Boletín semanal de ciberseguridad, 17 — 23 de septiembre

Telefónica Tech    23 septiembre, 2022
Foto: Christina @ wocintechchat.com

Ransomware Quantum y BlackCat utilizan emotet como vector de entrada

El equipo de investigadores de AdvIntel ha publicado los resultados de una investigación en la que informan que los operadores de ransomware Quantum y BlackCat han adoptado entre sus TTP el uso de Emotet como dropper en sus operaciones.

En concreto Emotet surgió en 2014 clasificado como un troyano bancario, sin embargo, su evolución terminó por convertirlo en una botnet que los operadores del ransomware Conti utilizaron en sus operaciones hasta junio de 2022, momento en que fue disuelto.

Actualmente la metodología adoptada por Quantum y BlackCat para utilizar Emotet, es instalando una baliza Cobalt Strike que despliega un payload que les permite tomar el control de las redes y ejecutar operaciones de ransomware.

Según los expertos Emotet ha incrementado su actividad desde inicios de año distribuyéndose mediante archivos .lnk, y se estima que hay más de 1.2 millones de equipos infectados. Este incremento también ha sido corroborado por otros equipos de investigadores como ESET o Agari.

Mas info

* * *

Revolut sufre una filtración de datos con más de 50.000 usuarios expuestos

El banco virtual Revolut, con licencia bancaria en Lituania, ha sido víctima de un ciberataque donde supuestamente se habría visto comprometida la información personal de más de 50.000 clientes.

El incidente que se produjo hace una semana, ha sido descrito como “altamente dirigido”. Según la Agencia de Protección de Datos de Lituania 50.150 clientes se han visto afectados, de los cuales 20.687 pertenecen al Espacio Económico Europeo.

Por el momento no se ha revelado los detalles de cómo el atacante accedió a la base de datos del banco, pero todo indica que el actor amenaza se basó en un ataque de ingeniería social como vector de entrada.

La Agencia señala que la información expuesta incluye: direcciones de correo electrónico, nombres y apellidos, direcciones postales, números de teléfono, datos limitados de tarjetas de pago y datos de la cuenta.

Revolut ha emitido un comunicado en el que sostiene que los datos personales comprometidos varían según los clientes y que no se han accedido a los datos de las tarjetas ni a las contraseñas.

Mas info

* * *

Vulnerabilidades críticas en entornos de sistemas de control industrial

La agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha emitido un total de ocho avisos de seguridad alertando sobre vulnerabilidades en sistemas de control industrial (ICS por sus siglas en inglés), entre los que destaca los fallos críticos que afectan a productos Dataprobe iBoot-PDU.

Cabe indicar que las unidades de distribución de energía (PDU) son utilizadas para administrar de forma remota la alimentación de energía de sistemas comúnmente utilizados en infraestructuras críticas.

Investigadores de seguridad de Claroty descubrieron hasta un total de siete vulnerabilidades en el producto de la compañía Dataprobe, entre las que destacan la CVE-2022-3183 y CVE-2022-3184 que disponen de un CVSS de 9.8.

En concreto, estos fallos de seguridad podrían permitir a actores maliciosos el acceso a usuarios no autenticados y ejecutar código de forma remota en los sistemas afectados.

David Weiss, CEO de Dataprobe, ha indicado que los problemas de seguridad han sido parcheados en la versión 1.42.06162022 y que otros son solucionados mediante la configuración adecuada como deshabilitar SNMP, telnet y HTTP.

Mas info

* * *

Vulnerabilidad antigua en Python afecta a miles de repositorios

Investigadores de Trellix han hecho públicos los detalles de explotación de una vulnerabilidad en el lenguaje de programación Python que se ha pasado por alto durante 15 años.

El error podría afectar a más de 350.000 repositorios de código abierto y podría conducir a la ejecución de código.

El reporte explica que redescubrieron la vulnerabilidad mientras se revisaban otros errores no relacionados, concluyendo que se trataba del CVE-2007-4559, ya documentado en un informe inicial en agosto del 2007, y que ha permanecido sin parchear hasta hoy en día. Únicamente, durante este año 2022, desde el seguimiento de errores de este lenguaje (Python Bug Tracker), se aportó una actualización de la documentación que sólo advertía a los desarrolladores sobre el riesgo.

Por su parte Trellix señala que el error persiste aportando videos explicativos sobre su explotación. La vulnerabilidad se ubica en las funciones extract y extractall del módulo tarfile, que permitiría a un atacante sobrescribir archivos arbitrarios agregando la secuencia «..» a los nombres de archivo en un fichero TAR.

Adicionalmente Trellix ha anunciado parches para algo más de 11.000 proyectos, si bien, por el momento, la Python Software Foundation no se ha pronunciado sobre la vulnerabilidad, por lo que se recomienda extremar las precauciones al tratarse de un error que representa un claro riesgo para la cadena de suministro de software.

Mas info

* * *

Malware Chromeloader aumenta su actividad y potencia sus capacidades

Investigadores de Microsoft y VMware han reportado una campaña maliciosa por parte del malware Chromeloader, extensión maliciosa para el navegador Chrome, destinada a infectar los dispositivos de sus víctimas con múltiples programas dañinos.

Durante el primer trimestre de 2022, Chromeloader destacó en forma de adware para convertirse posteriormente en un stealer especializado en sustraer datos almacenados en los navegadores de los usuarios objetivo.

Sin embargo, según Microsoft, actualmente existe una campaña en curso atribuida al actor amenaza rastreado como DEV-0796, el cual hace uso de este software malicioso para lanzar payloads mucho más potentes y dirigidos. En concreto se ha detectado la implementación de Chromeloader en archivos ISO que se distribuyen a través de anuncios maliciosos y comentarios de videos de YouTube.

Asimismo, tal y como también detalla VMware en su reporte, existen al menos 10 variantes de este malware camuflado bajo utilidades destinadas a la gestión de subtítulos para películas, reproductores de música y, más preocupante, una variante de Chromeloader que implementa el ransomware Enigma en un archivo HTML.

Mas info

Deja una respuesta

Tu dirección de correo electrónico no será publicada.