Boletín semanal de ciberseguridad, 21—27 de mayo

​​Vulnerabilidad sin corregir en PayPal

El investigador de seguridad H4x0r-DZ ha dado a conocer una vulnerabilidad sin corregir en el servicio de transferencia de dinero de PayPal que podría permitir a los atacantes engañar a las víctimas para robarles el dinero completando transacciones dirigidas mediante la realización de ataques de clickjacking.

Esta técnica permite a un atacante engañar a un usuario para que haga clic en elementos aparentemente inofensivos de una página web con fines fraudulentos: descargar malware, redirigirlos a sitios web maliciosos o revelar información sensible.

El investigador descubrió que un endpoint de paypal[.]com/agreements/approve, diseñado para acuerdos de facturación, y que únicamente debería permitir tokens del tipo billingAgreementToken, permitía realmente recibir otro tipo de token.

Ello permitiría a un atacante incluir un iframe específico, que provoca que una víctima que ha iniciado sesión en el sitio web transfiera sus fondos a una cuenta de PayPal controlada por el atacante simplemente con hacer clic en un botón.

El investigador ha decidido publicar la prueba de concepto, después de notificar el pasado mes de octubre de 2021 el fallo a la compañía y no haber recibido ningún tipo de compensación o solución para el mismo por parte de PayPal.

Más info: https://medium.com/@h4x0r_dz/vulnerability-in-paypal-worth-200000-bounty-attacker-can-steal-your-balance-by-one-click-2b358c1607cc

​​​Spyware Predator distribuido mediante la explotación de 0-days

Investigadores del grupo de análisis de amenazas de Google (TAG), han revelado los detalles de la utilización de nuevos 0-days en Chrome y Android para la distribución del spyware conocido como Predator, una herramienta comercial de ciberespionaje desarrollada por Cytrox.

En concreto, los investigadores hablan de tres campañas distintas. La primera campaña se detectaba en agosto de 2021 y habría explotado una vulnerabilidad en Chrome para redirigir a SBrowser (CVE-2021-38000 CVSSv3 6.1).

La segunda campaña daba comienzo en septiembre de 2021 y explotaba varias vulnerabilidades en Chrome para escapar del sandbox del navegador (CVE-2021-37973 CVSSv3 9.8 y CVE-2021-37976 CVSSv3 6.5). Finalmente, la tercera campaña data de octubre de 2021 e implica la utilización de 0-days en Chrome y Android (CVE-2021-38003 CVSSv3 8.8 y CVE-2021-1048 CVSSv3 7.8). A pesar de explotar 0-days distintos, la base de las campañas era la misma.

Los atacantes distribuían enlaces “one-time link” (válidos solo una vez y que caducan a las 24 horas) suplantando servicios de acortadores de URL a usuarios de Android, mediante correo electrónico, desde los que distribuían los exploits.

El objetivo de las campañas era la distribución del malware de Android denominado ALIEN, encargado de descargar posteriormente el spyware Predator.

En cuanto a la atribución de las campañas, los investigadores apuntan a que los actores detrás de las campañas estarían respaldados por gobiernos y concretamente, apuntan al menos a los de Egipto, Armenia, Grecia, Madagascar, Costa de Marfil, Serbia, España e Indonesia. Sus conclusiones van en línea con las investigaciones realizadas desde CitizenLab en diciembre de 2021.

Más info: https://blog.google/threat-analysis-group/protecting-android-users-from-0-day-attacks/

​​​Distribución de Cobalt Strike mediante PoCs falsas

Investigadores de seguridad de Cyble han descubierto que agentes amenaza habrían utilizado pruebas de concepto falsas de dos vulnerabilidades recientes en Windows para infectar a sus víctimas con Cobalt Strike.

En concreto, los atacantes publicaron en GitHub PoCs maliciosas para las vulnerabilidades de ejecución remota de código CVE-2022-24500 y CVE-2022-26809, ambas corregidas por Microsoft el pasado mes de abril. Los dos repositorios pertenecían al mismo usuario de GitHub, denominado «rkxxz», cuya cuenta y repositorios ya han sido eliminados.

El objetivo de este tipo de prácticas, cada vez más habituales, suelen ser individuos relacionados con la seguridad de la información. Según el análisis realizado por Cyble, el malware utilizado en esta campaña es una aplicación .NET que muestra por pantalla un mensaje falso sobre el intento de explotación de la vulnerabilidad, ejecutando posteriormente comandos en PowerShell para la descarga del beacon de Cobalt Strike.

​Más info:  https://blog.cyble.com/2022/05/20/malware-campaign-targets-infosec-community-threat-actor-uses-fake-proof-of-concept-to-deliver-cobalt-strike-beacon/

​Vulnerabilidad 0-day en Tails 

Tails ha emitido un aviso de seguridad donde alertan que habrían localizado una vulnerabilidad en su versión Tails 5.0 que afectaría a los usuarios que utilicen la distribución de Linux para acceder al navegador de Tor. Por ello recomiendan que no se use Tor hasta el próximo 31 de mayo, cuando se lanzará la actualización a la versión 5.1.

Este fallo está relacionado con el aviso de seguridad que emitía Mozilla donde corregía dos vulnerabilidades críticas que afectaban a su gestor de correo Thunderbird y al navegador Firefox. Estos fallos fueron clasificados con los identificadores CVE-2022-1529 y CVE-2022-1802, y estaban relacionados con un error en el motor de JavaScript, el cual es también utilizado por Tor.

Tails establece que, de ser aprovechada, podría permitir a un atacante obtener información confidencial como contraseñas, mensajes privados, entre otros, si bien el cifrado de las conexiones empleado por Tor para mantener el anonimato del usuario, no se habría visto afectado.

Desde Tails recomiendan reiniciar el sistema, y afirman que Mozilla habría detectado actividad relacionada con la explotación de estos fallos.

​​​Más info: https://tails.boum.org/security/prototype_pollution/index.en.html