Etiqueta: noticias de hackers Página 7 de 44

Aunque las amenazas cibernéticas se vuelven cada vez más sofisticadas, el principal vector de ataque para el acceso no autorizado sigue siendo el robo de credenciales (Verizon DBIR, 2024). Resolver este problema resuelve más del 80 % del riesgo corporativo y es posible encontrar una solución. Sin embargo, la mayoría de las herramientas disponibles en el mercado hoy en día no pueden ofrecer una defensa completa contra este vector de ataque porque fueron diseñadas para ofrecer defensas probabilísticas. Obtenga más información sobre las características de Beyond Identity que nos permiten ofrecer defensas deterministas. El desafío: phishing y robo de credenciales Los ataques de phishing engañan a los usuarios para que revelen sus credenciales a través de sitios engañosos o mensajes enviados por SMS, correo electrónico o llamadas de voz. Las defensas tradicionales, como la capacitación del usuario final o la autenticación multifactor básica (MFA), reducen el riesgo en el mejor de los casos, pero no lo pueden eliminar. Los usuarios aún pueden ser víctimas de estafas y las credenciales robadas pueden ser explotadas. La MFA heredada es un problema particularmente urgente, dado que los atacantes ahora eluden la MFA a gran escala, lo que llevó a NIST, CISA, OMB y NYDFS a emitir pautas para una MFA resistente al phishing. El enfoque de Beyond Identity: seguridad determinista Elimine el phishing Los secretos compartidos, como las contraseñas y los OTP, son inherentemente vulnerables porque pueden ser interceptados o robados. Beyond Identity utiliza criptografía de clave pública-privada, o claves de acceso, para evitar estos riesgos y nunca recurre a factores susceptibles de phishing como OTP, notificaciones push o enlaces mágicos. Si bien la criptografía de clave pública es robusta, la seguridad de las claves privadas es crucial. Beyond Identity utiliza enclaves seguros: componentes de hardware especializados que salvaguardan las claves privadas y evitan el acceso o movimiento no autorizados. Al garantizar que todas las autenticaciones sean resistentes al phishing y aprovechar las credenciales respaldadas por hardware y vinculadas al dispositivo, Beyond Identity brinda seguridad contra los ataques de phishing. Evite la suplantación de identidad del verificador Reconocer enlaces legítimos es imposible para los seres humanos. Para abordar esto, la autenticación de Beyond Identity se basa en un autenticador de plataforma, que verifica el origen de las solicitudes de acceso. Este método ayuda a prevenir ataques que se basan en imitar sitios legítimos. Elimine el relleno de credenciales El relleno de credenciales es un ataque en el que los actores maliciosos prueban pares de nombre de usuario y contraseña robados para intentar obtener acceso. Por lo general, el ataque se lleva a cabo de manera automatizada. Beyond Identity aborda esto eliminando las contraseñas por completo del proceso de autenticación. Nuestra MFA sin contraseña y resistente a phishing permite a los usuarios iniciar sesión con un toque o un vistazo y es compatible con la gama más amplia de sistemas operativos del mercado, incluidos Windows, Android, macOS, iOS, Linux y ChromeOS, para que los usuarios puedan iniciar sesión sin problemas sin importar qué dispositivo prefieran usar. Elimine los ataques Push Bombing Los ataques Push Bombing inundan a los usuarios con notificaciones push excesivas, lo que lleva a aprobaciones accidentales de acceso no autorizado. Beyond Identity mitiga este riesgo al no depender de las notificaciones push. Además, nuestra MFA resistente a phishing permite verificaciones de seguridad del dispositivo en cada dispositivo, administrado o no administrado, utilizando señales de riesgo de terceros recopiladas e integradas de forma nativa para que pueda garantizar el cumplimiento del dispositivo independientemente del dispositivo. Aplique el cumplimiento de la seguridad del dispositivo Durante la autenticación, no es solo el usuario el que inicia sesión, también es su dispositivo. Beyond Identity es la única solución de IAM en el mercado que ofrece un control de acceso detallado que tiene en cuenta el riesgo del dispositivo en tiempo real en el momento de la autenticación y de forma continua durante las sesiones activas. El primer beneficio de un autenticador de plataforma es la capacidad de proporcionar resistencia a la suplantación de identidad del verificador. El segundo beneficio es que, como una aplicación que reside en el dispositivo, puede proporcionar datos de riesgo en tiempo real sobre el dispositivo, como firewall habilitado, biometría habilitada, cifrado de disco habilitado, etc. Con el autenticador de plataforma Beyond Identity instalado, puede tener garantías de identidad de usuario con autenticación resistente a phishing y hacer cumplir el cumplimiento de seguridad en el dispositivo que solicita acceso. Integración de señales de riesgo para acceso adaptativo Dada la proliferación de herramientas de seguridad, las señales de riesgo pueden provenir de varias fuentes dispares que van desde la gestión de dispositivos móviles (MDM), detección y respuesta de puntos finales (EDR), acceso a red de confianza cero (ZTNA) y herramientas de borde de servicio de acceso seguro (SASE). El acceso adaptativo basado en riesgos es tan sólido como la amplitud, la frescura y la exhaustividad de las señales de riesgo que se incorporan a sus decisiones de políticas. Beyond Identity ofrece una arquitectura de integración flexible que evita la dependencia de proveedores y reduce la complejidad de la gestión y el mantenimiento administrativos. Además, nuestro motor de políticas permite la autenticación continua, por lo que puede aplicar un cumplimiento integral de los riesgos incluso durante sesiones activas. ¿Está listo para experimentar la seguridad resistente al phishing? No permita que las medidas de seguridad obsoletas dejen a su organización vulnerable cuando existen soluciones disponibles que pueden reducir drásticamente su panorama de amenazas y eliminar el robo de credenciales. Con Beyond Identity, puede proteger el acceso a sus recursos críticos con seguridad determinista. Póngase en contacto para obtener una demostración personalizada para ver de primera mano cómo funciona la solución y comprender cómo ofrecemos nuestras garantías de seguridad. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

13 de septiembre de 2024Ravie LakshmananAtaque cibernético / Delito Las autoridades británicas anunciaron el jueves el arresto de un joven de 17 años en relación con un ataque cibernético que afectó a Transport for London (TfL). «El joven de 17 años fue detenido bajo sospecha de delitos de la Ley de uso indebido de computadoras en relación con el ataque, que se lanzó contra TfL el 1 de septiembre», dijo la Agencia Nacional contra el Crimen (NCA) del Reino Unido. Se dice que el adolescente, que es de Walsall, fue arrestado el 5 de septiembre de 2024, luego de una investigación que se inició a raíz del incidente. La agencia policial dijo que el individuo anónimo fue interrogado y posteriormente puesto en libertad bajo fianza. «Los ataques a la infraestructura pública como este pueden ser enormemente perturbadores y tener graves consecuencias para las comunidades locales y los sistemas nacionales», dijo el subdirector Paul Foster, jefe de la Unidad Nacional de Delitos Cibernéticos de la NCA. «La rápida respuesta de TfL tras el incidente nos ha permitido actuar con rapidez y estamos agradecidos por su continua cooperación con nuestra investigación, que sigue en curso». Desde entonces, TfL ha confirmado que la brecha de seguridad ha provocado el acceso no autorizado a los números de cuenta bancaria y los códigos de clasificación de unos 5.000 clientes y que se pondrá en contacto directamente con los afectados. «Aunque hasta ahora ha habido muy poco impacto en nuestros clientes, la situación está evolucionando y nuestras investigaciones han identificado que se ha accedido a ciertos datos de los clientes», dijo TfL. «Esto incluye algunos nombres de clientes y datos de contacto, incluidas direcciones de correo electrónico y direcciones de domicilio cuando se proporcionaron». Vale la pena señalar que la policía de West Midlands arrestó anteriormente a un chico de 17 años, también de Walsall, en julio de 2024 en relación con un ataque de ransomware a MGM Resorts. El incidente se atribuyó al infame grupo Scattered Spider. Actualmente no está claro si estos dos eventos se refieren al mismo individuo. En junio, otro ciudadano británico de 22 años fue arrestado en España por su presunta participación en varios ataques de ransomware llevados a cabo por Scattered Spider. El peligroso grupo de delitos electrónicos forma parte de un colectivo más grande llamado The Com, un ecosistema poco cohesionado de varios grupos que han participado en delitos cibernéticos, ocupaciones ilegales y violencia física. También se lo rastrea como 0ktapus, Octo Tempest y UNC3944. Según un nuevo informe de EclecticIQ, las operaciones de ransomware de Scattered Spider se han centrado cada vez más en las infraestructuras en la nube dentro de los sectores financiero y de seguros, lo que se hace eco de un análisis similar de Resilience Threat Intelligence en mayo de 2024. El grupo tiene un historial bien documentado de obtención de acceso persistente a entornos de nube a través de sofisticadas tácticas de ingeniería social, así como de compra de credenciales robadas, ejecución de intercambios de SIM y utilización de herramientas nativas de la nube. «Scattered Spider utiliza con frecuencia técnicas de ingeniería social basadas en el teléfono, como el phishing de voz (vishing) y el phishing de mensajes de texto (smishing), para engañar y manipular a sus objetivos, principalmente a los centros de servicio de TI y a los administradores de identidad», afirmó el investigador de seguridad Arda Büyükkaya. «El grupo cibercriminal abusa de herramientas legítimas en la nube, como la consola de administración especial y la fábrica de datos de Azure, para ejecutar comandos de forma remota, transferir datos y mantener la persistencia evitando la detección». ¿Te ha parecido interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

13 de septiembre de 2024Ravie LakshmananRealidad virtual / Vulnerabilidad Han surgido detalles sobre una falla de seguridad ahora parcheada que afecta al casco de realidad mixta Vision Pro de Apple que, si se explota con éxito, podría permitir a atacantes maliciosos inferir datos ingresados ​​en el teclado virtual del dispositivo. El ataque, denominado GAZEploit, ha recibido el identificador CVE CVE-2024-40865. «Un ataque novedoso que puede inferir datos biométricos relacionados con los ojos a partir de la imagen del avatar para reconstruir el texto ingresado mediante la escritura controlada por la mirada», dijo un grupo de académicos de la Universidad de Florida. «El ataque GAZEploit aprovecha la vulnerabilidad inherente a la entrada de texto controlada por la mirada cuando los usuarios comparten un avatar virtual». Después de una divulgación responsable, Apple abordó el problema en visionOS 1.3 lanzado el 29 de julio de 2024. Describió la vulnerabilidad como un componente llamado Presence. «Las entradas al teclado virtual pueden inferirse desde Persona», dijo en un aviso de seguridad, y agregó que resolvió el problema «suspendiendo Persona cuando el teclado virtual está activo». En pocas palabras, los investigadores descubrieron que era posible analizar los movimientos oculares (o «mirada») de un avatar virtual para determinar lo que el usuario que usaba el casco estaba escribiendo en el teclado virtual, comprometiendo efectivamente su privacidad. Como resultado, un actor de amenazas podría, hipotéticamente, analizar avatares virtuales compartidos a través de videollamadas, aplicaciones de reuniones en línea o plataformas de transmisión en vivo y realizar de forma remota una inferencia de pulsaciones de teclas. Esto podría luego explotarse para extraer información confidencial, como contraseñas. El ataque, a su vez, se logra mediante un modelo de aprendizaje supervisado entrenado en grabaciones de Persona, relación de aspecto ocular (EAR) y estimación de la mirada ocular para diferenciar entre sesiones de mecanografía y otras actividades relacionadas con la realidad virtual (por ejemplo, ver películas o jugar juegos). En el siguiente paso, las direcciones de estimación de la mirada en el teclado virtual se asignan a teclas específicas para determinar las posibles pulsaciones de teclas de manera que también se tenga en cuenta la ubicación del teclado en el espacio virtual. «Al capturar y analizar de forma remota el video del avatar virtual, un atacante puede reconstruir las teclas pulsadas», dijeron los investigadores. «Cabe destacar que el ataque GAZEploit es el primer ataque conocido en este dominio que explota la información filtrada de la mirada para realizar de forma remota la inferencia de las pulsaciones de teclas». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

13 de septiembre de 2024Ravie LakshmananFraude financiero / Seguridad móvil Los investigadores de ciberseguridad han descubierto una nueva variante de un troyano bancario para Android llamado TrickMo que viene equipado con nuevas capacidades para evadir el análisis y mostrar pantallas de inicio de sesión falsas para capturar las credenciales bancarias de las víctimas. «Los mecanismos incluyen el uso de archivos ZIP malformados en combinación con JSONPacker», dijeron los investigadores de seguridad de Cleafy Michele Roviello y Alessandro Strino. «Además, la aplicación se instala a través de una aplicación de descarga que comparte los mismos mecanismos antianálisis». «Estas características están diseñadas para evadir la detección y obstaculizar los esfuerzos de los profesionales de la ciberseguridad para analizar y mitigar el malware». TrickMo, detectado por primera vez por CERT-Bund en septiembre de 2019, tiene un historial de apuntar a dispositivos Android, en particular a usuarios en Alemania para desviar contraseñas de un solo uso (OTP) y otros códigos de autenticación de dos factores (2FA) para facilitar el fraude financiero. El malware enfocado en dispositivos móviles se considera obra de la ahora extinta banda de delitos electrónicos TrickBot, que con el tiempo ha mejorado continuamente sus funciones de ofuscación y antianálisis para pasar desapercibida. Entre las características más notables se encuentran su capacidad para registrar la actividad de la pantalla, registrar las pulsaciones de teclas, recopilar fotos y mensajes SMS, controlar de forma remota el dispositivo infectado para realizar fraudes en el dispositivo (ODF) y abusar de la API de servicios de accesibilidad de Android para llevar a cabo ataques de superposición HTML, así como realizar clics y gestos en el dispositivo. La aplicación maliciosa descubierta por la empresa de ciberseguridad italiana se hace pasar por el navegador web Google Chrome que, cuando se inicia después de la instalación, insta a la víctima a actualizar los Servicios de Google Play haciendo clic en el botón Confirmar. Si el usuario continúa con la actualización, se descarga un archivo APK que contiene la carga útil TrickMo en el dispositivo bajo la apariencia de «Servicios de Google», tras lo cual se le pide al usuario que habilite los servicios de accesibilidad para la nueva aplicación. «Los servicios de accesibilidad están diseñados para ayudar a los usuarios con discapacidades al proporcionar formas alternativas de interactuar con sus dispositivos», dijeron los investigadores. «Sin embargo, cuando son explotados por aplicaciones maliciosas como TrickMo, estos servicios pueden otorgar un amplio control sobre el dispositivo». «Este permiso elevado permite a TrickMo realizar varias acciones maliciosas, como interceptar mensajes SMS, manejar notificaciones para interceptar u ocultar códigos de autenticación y ejecutar ataques de superposición HTML para robar credenciales de usuario. Además, el malware puede descartar bloqueos de teclas y aceptar permisos automáticamente, lo que le permite integrarse sin problemas en las operaciones del dispositivo». Además, el abuso de los servicios de accesibilidad permite al malware desactivar funciones de seguridad cruciales y actualizaciones del sistema, otorgar permisos automáticamente a voluntad y evitar la desinstalación de ciertas aplicaciones. El análisis de Cleafy también descubrió configuraciones erróneas en el servidor de comando y control (C2) que hicieron posible acceder a 12 GB de datos confidenciales extraídos de los dispositivos, incluidas credenciales e imágenes, sin requerir ninguna autenticación. El servidor C2 también aloja los archivos HTML utilizados en los ataques de superposición. Estos archivos incluyen páginas de inicio de sesión falsas para varios servicios, incluidos bancos como ATB Mobile y Alpha Bank y plataformas de criptomonedas como Binance. El fallo de seguridad no solo pone de relieve el error de seguridad operativa (OPSEC) por parte de los actores de amenazas, sino que también pone los datos de las víctimas en riesgo de ser explotados por otros actores de amenazas. La gran cantidad de información expuesta de la infraestructura C2 de TrickMo podría aprovecharse para cometer robo de identidad, infiltrarse en varias cuentas en línea, realizar transferencias de fondos no autorizadas e incluso realizar compras fraudulentas. Peor aún, los atacantes podrían secuestrar las cuentas y bloquear a las víctimas restableciendo sus contraseñas. «Usando información personal e imágenes, el atacante puede crear mensajes convincentes que engañen a las víctimas para que divulguen aún más información o ejecuten acciones maliciosas», señalaron los investigadores. «Explotar datos personales tan completos resulta en daños financieros y de reputación inmediatos y consecuencias a largo plazo para las víctimas, lo que hace que la recuperación sea un proceso complejo y prolongado». La revelación se produce mientras Google ha estado tapando los agujeros de seguridad en torno a la carga lateral para permitir que los desarrolladores externos determinen si sus aplicaciones se cargan lateralmente mediante la API Play Integrity y, de ser así, exigir a los usuarios que descarguen las aplicaciones de Google Play para seguir usándolas. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

13 de septiembre de 2024Ravie LakshmananSeguridad empresarial / Vulnerabilidad Los investigadores de ciberseguridad han descubierto una nueva campaña de malware dirigida a entornos Linux para realizar minería ilícita de criptomonedas. La actividad, que apunta específicamente al servidor Oracle Weblogic, está diseñada para distribuir malware denominado Hadooken, según la empresa de seguridad en la nube Aqua. «Cuando se ejecuta Hadooken, se lanza un malware Tsunami y se despliega un minero de criptomonedas», dijo el investigador de seguridad Assaf Moran. Las cadenas de ataque explotan vulnerabilidades de seguridad conocidas y configuraciones erróneas, como credenciales débiles, para obtener un punto de apoyo inicial y ejecutar código arbitrario en instancias susceptibles. Esto se logra lanzando dos cargas útiles casi idénticas, una escrita en Python y la otra, un script de shell, ambas responsables de recuperar el malware Hadooken de un servidor remoto («89.185.85[.]102» o «185.174.136[.]204»). «Además, la versión del script de shell intenta iterar sobre varios directorios que contienen datos SSH (como credenciales de usuario, información del host y secretos) y usa esta información para atacar servidores conocidos», dijo Morag. «Luego se mueve lateralmente a través de la organización o entornos conectados para propagar aún más el malware Hadooken». Hadooken viene integrado con dos componentes, un minero de criptomonedas y una botnet de denegación de servicio distribuida (DDoS) llamada Tsunami (también conocida como Kaiten), que tiene un historial de apuntar a servicios Jenkins y Weblogic implementados en clústeres de Kubernetes. Además, el malware es responsable de establecer persistencia en el host mediante la creación de trabajos cron para ejecutar el minero de criptomonedas periódicamente a frecuencias variables. Aqua señaló que la dirección IP 89.185.85[.]102 está registrado en Alemania bajo la empresa de alojamiento Aeza International LTD (AS210644), con un informe previo de Uptycs en febrero de 2024 que lo vincula a una campaña de criptomonedas de 8220 Gang al abusar de fallas en Apache Log4j y Atlassian Confluence Server and Data Center. La segunda dirección IP 185.174.136[.]204, aunque actualmente inactivo, también está vinculado a Aeza Group Ltd. (AS216246). Como destacaron Qurium y EU DisinfoLab en julio de 2024, Aeza es un proveedor de servicios de alojamiento a prueba de balas con presencia en Moscú M9 y en dos centros de datos en Frankfurt. «El modus operandi de Aeza y su rápido crecimiento se pueden explicar por el reclutamiento de jóvenes desarrolladores afiliados a proveedores de alojamiento a prueba de balas en Rusia que ofrecen refugio al cibercrimen», dijeron los investigadores en el informe. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

12 de septiembre de 2024Ravie LakshmananCumplimiento normativo / Protección de datos La Comisión de Protección de Datos de Irlanda (DPC) ha anunciado que ha iniciado una «investigación reglamentaria transfronteriza» sobre el modelo de inteligencia artificial (IA) fundacional de Google para determinar si el gigante tecnológico ha respetado las regulaciones de protección de datos en la región al procesar los datos personales de los usuarios europeos. «La investigación reglamentaria se refiere a la cuestión de si Google ha cumplido con las obligaciones que pudiera haber tenido de realizar una evaluación, de conformidad con el artículo 35[2] «La DPC ha informado de que Google ha cumplido con los requisitos del Reglamento General de Protección de Datos (Evaluación de Impacto de la Protección de Datos) antes de iniciar el procesamiento de datos personales de titulares de datos de la UE/EEE asociados con el desarrollo de su modelo de IA fundacional, Pathways Language Model 2 (PaLM 2)», afirmó la DPC. PaLM 2 es el modelo de lenguaje de última generación de Google con capacidades mejoradas de multilingüismo, razonamiento y codificación. La empresa lo presentó en mayo de 2023. Con la sede europea de Google en Dublín, la DPC actúa como el principal regulador responsable de asegurarse de que la empresa cumpla con el estricto reglamento de privacidad de datos del bloque. La DPC afirmó que una investigación es crucial para garantizar que se salvaguarden los derechos y libertades fundamentales de las personas, especialmente cuando el procesamiento de dichos datos al desarrollar sistemas de IA puede suponer un «alto riesgo». El desarrollo se produce semanas después de que la plataforma de redes sociales X acordara de forma permanente no entrenar a su chatbot de IA, Grok, utilizando los datos personales que recopiló de los usuarios europeos sin obtener el consentimiento previo. En agosto, la DPC dijo que X consintió en suspender su «procesamiento de los datos personales contenidos en las publicaciones públicas de los usuarios de la UE/EEE de X que procesó entre el 7 de mayo de 2024 y el 1 de agosto de 2024». Meta, que recientemente admitió haber extraído los datos públicos de todos los usuarios adultos australianos de Facebook para entrenar sus modelos de IA Llama sin darles una opción de exclusión, ha pausado sus planes de usar contenido publicado por usuarios europeos luego de una solicitud de la DPC por preocupaciones de privacidad. También ha suspendido el uso de IA generativa (GenAI) en Brasil después de que la autoridad de protección de datos del país emitiera una prohibición preliminar objetando su nueva política de privacidad. El año pasado, el regulador de privacidad de datos de Italia también prohibió temporalmente ChatGPT de OpenAI debido a preocupaciones de que sus prácticas violaran las leyes de protección de datos en la región. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Las redes del gobierno iraquí se han convertido en el objetivo de una campaña de ciberataques «elaborada» orquestada por un actor de amenazas patrocinado por el estado de Irán llamado OilRig. Los ataques apuntaron a organizaciones iraquíes como la Oficina del Primer Ministro y el Ministerio de Asuntos Exteriores, dijo la empresa de ciberseguridad Check Point en un nuevo análisis. OilRig, también llamado APT34, Crambus, Cobalt Gypsy, GreenBug, Hazel Sandstorm (anteriormente EUROPIUM) y Helix Kitten, es un grupo cibernético iraní asociado con el Ministerio de Inteligencia y Seguridad de Irán (MOIS). Activo desde al menos 2014, el grupo tiene un historial de realización de ataques de phishing en Medio Oriente para entregar una variedad de puertas traseras personalizadas como Karkoff, Shark, Marlin, Saitama, MrPerfectionManager, PowerExchange, Solar, Mango y Menorah para el robo de información. La última campaña no es una excepción, ya que implica el uso de un nuevo conjunto de familias de malware denominadas Veaty y Spearal, que vienen con capacidades para ejecutar comandos de PowerShell y recolectar archivos de interés. «El conjunto de herramientas utilizado en esta campaña dirigida emplea mecanismos únicos de comando y control (C2), incluido un protocolo de tunelización DNS personalizado y un canal C2 basado en correo electrónico hecho a medida», dijo Check Point. «El canal C2 utiliza cuentas de correo electrónico comprometidas dentro de la organización atacada, lo que indica que el actor de la amenaza se infiltró con éxito en las redes de la víctima». Algunas de las acciones que el actor de la amenaza llevó a cabo al ejecutar el ataque y después de él fueron consistentes con las tácticas, técnicas y procedimientos (TTP) que OilRig ha empleado al llevar a cabo operaciones similares en el pasado. Esto incluye el uso de canales C2 basados ​​en correo electrónico, aprovechando específicamente los buzones de correo electrónico previamente comprometidos para emitir comandos y exfiltrar datos. Este modus operandi ha sido común a varias puertas traseras como Karkoff, MrPerfectionManager y PowerExchange. La cadena de ataque se inicia a través de archivos engañosos que se hacen pasar por documentos benignos («Avamer.pdf.exe» o «IraqiDoc.docx.rar») que, cuando se lanzan, allanan el camino para el despliegue de Veaty y Spearal. Se dice que es probable que la vía de infección haya involucrado un elemento de ingeniería social. Los archivos inician la ejecución de scripts intermedios de PowerShell o Pyinstaller que, a su vez, descargan los ejecutables del malware y sus archivos de configuración basados ​​en XML, que incluyen información sobre el servidor C2. «El malware Spearal es una puerta trasera .NET que utiliza un túnel DNS para [C2] «Los datos transferidos entre el malware y el servidor C2 están codificados en los subdominios de las consultas DNS utilizando un esquema Base32 personalizado». Spearal está diseñado para ejecutar comandos de PowerShell, leer el contenido de los archivos y enviarlos en forma de datos codificados en Base32, y recuperar datos del servidor C2 y escribirlos en un archivo en el sistema. También escrito en .NET, Veaty aprovecha los correos electrónicos para las comunicaciones C2 con el objetivo final de descargar archivos y ejecutar comandos a través de buzones específicos que pertenecen al dominio gov-iq.net. Los comandos le permiten cargar/descargar archivos y ejecutar scripts de PowerShell. Check Point dijo que su análisis de la infraestructura del actor de amenazas condujo al descubrimiento de un archivo de configuración XML diferente que probablemente esté asociado con una tercera puerta trasera de tunelización SSH. Además, identificó una puerta trasera basada en HTTP, CacheHttp.dll, que apunta a los servidores de Internet Information Services (IIS) de Microsoft y examina las solicitudes web entrantes en busca de eventos «OnGlobalPreBeginRequest» y ejecuta comandos cuando ocurren. «El proceso de ejecución comienza verificando si el encabezado Cookie está presente en las solicitudes HTTP entrantes y lee hasta el signo;», dijo Check Point. «El parámetro principal es F=0/1 que indica si el backdoor inicializa su configuración de comandos (F=1) o ejecuta los comandos basados ​​en esta configuración (F=0)». El módulo IIS malicioso, que representa una evolución de un malware clasificado como Grupo 2 por ESET en agosto de 2021 y otro backdoor IIS APT34 con nombre en código RGDoor, admite la ejecución de comandos y operaciones de lectura/escritura de archivos. «Esta campaña contra la infraestructura del gobierno iraquí destaca los esfuerzos sostenidos y enfocados de los actores de amenazas iraníes que operan en la región», dijo la compañía. «El despliegue de un protocolo de tunelización DNS personalizado y un canal C2 basado en correo electrónico que aprovecha las cuentas comprometidas destaca el esfuerzo deliberado de los actores iraníes para desarrollar y mantener mecanismos especializados de comando y control». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

12 de septiembre de 2024Ravie LakshmananCriptomonedas / Seguridad de redes Las instancias de Selenium Grid expuestas a Internet están siendo el objetivo de actores maliciosos para campañas de minería de criptomonedas ilícitas y proxyjacking. «Selenium Grid es un servidor que facilita la ejecución de casos de prueba en paralelo en diferentes navegadores y versiones», dijeron los investigadores de seguridad de Cado Tara Gould y Nate Bill en un análisis publicado hoy. «Sin embargo, la configuración predeterminada de Selenium Grid carece de autenticación, lo que la hace vulnerable a la explotación por parte de actores de amenazas». El abuso de instancias de Selenium Grid de acceso público para implementar mineros de criptomonedas fue destacado previamente por la empresa de seguridad en la nube Wiz a fines de julio de 2024 como parte de un grupo de actividades denominado SeleniumGreed. Cado, que observó dos campañas diferentes contra su servidor honeypot, dijo que los actores de amenazas están explotando la falta de protecciones de autenticación para llevar a cabo acciones maliciosas. El primero de ellos aprovecha el diccionario «goog:chromeOptions» para inyectar un script de Python codificado en Base64 que, a su vez, recupera un script llamado «y», que es el shell inverso de GSocket de código abierto. El shell inverso posteriormente sirve como medio para introducir la carga útil de la siguiente etapa, un script bash llamado «pl» que recupera IPRoyal Pawn y EarnFM de un servidor remoto a través de los comandos curl y wget. «IPRoyal Pawns es un servicio de proxy residencial que permite a los usuarios vender su ancho de banda de Internet a cambio de dinero», dijo Cado. «La conexión a Internet del usuario se comparte con la red IPRoyal y el servicio utiliza el ancho de banda como un proxy residencial, lo que lo pone a disposición para varios fines, incluidos fines maliciosos». EarnFM también es una solución de proxyware que se anuncia como una forma «innovadora» de «generar ingresos pasivos en línea simplemente compartiendo su conexión a Internet». El segundo ataque, al igual que la campaña de proxyjacking, sigue la misma ruta para entregar un script bash a través de un script Python que verifica si se está ejecutando en una máquina de 64 bits y luego procede a soltar un binario ELF basado en Golang. Posteriormente, el archivo ELF intenta escalar a la raíz aprovechando la falla PwnKit (CVE-2021-4043) y suelta un minero de criptomonedas XMRig llamado perfcc. «Como muchas organizaciones confían en Selenium Grid para las pruebas del navegador web, esta campaña destaca aún más cómo los actores de amenazas pueden abusar de las instancias mal configuradas», dijeron los investigadores. «Los usuarios deben asegurarse de que la autenticación esté configurada, ya que no está habilitada de forma predeterminada». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

12 de septiembre de 2024Ravie LakshmananDevSecOps / Vulnerabilidad GitLab lanzó el miércoles actualizaciones de seguridad para abordar 17 vulnerabilidades de seguridad, incluida una falla crítica que permite a un atacante ejecutar trabajos de pipeline como un usuario arbitrario. El problema, identificado como CVE-2024-6678, tiene una puntuación CVSS de 9,9 sobre un máximo de 10,0 «Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones a partir de la 8.14 anterior a la 17.1.7, a partir de la 17.2 anterior a la 17.2.5 y a partir de la 17.3 anterior a la 17.3.2, que permite a un atacante activar un pipeline como un usuario arbitrario en determinadas circunstancias», dijo la empresa en una alerta. La vulnerabilidad, junto con tres errores de gravedad alta, 11 de gravedad media y dos de gravedad baja, se han solucionado en las versiones 17.3.2, 17.2.5 y 17.1.7 para GitLab Community Edition (CE) y Enterprise Edition (EE). Vale la pena señalar que CVE-2024-6678 es la cuarta falla de este tipo que GitLab ha parcheado durante el año pasado después de CVE-2023-5009 (puntuación CVSS: 9,6), CVE-2024-5655 (puntuación CVSS: 9,6) y CVE-2024-6385 (puntuación CVSS: 9,6). Si bien no hay evidencia de explotación activa de las fallas, se recomienda a los usuarios que apliquen los parches lo antes posible para mitigar las posibles amenazas. A principios de mayo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) reveló que una vulnerabilidad crítica de GitLab (CVE-2023-7028, puntuación CVSS: 10.0) había sido explotada activamente. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

12 de septiembre de 2024Ravie LakshmananSeguridad móvil / Fraude financiero Los clientes bancarios de la región de Asia Central han sido el objetivo de una nueva cepa de malware para Android con nombre en código Ajina.Banker desde al menos noviembre de 2024 con el objetivo de recopilar información financiera e interceptar mensajes de autenticación de dos factores (2FA). Group-IB, con sede en Singapur, que descubrió la amenaza en mayo de 2024, dijo que el malware se propaga a través de una red de canales de Telegram configurados por los actores de la amenaza bajo la apariencia de aplicaciones legítimas relacionadas con la banca, los sistemas de pago y los servicios gubernamentales o los servicios públicos cotidianos. «El atacante tiene una red de afiliados motivados por el beneficio económico, que difunden malware bancario para Android que se dirige a los usuarios comunes», dijeron los investigadores de seguridad Boris Martynyuk, Pavel Naumov y Anvar Anarkulov. Los objetivos de la campaña en curso incluyen países como Armenia, Azerbaiyán, Islandia, Kazajstán, Kirguistán, Pakistán, Rusia, Tayikistán, Ucrania y Uzbekistán. Hay evidencia que sugiere que algunos aspectos del proceso de distribución de malware basado en Telegram pueden haber sido automatizados para mejorar la eficiencia. Las numerosas cuentas de Telegram están diseñadas para servir mensajes elaborados que contienen enlaces, ya sea a otros canales de Telegram o a fuentes externas, y archivos APK a objetivos involuntarios. El uso de enlaces que apuntan a canales de Telegram que alojan los archivos maliciosos tiene un beneficio adicional, ya que evita las medidas de seguridad y las restricciones impuestas por muchos chats comunitarios, lo que permite que las cuentas evadan las prohibiciones cuando se activa la moderación automática. Además de abusar de la confianza que los usuarios depositan en los servicios legítimos para maximizar las tasas de infección, el modus operandi también implica compartir los archivos maliciosos en los chats locales de Telegram haciéndolos pasar por obsequios y promociones que afirman ofrecer recompensas lucrativas y acceso exclusivo a los servicios. «El uso de mensajes temáticos y estrategias de promoción localizadas resultó ser particularmente eficaz en los chats comunitarios regionales», dijeron los investigadores. «Al adaptar su enfoque a los intereses y necesidades de la población local, Ajina pudo aumentar significativamente la probabilidad de infecciones exitosas». También se ha observado que los actores de amenazas bombardean los canales de Telegram con varios mensajes utilizando múltiples cuentas, a veces simultáneamente, lo que indica un esfuerzo coordinado que probablemente emplea algún tipo de herramienta de distribución automatizada. El malware en sí es bastante sencillo, ya que, una vez instalado, establece contacto con un servidor remoto y solicita a la víctima que le otorgue permiso para acceder a mensajes SMS, API de números de teléfono e información actual de la red celular, entre otros. Ajina.Banker es capaz de recopilar información de la tarjeta SIM, una lista de aplicaciones financieras instaladas y mensajes SMS, que luego se filtran al servidor. Las nuevas versiones del malware también están diseñadas para servir páginas de phishing en un intento de recopilar información bancaria. Además, pueden acceder a registros de llamadas y contactos, así como abusar de la API de servicios de accesibilidad de Android para evitar la desinstalación y otorgarse permisos adicionales. «La contratación de codificadores de Java, creados bots de Telegram con la propuesta de ganar algo de dinero, también indica que la herramienta está en proceso de desarrollo activo y cuenta con el apoyo de una red de empleados afiliados», dijeron los investigadores. «El análisis de los nombres de los archivos, los métodos de distribución de las muestras y otras actividades de los atacantes sugiere una familiaridad cultural con la región en la que operan». La revelación se produce después de que Zimperium descubriera vínculos entre dos familias de malware para Android rastreadas como SpyNote y Gigabud (que es parte de la familia GoldFactory que también incluye GoldDigger). «Dominios con una estructura muy similar (que utilizan las mismas palabras clave inusuales como subdominios) y objetivos utilizados para difundir muestras de Gigabud también se utilizaron para distribuir muestras de SpyNote», dijo la compañía. «Esta superposición en la distribución muestra que es probable que el mismo actor de amenazas esté detrás de ambas familias de malware, lo que apunta a una campaña amplia y bien coordinada». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.