Boletín semanal de ciberseguridad 17-23 de julio

Telefónica Tech    23 julio, 2021
Boletín semanal de ciberseguridad 17-23 de julio

Publicada una investigación sobre ciberespionaje a nivel mundial

Un consorcio formado por diferentes organizaciones y medios de prensa ha publicado una investigación donde se desvela la comercialización y uso indiscriminado del software espía Pegasus. Según los investigadores, una filtración de datos habría permitido identificar al menos a 10 gobiernos como posibles clientes de la empresa israelí NSO Group, propietaria de Pegasus. Esta filtración contiene una lista de más de 50.000 números de teléfono de “personas de interés” desde el año 2016. Entre las víctimas identificadas se incluirían ejecutivos de empresas, personalidades religiosas, académicas, empleados de ONGs, dirigentes sindicales y miembros de diferentes gobiernos. Entre las funcionalidades de Pegasus destaca apuntar a dispositivos iOS o Android con el fin de exfiltrar mensajes, correos electrónicos, fotos, grabar llamadas y activar micrófonos. Tanto la compañía como algunos de los Estados involucrados han desmentido su utilización para tales fines. Cabe destacar que este software espía fue utilizado, supuestamente, el pasado año para infectar, presuntamente, el dispositivo de Jeff Bezos.

Tras conocerse la noticia, se han ido conociendo novedades y reacciones. Por un lado, Amazon Web Services ha informado del cierre de infraestructura y cuentas vinculadas a la compañía NSO Group, propietaria de Pegasus, tras hacerse público que la empresa habría utilizado la infraestructura de AWS para llevar a cabo las tareas de espionaje. Por otro lado, el precio de las acciones de Apple sufrió en el día de ayer una bajada al conocerse la explotación activa de múltiples 0-days en un iPhone 12 actualizado al último sistema operativo iOS 14.6. Cabe destacar, además, que la Oficina de las Naciones Unidas en Ginebra ha publicado un tweet donde ha recordado a los Estados que todas las medidas de vigilancia deben llevarse a cabo bajo circunstancias justificadas y definidas estrictamente, con un objetivo legítimo, siendo proporcionales a este.

Más información: https://amp.theguardian.com/world/2021/jul/18/revealed-leak-uncovers-global-abuse-of-cyber-surveillance-weapon-nso-group-pegasus

Campaña de distribución de malware contra usuarios corporativos de habla hispana

El equipo de Proofpoint ha identificado un nuevo grupo amenaza, al que ha denominado como TA2721, que estaría distribuyendo malware a través de correos electrónicos en castellano. Este grupo se estaría dirigiendo contra usuarios con apellidos hispanos que pertenecen a organizaciones globales de diferentes sectores. Al tratarse de objetivos específicos, los investigadores plantean la posibilidad de que el grupo realice algún tipo de reconocimiento de las entidades objetivo antes de enviar los correos fraudulentos. La cadena de infección de TA2721 se caracteriza por la utilización de documentos PDF adjuntos en los correos, que contienen una URL que redirige a la descarga de un fichero cifrado y comprimido tipo .RAR el cual, finalmente, instala el malware Bandook en el equipo de la víctima, un malware antiguo tipo RAT no muy común. Los investigadores han detectado que este agente amenaza tiende a utilizar la misma infraestructura C2 durante varias semanas o meses; de hecho, en seis meses, Proofpoint solamente ha identificado tres dominios que actuarían como C2.

Más detalles: https://www.proofpoint.com/us/blog/threat-insight/new-threat-actor-uses-spanish-language-lures-distribute-seldom-observed-bandook

SeriousSAM: vulnerabilidad de escalada de privilegios en Windows 10

El investigador de seguridad Jonas Lyk junto con otros expertos, han descubierto una vulnerabilidad en Windows 10 que permitiría a agentes amenaza escalar privilegios para acceder a las contraseñas hasheadas de las cuentas de usuario y a detalles importantes de la configuración del sistema. Bajo el nombre de SeriousSAM (CVE-2021-36934), este fallo reside en el modo en el que Windows 10 controla los accesos a directorios como SAM, SECURITY y SYSTEM (dentro de C:\Windows\System32\config\) desde la versión Windows 10 v1809. En estas versiones, Microsoft falla al restringir los accesos a estos ficheros de configuración en las copias de seguridad que genera la funcionalidad de Windows Shadow Volume Copy. Microsoft todavía no ha publicado parches de seguridad ni de medidas de mitigación para esta vulnerabilidad. Sin embargo, sí ha compartido una solución alternativa mientras sigue investigando este fallo de seguridad. De forma paralela, en Reddit, se han publicado algunos consejos para los administradores de sistemas y proveedores de seguridad sobre cómo registrar y monitorizar los accesos a los datos de SAM. Por otra parte, Kevin Beaumont ha publicado una prueba de concepto que permitiría a los administradores de sistemas comprobar cuáles de sus sistemas son vulnerables a estos ataques. Finalmente, el US-CERT también ha publicado una nota informativa sobre el fallo.

Toda la info: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

XLoader: variante de Formbook para Windows y MacOS

Investigadores de CheckPoint han publicado un informe acerca del malware XLoader, variante del malware Formbook. De acuerdo con la investigación, recientemente se habría detectado la comercialización en foros underground de un nuevo malware llamado XLoader, que se anunciaría como una botnet multiplataforma y que sería capaz de robar información en sistemas Windows y MacOS. Se tiene constancia de que esta nueva variante surgió en febrero de 2021 y es una evolución del ya conocido Formbook, un stealer que sigue prevaleciendo cinco años después de su activación y que estaría dirigido contra equipos Windows. XLoader es un malware mucho más sofisticado que Formbook, cuenta con la capacidad de recopilar credenciales de navegadores web y de algunos clientes de correo electrónico, realizar capturas de pantalla, registrar pulsaciones de teclado y ejecutar otros tipos de malware. Se trata de un Malware-as-a-Service en el que los clientes pueden alquilar la versión para macOS y el vendedor les proporciona acceso a un servidor que les permitiría gestionar los dispositivos vulnerados. De este modo, los atacantes también mantienen un control sobre el uso que sus clientes dan a la herramienta. Finalmente, cabe destacar que la mayoría de las víctimas de XLoader se sitúan en EE.UU. 

Para saber más: https://research.checkpoint.com/2021/top-prevalent-malware-with-a-thousand-campaigns-migrates-to-macos/


Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de Telefónica Tech. Visita la página de CyberSecurityPulse.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.