Boletín semanal ciberseguridad 26 de marzo-1 de abril

Vulnerabilidad Spring4Shell

Spring ha lanzado actualizaciones de seguridad para el fallo 0-day de ejecución remota de código (RCE) conocido como Spring4Shell. Desde la aparición de la vulnerabilidad, trascendió información sin confirmar por parte de diferentes investigadores y medios. Es por ello, que desde Spring han publicado los detalles concretos de la vulnerabilidad, así como se le ha asignado un CVE y se han publicado los parches que corrigen el fallo. La vulnerabilidad ha sido identificada con el CVE-2022-22965 y, a pesar de desconocerse por el momento su criticidad bajo la escala CVSS, es una vulnerabilidad de severidad crítica. Si bien el fallo puede ser aprovechado de múltiples formas, los desarrolladores de Spring han afirmado que para su explotación se requiere usar la versión de JDK 9 o superior, Apache Tomcat como contenedor de Servlets, estar empaquetado como WAR y tener dependencia con los frameworks spring-webmvc o spring-webflux. Las versiones vulnerables han sido confirmadas, por lo que se recomienda actualizar a Spring Framework 5.3.18 y 5.2.20 o superiores, y para Spring Boot a las versiones 2.6.6 y 2.5.12 o superiores. Del mismo modo han publicado una serie de mitigaciones para aquellos que no puedan desplegar las actualizaciones.

Más info: https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

​​​Campaña de phishing suplantando a organismos españoles

La Oficina de Seguridad del Internauta (OSI) ha emitido un aviso de seguridad para informar acerca de una campaña de phishing que estaría suplantando a la Agencia Tributaria. Los correos electrónicos se estarían enviando desde una dirección spoofeada, mostrando el dominio @hacienda.hob.es, con el asunto “Comprobante fiscal digital – MINISTERIO DE HACIENDA Y FUCION PUBLICA”. Estos correos instan a las víctimas a descargar un supuesto archivo en formato .zip que contendría documentación pendiente de presentar ante el organismo público, pero en realidad contiene un malware. Desde la OSI indican que no se descarta la suplantación dentro de esta misma campaña de otros organismos gubernamentales, cambiando por tanto el asunto y el remitente de los correos. Asimismo, desde el Servicio de Digital Risk Protection se ha podido analizar esta campaña, detectando también la suplantación al Ministerio de Sanidad, y al Ministerio de Hacienda, e identificándose el malware distribuido como el troyano bancario Mekotio.

​​Apple corrige vulnerabilidades 0-day activamente explotadas

Apple ha publicado actualizaciones de seguridad donde solventa dos nuevas vulnerabilidades 0-day que estarían siendo activamente explotadas y afectando a sus productos IPhone, IPad y Mac.  El primero de los fallos, clasificado como CVE-2022-22674, es una vulnerabilidad de escritura fuera de límites en el controlador de gráficos para Intel, que, de ser aprovechada, podría permitir la divulgación de información de la memoria del kernel. El segundo error, clasificado como CVE-2022-22675, corresponde también a una vulnerabilidad de escritura fuera de límites, pero en el componente AppleAVD. Los productos afectados son: macOS Monterey, iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de 5.ª generación y posteriores, iPad mini 4 y posteriores y iPod touch (7.ª generación). Ambos fallos han quedado resueltos con las versiones iOS 15.4.1, iPadOS 15.4.1 y macOS Monterey 12.3.1.

Más información: https://support.apple.com/en-us/HT213220

​​​​Nueva campaña de distribución de IcedID

Investigadores de Interzer y Fortinet han analizado una nueva campaña del malware IcedID, un troyano bancario modular detectado por primera vez en 2017, utilizado habitualmente en la distribución de ransomware. Esta campaña se ha distribuido mediante  correos de phishing desde cuentas de correo legítimas que han sido previamente comprometidas, reutilizando hilos existentes, donde contienen adjuntos maliciosos. Asimismo, también se produce una variación con respecto al adjunto del mensaje, que a pesar de que sigue siendo un archivo ZIP protegido con contraseña, éste pasa a contener en lugar de documentos de office como suele ser habitual, una imagen ISO que contiene un archivo Windows LNK y una DLL que ejecuta el malware. La utilización de este tipo de archivos permite a los atacantes saltarse los controles Mark-of-the-Web y conseguir ejecutar el malware sin alertar al usuario. A partir del análisis de las cuentas comprometidas, los investigadores apuntan a servidores Exchange vulnerables y públicamente expuestos a ProxyShell, por lo que plantean que este puede ser el vector de entrada inicial a las cuentas que se estarían empleando en la campaña. La actividad se ha centrado en organizaciones del sector energético, sanitario, legal y farmacéutico. Finalmente se han observado solapamientos en algunas de las TTPS utilizadas que han asociado esta actividad a los actores TA577 y TA551.

Todos los detalles: https://www.intezer.com/blog/research/conversation-hijacking-campaign-delivering-icedid/

​​​Fraude a gran escala contra el sector retail

Investigadores del medio Segurança Informática han publicado un análisis en profundidad de una campaña de fraude contra múltiples marcas del sector retail, activa desde finales de 2020, cuya actividad se habría visto incrementada desde principios de 2022. En este esquema fraudulento se han utilizado dominios similares a los originales de las marcas impactadas para distribuir phishing a través de anuncios maliciosos de Google, Instagram o Facebook. Todos los dominios maliciosos detectados, guardan algún tipo de similitud con los dominios legítimos de las organizaciones suplantadas, utilizando técnicas de typosquatting, seguidos de diferentes TLDs, entre los que destacan “.shop”, “.website” u “.online”. Una vez la víctima accedía a los anuncios, era redirigida a la página de fraude donde se encontraba grandes descuentos y ofertas y podía realizar un pedido online junto a un seguimiento del paquete.  Los datos de la víctima eran recolectados para futuros fraudes, y en algunas ocasiones les llegaban paquetes llenos de basura. Los operadores utilizaron plantillas de sistemas de gestión de contenido (CMS) caseros que se encuentran publicados en GitHub, en los que, tras cambiar algunas imágenes, podían clonar cualquier marca. El mayor número de víctimas se ha concentrado en Italia, Chile o Portugal, seguido de otros países como España o Francia. Mediante estas operaciones los atacantes podrían haber obtenido un beneficio de más de un millón de euros hasta la fecha.

Toda la info: https://seguranca-informatica.pt/shopping-trap-the-online-stores-scam-that-hits-users-worldwide/