Boletín semanal de ciberseguridad, 1 — 7 de octubreTelefónica Tech 7 octubre, 2022 Lazarus apunta a Dell mediante un nuevo rootkit FudModule Investigadores de ESET han informado acerca de una nueva campaña de Lazarus apuntando hacia un controlador de hardware de Dell mediante un nuevo rootkit denominado FudModule. El rootkik abusa de una técnica denominada bring your own vulnerable driver (BYOVD) para explotar una vulnerabilidad en un controlador de hardware de Dell por primera vez. Esta técnica conocida como BYOVD, se produce cuando los actores maliciosos cargan controladores legítimos y firmados en Windows que cuentan con vulnerabilidades conocidas. La campaña, cuyo objetivo es el espionaje y robo de datos, se llevó a cabo mediante spear-phishing desde otoño de 2021, afectando a objetivos en Países Bajos y Bélgica. Los correos maliciosos enviados se presentaban como ofertas de trabajo, y desplegaban cargadores de malware (droppers), y puertas traseras personalizadas. La herramienta más notable fue un módulo de modo de usuario que obtuvo la capacidad de leer y escribir en la memoria del kernel debido a la vulnerabilidad CVE-2021-21551. Esta vulnerabilidad afectaba a un controlador de hardware de Dell legítimo (dbutil_2_3.sys) y ha permanecido explotable durante 12 años hasta que el fabricante ha emitido actualizaciones de seguridad para corregirla. Leer más ⇾ * * * Evolución del malware Bumblebee El equipo de investigadores de Checkpoint ha publicado una investigación en la que destacan la constante evolución de este software malicioso, descubierto a principios del presente año. Checkpoint subraya varias características que confirman los constantes cambios producidos por Bumblebee. Entre ellos se destaca el vector de entrada utilizado para su distribución, el más común ha sido inyectar una DLL dentro de un archivo ISO, sin embargo, esto fue modificado en el pasado al utilizar un archivo VHD, y nuevamente han vuelto a la entrega en formato ISO mediante campañas de malspam. En consecuencia, los investigadores señalan la inclusión de mecanismos de comprobación en entornos de sandbox, con el propósito de evitar un análisis de malware. Asimismo se estima que, hasta el pasado mes de julio, los servidores de Command & Control (C2) de Bumblebee solo aceptaban una víctima infectada en la misma dirección IP, es decir, si varios equipos en una organización que acceden a internet con la misma IP pública están infectados, el servidor C2 solo aceptaba una, actualmente ya pueden comunicarse con múltiples sistemas infectados en la misma red. En último lugar, los investigadores indican que es muy probable que, según las características de la red del sistema infectado, en fases posteriores Bumblebee despliegue stealers o herramientas más complejas de post explotación como CobaltStrike. Leer más ⇾ * * * Vulnerabilidad crítica en el repositorio de paquetes PHP Packagist El equipo de Sonar ha publicado el hallazgo de una nueva vulnerabilidad crítica que afecta a Packagist, repositorio oficial de paquetes que usa Composer, el administrador de paquetes PHP más grande del mundo. El fallo de seguridad, catalogado como CVE-2022-24828, CVSS de 8,8, permite ejecutar comandos arbitrarios en el servidor que ejecuta la instancia de Packagist. Explotando esta vulnerabilidad un atacante podría modificar la información de los paquetes de software PHP existentes, llegando a cambiar la ruta de la descarga de estos, este tipo de ataques es conocido como ataques a la cadena de suministro (supply chain attack), una de las técnicas más efectivas. Según informan los investigadores, de los dos mil millones de descargas de componentes que se realizan con Composer al mes, aproximadamente 100 millones de estas necesitan los metadatos que ofrece Packagist. La vulnerabilidad fue corregida de manera inmediata en una actualización en las versiones 1.10.26, 2.2.12 o 2.3.5. de Composer. Leer más ⇾ * * * ProxyNotShell: Fallos y correcciones para vulnerabilidades en Exchange El equipo de Microsoft ha realizado publicaciones acerca de las vulnerabilidades en Microsoft Exchange Server, catalogadas como CVE-2022-41040 y CVE-2022-41082 aunque todavía no se han publicado parches que corrijan estos fallos. A la espera de dichos parches, Microsoft publicó un script para aplicar mitigaciones basadas en la reescritura de URLs que, tal y como publicaron algunos investigadores, podían ser eludibles. Ante esto, Microsoft corrigió dichas mitigaciones temporales cuyas condiciones, sin embargo, han vuelto a quedar en entredicho después de que el investigador Peter Hiele haya demostrado que una de ellas, el filtrado de strings en identificadores URI no tenía en cuenta la codificación de caracteres, lo que hacía que las medidas de Microsoft no funcionaran. Este descubrimiento fue confirmado por otros investigadores, lo que ha llevado a que Microsoft tenga que volver a corregir una vez más sus mitigaciones. Asimismo, el investigador Kevin Beaumont ha apuntado que las publicaciones de Microsoft sobre las vulnerabilidades están enfocadas a proteger servidores on-premise, dejando fuera los de configuración híbrida. Entre tanto, se han detectado intentos de escaneo en búsqueda de sistemas vulnerables a los fallos, conocidos como ProxyNotShell, desde IPs identificadas como maliciosas. Finalmente, se han empezado a registrar los primeros intentos de venta de exploits para las vulnerabilidades a través de la plataforma GitHub. Sin embargo, estos exploits estarían resultando ser falsos, constituyendo intentos de estafa a cambio de altas sumas de dinero en criptomonedas sin que el código sirva para explotar ProxyNotShell. Leer más ⇾ * * * Vulnerabilidad en macOS recientemente publicada La empresa especializada en análisis de software de Apple, Jamf, ha publicado detalles de una investigación realizada por su investigador Ferdous Saljooki acerca de una vulnerabilidad que afecta al sistema operativo macOS. En concreto se trata de un fallo en la función Archive Utility que podría permitir la ejecución de aplicaciones maliciosas no autorizadas y sin firmar, y que se saltaría todas las protecciones y advertencias incluidas por Apple habitualmente. El fallo se debe a que esta función Archive Utility no añade la etiqueta de cuarentena diseñada por Apple a los archivos cuando trata de descomprimir archivos con dos o más carpetas o subarchivos en su directorio root. Las etiquetas de cuarentena son normalmente incluidas por el sistema cuando se trata de ejecutar un software que no es de confianza o que no da información sobre su desarrollador, y hace que se someta análisis y que el usuario tenga que autorizarlo manualmente para evitar la instalación de programas no deseados. Al no incluirse estas etiquetas, los atacantes podrían ejecutar software malicioso sin control de la víctima. La vulnerabilidad ha recibido el identificador CVE-2022-32910 y, aunque fue parcheada por Apple en boletines de mayo y julio, se ha dado a conocer en los últimos días. Leer más ⇾ Introducción al análisis de malware: tipos que existen, síntomas y cómo identificarlosQué es la estafa del QR inverso y cómo evitar otros timos al escanear estos códigos
Telefónica Tech Boletín semanal de Ciberseguridad, 18 – 24 de marzo HinataBot: nueva botnet dedicada a ataques de DDoS El equipo de investigadores de Akamai ha publicado un informe en el que señala que han identificado una nueva botnet denominada HinataBot que dispondría...
Telefónica Tech Qué es el Esquema Nacional de Seguridad (ENS 2.0) La Ciberseguridad, la privacidad y la protección de los datos y de la información sensible son aspectos cada vez más importantes en la sociedad actual. Tanto para empresas y...
Nacho Palou 5G: cuatro casos de uso reales y prácticos El último informe “La Sociedad Digital en España 2022” [1] de Fundación Telefónica confirma la consolidación de los procesos de digitalización en la sociedad española. En este sentido, cabe...
Susana Alwasity Ciberseguridad: eventos “cisne negro” en un mundo conectado En la sociedad actual, la tecnología ha transformado la forma en que vivimos, trabajamos y nos relacionamos. Con el aumento del uso de dispositivos y redes conectados a internet,...
Telefónica Tech Boletín semanal de Ciberseguridad, 11 – 17 de marzo Nueva versión del troyano bancario Xenomorph Investigadores de ThreatFabric han detectado una nueva variante del troyano bancario para Android Xenomorph. Esta familia de malware fue detectada por primera vez en febrero...
Gonzalo Álvarez Marañón Matemáticas contra el cibercrimen: cómo detectar fraude, manipulaciones y ataques aplicando la Ley de Benford Cómo aplicar la ley de Benford para luchar contra el cibercrimen. La respuesta, en este post que utiliza las matemáticas para ayudar a la ciberseguridad.
