IP con una puerta trasera oculta. Además, se ha identificado un nuevo malware bancario llamado SoumniBot, diseñado específicamente para dispositivos Android. Estos casos resaltan la importancia de contar con medidas de seguridad adecuadas para proteger nuestros dispositivos y datos personales.


En el ámbito de las vulnerabilidades, se ha lanzado una actualización de seguridad de Chrome que corrige 23 vulnerabilidades, lo que destaca la necesidad de mantener nuestros navegadores actualizados para evitar posibles ataques. También se han reportado ataques masivos de fuerza bruta contra servicios VPN y SSH, lo que pone de manifiesto la importancia de contar con contraseñas seguras y medidas de autenticación adicionales.


Por último, se ha informado sobre la explotación de nuevas vulnerabilidades críticas de OpenMetadata en clústeres de Kubernetes, lo que resalta la importancia de mantener actualizados los sistemas y aplicar parches de seguridad.


Fuentes consultadas:


MALWARE


Campaña maliciosa de Google Ads distribuye software falso de escáner de IP con puerta trasera oculta


Una nueva campaña de malvertising de Google está utilizando un grupo de dominios que imitan un software legítimo de escáner de IP para distribuir una puerta trasera previamente desconocida llamada MadMxShell. Los actores de amenazas registraron múltiples dominios similares utilizando una técnica de typosquatting y utilizaron Google Ads para promocionar estos dominios en los resultados de búsqueda, dirigiéndose a palabras clave específicas. Los usuarios que buscan estas herramientas son redirigidos a sitios falsos que contienen código JavaScript diseñado para descargar un archivo malicioso al hacer clic en el botón de descarga. El archivo contiene un archivo DLL y un ejecutable que se utilizan para cargar la secuencia de infección. La puerta trasera utiliza consultas DNS MX para comunicarse con un servidor de comando y control y está diseñada para recopilar información del sistema, ejecutar comandos y manipular archivos. No se han encontrado IOC en este caso.


Recomendación: Para evitar este tipo de ataque, se recomienda a los usuarios tener cuidado al descargar software de fuentes desconocidas y verificar la autenticidad de los sitios web antes de hacer clic en enlaces o descargar archivos. Además, es importante mantener actualizados los programas antivirus y realizar análisis regulares del sistema para detectar posibles amenazas.


Prioridad: Alta Fuentes:

 

SoumniBot: Un nuevo malware bancario para dispositivos Android


SoumniBot es un nuevo malware bancario que se dirige a usuarios coreanos y se destaca por su enfoque no convencional para evadir el análisis y la detección, específicamente la ofuscación del manifiesto de Android. Este malware utiliza varias técnicas de ofuscación, como el uso de un valor de método de compresión no válido en el manifiesto, un tamaño de manifiesto no válido y nombres de espacio largos. Cuando se ejecuta, SoumniBot solicita una configuración desde un servidor remoto y luego inicia un servicio malicioso que recopila y envía datos del dispositivo de la víctima al servidor. Además, SoumniBot tiene la capacidad de robar claves bancarias en línea utilizadas por los clientes de los bancos coreanos. Para evitar convertirse en víctima de este tipo de malware, se recomienda utilizar una solución de seguridad confiable en su dispositivo móvil. Los indicadores de compromiso (IOC) asociados con SoumniBot incluyen hashes MD5 y direcciones URL de los servidores de comando y control utilizados por el malware.


Recomendación: Para evitar convertirse en víctima de malware como SoumniBot, se recomienda utilizar una solución de seguridad confiable en su dispositivo móvil. Además, es importante mantener su sistema operativo y aplicaciones actualizadas, ya que las actualizaciones suelen incluir parches de seguridad que pueden proteger contra vulnerabilidades conocidas. También se recomienda tener cuidado al descargar aplicaciones de fuentes no confiables y evitar hacer clic en enlaces sospechosos o descargar archivos adjuntos de correos electrónicos no solicitados. Por último, es importante educarse sobre las últimas amenazas de malware y estar atento a las prácticas de seguridad recomendadas.


Indicadores de compromiso (IoC):

SHA-1:

0318b7b906e9a34427bf6bbcf64b6fc8 00aa9900205771b8c9e7927153b77cf2 b456430b4ed0879271e6164a7c0e4f6e

fa8b1592c9cda268d8affb6bceb7a120


URLs:

 https[:]//google[.]kt9[.]site https[:]//dbdb[.]addea[.]workers[.]dev

Prioridad: Alta


Fuentes:


Redline Stealer: Un Enfoque Novedoso


Se ha observado una nueva variante empaquetada del troyano Redline Stealer en la naturaleza, aprovechando el bytecode de Lua para realizar comportamientos maliciosos. Los datos de telemetría de McAfee muestran que esta cepa de malware es muy prevalente, abarcando América del Norte, América del Sur, Europa, Asia y llegando a Australia. La cadena de infección comienza con el abuso de GitHub para alojar el archivo malicioso en la cuenta oficial de Microsoft en el repositorio vcpkg. El archivo zip contiene un instalador MSI que, al ejecutarse, muestra una interfaz de usuario y solicita al usuario que instale el malware en la computadora de un amigo para obtener la versión completa de la aplicación. Durante la instalación, se crean tareas programadas para garantizar la ejecución del malware. La comunicación con el servidor C2 se realiza a través de HTTP y se realizan actividades de robo de información, como capturas de pantalla, que se envían al servidor de los atacantes. Se recomienda mantener una postura de seguridad proactiva y utilizar soluciones de seguridad actualizadas para protegerse contra esta amenaza en constante evolución.


Recomendación: Se recomienda mantener una postura de seguridad proactiva y utilizar soluciones de seguridad actualizadas para protegerse contra esta amenaza en constante evolución.


Indicadores de Compromiso (IoC):

Nombre del archivo:

Cheat.Lab.2.7.2.zip   lua51.dll

readme.txt

compiler.exe

Cheater.Pro.1.6.0.zip

SHA 256:

5e37b3289054d5e774c02a6ec4915a60156d715f3a02aaceb7256cc3ebdc6610

873aa2e88dbc2efa089e6efd1c8a5370e04c9f5749d7631f2912bcb640439997

751f97824cd211ae710655e60a26885cd79974f0f0a5e4e582e3b635492b4cad

dfbf23697cfd9d35f263af7a455351480920a95bfc642f3254ee8452ce20655a

URL:

https[:]//github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip

hxxps://github.com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip

Descripción:

Redline C2 213[.]248[.]43[.]58 Trojanised Git Repo


Prioridad: Alta


Fuentes:

 

Ataque de ransomware compromete información de organización de atención médica en Michigan


La organización de atención médica Cherry Street Services (Cherry Health) de Michigan ha comenzado a notificar a más de 180,000 personas que su información personal fue comprometida en un ataque de ransomware. El incidente ocurrió el 21 de diciembre de 2023 y resultó en la interrupción de ciertos sistemas, lo que sugiere que se pudo haber utilizado ransomware de cifrado de archivos. La información comprometida incluye nombres, direcciones, fechas de nacimiento, números de Seguro Social, números de teléfono, información de seguros de salud, números de identificación de pacientes y de seguros de salud, información de tratamiento, información de recetas y datos de cuentas financieras. Se recomienda a las personas afectadas que monitoreen su crédito y utilicen servicios de protección de identidad. Este ataque se clasifica como 'Malware'. No se encontraron IOC.


Recomendación: Para evitar ataques de ransomware, es importante mantener actualizados los sistemas operativos y el software de seguridad. Además, se recomienda realizar copias de seguridad periódicas de los datos importantes y educar a los empleados sobre las prácticas de seguridad cibernética.


Prioridad: Alta


Fuentes:

 

Nuevo backdoor Kapeka utilizado por APT rusa en ataques en Europa del Este


Desde mediados de 2022, se ha observado un backdoor previamente no documentado llamado Kapeka en ataques cibernéticos dirigidos a Europa del Este, incluyendo Estonia y Ucrania. El malware ha sido atribuido al grupo de amenazas persistentes avanzadas (APT) vinculado a Rusia conocido como Sandworm. Kapeka es un backdoor flexible que proporciona a los operadores todas las funcionalidades necesarias para servir como un kit de herramientas en etapa inicial y también para proporcionar acceso a largo plazo al sistema de la víctima. El backdoor se propaga a través de un dropper que se encarga de ejecutar un componente de backdoor en el host infectado y establecer persistencia. Microsoft ha descrito a Kapeka como involucrado en múltiples campañas de distribución de ransomware y capaz de llevar a cabo diversas funciones, como robo de credenciales, ataques destructivos y acceso remoto al dispositivo por parte de los actores de amenazas. El backdoor utiliza una DLL de Windows escrita en C++ y cuenta con una configuración de comando y control (C2) incrustada que se utiliza para establecer contacto con un servidor controlado por los actores de amenazas. Kapeka también es capaz de actualizar su configuración de C2 durante la comunicación con el servidor. Aunque no se conoce el método exacto de propagación del malware, se ha observado que el dropper se obtiene de sitios web comprometidos utilizando la utilidad certutil. Kapeka tiene conexiones conceptuales y de configuración con familias de malware previamente reveladas como GreyEnergy y Prestige, lo que indica que podría ser un sucesor de GreyEnergy en el arsenal de Sandworm. La victimología, la baja frecuencia de avistamientos y el nivel de sigilo y sofisticación del backdoor indican una actividad a nivel de APT, muy probablemente de origen ruso.


Recomendación: Para evitar ataques como el utilizado con el backdoor Kapeka, se recomienda mantener los sistemas operativos y software actualizados con los últimos parches de seguridad. Además, es importante implementar soluciones de seguridad robustas que incluyan firewalls, sistemas de detección y prevención de intrusiones, y soluciones de seguridad de endpoint. También se debe educar a los usuarios sobre las prácticas de seguridad cibernética, como no abrir correos electrónicos o enlaces sospechosos y no descargar archivos adjuntos de fuentes no confiables. Realizar copias de seguridad periódicas de los datos importantes y almacenarlas en un lugar seguro también es una medida recomendada.


Prioridad: Alta


Fuentes:


PHISHING


Desmantelan banda cibernética global implicada en fraude a gran escala.


La Policía Metropolitana, junto con otras agencias de aplicación de la ley a nivel mundial, han desmantelado una banda criminal que utilizaba un servicio tecnológico para facilitar mensajes de texto fraudulentos, lo que llevaba al robo de las víctimas. El fraude se dirigía principalmente a personas jóvenes familiarizadas con Internet. El servicio tecnológico, LabHost, ayudaba a los estafadores a enviar mensajes engañosos y dirigir a las víctimas a sitios web falsos que se asemejaban a servicios legítimos de pago en línea o compras.Los criminales obtenían información de identidad, incluidos números de tarjetas y códigos PIN, lo que resultaba en pérdidas financieras significativas. Aunque no se conoce la cantidad exacta robada, se estima que LabHost generó casi £1 millón en ganancias. Solo en el Reino Unido, se cree que alrededor de 70,000 víctimas fueron engañadas para proporcionar sus datos en línea, y se enviaron mensajes de texto de advertencia a 25,000 víctimas identificadas sobre posibles sitios fraudulentos.Se recomienda a las víctimas buscar orientación en el sitio web de la Policía Metropolitana y se han informado sus casos a los investigadores de fraudes. Las autoridades han asegurado los datos personales descubiertos en los datos obtenidos de LabHost.En cuanto a la clasificación, este caso pertenece a la categoría de 'Phishing'. La recomendación para evitar este tipo de ataque es ser cauteloso al proporcionar información personal en línea y verificar la autenticidad de los sitios web antes de realizar pagos o compras.En cuanto a los IOC, no se encontraron indicadores de compromiso en este caso.


Recomendación: Se recomienda ser cauteloso al proporcionar información personal en línea y verificar la autenticidad de los sitios web antes de realizar pagos o compras.


Prioridad: Alta


Fuentes:


VULNERABILIDADES

Brecha de datos de Space-Eyes compromete la seguridad nacional de Estados Unidos


El hacker conocido como IntelBroker afirma haber violado la infraestructura cibernética de Space-Eyes, una empresa de inteligencia geoespacial con sede en Miami. Según IntelBroker, la intrusión fue rápida y se logró acceder a datos sensibles en tan solo 10-15 minutos. Si esta brecha es cierta, tendrá graves repercusiones para la seguridad nacional de Estados Unidos. Los datos robados incluyen documentos altamente confidenciales sobre los servicios de Space-Eyes para la seguridad nacional dentro del gobierno de Estados Unidos. Además, se filtraron archivos que contienen información sobre grupos delictivos sancionados, discusiones sobre figuras relacionadas con el terrorismo y datos personales de individuos de todo el mundo. Esta brecha destaca la necesidad de fortalecer las medidas de autenticación, realizar auditorías regulares de ciberseguridad y enfocarse en prácticas de codificación seguras para prevenir el acceso no autorizado y las filtraciones de datos. No se encontraron Indicadores de Compromiso (IOC) en este caso.


Recomendación: Para evitar este tipo de ataques, es fundamental fortalecer las medidas de autenticación, implementar auditorías regulares de ciberseguridad y enfocarse en prácticas de codificación seguras. Además, se recomienda educar a todos los usuarios sobre las mejores prácticas de seguridad y estar atentos a posibles señales de actividad sospechosa. Mantener los sistemas y aplicaciones actualizados también es crucial para mitigar los riesgos de vulnerabilidades conocidas.


Prioridad: Alta


Fuentes:


Telegram soluciona vulnerabilidad en su aplicación de Windows que permitía ejecutar scripts de Python


Telegram ha solucionado una vulnerabilidad de día cero en su aplicación de escritorio para Windows que permitía eludir las advertencias de seguridad y ejecutar automáticamente scripts de Python. La vulnerabilidad se basaba en un error tipográfico en el código fuente de Telegram para Windows, que permitía que los archivos .pyzw se ejecutaran automáticamente sin una advertencia de seguridad. Los atacantes podían aprovechar esto enviando archivos maliciosos disfrazados como videos compartidos. Telegram ha corregido el error mediante una solución en el lado del servidor y ahora los archivos .pyzw se abren con un programa elegido por el usuario en lugar de ejecutarse automáticamente en Python. La recomendación para evitar este tipo de ataque es mantener actualizada la aplicación de Telegram y tener cuidado al abrir archivos desconocidos.


Recomendación: Mantener actualizada la aplicación de Telegram y tener cuidado al abrir archivos desconocidos.


Prioridad: Alta


Fuentes:


Actualización de seguridad de Chrome: 23 vulnerabilidades corregidas


Google ha anunciado una actualización integral para los canales Chrome y Extended Stable. La última versión, 124.0.6367.60/.61 para Windows y Mac y 124.0.6367.60 para Linux, aborda 23 vulnerabilidades de seguridad. Esta actualización demuestra el compromiso continuo de Google de proteger a los usuarios contra las amenazas cibernéticas en constante evolución. Se han corregido vulnerabilidades de alta a baja gravedad, y Google ha recompensado a los investigadores que informaron sobre estas vulnerabilidades. Se recomienda a los usuarios actualizar su navegador Chrome a la última versión para beneficiarse de estas mejoras de seguridad.


Recomendación: Se recomienda a los usuarios actualizar su navegador Chrome a la última versión para beneficiarse de las mejoras de seguridad.


Prioridad: Alta


Fuentes:


Ataques masivos de fuerza bruta contra servicios VPN y SSH


Cisco Talos ha detectado un aumento global en los ataques de fuerza bruta contra diversos objetivos, incluyendo servicios de Red Privada Virtual (VPN), interfaces de autenticación de aplicaciones web y servicios SSH desde al menos el 18 de marzo de 2024. Estos ataques parecen originarse desde nodos de salida de TOR y una variedad de túneles y proxies de anonimización. Dependiendo del entorno objetivo, estos ataques pueden resultar en acceso no autorizado a la red, bloqueo de cuentas o condiciones de denegación de servicio. El tráfico relacionado con estos ataques ha aumentado con el tiempo y es probable que siga en aumento. Los servicios afectados conocidos incluyen Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Miktrotik, Draytek y Ubiquiti. Se recomienda tomar medidas de mitigación específicas según el servicio afectado. No se han encontrado indicadores de compromiso (IOC).


Recomendación: Para mitigar estos ataques, se recomienda implementar medidas de seguridad adicionales, como el uso de contraseñas fuertes y políticas de bloqueo de cuentas. Además, es importante mantenerse actualizado con las últimas recomendaciones de seguridad proporcionadas por el proveedor del servicio VPN o SSH afectado.


Prioridad: Alta


Fuentes:

 

Resumen de amenazas activas y vulnerabilidades


En este resumen se abordan diversas amenazas activas y vulnerabilidades que han sido identificadas recientemente. Se destaca la presencia de un comportamiento sospechoso en los sistemas de Gigabyte, que podría indicar la existencia de una puerta trasera. Además, se menciona la vulnerabilidad EternalBlue, desarrollada por la Agencia de Seguridad Nacional de Estados Unidos, la cual ha sido utilizada en ataques como WannaCry y NotPetya. Se brindan recomendaciones para mitigar estos tipos de ataques, como mantener los sistemas actualizados y utilizar soluciones de seguridad confiables. No se encontraron IOC en los artículos mencionados.


Recomendación: Para evitar ser víctima de ataques que aprovechen vulnerabilidades como la mencionada en los sistemas de Gigabyte, se recomienda mantener los sistemas actualizados con los últimos parches de seguridad. Además, es importante utilizar soluciones de seguridad confiables que puedan detectar y bloquear posibles amenazas. En el caso de la vulnerabilidad EternalBlue, se recomienda aplicar los parches de seguridad correspondientes y utilizar soluciones de seguridad que puedan detectar y bloquear los intentos de explotación de esta vulnerabilidad.


Prioridad: Alto


Fuentes:


Resumen de Indicadores de Compromiso (IoC)

 

SHA-1

0318b7b906e9a34427bf6bbcf64b6fc8

00aa9900205771b8c9e7927153b77cf2

b456430b4ed0879271e6164a7c0e4f6e

fa8b1592c9cda268d8affb6bceb7a120

URL (Dominio)

hxxps[:]//google[.]kt9[.]site

hxxps[:]//dbdb[.]addea[.]workers.dev

Nombre del archivo:

Cheat.Lab.2.7.2.zip  5e37b3289054d5e774c02a6ec4915a60156d715f3a02aaceb7256cc3ebdc6610 - SHA256

URL

https[:]//github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip 

Nombre de archivo:  lua51.dll

SHA 256

873aa2e88dbc2efa089e6efd1c8a5370e04c9f5749d7631f2912bcb640439997 - 

Nombre de archivo:

readme.txt

SHA 256

751f97824cd211ae710655e60a26885cd79974f0f0a5e4e582e3b635492b4cad

Nombre de archivo:

compiler.exe

SHA 256

 dfbf23697cfd9d35f263af7a455351480920a95bfc642f3254ee8452ce20655a

IP

Redline C2 213[.]248[.]43[.]58 

 

9 visualizaciones0 comentarios

Comentários


bottom of page