Boletín semanal de Ciberseguridad, 17 – 23 de diciembre

Telefónica Tech    23 diciembre, 2022

SentinelOne: paquete de Python en PyPI malicioso

El equipo de investigadores de ReversingLabs ha publicado una investigación en la que informan haber identificado un paquete de Python en PyPI que se hace pasar por el cliente SDK legítimo de la firma de ciberseguridad SentinelOne.

Según los investigadores, actores maliciosos habrían creado un troyano denominado con el mismo nombre de la compañía SentinelOne con el fin de engañar a las víctimas. Asimismo, dicho software malicioso ofrece una funcionalidad legítima, que es la de acceder a la API de SentinelOne desde otro proyecto.

Sin embargo, este paquete lleva de forma ofuscada un software malicioso dedicado a la exfiltración de datos confidenciales de sistemas comprometidos.

ReversingLabs ha indicado haber detectado cinco paquetes con nombres similares subidos por los mismos autores entre el 8 y el 11 de diciembre de 2022, y calcula que se han descargado hasta en un total de 1.000 ocasiones.

Más info

* * *

OWASSRF: nuevo método de explotación de Microsoft Exchange

El equipo de CrowdStrike ha descubierto un nuevo método de explotación de Microsoft Exchange que elude las mitigaciones de ProxyNotShell. Esta nueva manera de aprovechar el fallo, a la que han denominado OWASSRF, fue detectada mientras los investigadores analizaban los vectores de entrada del ransomware Play, ya que sospechaban que los gestores detrás de dicho software malicioso explotaban ProxyNotShell (CVE-2022-41040 y CVE-2022-41082). Sin embargo, no se detectó evidencia de explotación de la primera vulnerabilidad (CVE-2022-41040) y sí de la segunda (CVE-2022-41082).

De acuerdo con CrowdStrike, el fallo de seguridad, el cual serviría como acceso inicial para explotar posteriormente la CVE-2022-41082, ha sido catalogado como CVE-2022-41080, con un CVSSv3 de 9.8, siendo este un fallo de escalada de privilegios a través del punto final de la aplicación web de Outlook (OWA).

Cabe destacar además que, durante la investigación, Dray Agha, investigador de amenazas de Huntress Labs, descubrió las herramientas de un atacante expuestas en un repositorio abierto. Dentro de estas se incluía una PoC para el exploit de Exchange de Play, lo que permitió a CrowdStrike replicar los ataques.

Más info

* * *

Achilles: vulnerabilidad en Gatekeeper de Apple

Microsoft ha desvelado los detalles de una vulnerabilidad en macOS que permitiría eludir las restricciones de ejecución de aplicaciones del mecanismo de seguridad Gatekeeper de Apple.

La vulnerabilidad, que ha sido catalogada como CVE-2022-42821, con un CVSS de 5.5, fue descubierta por el equipo de Microsoft en el mes de julio, quedando solucionada con las actualizaciones de la semana pasada en macOS 13 (Ventura), macOS 12.6.2 (Monterey), y macOS 1.7.2 (Big Sur).

El mecanismo de seguridad Gatekeeper consiste en verificar las aplicaciones descargadas de Internet con el fin de ver si están aprobadas por Apple, enviando un mensaje al usuario para confirmar antes de iniciarlas, o emitiendo una alerta informando de que no se puede ejecutar la aplicación al no ser de confianza. Esta verificación se realiza mediante la comprobación del atributo con el nombre com.apple.quarantine, que los navegadores web asignan a los archivos descargados.

La vulnerabilidad detectada, a la que también se le ha denominado como Achilles, explota el modelo de permisos de Listas de Control de Acceso (ACL) agregando permisos muy restrictivos a un archivo descargado, lo que impide que Safari configure el atributo com.apple.quarantine y que podría permitir a un atacante crear una aplicación maliciosa que podría utilizarse como vector de acceso inicial de malware u otras amenazas.

Más info

* * *

Botnet Glupteba activa de nuevo

Investigadores de Nozomi Networks han detectado la vuelta a la actividad de la botnet Glupteba, después de que Google interrumpiera su operación hace un año. De acuerdo con los investigadores, la última campaña habría comenzado en el mes de junio del presente año y aún se encontraría activa. Glupteba es un backdoor distribuido mediante redes de pago por instalación (PPI) en instaladores infectados o fallos de software.

Está habilitado para Blockchain, infecta dispositivos Windows para extraer criptomonedas, robar credenciales de usuario, cookies, e implementar proxys en dispositivos IoT y sistemas Windows.

No obstante, lo más destacado de Glupteba es que utiliza la cadena de bloques de Bitcoin para distribuir sus dominios de Command and Control (C2), este hecho le hace muy resistente a las eliminaciones, ya que no se puede borrar ni censurar una transacción de Bitcoin validada.

A tal respecto, desde Nozomi han observado como el uso de direcciones de Bitcoin ha ido en aumento, pues en su primera campaña, datada en el año 2019 tan solo empleó una dirección, mientras que en la última se han detectado hasta diecisiete direcciones diferentes.

Más info