Boletín semanal de Ciberseguridad, 21 – 27 de enero

Killnet apunta contra objetivos en España

Esta semana el grupo hacktivista Killnet anunció una campaña de ataques contra Alemania, dando lugar a la realización de ataques de Denegación de Servicio Distribuido (DDoS) que dejaron inoperativas durante el miércoles las páginas webs del gobierno de Alemania, el Bundestag, varios bancos y aeropuertos del país.

Tras estos ataques, el grupo publicó un comentario en su canal de Telegram donde señalaba directamente España como posible objetivo de sus próximos ataques, dejando el siguiente mensaje “España – que te j**** a ti también, pero contigo todo será más fácil y rápido” (traducido al español desde el mensaje original).

Los ciberputinlovers vuelven a apuntar a España. En esta ocasión es el grupo KillNet quien nos señala como objetivo a modo de respuesta por el previsible envío de los leopards. pic.twitter.com/GFieQV1HWe

— Silas García (@SilasCia) January 26, 2023

A raíz de este mensaje, otros participantes dentro del canal de Telegram señalaron expresamente a dos empresas españolas, enunciando que serían supuestamente “fáciles” de atacar. Por el momento no se ha tenido constancia de la realización de ataques contra empresas de infraestructura crítica u organismos gubernamentales españoles.

​​​* * *

​​Corregida 0-day en Apple que afectaba a iPhones e iPads antiguos

Apple ha publicado un aviso de seguridad donde aborda parches para una vulnerabilidad 0-day activamente explotada en iPhones e iPads antiguos. La vulnerabilidad, catalogada como CVE-2022-42856 con un CVSSv3 de 8.8, podría permitir a un atacante procesar contenido web creado con fines maliciosos para lograr la ejecución de código arbitrario, debido a una confusión de tipos en el motor del navegador web WebKit de Apple.

Esta vulnerabilidad fue publicada en el mes de diciembre para otros productos de Apple, estando ahora disponible para las versiones más antiguas: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, e iPod Touch (6ª generación).

Desde Apple señalan en su aviso que se tiene constancia de la explotación activa de esta vulnerabilidad en versiones de iOS anteriores a iOS 15.1. El 14 de diciembre la CISA la incluyó dentro de su catálogo de vulnerabilidades explotadas.

Más info →

​​​* * *

Corregidas vulnerabilidades en VMware

VMware ha lanzado parches de seguridad para abordar una serie de vulnerabilidades en vRealize Log Insight, ahora conocido como VMware Aria Operations for Logs.

En primer lugar, la vulnerabilidad identificada como CVE-2022-31703 y CVSS 7.5, trata de un fallo transversal de directorio mediante el que los atacantes pueden inyectar archivos en el sistema afectado y lograr la ejecución remota de código. Por otro lado, la CVE-2022-31704, con CVSS 9.8, es una vulnerabilidad de control de acceso que puede ser aprovechada para la ejecución remota de código.

Finalmente, la compañía ha corregido una vulnerabilidad de deserialización, identificada como CVE-2022-31710 y CVSS 7.5, la cual puede desencadenar una DoS y la CVE-2022-31711, con CVSS 5.3, que trata sobre un fallo de divulgación de información.

Más info →

​​​* * *

​PY#RATION: nuevo RAT basada en Python

El equipo de investigadores de Securonix ha descubierto una campaña de ataque de un nuevo malware basado en Python con capacidades de troyano de acceso remoto (RAT).

Este malware, al que han denominado PY#RATION, está en desarrollo permanente, ya que desde su detección en agosto de 2022 ha pasado de la versión 1.0 a la 1.6.0. PY#RATION se distribuye mediante correos de phishing que contienen archivos adjuntos .ZIP dentro de los cuales hay dos archivos .lnk de acceso directo bajo apariencia de imágenes (front.jpg.lnk y back.jpg.lnk).

Al ejecutarse estos accesos directos, la víctima ve la imagen de una licencia de conducir británica por el anverso y el reverso mientras ejecuta el código malicioso para ponerse en contacto con el C2, el cual descarga a su vez dos archivos adicionales al directorio temporal del usuario.

Una vez ejecutado PY#RATION este es capaz de realizar enumeración de red, realizar transferencias de archivos, registro de teclas, robar datos del portapapeles, extraer contraseñas y cookies de los navegadores web o ejecutar comandos de shell, entre otras capacidades. Por último, desde Securonix estiman que esta campaña está dirigida principalmente contra víctimas en Reino Unido o América del Norte.

Más info →

​​​* * *

Microsoft planea bloquear los archivos XLL provenientes de Internet

Después de deshabilitar las macros en archivos de Office descargados de Internet para impedir la propagación de malware, el siguiente paso de Microsoft en su lucha contra los archivos maliciosos será bloquear los archivos XLL provenientes de Internet, principalmente adjuntos en correos electrónicos.

Los archivos XLL son librerías dinámicas de Excel que proporcionan características adicionales a Excel (cajas de diálogo o barras de herramientas, entre otros). Al tratarse de archivos ejecutables, son muy útiles para los actores amenaza que los incluyen en sus campañas de phishing para descargar malware en el equipo de la víctima con un solo click.

Según Microsoft, la medida está siendo implementada y llegará a los usuarios de manera general en marzo.

Más info →