Boletín semanal ciberseguridad 12 – 18 de marzo

Vishing suplantando a Microsoft

La Oficina de Seguridad del Internauta (OSI) ha emitido un aviso de seguridad para informar acerca del incremento, en las últimas semanas, de llamadas fraudulentas en las que un supuesto empleado de Microsoft indica que el dispositivo del usuario está infectado. En este tipo de fraude, conocido como vishing, el atacante insta a la víctima a que instale una aplicación de acceso remoto, la cual, supuestamente, desinfectará el dispositivo. Una vez el ciberdelincuente ha conseguido acceso al equipo del usuario, puede sustraer todo tipo de archivos almacenados en el dispositivo, hacerse con las contraseñas guardadas en el navegador, e incluso instalar un malware que bloquee el equipo para solicitar posteriormente un pago por su desbloqueo. Desde la OSI se recomienda desconectar el dispositivo de la red, desinstalar el programa instalado y utilizar un antivirus, si el usuario ha atendido la llamada y ha instalado el programa mencionado por el ciberdelincuente.

Toda la info: https://www.osi.es/es/actualidad/avisos/2022/03/vuelven-las-llamadas-fraudulentas-del-supuesto-soporte-tecnico-de

Vulnerabilidad en Netfilter del kernel de Linux

El investigador de seguridad Nick Gregory ha descubierto una nueva vulnerabilidad en el kernel de Linux. Este fallo, identificado como CVE-2022-25636 y con un CVSSv3 de 7.8, implica una vulnerabilidad de escritura fuera de límites en Netfilter, un framework del kernel de Linux que permite realizar diversas operaciones con la red como filtrado de paquetes, traducción de direcciones y puertos (NATP), rastreo de conexiones y otro tipo de operaciones de manipulación de paquetes. Un atacante en local podría explotar esta vulnerabilidad para escalar privilegios y ejecutar código arbitrario en el sistema vulnerable. Cabe destacar que el fallo afecta desde la versión 5.4 a la 5.6.10 del kernel de Linux, por lo que se recomienda actualizar a la nueva versión cuanto antes, debido a que existe hay una PoC disponible.

Más info: https://nickgregory.me/linux/security/2022/03/12/cve-2022-25636/

Variante del troyano brasileño Maxtrilha apunta a usuarios portugueses

El investigador Pedro Tavares, de Segurança Informática, ha detectado una posible nueva variante del troyano brasileño conocido como Maxtrilha. Esta variante ha sido detectada distribuyéndose mediante plantillas de phishing donde suplantaban a los servicios de impuestos de Portugal (Autoridade Tributária e Aduaneira), siendo su objetivo usuarios bancarios de dicho país. Los investigadores consideran que este malware es una nueva variante del troyano brasileño Maxtrilha debido a la similitud de las muestras, y a que este utiliza las mismas plantillas para atacar a los usuarios. En los correos maliciosos distribuidos, se incluye una URL que descarga un archivo HTML denominado “Dividas 2021.html” o “Financas.htm”, que posteriormente descarga un archivo ZIP, y que en última instancia descarga el malware. Esta nueva variante puede instalar o modificar los certificados de confianza de Windows, realizar una superposición de ventanas bancarias con el objetivo de robar credenciales, y puede implementar cargas útiles adicionales ejecutadas a través de la técnica de inyección de DLL.

Todos los detalles: https://seguranca-informatica.pt/brazilian-trojan-impacting-portuguese-users-and-using-the-same-capabilities-seen-in-other-latin-american-threats/

Apple corrige 87 vulnerabilidades

Apple ha publicado 10 boletines de seguridad que corrigen un total de 87 vulnerabilidades en sus diferentes productos y plataformas: iOS 15.4 y iPadOS 15.4, watchOS 8.5, tvOS 15.4, macOS Monterey 12.3, macOS Big Sur 11.6.5, Actualización de seguridad 2022-003 Catalina, Xcode 13.3, Logic Pro X 10.7.3, GarageBand 10.4.6 e iTunes 12.12.3 para Windows. Entre las vulnerabilidades detectadas se encuentran fallos en WebKit (motor de navegador web utilizado por Safari, Mail o App Store) que podrían conducir a la ejecución remota de código (CVE-2022-22610, CVE-2022-22624, CVE-2022-22628 y CVE-2022-22629). También se destacan otras cuatro vulnerabilidades en componentes de visualización de documentos, audio y video en iPhone e iPad que podrían permitir la implantación de malware o la elevación de privilegios (CVE-2022-22633, CVE-2022-22634, CVE-2022-22635 y CVE-2022-22636). Finalmente, cabe destacar que de macOS reciben actualizaciones tanto la versión actual como las dos anteriores, mientras que solo las versiones más actuales de iOS, watchOS, iPadOS, y tvOS son compatibles con estas actualizaciones.

Más info: https://nakedsecurity.sophos.com/2022/03/15/apple-patches-87-security-holes-from-iphones-and-macs-to-windows/

LokiLocker: nuevo RaaS con funcionalidad de wiper

El equipo de investigadores de BlackBerry ha identificado un nuevo Ransomware as a Service (RaaS) dirigido contra equipos informáticos que utilizan el sistema operativo Windows. Según los expertos, este software malicioso fue descubierto por primera vez a mediados de agosto de 2021, y habría afectado a víctimas en todo el mundo, aunque la mayoría de estas se situarían en Europa y Asía. Entre las características más destacadas de LokiLocker es que está escrito en .NET y protegido con NETGuard, además, también usa KoiVM, un complemento de virtualización que dificulta el análisis del software malicioso y que su uso no es muy común. Asimismo, LokiLocker establece un límite de tiempo para pagar el rescate, si la víctima no accede al chantaje el ransomware, utiliza una función de borrado de archivos del equipo, exceptuando los del sistema, y sobrescribe el registro de arranque maestro (MBR) de la unidad del sistema para inutilizarlo.

Todos los detalles: https://blogs.blackberry.com/en/2022/03/lokilocker-ransomware