Boletín semanal de ciberseguridad 16–22 de abril

Fodcha: nueva botnet DDoS

Investigadores de 360netlab y del CNCERT han descubierto una nueva botnet enfocada a la realización de ataques de denegación de servicio, que se estaría expandiendo rápidamente en Internet.

A esta nueva botnet la han denominado Fodcha, puesto que el primer C2 se encontraba en el dominio folded[.]in, y puesto que emplea el algoritmo ChaCha para cifrar el tráfico de red.

Su propagación se realiza mediante la explotación de vulnerabilidades n-day en productos Android, GitLab, Realtek Jungle SDK, Zhone Router o Totolink Routers entre otros; así como mediante el compromiso de contraseñas débiles de Telnet/SSH gracias en parte a la utilización de la herramienta de ataques de fuerza bruta Crazyfia.

El inicio de la actividad de Fodcha se remonta al mes de enero, con un pico importante de ataques registrado el pasado 1 de marzo, pero, sin embargo, la actividad se habría intensificado a partir de finales de marzo.

Precisamente, en torno al 19 de marzo se producía un cambio en las versiones de la botnet, derivada según los investigadores a un cierre en los servidores antiguos por parte de los proveedores en la nube.

• Más info: https://blog.netlab.360.com/fodcha-a-new-ddos-botnet/

INCONTROLLER/PIPEDREAM nuevo malware contra entornos ICS/SCADA

Recientemente se ha descubierto un nuevo malware dirigido contra sistemas de control industrial (ICS) y sistemas de supervisión, control y adquisición de datos (SCADA), que podría dar lugar a interrupciones, degradación o incluso la destrucción de los sistemas.

Investigadores de Mandiant han catalogado este malware como INCONTROLLER, mientras que el equipo de Dragos lo ha bautizado como PIPEDREAM, señalando asimismo, que este habría sido desarrollado por el actor amenaza CHERNOVITE.

Este malware destaca por disponer de un conjunto de herramientas para atacar a los sistemas de sus víctimas, de igual modo no explota una vulnerabilidad específica, sino que se aprovecha de funcionalidades nativas de los sistemas ICS afectados, por ello tanto los investigadores como varias agencias de seguridad norteamericanas (CISA, el FBI y la CSA) han publicado una serie de medidas para la detección y protección.

Cabe destacar, si bien, que en las investigaciones se ha detectado que el malware podría dirigirse a diferentes fabricantes, este tiene módulos desarrollados específicamente para los controladores logísticos programables (PLC) Schneider Electric y Omron.

• Más info: https://hub.dragos.com/hubfs/116-Whitepapers/Dragos_ChernoviteWP_v2b.pdf

HOMAGE: vulnerabilidad zero-click en iOS utilizada en campaña de espionaje

El equipo de The Citizen Lab ha publicado una investigación donde detallan una campaña de espionaje llevada a cabo entre los años 2017 y 2020 a la que han denominado Catalangate, y que implicaba el aprovechamiento de varias vulnerabilidades en iOS.

Lo más relevante es la utilización de un nuevo exploit para una vulnerabilidad de zero-click en iOS utilizada para infectar los dispositivos con un spyware perteneciente a NSO Group. Esta vulnerabilidad ha sido nombrada como HOMAGE, afectaba a un componente de iMessage y afectaba a versiones de iOS anteriores a la 13.1.3, habiendo sido corregida ya en iOS 13.2 (cabe destacar que la última versión estable de iOS es la 15.4).

Asimismo, los investigadores también habrían detectado la utilización de otras vulnerabilidades: otra de zero-click descubierta en el año 2020 y denominada KISMET que afectaba a las versiones iOS 13.5.1 e iOS 13.7, así como otra en WhatsApp ya también parcheada CVE-2019-3568.

Fruto de esta investigación, se ha detectado que al menos a 65 personas que habrían sido infectadas con los spyware Pegasus y Candiru.

• Más info https://citizenlab.ca/2022/04/catalangate-extensive-mercenary-spyware-operation-against-catalans-using-pegasus-candiru/

Vulnerabilidades en el formato de codificación de audio ALAC

Investigadores de Check Point han anunciado la existencia de varias vulnerabilidades en Apple Lossless Audio Codec (ALAC), también conocido como Apple Lossless, un formato de codificación de audio.

La explotación del fallo descubierto podría permitir a un atacante ejecutar código de forma remota en un dispositivo vulnerable si consigue engañar al usuario para que abra un archivo de audio manipulado; un ataque al que han denominado ALHACK.

ALAC fue desarrollado inicialmente por Apple, y a finales de 2011 la firma lo convertía en open source, habiéndose incorporado desde entonces en multitud de dispositivos y programas. Desde su liberación, Apple ha actualizado la versión propietaria en varias ocasiones, pero el código compartido no ha sido parcheado desde entonces.

Por lo tanto, es asumible que todos aquellos proveedores externos que usen el código inicial proporcionado por Apple en 2011 cuenten con una versión vulnerable.

Según los investigadores, es precisamente lo que ocurría en el caso de Qualcomm y MediaTek, firmas que habrían incorporado el código vulnerable en los decodificadores de audio empleados por más de la mitad de los smartphones actuales.

La divulgación de los fallos se ha realizado de forma responsable, por lo que antes de hacer público su descubrimiento, Check Point alertó a MediaTek y Qualcomm, corrigiendo ambas firmas las vulnerabilidades el pasado mes de diciembre de 2021: CVE-2021-0674 y CVE-2021-0675 en el caso de Mediatek y CVE-2021-30351 en el caso de Qualcomm. Los detalles técnicos de la vulnerabilidad se harán públicos el próximo mes de mayo en el congreso CanSecWest.

• Más info: https://blog.checkpoint.com/2022/04/21/largest-mobile-chipset-manufacturers-used-vulnerable-audio-decoder-2-3-of-android-users-privacy-around-the-world-were-at-risk/