Boletín semanal de Ciberseguridad, 21-28 de octubre

Telefónica Tech    28 octubre, 2022

Campañas de difusión del malware ERMAC

Un equipo de investigadores de Cyble ha descubierto recientemente una campaña de envíos masivos de phishing que buscaría difundir el troyano bancario ERMAC.

El método de infección se basaría en la descarga de aplicaciones falsas que suplantan a Google Wallet, PayPal y Snapchat, entre otros, desde dominios falsos con webs que suplantan algunos de los markets de Android más populares. Estas suplantaciones incluyen también dominios falsos basados en las compañías cuyas aplicaciones estarían siendo presuntamente distribuidas. 

Una vez que estas aplicaciones falsas se ejecutan, el malware ERMAC procede a robar datos como información de contactos y SMS, así como una lista de aplicaciones en uso por parte del dispositivo.

A través de esta última función, se despliegan páginas de phishing en la pantalla de la víctima, que a su vez envían los datos recogidos al Command & Control del malware a través de peticiones POST. 

Más info

* * *

Apple corrige vulnerabilidad 0-day para iOS y iPadOS en su último parche

En la última actualización lanzada por Apple se corrige, entre otras, una vulnerabilidad 0-day que podría haber sido activamente explotada contra dispositivos iPhone y iPad.

Esta vulnerabilidad, identificada como CVE-2022-42827 y aún pendiente de calificación CVSS por parte de Apple, permitiría a un atacante ejecutar código arbitrario en el Kernel con los privilegios más altos. Esto puede llevar a la corrupción de datos, interrupción de funcionamiento o ejecución de código no autorizado en el dispositivo.

La actualización que corrige esta vulnerabilidad estaría disponible para modelos de iPhone 8 en adelante, todos los modelos de iPad Pro, iPad Air de tercera generación en adelante y iPad y iPad Mini de quinta generación y posteriores. 

Más info

* * *

VMware corrige una vulnerabilidad crítica en Cloud Foundation

VMware ha emitido un advisory sobre dos vulnerabilidades que afectarían a su plataforma híbrida Cloud Foundation, una de ellas crítica.

  • La primera de ellas, identificada como CVE-2021-39144 con una puntuación CVSS de 8.5 (9.8 según VMware), se trata de una vulnerabilidad de ejecución remota de código a través de la librería Xstream.
  • La segunda, identificada como CVE-2022-31678 con una puntuación CVSS de 5.3 asignada por VMware, podría permitir a un atacante provocar una denegación de servicio o exponer información.

Ambas vulnerabilidades afectarían a la versión 3.11 de VMware Cloud Foundation (NSX-V) y se corregirían con la última actualización. 

Más info

* * *

Anunciada vulnerabilidad crítica en OpenSSL

El equipo de OpenSSL Project ha anunciado que la próxima semana, el día 1 de noviembre, publicará una nueva versión de OpenSSL, la 3.0.7, en la cual se incluirá un parche de seguridad que ha sido catalogado como crítico.

Si bien por el momento no se han dado a conocer los detalles de la vulnerabilidad de tal gravedad que se corregirá en esta versión más allá de que no afecta a versiones anteriores a la 3.0, su mera existencia ha causado preocupación al ser la primera vulnerabilidad de carácter crítico que OpenSSL anuncia desde 2016.

Pese a que los desarrolladores han anunciado el despliegue de la nueva versión y del fallo con antelación para que los usuarios tengan tiempo de realizar inventarios y preparar sus sistemas, desde OpenSSL no creen que sea suficiente para que los atacantes logren descubrir la vulnerabilidad, tal y como ha afirmado Mark J. Cox, miembro del equipo. 

Más info

* * *

Vulnerabilidad en Zoom podría exponer a los usuarios a ataques de phishing

Zoom ha publicado un boletín de seguridad donde corrige una vulnerabilidad susceptible a un análisis de URL.

Catalogada como CVE-2022-28763 con un CVSS de 8.8, el fallo podría ser aprovechado por un actor malicioso mediante una URL de reunión de Zoom especialmente diseñada, con el fin de redirigir a un usuario hacia una dirección de red arbitraria, posibilitando así otros tipos de ataques adicionales, incluyendo la toma de control de la sesión activa.

Los productos afectados por esta vulnerabilidad serían Zoom Client for Meetings (para Android, iOS, Linux, macOS, y Windows), Zoom VDI Windows Meeting Clients, y Zoom Rooms para Conference Room (para Android, iOS, Linux, macOS, y Windows), todos en las versiones anteriores a la versión 5.12.2.

Desde Zoom recomiendan actualizar o descargar el software más reciente.

Más info

* * *

Drinik: troyano bancario para Android que reaparece con capacidades avanzadas

Analistas de Cyble han detectado una nueva versión del malware bancario Drinik, dirigido a sistemas Android, y actualmente apuntando contra 18 entidades bancarias de la India.

Según el reporte de Cyble, el troyano se hace pasar por la aplicación oficial de administración de impuestos del país (iAssist) para robar la información personal y las credenciales bancarias de las víctimas. Una vez instalada en el dispositivo de la víctima, la aplicación solicita permisos de escritura en el almacenamiento externo, recibir, leer y enviar SMS, y leer el registro de llamadas.

Además, solicitará permiso para hacer uso del servicio de accesibilidad de Android, lo que deshabilitará Google Play Protect y capacitará al malware para realizar gestos de navegación, grabar la pantalla y capturar pulsaciones del teclado y credenciales del usuario, mostrando en la app el sitio legítimo de impuestos sobre la renta de la India.

Como objetivo final, Drinik redirige a las víctimas a una web de phishing del Departamento de Impuestos sobre la Renta donde, bajo el pretexto de una devolución a su favor, solicitará al usuario su información financiera, incluido el número de cuenta, y número, CVV y PIN de la tarjeta de crédito.

Drinik es conocido desde 2016 y no ha parado de evolucionar mejorando continuamente sus capacidades y planteándose objetivos masivos, como los contribuyentes y clientes bancarios indios en este caso 

Más info

Deja una respuesta

Tu dirección de correo electrónico no será publicada.