Etiqueta: Ataques ciberneticos Página 6 de 10

04 de abril de 2024Sala de prensaSeguridad de red/vulnerabilidad Ivanti ha publicado actualizaciones de seguridad para abordar cuatro fallas de seguridad que afectan a Connect Secure y Policy Secure Gateways y que podrían resultar en la ejecución de código y denegación de servicio (DoS). La lista de fallas es la siguiente: CVE-2024-21894 (puntaje CVSS: 8.2): una vulnerabilidad de desbordamiento de montón en el componente IPSec de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure permite que un usuario malintencionado no autenticado enviar solicitudes especialmente diseñadas para bloquear el servicio y provocar así un ataque DoS. En determinadas condiciones, esto puede dar lugar a la ejecución de código arbitrario. CVE-2024-22052 (puntuación CVSS: 7,5): una vulnerabilidad de desreferencia de puntero nulo en el componente IPSec de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure permite que un usuario malintencionado no autenticado envíe solicitudes especialmente diseñadas para bloquear el servicio provocando así un ataque DoS. CVE-2024-22053 (puntuación CVSS: 8,2): una vulnerabilidad de desbordamiento de montón en el componente IPSec de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure permite que un usuario malintencionado no autenticado envíe solicitudes especialmente diseñadas para bloquear el servicio provocando así un ataque DoS o, en determinadas condiciones, leer contenidos de la memoria. CVE-2024-22023 (puntuación CVSS: 5,3): una expansión de entidad XML o vulnerabilidad XEE en el componente SAML de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure permite que un atacante no autenticado envíe solicitudes XML especialmente diseñadas en para causar temporalmente el agotamiento de los recursos, lo que resulta en un DoS por tiempo limitado. La compañía, que ha estado lidiando con un flujo constante de fallas de seguridad en sus productos desde principios de año, dijo que no tiene conocimiento de «ningún cliente que haya sido explotado por estas vulnerabilidades en el momento de la divulgación». A fines del mes pasado, Ivanti envió parches para deficiencias críticas en su producto Standalone Sentry (CVE-2023-41724, puntuación CVSS: 9.6) que podrían permitir que un actor de amenazas no autenticado ejecute comandos arbitrarios en el sistema operativo subyacente. También resolvió otra falla crítica que afectaba las versiones locales de Neurons for ITSM (CVE-2023-46808, puntuación CVSS: 9.9) que un atacante remoto autenticado podría abusar para realizar escrituras de archivos arbitrarias y obtener ejecución de código. En una carta abierta publicada el 3 de abril de 2023, el director ejecutivo de Ivanti, Jeff Abbott, dijo que la compañía está «analizando de cerca» su propia postura y procesos para cumplir con los requisitos del panorama de amenazas actual. Abbott también dijo que «los acontecimientos de los últimos meses han sido humillantes» y que está ejecutando un plan que esencialmente cambia su modelo operativo de seguridad al adoptar principios de seguridad desde el diseño, compartir información con los clientes con total transparencia y rediseñar su ingeniería, seguridad y prácticas de gestión de vulnerabilidades. «Estamos intensificando nuestras capacidades de escaneo interno, explotación manual y prueba, involucrando a terceros confiables para aumentar nuestra investigación interna y facilitando la divulgación responsable de vulnerabilidades con mayores incentivos en torno a un programa mejorado de recompensas por errores», dijo Abbott. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

03 de abril de 2024Sala de prensaSeguridad móvil/Día Cero Google ha revelado que empresas forenses han explotado dos fallos de seguridad de Android que afectan a sus teléfonos inteligentes Pixel. Las vulnerabilidades de día cero de alta gravedad son las siguientes: CVE-2024-29745: una falla de divulgación de información en el componente del gestor de arranque CVE-2024-29748: una falla de escalada de privilegios en el componente de firmware «Hay indicios de que el [vulnerabilities] puede estar bajo explotación limitada y dirigida», dijo Google en un aviso publicado el 2 de abril de 2024. Si bien el gigante tecnológico no reveló ninguna otra información sobre la naturaleza de los ataques que explotan estas deficiencias, los mantenedores de GrapheneOS dijeron que «están siendo activamente explotado en estado salvaje por empresas forenses». «CVE-2024-29745 se refiere a una vulnerabilidad en el firmware fastboot utilizado para soportar el desbloqueo/flasheo/bloqueo», dijeron en una serie de publicaciones en X (anteriormente Twitter). «Compañías forenses están reiniciando dispositivos en el estado Después del primer desbloqueo en modo fastboot en Pixels y otros dispositivos para explotar vulnerabilidades allí y luego volcar la memoria». GrapheneOS señaló que CVE-2024-29748 podría ser utilizado como arma por atacantes locales para interrumpir un restablecimiento de fábrica activado a través del administrador del dispositivo. API: La divulgación se produce más de dos meses después de que el equipo de GrapheneOS revelara que las empresas forenses están explotando las vulnerabilidades del firmware que afectan a los teléfonos Google Pixel y Samsung Galaxy para robar datos y espiar a los usuarios cuando el dispositivo no está en reposo. También instó a Google a introducir una función de reinicio automático para dificultar la explotación de fallas de firmware. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

Las soluciones en la nube son más comunes y, por lo tanto, más expuestas que nunca. Solo en 2023, un asombroso 82 % de las filtraciones de datos se produjeron en entornos de nube pública, privada o híbrida. Es más, casi el 40% de las infracciones abarcaron múltiples entornos de nube. El costo promedio de una vulneración de la nube estuvo por encima del promedio general, con 4,75 millones de dólares. En una época en la que la nube se ha convertido en el estándar de facto –con el 65% de los tomadores de decisiones de TI confirmando que los servicios basados ​​en la nube son su primera opción al actualizar o comprar nuevas soluciones–, a pesar de su abrumadora prominencia, la seguridad en la nube aún enfrenta múltiples desafíos. Desafíos de seguridad en la nube Un obstáculo importante es la falta de visibilidad. A diferencia de los servidores físicos que se pueden ver y tocar, los recursos de la nube suelen estar distribuidos en vastas redes, lo que dificulta el seguimiento de actividades sospechosas y deja vulnerabilidades sin detectar. Otro desafío es la inconsistencia entre los sistemas de gestión de permisos de los proveedores de la nube. Los diferentes proveedores tienen diferentes controles sobre quién puede acceder y modificar los datos. Esta inconsistencia crea complejidad y aumenta el riesgo de configuraciones erróneas accidentales, que son una de las principales causas de infracciones. Además, con múltiples equipos involucrados en las implementaciones de la nube (desarrollo, operaciones, seguridad), la propiedad y la responsabilidad claras sobre la seguridad de la nube pueden resultar borrosas. Esta falta de coordinación puede llevar a situaciones en las que se pasan por alto o se pasan por alto las mejores prácticas de seguridad. Además, muchos ataques se trasladan a través de la nube a entornos locales y viceversa, lo que puede poner en riesgo ambos entornos. Todos estos desafíos resaltan la necesidad urgente de soluciones sólidas de seguridad en la nube que brinden visibilidad integral, gestión de permisos estandarizada y líneas de responsabilidad claras. Sin embargo, los recursos de seguridad son escasos incluso en los equipos mejor equipados, y se espera que los equipos de seguridad en la nube investiguen y remedien miles de exposiciones que tal vez no todas tengan el mismo impacto en los recursos críticos. Esto genera incertidumbre sobre qué solucionar primero y cómo abordar realmente todas las exposiciones identificadas, dejando los entornos de nube expuestos a ataques cibernéticos. La gestión continua de la exposición es esencial En lugar de perseguir innumerables vulnerabilidades, los equipos de seguridad deben priorizar las más críticas. Esto significa poder identificar rápidamente las rutas de ataque más peligrosas y tomar medidas preventivas contra los métodos de ataque avanzados en la nube. Al centrarse en áreas de alto riesgo, los equipos de seguridad en la nube pueden crear planes de remediación específicos que eviten ataques importantes, agilicen los flujos de trabajo e informen con precisión sobre amenazas reales en múltiples entornos de nube. La clave para lograrlo es la Gestión Continua de la Exposición a Amenazas (CTEM), un programa o marco proactivo y continuo de cinco etapas que reduce la exposición a los ciberataques. Introducido por primera vez por Gartner en 2022, CTEM ha demostrado ser esencial para prevenir ataques de alto impacto, mejorar la eficiencia de la remediación e informar sobre riesgos reales. Deje de permitir que los piratas informáticos jueguen a conectar los puntos con la seguridad de su nube. Descubra el mapa secreto que no quieren que tenga en nuestro libro electrónico: ‘El poder de las rutas de ataque en la nube’ Aprenda a visualizar, interceptar y proteger su fortaleza digital como nunca antes. CTEM se introdujo para resolver el problema de las listas interminables de exposiciones, y más específicamente de vulnerabilidades, en entornos locales. No poder resaltar y corregir las exposiciones que son más críticas deja a los equipos de seguridad arreglando CVE que pueden o no ser explotables o impactantes en su entorno específico. En entornos de múltiples nubes, las listas de vulnerabilidades pueden ser más cortas, pero junto con las configuraciones erróneas y el acceso altamente privilegiado, se suman a una larga lista de exposiciones que los atacantes pueden utilizar para violar el entorno de múltiples nubes y que los equipos de seguridad deben abordar. La única forma de bloquear los ataques es identificando y solucionando las exposiciones que tienen mayor impacto en su negocio. Eso requiere adoptar el marco CTEM en el entorno de la nube. Solucione lo que importa en múltiples nubes Para ayudar a los equipos de seguridad de la nube a solucionar lo que importa y bloquear ataques de alto impacto en entornos de múltiples nubes, un programa CTEM integral resaltará las entidades más impactantes que pueden comprometer los recursos de la nube. Estas soluciones identifican los recursos de la nube que pueden verse comprometidos y descubren todas las exposiciones que los atacantes pueden utilizar para comprometerlos. Mapear las rutas de ataque que los atacantes podrían explotar ayuda a priorizar y validar las exposiciones más impactantes que son explotables en el entorno de múltiples nubes para abordarlas primero. Por ejemplo, adoptar la perspectiva del atacante permite identificar los principales puntos críticos. Los puntos críticos son debilidades críticas en las defensas de la nube, donde múltiples rutas de ataque convergen en una sola exposición. Los atacantes pueden vulnerarlos fácilmente y luego acceder a una amplia red de recursos: bases de datos, computadoras, controles de identidad y más. Al priorizar estas áreas de alto impacto, los equipos de seguridad se centran en los objetivos más atractivos para los atacantes, maximizando el retorno de sus esfuerzos de seguridad. Los puntos críticos comunes incluyen sistemas conectados a Internet y cuentas de acceso no utilizadas. Abordarlos reduce significativamente la superficie de ataque, fortaleciendo efectivamente todo su entorno de nube. Ejemplo de Cloud Choke Point que muestra rutas de ataque entrantes y salientes Otro ejemplo de exposición de alto impacto proviene de un acceso predefinido con privilegios elevados. Las cuentas con privilegios elevados, como los administradores predefinidos, se consideran activos de «fin del juego». Si se ven comprometidos, los atacantes pueden causar estragos. Tener un enfoque integral de CTEM ayuda a identificar estas cuentas y descubrir debilidades que podrían dejarlas vulnerables. Esto incluye detectar el acceso de administrador sin autenticación multifactor (MFA) o cuentas de servicio no utilizadas, esencialmente; debilidades que a los atacantes les encantaría explotar. Para garantizar que se aborden las exposiciones críticas, las soluciones avanzadas de gestión de exposiciones brindan orientación y alternativas de remediación. La mayoría de las veces, las cuentas con privilegios elevados o los recursos conectados a Internet no se pueden restringir, pero analizar la ruta de ataque que conduce a ellos permite encontrar una solución que reduzca su explotabilidad y, por tanto, su nivel de riesgo. Detener los ataques en entornos híbridos Los atacantes no están limitados por los entornos híbridos y los defensores deben asegurarse de que tampoco estén limitados. Las soluciones que analizan rutas de ataque híbridas, en entornos locales y de múltiples nubes, permiten a los equipos de seguridad ir un paso por delante de los ataques, entendiendo exactamente dónde están expuestos a las amenazas cibernéticas. Estas herramientas brindan detalles completos sobre posibles puntos de infracción, técnicas de ataque, uso de permisos y alternativas de reparación para ayudar a los clientes a abordar estas exposiciones y bloquear las rutas de ataque más críticas. Ejemplo de ruta de ataque híbrido entre MS Active Directory y AWS Resumen Si bien la seguridad tradicional en la nube lucha contra el volumen de exposiciones siempre presentes, CTEM ofrece un plan de remediación viable al centrarse en los más críticos en un entorno específico. El enfoque correcto para CTEM abarca la nube local y la nube múltiple, abarcando todo su panorama de TI. Este enfoque holístico elimina los puntos ciegos y permite a las organizaciones realizar la transición de una defensa reactiva a una proactiva. Al adoptar CTEM, las organizaciones pueden garantizar su éxito en el futuro basado en la nube. Nota: Este artículo contribuido por expertos está escrito por Zur Ulianitzky, vicepresidente de investigación de seguridad de XM Cyber. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

02 de abril de 2024Sala de prensaSeguridad/vulnerabilidad del firmware El código malicioso insertado en la biblioteca de código abierto XZ Utils, un paquete ampliamente utilizado presente en las principales distribuciones de Linux, también es capaz de facilitar la ejecución remota de código, según reveló un nuevo análisis. El audaz compromiso de la cadena de suministro, rastreado como CVE-2024-3094 (puntaje CVSS: 10.0), salió a la luz la semana pasada cuando el ingeniero de Microsoft y desarrollador de PostgreSQL, Andrés Freund, alertó sobre la presencia de una puerta trasera en la utilidad de compresión de datos que brinda a los atacantes remotos una forma de eludir la autenticación de shell segura y obtener acceso completo a un sistema afectado. XZ Utils es una herramienta de línea de comandos para comprimir y descomprimir datos en Linux y otros sistemas operativos similares a Unix. Se dice que el código malicioso fue introducido deliberadamente por uno de los mantenedores del proyecto llamado Jia Tan (también conocido como Jia Cheong Tan o JiaT75) en lo que parece ser un ataque meticuloso que duró varios años. La cuenta de usuario de GitHub se creó en 2021. Actualmente se desconoce la identidad de los actores. «El actor de amenazas comenzó a contribuir al proyecto XZ hace casi dos años, ganando credibilidad lentamente hasta que se le dieron responsabilidades de mantenimiento», dijo Akamai en un informe. En un acto adicional de ingeniería social inteligente, se cree que cuentas de títeres como Jigar Kumar y Dennis Ens se utilizaron para enviar solicitudes de funciones e informar una variedad de problemas en el software con el fin de obligar al mantenedor original: Lasse Collin del Proyecto Tukaani. – para agregar un nuevo co-mantenedor al repositorio. Ingrese Jia Tan, quien introdujo una serie de cambios en XZ Utils en 2023, que finalmente lograron lanzar la versión 5.6.0 en febrero de 2024. También albergaban una puerta trasera sofisticada. «Como insinué en correos electrónicos anteriores, Jia Tan puede tener un papel más importante en el proyecto en el futuro», dijo Collin en un intercambio con Kumar en junio de 2022. «Ha estado ayudando mucho fuera de la lista y es prácticamente un compañero». -Mantenedor ya. 🙂 Sé que no ha sucedido mucho en el repositorio de Git todavía, pero las cosas suceden en pequeños pasos. En cualquier caso, ya se están realizando algunos cambios en el mantenimiento, al menos para XZ Utils. » La puerta trasera afecta a los tarballs de versión XZ Utils 5.6.0 y 5.6.1, el último de los cuales contiene una versión mejorada del mismo implante. Desde entonces, Collins ha reconocido la violación del proyecto, afirmando que ambos archivos comprimidos fueron creados y firmados por Jia Tan y que solo tenían acceso al repositorio GitHub ahora deshabilitado. «Esta es claramente una operación muy compleja patrocinada por el Estado con una sofisticación impresionante y una planificación plurianual», dijo la empresa de seguridad de firmware Binarly. «Un marco de implantación integral tan complejo y diseñado profesionalmente no está desarrollado para una operación de una sola vez». Un examen más profundo de la puerta trasera realizado por el criptógrafo de código abierto Filippo Valsorda también ha revelado que las versiones afectadas permiten a atacantes remotos específicos enviar cargas útiles arbitrarias a través de un certificado SSH que se ejecutará de manera que eluda los protocolos de autenticación, tomando efectivamente el control sobre la víctima. máquina. «Parece como si la puerta trasera se hubiera añadido al demonio SSH en la máquina vulnerable, permitiendo a un atacante remoto ejecutar código arbitrario», dijo Akamai. «Esto significa que cualquier máquina con el paquete vulnerable que expone SSH a Internet es potencialmente vulnerable». No hace falta decir que el descubrimiento accidental por parte de Freund es uno de los ataques a la cadena de suministro más importantes descubiertos hasta la fecha y podría haber sido un grave desastre de seguridad si el paquete se hubiera integrado en versiones estables de distribuciones de Linux. «La parte más notable de este ataque a la cadena de suministro son los niveles extremos de dedicación del atacante, que trabajó más de dos años para establecerse como un mantenedor legítimo, se ofreció a trabajar en varios proyectos OSS y comprometió código en múltiples proyectos para para evitar la detección», dijo JFrog. Al igual que en el caso de Apache Log4j, el incidente vuelve a poner de relieve la dependencia del software de código abierto y de los proyectos gestionados por voluntarios, y las consecuencias que podrían conllevar si sufrieran un compromiso o tuvieran una vulnerabilidad importante. «La ‘solución’ más importante es que las organizaciones adopten herramientas y procesos que les permitan identificar signos de manipulación y características maliciosas tanto en el código abierto como en el código comercial utilizado en su propio proceso de desarrollo», dijo ReversingLabs. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

01 de abril de 2024Sala de prensaCriptomonedas/fraude financiero El gobierno indio dijo que rescató y repatrió a unos 250 ciudadanos en Camboya que estaban cautivos y obligados a realizar estafas cibernéticas. Los ciudadanos indios «fueron atraídos con oportunidades de empleo a ese país, pero se vieron obligados a realizar trabajos cibernéticos ilegales», dijo el Ministerio de Asuntos Exteriores (MEA) en un comunicado, añadiendo que había rescatado a 75 personas en los últimos tres meses. También dijo que está trabajando «con las autoridades camboyanas y con agencias en la India para tomar medidas enérgicas contra los responsables de estos planes fraudulentos». El acontecimiento se produce a raíz de un informe del Indian Express que decía que más de 5.000 indios atrapados en Camboya fueron obligados a la «esclavitud cibernética» por el crimen organizado para estafar a la gente en la India y extorsionar dinero haciéndose pasar por autoridades encargadas de hacer cumplir la ley en algunos casos. . El informe también sigue una revelación anterior de INTERPOL, que caracterizó la situación como un fraude a escala industrial impulsado por la trata de personas. Entre ellos se encontraba un contador del estado de Telangana, que fue «atraído al Sudeste Asiático, donde lo obligaron a participar en esquemas de fraude en línea en condiciones inhumanas». Posteriormente lo dejaron en libertad tras pagar un rescate. En otro caso destacado por el Indian Express, uno de los hombres rescatados fue reclutado por un agente de la ciudad de Mangaluru, en el sur de la India, para un trabajo de ingreso de datos, solo para pedirle que creara cuentas falsas en las redes sociales con fotografías de mujeres y las usara para contactar personas. «Teníamos objetivos y si no los cumplíamos, no nos darían comida ni nos permitirían entrar a nuestras habitaciones», dijo el individuo, identificado sólo como Stephen. China y Filipinas han emprendido esfuerzos similares para liberar a cientos de filipinos, chinos y otros ciudadanos extranjeros que fueron atrapados y obligados a realizar actividades delictivas, ejecutando lo que se llama estafas de matanza de cerdos. Estos esquemas generalmente comienzan cuando el estafador adopta una identidad falsa para atraer a posibles víctimas a invertir en negocios criptográficos inexistentes que están diseñados para robar sus fondos. Se sabe que los estafadores se ganan la confianza de su objetivo bajo la ilusión de una relación romántica. En un informe publicado en febrero de 2024, Chainalysis dijo que las billeteras de criptomonedas asociadas con una de las bandas de matadores de cerdos que operan en Myanmar han registrado cerca de 100 millones de dólares en entradas de criptomonedas, algunas de las cuales también se estima que incluyen los pagos de rescate realizados por las familias. de trabajadores víctimas de trata. «Las brutales condiciones que enfrentan las víctimas de la trata en los complejos también otorgan una urgencia adicional a la solución del problema de las estafas románticas: no solo se estafa a los consumidores cientos de millones de dólares cada año, sino que las pandillas detrás de esas estafas también están perpetuando una crisis humanitaria. «, dijo la firma de análisis blockchain. Las noticias sobre los esfuerzos de rescate también surgen tras una investigación de Check Point de que los actores de amenazas están explotando una función en Ethereum llamada CREATE2 para eludir las medidas de seguridad y obtener acceso no autorizado a los fondos. Los detalles de la estafa fueron revelados previamente por Scam Sniffer en noviembre de 2023. El quid de la técnica es el uso de CREATE2 para generar una nueva dirección de billetera «temporal» que no tiene antecedentes de haber sido reportada por actividad criminal, lo que permite a los actores de amenazas hacer las transacciones ilícitas a la dirección una vez que la víctima aprueba el contrato y eludir las protecciones que señalan dichas direcciones. «El método de ataque implica engañar a los usuarios para que aprueben transacciones de contratos inteligentes que aún no se han implementado, lo que permite a los ciberdelincuentes implementar posteriormente contratos maliciosos y robar criptomonedas», dijo la compañía israelí. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

El troyano bancario de Android conocido como Vultur ha resurgido con un conjunto de nuevas características y técnicas mejoradas de evasión de detección y antianálisis, lo que permite a sus operadores interactuar de forma remota con un dispositivo móvil y recopilar datos confidenciales. «Vultur también ha comenzado a enmascarar más actividad maliciosa cifrando su comunicación C2, utilizando múltiples cargas útiles cifradas que se descifran sobre la marcha y utilizando la apariencia de aplicaciones legítimas para llevar a cabo sus acciones maliciosas», dijo el investigador del Grupo NCC, Joshua Kamp, en un informe publicado la semana pasada. Vultur se reveló por primera vez a principios de 2021 y el malware era capaz de aprovechar las API de servicios de accesibilidad de Android para ejecutar sus acciones maliciosas. Se ha observado que el malware se distribuye a través de aplicaciones de cuentagotas troyanizadas en Google Play Store, haciéndose pasar por aplicaciones de autenticación y productividad para engañar a los usuarios involuntarios para que las instalen. Estas aplicaciones de cuentagotas se ofrecen como parte de una operación de cuentagotas como servicio (DaaS) llamada Brunhilda. Otras cadenas de ataques, como observó NCC Group, implican que los droppers se propaguen mediante una combinación de mensajes SMS y llamadas telefónicas (una técnica llamada entrega de ataques orientados por teléfono (TOAD)) para, en última instancia, ofrecer una versión actualizada del malware. «El primer mensaje SMS guía a la víctima hacia una llamada telefónica», dijo Kamp. Cuando la víctima llama al número, el estafador le proporciona un segundo SMS que incluye el enlace al cuentagotas: una versión modificada del [legitimate] Aplicación McAfee Security». El mensaje SMS inicial tiene como objetivo inducir una falsa sensación de urgencia al indicar a los destinatarios que llamen a un número para autorizar una transacción inexistente que involucra una gran suma de dinero. Tras la instalación, el dropper malicioso ejecuta tres cargas útiles relacionadas (dos APK y un archivo DEX) que registran el bot con el servidor C2, obtienen permisos de servicios de accesibilidad para acceso remoto a través de AlphaVNC y ngrok, y ejecutan comandos obtenidos del servidor C2. Una de las adiciones destacadas a Vultur es la capacidad de acceder de forma remota interactuar con el dispositivo infectado, lo que incluye hacer clic, desplazarse y deslizarse, a través de los servicios de accesibilidad de Android, así como descargar, cargar, eliminar, instalar y buscar archivos. Además, el malware está equipado para evitar que las víctimas interactúen con una lista predefinida de aplicaciones, mostrar notificaciones personalizadas en la barra de estado e incluso desactivar Keyguard para evitar las medidas de seguridad de la pantalla de bloqueo. «Los desarrollos recientes de Vultur han mostrado un cambio en el enfoque hacia maximizar el control remoto sobre los dispositivos infectados», dijo Kamp. «Con la capacidad de emitir comandos para desplazarse, gestos de deslizamiento, clics, control de volumen, bloquear la ejecución de aplicaciones e incluso incorporar funcionalidad de administrador de archivos, está claro que el objetivo principal es obtener un control total sobre los dispositivos comprometidos». El desarrollo se produce cuando Team Cymru reveló la transición del troyano bancario Octo (también conocido como Coper) para Android a una operación de malware como servicio, ofreciendo sus servicios a otros actores de amenazas para realizar robo de información. «El malware ofrece una variedad de características avanzadas, incluyendo registro de teclas, interceptación de mensajes SMS y notificaciones automáticas, y control sobre la pantalla del dispositivo», dijo la compañía. «Emplea varias inyecciones para robar información confidencial, como contraseñas y credenciales de inicio de sesión, mostrando pantallas o superposiciones falsas. Además, utiliza VNC (Virtual Network Computing) para acceso remoto a dispositivos, mejorando sus capacidades de vigilancia». Se estima que las campañas de Octo han comprometido 45.000 dispositivos, principalmente en Portugal, España, Turquía y Estados Unidos. Algunas de las otras víctimas se encuentran en Francia, Países Bajos, Canadá, India y Japón. Los hallazgos también surgen tras la aparición de una nueva campaña dirigida a usuarios de Android en India que distribuye paquetes APK maliciosos que se hacen pasar por servicios de reserva, facturación y mensajería en línea a través de una oferta de malware como servicio (MaaS). El malware «tiene como objetivo el robo de información bancaria, mensajes SMS y otra información confidencial de los dispositivos de las víctimas», dijo Symantec, propiedad de Broadcom, en un boletín. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

29 de marzo de 2024Sala de prensaSeguridad de red/Seguridad de IoT Se ha observado que una botnet que anteriormente se consideraba inerte esclaviza enrutadores de hogares y oficinas pequeñas (SOHO) y dispositivos de IoT al final de su vida útil (EoL) para alimentar un servicio de proxy criminal llamado Sin rostro. «TheMoon, que surgió en 2014, ha estado funcionando silenciosamente mientras crecía hasta alcanzar más de 40.000 bots de 88 países en enero y febrero de 2024», dijo el equipo de Black Lotus Labs en Lumen Technologies. Faceless, detallado por el periodista de seguridad Brian Krebs en abril de 2023, es un servicio de proxy residencial malicioso que ofrece sus servicios de anonimato a otros actores de amenazas por una tarifa insignificante que cuesta menos de un dólar por día. Al hacerlo, permite a los clientes dirigir su tráfico malicioso a través de decenas de miles de sistemas comprometidos anunciados en el servicio, ocultando efectivamente sus verdaderos orígenes. Se ha evaluado que la infraestructura respaldada por Faceless es utilizada por operadores de malware como SolarMarker e IcedID para conectarse a sus servidores de comando y control (C2) para ofuscar sus direcciones IP. Dicho esto, la mayoría de los bots se utilizan para la pulverización de contraseñas y/o la filtración de datos, principalmente dirigidos al sector financiero, con más del 80% de los hosts infectados ubicados en los EE. UU. Lumen dijo que observó por primera vez la actividad maliciosa a finales de 2023. , el objetivo es violar los enrutadores EoL SOHO y los dispositivos IoT e implementar una versión actualizada de TheMoon y, en última instancia, inscribir la botnet en Faceless. Los ataques implican soltar un cargador que es responsable de obtener un ejecutable ELF desde un servidor C2. Esto incluye un módulo de gusano que se propaga a otros servidores vulnerables y otro archivo llamado «.sox» que se utiliza para enviar el tráfico desde el bot a Internet en nombre de un usuario. Además, el malware configura reglas de iptables para descartar el tráfico TCP entrante en los puertos 8080 y 80 y permitir el tráfico desde tres rangos de IP diferentes. También intenta ponerse en contacto con un servidor NTP de una lista de servidores NTP legítimos en un probable esfuerzo por determinar si el dispositivo infectado tiene conectividad a Internet y no se está ejecutando en una zona de pruebas. El objetivo de fabricar la botnet contra dispositivos EoL no es una coincidencia, ya que ya no cuentan con el soporte del fabricante y se vuelven susceptibles a vulnerabilidades de seguridad con el tiempo. También es posible que los dispositivos sean infiltrados mediante ataques de fuerza bruta. Un análisis adicional de la red proxy ha revelado que más del 30% de las infecciones duraron más de 50 días, mientras que alrededor del 15% de los dispositivos formaron parte de la red durante 48 horas o menos. «Faceless se ha convertido en un formidable servicio proxy que surgió de las cenizas del servicio de anonimato ‘iSocks’ y se ha convertido en una herramienta integral para que los ciberdelincuentes confundan su actividad», dijo la compañía. «TheMoon es el principal, si no el único, proveedor de bots para el servicio de proxy Faceless». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

30 de marzo de 2024Sala de prensaLinux/Ataque a la cadena de suministro Red Hat lanzó el viernes una «alerta de seguridad urgente» advirtiendo que dos versiones de una popular biblioteca de compresión de datos llamada XZ Utils (anteriormente LZMA Utils) tienen una puerta trasera con código malicioso diseñado para permitir ataques no autorizados. acceso remoto. El compromiso de la cadena de suministro de software, rastreado como CVE-2024-3094, tiene una puntuación CVSS de 10,0, lo que indica una gravedad máxima. Afecta a las versiones 5.6.0 de XZ Utils (lanzada el 24 de febrero) y 5.6.1 (lanzada el 9 de marzo). «A través de una serie de ofuscaciones complejas, el proceso de construcción de liblzma extrae un archivo objeto prediseñado de un archivo de prueba disfrazado existente en el código fuente, que luego se utiliza para modificar funciones específicas en el código de liblzma», dijo la filial de IBM en un aviso. «Esto da como resultado una biblioteca liblzma modificada que puede ser utilizada por cualquier software vinculado a esta biblioteca, interceptando y modificando la interacción de datos con esta biblioteca». Específicamente, el código nefasto incorporado en el código está diseñado para interferir con el proceso del demonio sshd para SSH (Secure Shell) a través del paquete de software systemd, y potencialmente permitir que un actor de amenazas rompa la autenticación sshd y obtenga acceso no autorizado al sistema de forma remota «bajo las circunstancias adecuadas.» Al investigador de seguridad de Microsoft, Andrés Freund, se le atribuye el mérito de descubrir e informar el problema el viernes. Se dice que el código malicioso fuertemente ofuscado fue introducido durante una serie de cuatro confirmaciones en el Proyecto Tukaani en GitHub por un usuario llamado Jia Tan (JiaT75). «Dada la actividad de varias semanas, el responsable de la confirmación está directamente involucrado o hubo algún compromiso bastante grave en su sistema», dijo Freund. «Desafortunadamente, esta última parece la explicación menos probable, dado que se comunicaron en varias listas sobre las ‘correcciones'». Desde entonces, GitHub, propiedad de Microsoft, ha desactivado el repositorio XZ Utils mantenido por el Proyecto Tukaani «debido a una violación de los términos de servicio de GitHub». «. Actualmente no hay informes de explotación activa en la naturaleza. La evidencia muestra que los paquetes solo están presentes en Fedora 41 y Fedora Rawhide, y no afectan a Red Hat Enterprise Linux (RHEL), Debian Stable, Amazon Linux y SUSE Linux Enterprise y Leap. Por precaución, se ha recomendado a los usuarios de Fedora Linux 40 que bajen a una versión 5.4. Algunas de las otras distribuciones de Linux afectadas por el ataque a la cadena de suministro se encuentran a continuación: El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a emitir su propia alerta, instando a los usuarios a degradar XZ Utils a una versión no comprometida (por ejemplo, XZ Utils 5.4.6 Estable). ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

30 de marzo de 2024Sala de prensaMalware/Criptomonedas Los anuncios maliciosos y los sitios web falsos actúan como un conducto para distribuir dos programas maliciosos ladrones diferentes, incluido Atomic Stealer, dirigidos a usuarios de Apple macOS. Los continuos ataques de robo de información dirigidos a usuarios de macOS pueden haber adoptado diferentes métodos para comprometer las Mac de las víctimas, pero operan con el objetivo final de robar datos confidenciales, dijo Jamf Threat Labs en un informe publicado el viernes. Una de esas cadenas de ataques se dirige a los usuarios que buscan Arc Browser en motores de búsqueda como Google para publicar anuncios falsos que redirigen a los usuarios a sitios similares («airci[.]net») que sirven al malware. «Curiosamente, no se puede acceder directamente al sitio web malicioso, ya que devuelve un error», dijeron los investigadores de seguridad Jaron Bradley, Ferdous Saljooki y Maggie Zirnhelt. «Sólo se puede acceder a través de un enlace patrocinado generado , presumiblemente para evadir la detección». El archivo de imagen de disco descargado del sitio web falsificado («ArcSetup.dmg») entrega Atomic Stealer, que se sabe que solicita a los usuarios que ingresen sus contraseñas del sistema a través de un mensaje falso y, en última instancia, facilita el robo de información. Jamf dijo También descubrió un sitio web falso llamado Meethub.[.]gg que afirma ofrecer un software gratuito para programar reuniones grupales, pero en realidad instala otro malware ladrón capaz de recopilar datos de llavero de los usuarios, credenciales almacenadas en navegadores web e información de billeteras de criptomonedas. Al igual que Atomic Stealer, el malware, que se dice que se superpone con una familia de ladrones basada en Rust conocida como Realst, también solicita al usuario su contraseña de inicio de sesión de macOS mediante una llamada AppleScript para llevar a cabo sus acciones maliciosas. Se dice que los ataques que aprovechan este malware se acercaron a las víctimas con el pretexto de discutir oportunidades laborales y entrevistarlas para un podcast, pidiéndoles posteriormente que descargaran una aplicación de Meethub.[.]gg para unirse a una videoconferencia proporcionada en las invitaciones a la reunión. «Estos ataques a menudo se centran en aquellos en la industria de la criptografía, ya que tales esfuerzos pueden generar grandes pagos para los atacantes», dijeron los investigadores. «Aquellos en la industria deben ser muy conscientes de que a menudo es fácil encontrar información pública que indique que son poseedores de activos o que pueden vincularse fácilmente a una empresa que los coloca en esta industria». El desarrollo se produce cuando la división de ciberseguridad de MacPaw, Moonlock Lab, reveló que los actores de amenazas están utilizando archivos DMG maliciosos («App_v1.0.4.dmg») para implementar un malware ladrón diseñado para extraer credenciales y datos de varias aplicaciones. Esto se logra mediante un AppleScript ofuscado y una carga útil bash que se recupera de una dirección IP rusa, la primera de las cuales se utiliza para iniciar un mensaje engañoso (como se mencionó anteriormente) para engañar a los usuarios para que proporcionen las contraseñas del sistema. «Disfrazado de un archivo DMG inofensivo, engaña al usuario para que realice la instalación mediante una imagen de phishing, persuadiéndolo a eludir la función de seguridad Gatekeeper de macOS», dijo el investigador de seguridad Mykhailo Hrebeniuk. El desarrollo es una indicación de que los entornos macOS están cada vez más amenazados por ataques de ladrones, y algunas cepas incluso se jactan de técnicas sofisticadas antivirtualización al activar un interruptor de apagado autodestructivo para evadir la detección. En las últimas semanas, también se han observado campañas de publicidad maliciosa que impulsan el cargador FakeBat (también conocido como EugenLoader) y otros ladrones de información como Rhadamanthys a través de un cargador basado en Go a través de sitios señuelo para software popular como Notion y PuTTY. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link