26 de septiembre de 2024Ravie LakshmananIndustria automotriz / Tecnología Los investigadores de ciberseguridad han revelado un conjunto de vulnerabilidades ahora parcheadas en los vehículos Kia que, si se hubieran explotado con éxito, podrían haber permitido el control remoto de funciones clave simplemente usando solo una matrícula. “Estos ataques podrían ejecutarse de forma remota en cualquier vehículo equipado con hardware en aproximadamente 30 segundos, independientemente de si tenía una suscripción activa a Kia Connect”, dijeron los investigadores de seguridad Neiko Rivera, Sam Curry, Justin Rhinehart e Ian Carroll. Los problemas afectan a casi todos los vehículos fabricados después de 2013, incluso permitiendo a los atacantes obtener acceso de forma encubierta a información confidencial, incluido el nombre, el número de teléfono, la dirección de correo electrónico y la dirección física de la víctima. Básicamente, el adversario podría abusar de esto para agregarse como un segundo usuario “invisible” en el automóvil sin el conocimiento del propietario. El quid de la investigación es que los problemas explotan la infraestructura del concesionario Kia (“kiaconnect.kdealer[.]com”) utilizado para activaciones de vehículos para registrarse en una cuenta falsa a través de una solicitud HTTP y luego generar tokens de acceso. El token se utiliza posteriormente junto con otra solicitud HTTP a un punto final APIGW del concesionario y el número de identificación del vehículo (VIN) de un automóvil para obtener el nombre, el número de teléfono y la dirección de correo electrónico del propietario del vehículo. Además, los investigadores descubrieron que es posible obtener acceso al vehículo de una víctima con algo tan trivial como emitir cuatro solicitudes HTTP y, en última instancia, ejecutar comandos de Internet al vehículo: generar el token del concesionario y recuperar el encabezado “token” de la respuesta HTTP utilizando el método mencionado anteriormente Obtener la dirección de correo electrónico y el número de teléfono de la víctima Modificar el acceso anterior del propietario utilizando la dirección de correo electrónico filtrada y el número de VIN para agregar al atacante como el titular principal de la cuenta Agregar al atacante al vehículo de la víctima agregando una dirección de correo electrónico bajo su control como el propietario principal del vehículo, lo que permite ejecutar comandos arbitrarios “Desde el lado de la víctima, no hubo notificación de que se hubiera accedido a su vehículo ni se hubieran modificado sus permisos de acceso”, señalaron los investigadores. “Un atacante podría resolver la matrícula de alguien, ingresar su VIN a través de la API, luego rastrearlo pasivamente y enviar comandos activos como desbloquear, arrancar o tocar la bocina”. En un escenario de ataque hipotético, un actor malintencionado podría ingresar la matrícula de un vehículo Kia en un tablero personalizado, recuperar la información de la víctima y luego ejecutar comandos en el vehículo después de unos 30 segundos. Después de la divulgación responsable en junio de 2024, Kia abordó las fallas a partir del 14 de agosto de 2024. No hay evidencia de que estas vulnerabilidades hayan sido explotadas en la naturaleza. “Los automóviles seguirán teniendo vulnerabilidades, porque de la misma manera que Meta podría introducir un cambio de código que permitiría a alguien hacerse cargo de su cuenta de Facebook, los fabricantes de automóviles podrían hacer lo mismo con su vehículo”, dijeron los investigadores. ¿Te resultó interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Tag: vulnerabilidad del software Page 1 of 44
26 de septiembre de 2024Ravie LakshmananAtaque cibernético / Malware Se ha observado que actores de amenazas con vínculos con Corea del Norte aprovechan dos nuevas cepas de malware denominadas KLogEXE y FPSpy. La actividad se ha atribuido a un adversario rastreado como Kimsuky, que también se conoce como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), Sparkling Pisces, Springtail y Velvet Chollima. “Estas muestras mejoran el arsenal ya extenso de Sparkling Pisces y demuestran la evolución continua y las capacidades crecientes del grupo”, dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Daniel Frank y Lior Rochberger. Activo desde al menos 2012, el actor de amenazas ha sido llamado el “rey del spear phishing” por su capacidad de engañar a las víctimas para que descarguen malware mediante el envío de correos electrónicos que hacen parecer que provienen de partes confiables. El análisis de la infraestructura de Sparkling Pisces por parte de Unit 42 ha descubierto dos nuevos ejecutables portátiles denominados KLogEXE y FPSpy. KLogExe es una versión en C++ del keylogger basado en PowerShell llamado InfoKey que fue destacado por JPCERT/CC en relación con una campaña de Kimsuky dirigida a organizaciones japonesas. El malware viene equipado con capacidades para recopilar y exfiltrar información sobre las aplicaciones que se están ejecutando actualmente en la estación de trabajo comprometida, las pulsaciones de teclas realizadas y los clics del mouse. Por otro lado, se dice que FPSpy es una variante de la puerta trasera que AhnLab reveló en 2022, con superposiciones identificadas con un malware que Cyberseason documentó bajo el nombre KGH_SPY a fines de 2020. FPSpy, además del keylogger, también está diseñado para recopilar información del sistema, descargar y ejecutar más cargas útiles, ejecutar comandos arbitrarios y enumerar unidades, carpetas y archivos en el dispositivo infectado. La Unidad 42 afirmó que también pudo identificar puntos de similitud en el código fuente de KLogExe y FPSpy, lo que sugiere que es probable que sean obra del mismo autor. “La mayoría de los objetivos que observamos durante nuestra investigación procedían de Corea del Sur y Japón, lo que coincide con los objetivos anteriores de Kimsuky”, dijeron los investigadores. ¿Te resultó interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
26 de septiembre de 2024Ravie LakshmananSeguridad en la nube / CiberespionajeSe ha observado que un actor de amenazas avanzadas con un nexo con la India utiliza varios proveedores de servicios en la nube para facilitar la recolección de credenciales, la distribución de malware y el comando y control (C2). La empresa de seguridad e infraestructura web Cloudflare está rastreando la actividad bajo el nombre de SloppyLemming, que también se llama Outrider Tiger y Fishing Elephant. “Desde finales de 2022 hasta la actualidad, SloppyLemming ha utilizado rutinariamente Cloudflare Workers, probablemente como parte de una amplia campaña de espionaje dirigida a países del sur y este de Asia”, dijo Cloudflare en un análisis. Se estima que SloppyLemming está activo desde al menos julio de 2021, con campañas anteriores que aprovechan malware como Ares RAT y WarHawk, este último también vinculado a un conocido equipo de piratas informáticos llamado SideWinder. Por otro lado, el uso de Ares RAT se ha relacionado con SideCopy, un actor de amenazas probablemente de origen paquistaní. Los objetivos de la actividad de SloppyLemming abarcan entidades gubernamentales, policiales, energéticas, educativas, de telecomunicaciones y tecnológicas ubicadas en Pakistán, Sri Lanka, Bangladesh, China, Nepal e Indonesia. Las cadenas de ataque implican el envío de correos electrónicos de phishing dirigidos a los objetivos que tienen como objetivo engañar a los destinatarios para que hagan clic en un enlace malicioso induciendo una falsa sensación de urgencia, afirmando que deben completar un proceso obligatorio dentro de las próximas 24 horas. Al hacer clic en la URL, la víctima es llevada a una página de recolección de credenciales, que luego sirve como mecanismo para que el actor de amenazas obtenga acceso no autorizado a las cuentas de correo electrónico específicas dentro de las organizaciones que son de interés. “El actor utiliza una herramienta personalizada llamada CloudPhish para crear un Cloudflare Worker malicioso para manejar la lógica de registro de credenciales y la exfiltración de las credenciales de la víctima al actor de amenazas”, dijo la compañía. Algunos de los ataques llevados a cabo por SloppyLemming han aprovechado técnicas similares para capturar tokens de Google OAuth, así como emplear archivos RAR con trampas explosivas (“CamScanner 06-10-2024 15.29.rar”) que probablemente explotan una falla de WinRAR (CVE-2023-38831) para lograr la ejecución remota de código. Dentro del archivo RAR hay un ejecutable que, además de mostrar el documento señuelo, carga de forma sigilosa “CRYPTSP.dll”, que sirve como descargador para recuperar un troyano de acceso remoto alojado en Dropbox. Vale la pena mencionar aquí que la empresa de ciberseguridad SEQRITE detalló una campaña análoga llevada a cabo por los actores de SideCopy el año pasado dirigida al gobierno indio y a los sectores de defensa para distribuir el RAT Ares utilizando archivos ZIP llamados “DocScanner_AUG_2023.zip” y “DocScanner-Oct.zip” que están diseñados para activar la misma vulnerabilidad. Una tercera secuencia de infección empleada por SloppyLemming implica el uso de señuelos de phishing para llevar a los posibles objetivos a un sitio web falso que se hace pasar por la Junta de Tecnología de la Información de Punjab (PITB) en Pakistán, después de lo cual son redirigidos a otro sitio que contiene un archivo de acceso directo a Internet (URL). El archivo URL viene incrustado con un código para descargar otro archivo, un ejecutable llamado PITB-JR5124.exe, desde el mismo servidor. El binario es un archivo legítimo que se utiliza para cargar lateralmente una DLL falsa llamada profapi.dll que posteriormente se comunica con un Cloudflare Worker. Estas URL de Cloudflare Worker, señaló la empresa, actúan como intermediarios, retransmitiendo las solicitudes al dominio C2 real utilizado por el adversario (“aljazeerak[.]Cloudflare dijo que “observó esfuerzos concertados por parte de SloppyLemming para atacar a los departamentos de policía paquistaníes y otras organizaciones encargadas de hacer cumplir la ley”, y agregó que “hay indicios de que el actor ha atacado a entidades involucradas en la operación y el mantenimiento de la única instalación de energía nuclear de Pakistán”. Algunos de los otros objetivos de la actividad de recolección de credenciales incluyen organizaciones gubernamentales y militares de Sri Lanka y Bangladesh y, en menor medida, entidades del sector académico y energético chino. ¿Te resultó interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
26 de septiembre de 2024Ravie LakshmananCiberespionaje / Piratería informática Los actores de amenazas de estados nacionales respaldados por Pekín irrumpieron en un “puñado” de proveedores de servicios de Internet (ISP) de EE. UU. como parte de una campaña de ciberespionaje orquestada para obtener información confidencial, informó el miércoles The Wall Street Journal. La actividad se ha atribuido a un actor de amenazas que Microsoft rastrea como Salt Typhoon, que también se conoce como FamousSparrow y GhostEmperor. “Los investigadores están explorando si los intrusos obtuvieron acceso a los enrutadores de Cisco Systems, componentes centrales de la red que enrutan gran parte del tráfico en Internet”, dijo la publicación, citando a personas familiarizadas con el asunto. El objetivo final de los ataques es obtener un punto de apoyo persistente dentro de las redes objetivo, lo que permite a los actores de amenazas recolectar datos confidenciales o lanzar un ciberataque dañino. GhostEmperor salió a la luz por primera vez en octubre de 2021, cuando la empresa rusa de ciberseguridad Kaspersky detalló una operación evasiva de larga data dirigida a objetivos del sudeste asiático con el fin de implementar un rootkit llamado Demodex. Los objetivos de la campaña incluían entidades de alto perfil en Malasia, Tailandia, Vietnam e Indonesia, además de valores atípicos ubicados en Egipto, Etiopía y Afganistán. En julio de 2024, Sygnia reveló que un cliente anónimo fue comprometido por el actor de amenazas en 2023 para infiltrarse en las redes de uno de sus socios comerciales. “Durante la investigación, se descubrió que varios servidores, estaciones de trabajo y usuarios fueron comprometidos por un actor de amenazas que implementó varias herramientas para comunicarse con un conjunto de [command-and-control] “Una de estas herramientas fue identificada como una variante de Demodex”, dijo la compañía. El desarrollo se produce días después de que el gobierno de Estados Unidos dijera que había desbaratado una botnet de 260.000 dispositivos llamada Raptor Train controlada por un grupo de piratas informáticos diferente vinculado a Pekín llamado Flax Typhoon. También representa el último de una serie de esfuerzos patrocinados por el estado chino para atacar a las telecomunicaciones, los ISP y otros sectores de infraestructura crítica. ¿Te resultó interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Los ataques de phishing son cada vez más avanzados y difíciles de detectar, pero aún hay señales reveladoras que pueden ayudarte a detectarlos antes de que sea demasiado tarde. Consulta estos indicadores clave que utilizan los expertos en seguridad para identificar enlaces de phishing:1. Comprueba las URL sospechosas Las URL de phishing suelen ser largas, confusas o estar llenas de caracteres aleatorios. Los atacantes las utilizan para ocultar el verdadero destino del enlace y engañar a los usuarios. El primer paso para protegerte es inspeccionar la URL con atención. Asegúrate siempre de que empiece por “HTTPS”, ya que la “s” indica una conexión segura mediante un certificado SSL. Sin embargo, ten en cuenta que los certificados SSL por sí solos no son suficientes. Los ciberatacantes han utilizado cada vez más enlaces HTTPS de aspecto legítimo para distribuir contenido malicioso. Por eso debes sospechar de los enlaces que sean demasiado complejos o parezcan un revoltijo de caracteres. Herramientas como Safebrowsing de ANY.RUN permiten a los usuarios comprobar enlaces sospechosos en un entorno seguro y aislado sin necesidad de inspeccionar manualmente cada carácter de una URL. Ejemplo: Uno de los casos recientes involucró la redirección de URL de Google que se utilizó varias veces para enmascarar el enlace de phishing real y dificultar el rastreo del verdadero destino de la URL. URL compleja con redirecciones En este caso, después del “Google” inicial en la URL, ves otras 2 instancias de “Google”, lo que es una clara señal de un intento de redirección y mal uso de la plataforma. Análisis de enlace sospechoso usando la función Safebrowsing de ANY.RUN Comprueba una cantidad ilimitada de URL sospechosas con la herramienta Safebrowsing de ANY.RUN. ¡Pruébalo gratis ahora! 2. Presta atención a las cadenas de redireccionamiento Como puedes ver en el ejemplo mencionado anteriormente, la redirección es una de las principales tácticas utilizadas por los atacantes cibernéticos. Además de considerar la complejidad de la URL, descubre a dónde te lleva el enlace. Esta táctica extiende la cadena de entrega y confunde a los usuarios, lo que dificulta detectar la intención maliciosa. Un escenario más común es cuando los atacantes envían un correo electrónico, afirmando que se debe descargar un archivo. Pero en lugar de un archivo adjunto o un enlace directo, envían una URL que conduce a través de redirecciones, y en última instancia solicita credenciales de inicio de sesión para acceder al archivo. Para investigar esto de forma segura, copie y pegue el enlace sospechoso en la herramienta Safebrowsing de ANY.RUN. Después de ejecutar la sesión de análisis, podrá interactuar con el enlace en un entorno seguro y ver exactamente dónde redirecciona y cómo se comporta. Ejemplo: Cadena de redireccionamiento mostrada en la VM de ANY.RUN En este caso, los atacantes compartieron un enlace aparentemente inofensivo a una página de almacenamiento de archivos. Sin embargo, en lugar de conducir directamente al documento deseado, el enlace redirigió a los usuarios varias veces, y finalmente aterrizó en una página de inicio de sesión falsa diseñada para robar sus credenciales. 3. Inspeccione los títulos de página extraños y los faviconos faltantes Otra forma de detectar enlaces de phishing es prestar atención a los títulos de página y los faviconos. Una página legítima debe tener un título que coincida con el servicio con el que está interactuando, sin símbolos extraños ni galimatías. Los caracteres sospechosos, aleatorios o los títulos incompletos suelen ser señales de que algo anda mal. Además del título de la página, los sitios web válidos tienen un favicon que corresponde al servicio. Un favicon vacío o genérico es una indicación de un intento de phishing. Ejemplo: Título de página sospechoso junto con favicon roto de Microsoft analizado dentro de ANY.RUN En esta sesión de Safebrowsing, notará cómo el título de la página y el favicon no se alinean con lo que esperaría de una página de inicio de sesión legítima de Microsoft Office. Normalmente, vería el favicon de Microsoft junto con un título de página claro y relevante. Sin embargo, en este ejemplo, el título consta de números y letras aleatorios, y el favicon de Microsoft está roto o falta. Esta es una gran señal de alerta y probablemente indique un intento de phishing. 4. Tenga cuidado con el abuso de CAPTCHA y las verificaciones de Cloudflare Una táctica común utilizada en los enlaces de phishing es el abuso de los sistemas CAPTCHA, en particular la verificación “No soy un robot”. Si bien los CAPTCHA están diseñados para verificar a los usuarios humanos y proteger contra los bots, los atacantes de phishing pueden explotarlos agregando desafíos CAPTCHA innecesarios y repetitivos en sitios web maliciosos. Una táctica similar implica el uso indebido de servicios como Cloudflare, donde los atacantes pueden usar los controles de seguridad de Cloudflare para ralentizar a los usuarios y enmascarar el intento de phishing. Ejemplo: abuso de verificación de Cloudflare observado en la sesión Safebrowsing de ANY.RUN En esta sesión de análisis, los atacantes usan la verificación de Cloudflare como una capa engañosa en su esquema de phishing para agregar legitimidad y ocultar su intención maliciosa. 5. Verifique los dominios de Microsoft antes de ingresar contraseñas Los phishers a menudo crean sitios web que imitan servicios confiables como Microsoft para engañar a los usuarios para que proporcionen sus credenciales. Si bien Microsoft generalmente solicita contraseñas en algunos dominios oficiales, es importante ser cauteloso. Estos son algunos de los dominios legítimos de Microsoft donde pueden ocurrir solicitudes de contraseñas: Tenga en cuenta que su organización también puede solicitar autenticación a través de su dominio oficial. Por lo tanto, siempre es una buena idea verificar el enlace antes de compartir las credenciales. Use la función Safebrowsing de ANY.RUN para verificar la legitimidad del sitio antes de ingresar cualquier información confidencial. Asegúrese de protegerse verificando dos veces el dominio. 6. Analizar enlaces con elementos de interfaz conocidos También puede detectar enlaces de phishing examinando de cerca los elementos de la interfaz de los programas. Tenga en cuenta que los elementos de la interfaz del programa en una página del navegador con un formulario de entrada de contraseña son una señal de advertencia importante. Los atacantes a menudo intentan ganarse la confianza de los usuarios imitando interfaces de software conocidas, como las de Adobe o Microsoft, e incorporando formularios de entrada de contraseña en ellas. Esto hace que las posibles víctimas se sientan más cómodas y reduce sus defensas, lo que finalmente las lleva a la trampa de phishing. Siempre verifique dos veces los enlaces con dichos elementos antes de ingresar información confidencial. Ejemplo: elementos de interfaz que imitan a Adobe PDF Viewer En esta sesión de Safebrowsing, los atacantes imitaron a Adobe PDF Viewer, incorporando su formulario de entrada de contraseña. Explore enlaces sospechosos en el navegador virtual seguro de ANY.RUN Los enlaces de phishing pueden ser increíblemente dañinos para las empresas, y a menudo conducen a la vulneración de información confidencial, como credenciales de inicio de sesión y datos financieros, con solo un clic. Safebrowsing de ANY.RUN ofrece un navegador virtual seguro y aislado donde puede analizar de forma segura estos enlaces sospechosos en tiempo real sin poner en riesgo su sistema. Explore sitios web sospechosos de forma segura, inspeccione la actividad de la red, detecte comportamientos maliciosos y recopile indicadores de compromiso (IOC) para realizar un análisis más profundo. Para un nivel más profundo de análisis de enlaces o archivos sospechosos, el sandbox de ANY.RUN proporciona capacidades aún más avanzadas para la detección de amenazas. ¡Comience a usar ANY.RUN hoy mismo de forma gratuita y disfrute de sesiones ilimitadas de Safebrowsing o análisis profundo! ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
25 de septiembre de 2024Ravie LakshmananInteligencia artificial / Vulnerabilidad Una vulnerabilidad de seguridad ahora parcheada en la aplicación ChatGPT de OpenAI para macOS podría haber hecho posible que los atacantes plantaran software espía persistente a largo plazo en la memoria de la herramienta de inteligencia artificial (IA). La técnica, denominada SpAIware, podría ser utilizada de forma abusiva para facilitar la “exfiltración continua de datos de cualquier información que el usuario haya escrito o respuestas recibidas por ChatGPT, incluidas las futuras sesiones de chat”, dijo el investigador de seguridad Johann Rehberger. El problema, en esencia, abusa de una función llamada memoria, que OpenAI presentó a principios de febrero antes de implementarla para los usuarios de ChatGPT Free, Plus, Team y Enterprise a principios de mes. Lo que hace es esencialmente permitir que ChatGPT recuerde ciertas cosas en los chats para ahorrarles a los usuarios el esfuerzo de repetir la misma información una y otra vez. Los usuarios también tienen la opción de indicarle al programa que olvide algo. “Los recuerdos de ChatGPT evolucionan con tus interacciones y no están vinculados a conversaciones específicas”, dice OpenAI. “Eliminar un chat no borra sus recuerdos; debes eliminar el recuerdo en sí”. La técnica de ataque también se basa en hallazgos previos que implican el uso de inyección indirecta de indicaciones para manipular los recuerdos con el fin de recordar información falsa, o incluso instrucciones maliciosas, logrando así una forma de persistencia que sobrevive entre conversaciones. “Dado que las instrucciones maliciosas se almacenan en la memoria de ChatGPT, todas las conversaciones nuevas que se realicen contendrán las instrucciones de los atacantes y enviarán continuamente todos los mensajes de la conversación de chat y las respuestas al atacante”, dijo Rehberger. “Por lo tanto, la vulnerabilidad de exfiltración de datos se volvió mucho más peligrosa, ya que ahora se genera en las conversaciones de chat”. En un escenario de ataque hipotético, un usuario podría ser engañado para que visite un sitio malicioso o descargue un documento con trampa explosiva que luego se analiza utilizando ChatGPT para actualizar la memoria. El sitio web o el documento podrían contener instrucciones para enviar clandestinamente todas las conversaciones futuras a un servidor controlado por el adversario, que luego puede ser recuperado por el atacante en el otro extremo más allá de una sola sesión de chat. Tras la divulgación responsable, OpenAI ha abordado el problema con la versión 1.2024.247 de ChatGPT cerrando el vector de exfiltración. “Los usuarios de ChatGPT deben revisar periódicamente los recuerdos que el sistema almacena sobre ellos, en busca de los sospechosos o incorrectos y limpiarlos”, dijo Rehberger. “Esta cadena de ataque fue bastante interesante de armar y demuestra los peligros de tener memoria de largo plazo que se agrega automáticamente a un sistema, tanto desde el punto de vista de la desinformación/estafa, como en relación con la comunicación continua con servidores controlados por el atacante”. La divulgación se produce cuando un grupo de académicos ha descubierto una novedosa técnica de jailbreaking de IA con nombre en código MathPrompt que explota las capacidades avanzadas de los modelos de lenguaje grandes (LLM) en matemáticas simbólicas para eludir sus mecanismos de seguridad. “MathPrompt emplea un proceso de dos pasos: primero, transforma indicaciones dañinas en lenguaje natural en problemas matemáticos simbólicos y luego presenta estas indicaciones codificadas matemáticamente a un LLM de destino”, señalaron los investigadores. El estudio, tras probarlo con 13 LLM de última generación, descubrió que los modelos responden con resultados dañinos el 73,6 % del tiempo en promedio cuando se les presentan indicaciones codificadas matemáticamente, en comparación con aproximadamente el 1 % con indicaciones dañinas sin modificar. También sigue el debut de Microsoft de una nueva capacidad de corrección que, como su nombre lo indica, permite la corrección de los resultados de IA cuando se detectan imprecisiones (es decir, alucinaciones). “Basándose en nuestra función de detección de conexión a tierra existente, esta capacidad innovadora permite que Azure AI Content Safety identifique y corrija alucinaciones en tiempo real antes de que los usuarios de aplicaciones de IA generativa las encuentren”, dijo el gigante tecnológico. ¿Te resultó interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
25 de septiembre de 2024Ravie LakshmananPruebas de penetración / Amenaza cibernética Los investigadores de ciberseguridad han señalado el descubrimiento de una nueva herramienta de equipo rojo de post-explotación llamada Splinter en la red. La Unidad 42 de Palo Alto Networks compartió sus hallazgos después de descubrir el programa en los sistemas de varios clientes. “Tiene un conjunto estándar de características que se encuentran comúnmente en las herramientas de prueba de penetración y su desarrollador lo creó utilizando el lenguaje de programación Rust”, dijo Dominik Reichel de la Unidad 42. “Si bien Splinter no es tan avanzado como otras herramientas de post-explotación conocidas como Cobalt Strike, aún presenta una amenaza potencial para las organizaciones si se usa incorrectamente”. Las herramientas de prueba de penetración se utilizan a menudo para operaciones de equipo rojo para señalar posibles problemas de seguridad en la red de una empresa. Sin embargo, los actores de amenazas también pueden utilizar estas herramientas de simulación de adversarios para su beneficio. La Unidad 42 dijo que no ha detectado ninguna actividad de actores de amenazas asociada con el conjunto de herramientas Splinter. Todavía no hay información sobre quién desarrolló la herramienta. Los artefactos descubiertos por la empresa de ciberseguridad revelan que son “excepcionalmente grandes”, con un peso de alrededor de 7 MB, principalmente debido a la presencia de 61 cajas de Rust en su interior. Splinter no se diferencia de otros marcos de post-explotación en que viene con una configuración que incluye información sobre el servidor de comando y control (C2), que se analiza para establecer contacto con el servidor mediante HTTPS. “Los implantes de Splinter están controlados por un modelo basado en tareas, que es común entre los marcos de post-explotación”, señaló Reichel. “Obtiene sus tareas del servidor C2 que el atacante ha definido”. Algunas de las funciones de la herramienta incluyen la ejecución de comandos de Windows, la ejecución de módulos a través de la inyección de procesos remotos, la carga y descarga de archivos, la recopilación de información de cuentas de servicios en la nube y la eliminación del sistema. “La creciente variedad subraya la importancia de mantenerse actualizado sobre las capacidades de prevención y detección, ya que es probable que los delincuentes adopten cualquier técnica que sea eficaz para comprometer a las organizaciones”, dijo Reichel. La revelación se produce cuando Deep Instinct detalló dos métodos de ataque que podrían ser explotados por actores de amenazas para lograr la inyección de código sigiloso y la escalada de privilegios aprovechando una interfaz RPC en Microsoft Office y un shim malicioso, respectivamente. “Aplicamos un shim malicioso en un proceso sin registrar un archivo SDB en el sistema”, dijeron los investigadores Ron Ben-Yizhak y David Shandalov. “Evitamos eficazmente la detección de EDR escribiendo en un proceso secundario y cargando la DLL de destino desde el proceso secundario suspendido antes de que se pueda establecer cualquier gancho EDR”. En julio de 2024, Check Point también arrojó luz sobre una nueva técnica de inyección de procesos llamada Thread Name-Calling que permite implantar un shellcode en un proceso en ejecución abusando de la API para descripciones de subprocesos mientras se elude los productos de protección de endpoints. “A medida que se agregan nuevas API a Windows, aparecen nuevas ideas para técnicas de inyección”, dijo la investigadora de seguridad Aleksandra “Hasherezade” Doniec. “Thread Name-Calling utiliza algunas de las API relativamente nuevas. Sin embargo, no puede evitar la incorporación de componentes más antiguos y conocidos, como las inyecciones de APC, API que siempre deben tenerse en cuenta como una amenaza potencial. De manera similar, la manipulación de los derechos de acceso dentro de un proceso remoto es una actividad sospechosa”. ¿Te resultó interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
25 de septiembre de 2024Ravie LakshmananCodificación segura / Seguridad móvil Google ha revelado que su transición a lenguajes seguros para la memoria como Rust como parte de su enfoque de seguridad por diseño ha llevado a que el porcentaje de vulnerabilidades seguras para la memoria descubiertas en Android cayera del 76% al 24% en un período de seis años. El gigante tecnológico dijo que centrarse en la codificación segura para nuevas funciones no solo reduce el riesgo de seguridad general de una base de código, sino que también hace que el cambio sea más “escalable y rentable”. Con el tiempo, esto conduce a una caída en las vulnerabilidades de seguridad de la memoria a medida que el nuevo desarrollo de memoria no segura se ralentiza después de un cierto período de tiempo y el nuevo desarrollo de memoria segura toma el control, dijeron Jeff Vander Stoep y Alex Rebert de Google en una publicación compartida con The Hacker News. Quizás aún más interesante, la cantidad de vulnerabilidades de seguridad de la memoria también puede disminuir a pesar de un aumento en la cantidad de nuevo código no seguro para la memoria. La paradoja se explica por el hecho de que las vulnerabilidades se reducen exponencialmente. Un estudio concluyó que una gran cantidad de vulnerabilidades a menudo residen en código nuevo o modificado recientemente. “El problema se presenta abrumadoramente con el código nuevo, lo que requiere un cambio fundamental en la forma en que desarrollamos el código”, señalaron Vander Stoep y Rebert. “El código madura y se vuelve más seguro con el tiempo, exponencialmente, lo que hace que los retornos de las inversiones, como las reescrituras, disminuyan con el tiempo a medida que el código envejece”. Google, que anunció formalmente sus planes de dar soporte al lenguaje de programación Rust en Android en abril de 2021, dijo que comenzó a priorizar la transición de nuevos desarrollos a lenguajes seguros para la memoria alrededor de 2019. Como resultado, la cantidad de vulnerabilidades de seguridad de la memoria descubiertas en el sistema operativo ha disminuido de 223 en 2019 a menos de 50 en 2024. Tampoco hace falta decir que gran parte de la disminución de tales fallas se debe a los avances en las formas ideadas para combatirlas, pasando de la aplicación de parches reactivos a la mitigación proactiva y al descubrimiento proactivo de vulnerabilidades mediante herramientas como los sanitizantes Clang. El gigante tecnológico señaló además que las estrategias de seguridad de la memoria deberían evolucionar aún más para priorizar la “prevención de alta seguridad” incorporando principios de seguridad por diseño que consagran la seguridad en los cimientos mismos. “En lugar de centrarnos en las intervenciones aplicadas (mitigaciones, fuzzing) o intentar utilizar el rendimiento pasado para predecir la seguridad futura, Safe Coding nos permite hacer afirmaciones sólidas sobre las propiedades del código y lo que puede o no puede suceder en función de esas propiedades”, dijeron Vander Stoep y Rebert. Eso no es todo. Google dijo que también se está centrando en ofrecer interoperabilidad entre Rust, C++ y Kotlin, en lugar de reescrituras de código, como un “enfoque práctico e incremental” para adoptar lenguajes seguros para la memoria y, en última instancia, eliminar clases de vulnerabilidades completas. “Adoptar Safe Coding en un código nuevo ofrece un cambio de paradigma, que nos permite aprovechar la decadencia inherente de las vulnerabilidades en nuestro beneficio, incluso en grandes sistemas existentes”, dijo. “El concepto es simple: una vez que cerramos el grifo de las nuevas vulnerabilidades, disminuyen exponencialmente, lo que hace que todo nuestro código sea más seguro, aumenta la eficacia del diseño de seguridad y alivia los desafíos de escalabilidad asociados con las estrategias de seguridad de la memoria existentes de modo que se puedan aplicar de manera más efectiva de una manera específica”. El desarrollo se produce después de que Google promocionara una mayor colaboración con los equipos de ingeniería de seguridad de productos y de la unidad de procesamiento gráfico (GPU) de Arm para señalar múltiples deficiencias y elevar la seguridad general de la pila de software/firmware de GPU en todo el ecosistema de Android. Esto incluye el descubrimiento de dos problemas de memoria en la personalización del código del controlador de Pixel (CVE-2023-48409 y CVE-2023-48421) y otro en el firmware de la GPU Valhall de Arm y el firmware de la arquitectura de la GPU de quinta generación (CVE-2024-0153). “Las pruebas proactivas son una buena higiene, ya que pueden conducir a la detección y resolución de nuevas vulnerabilidades antes de que se exploten”, dijeron Google y Arm. ¿Te resultó interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
25 de septiembre de 2024Ravie LakshmananProtección de datos / Seguimiento en línea La organización sin fines de lucro noyb (abreviatura de None Of Your Business) con sede en Viena ha presentado una queja ante la autoridad de protección de datos (DPA) de Austria contra el fabricante de Firefox, Mozilla, por habilitar una nueva función llamada Atribución de preservación de la privacidad (PPA) sin buscar explícitamente el consentimiento de los usuarios. “Contrariamente a su nombre tranquilizador, esta tecnología permite a Firefox rastrear el comportamiento del usuario en los sitios web”, dijo noyb. “En esencia, ahora el navegador controla el seguimiento, en lugar de los sitios web individuales”. Noyb también criticó a Mozilla por supuestamente seguir el ejemplo de Google al habilitar “secretamente” la función de forma predeterminada sin informar a los usuarios. PPA, que actualmente está habilitada en la versión 128 de Firefox como una función experimental, tiene sus paralelos en el proyecto Privacy Sandbox de Google en Chrome. La iniciativa, ahora abandonada por Google, buscaba reemplazar las cookies de seguimiento de terceros con un conjunto de API integradas en el navegador web con las que los anunciantes pueden comunicarse para determinar los intereses de los usuarios y mostrar anuncios personalizados. Dicho de otra manera, el navegador web actúa como un intermediario que almacena información sobre las diferentes categorías en las que se pueden incluir los usuarios según sus patrones de navegación en Internet. PPA, según Mozilla, es una forma de que los sitios “entiendan cómo funcionan sus anuncios sin recopilar datos sobre personas individuales”, describiéndolo como una “alternativa no invasiva al seguimiento entre sitios”. También es similar a la atribución de clics de anuncios que preserva la privacidad de Apple, que permite a los anunciantes medir la efectividad de sus campañas publicitarias en la web sin comprometer la privacidad del usuario. La forma en que funciona PPA es la siguiente: los sitios web que muestran anuncios pueden pedirle a Firefox que recuerde los anuncios en forma de una impresión que incluye detalles sobre los anuncios en sí, como el sitio web de destino. Si un usuario de Firefox termina visitando el sitio web de destino y realiza una acción que la empresa considera valiosa (por ejemplo, hacer una compra en línea haciendo clic en el anuncio, también llamada “conversión”), ese sitio web puede solicitar al navegador que genere un informe. El informe generado se cifra y se envía de forma anónima mediante el Protocolo de agregación distribuida (DAP) a un “servicio de agregación”, después de lo cual los resultados se combinan con otros informes similares para crear un resumen de modo que sea imposible obtener demasiada información sobre un individuo. Esto, a su vez, es posible gracias a un marco matemático llamado privacidad diferencial que permite compartir información agregada sobre los usuarios de una manera que preserva la privacidad al agregar ruido aleatorio a los resultados para evitar ataques de reidentificación. “PPA está habilitado en Firefox a partir de la versión 128”, señala Mozilla en un documento de soporte. “Un pequeño número de sitios van a probar esto y brindarán comentarios para informar nuestros planes de estandarización y ayudarnos a comprender si es probable que esto gane impulso”. “El PPA no implica enviar información sobre las actividades de navegación de los usuarios a nadie. Los anunciantes sólo reciben información agregada que responde a preguntas básicas sobre la eficacia de su publicidad”. Este es el aspecto que noyb ha criticado, ya que viola las estrictas normas de protección de datos de la Unión Europea (UE) al habilitar el PPA por defecto sin solicitar el permiso de los usuarios. “Aunque esto puede ser menos invasivo que el seguimiento ilimitado, que sigue siendo la norma en los EE. UU., sigue interfiriendo con los derechos de los usuarios según el RGPD de la UE”, dijo el grupo de defensa. “En realidad, esta opción de seguimiento tampoco reemplaza a las cookies, sino que es simplemente una forma alternativa -adicional- para que los sitios web dirijan la publicidad”. Además, señaló que un desarrollador de Mozilla justificó la medida afirmando que los usuarios no pueden tomar una decisión informada y que “explicar un sistema como el PPA sería una tarea difícil”. “Es una pena que una organización como Mozilla crea que los usuarios son demasiado tontos para decir sí o no”, dijo Felix Mikolasch, abogado de protección de datos de noyb. “Los usuarios deberían poder elegir y la función debería estar desactivada de forma predeterminada”. ¿Te resultó interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
25 de septiembre de 2024Ravie LakshmananSeguridad de correo electrónico / Inteligencia de amenazas Las empresas de transporte y logística en América del Norte son el objetivo de una nueva campaña de phishing que distribuye una variedad de ladrones de información y troyanos de acceso remoto (RAT). El grupo de actividades, según Proofpoint, hace uso de cuentas de correo electrónico legítimas comprometidas que pertenecen a empresas de transporte y envío para inyectar contenido malicioso en conversaciones de correo electrónico existentes. Se han identificado hasta 15 cuentas de correo electrónico vulneradas como parte de la campaña. Actualmente no está claro cómo se infiltran estas cuentas en primer lugar o quién está detrás de los ataques. “La actividad que ocurrió entre mayo y julio de 2024 entregó predominantemente Lumma Stealer, StealC o NetSupport”, dijo la empresa de seguridad empresarial en un análisis publicado el martes. “En agosto de 2024, el actor de la amenaza cambió de táctica al emplear una nueva infraestructura y una nueva técnica de entrega, además de agregar cargas útiles para entregar DanaBot y Arechclient2”. Las cadenas de ataque implican el envío de mensajes con archivos adjuntos con acceso directo a Internet (.URL) o URL de Google Drive que conducen a un archivo .URL que, cuando se lanza, utiliza Server Message Block (SMB) para obtener la carga útil de la siguiente etapa que contiene el malware desde un recurso compartido remoto. Algunas variantes de la campaña observada en agosto de 2024 también se han aferrado a una técnica recientemente popular llamada ClickFix para engañar a las víctimas para que descarguen el malware DanaBot con el pretexto de solucionar un problema con la visualización del contenido de un documento en el navegador web. En concreto, esto implica instar a los usuarios a copiar y pegar un script de PowerShell codificado en Base64 en la terminal, lo que desencadena el proceso de infección. “Estas campañas se han hecho pasar por Samsara, AMB Logistic y Astra TMS, software que solo se utilizaría en la gestión de operaciones de transporte y flotas”, dijo Proofpoint. “El hecho de que se hayan dirigido específicamente a organizaciones del sector del transporte y la logística y se hayan visto comprometidas, así como el uso de señuelos que se hacen pasar por software diseñado específicamente para operaciones de transporte y gestión de flotas, indica que el actor probablemente realiza investigaciones sobre las operaciones de la empresa objetivo antes de enviar campañas”. La revelación se produce en medio de la aparición de varias cepas de malware de robo de identidad, como Angry Stealer, BLX Stealer (también conocido como XLABB Stealer), Emansrepo Stealer, Gomorrah Stealer, Luxy, Poseidon, PowerShell Keylogger, QWERTY Stealer, Talibán Stealer, X-FILES Stealer y una variante relacionada con CryptBot denominada Yet Another Silly Stealer (YASS). También se produce tras la aparición de una nueva versión de RomCom RAT, un sucesor de PEAPOD (también conocido como RomCom 4.0) con nombre en código SnipBot que se distribuye a través de enlaces falsos incrustados en correos electrónicos de phishing. Algunos aspectos de la campaña fueron destacados previamente por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en julio de 2024. “SnipBot le da al atacante la capacidad de ejecutar comandos y descargar módulos adicionales en el sistema de la víctima”, dijeron los investigadores de la Unidad 42 de Palo Alto Networks Yaron Samuel y Dominik Reichel. “La carga útil inicial siempre es un descargador ejecutable enmascarado como un archivo PDF o un archivo PDF real enviado a la víctima en un correo electrónico que conduce a un ejecutable”. Si bien los sistemas infectados con RomCom también han sido testigos de implementaciones de ransomware en el pasado, la empresa de ciberseguridad señaló la ausencia de este comportamiento, lo que plantea la posibilidad de que la amenaza detrás del malware, Tropical Scorpius (también conocido como Void Rabisu), haya pasado de ser una ganancia financiera pura a ser un espionaje. ¿Te resultó interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.