Boletín semanal de Ciberseguridad, 28 de octubre – 4 de noviembre

Telefónica Tech    4 noviembre, 2022

Vulnerabilidades corregidas en nueva versión de OpenSSL 

El pasado miércoles se hizo pública la nueva versión de OpenSSL, la 3.0.7, anunciada la semana pasada por los desarrolladores del proyecto.

La expectación alrededor de esta versión era elevada debido a que, en principio, se iba a parchear una vulnerabilidad crítica en el software, la primera de esta gravedad desde 2016. Finalmente, la nueva versión incluye soluciones para dos vulnerabilidades consideradas de importancia alta, rebajando así la criticidad inicial anunciada.

La vulnerabilidad que había provocado mayor alerta es la CVE-2022-3602, un fallo de desbordamiento de búfer en el proceso de verificación de certificados que requiere que una entidad certificadora (CA) haya firmado un certificado malicioso o que la aplicación prosiga el proceso de verificación sin una ruta válida. Si bien un atacante podría provocar el fallo mediante una dirección de correo maliciosa, muchas plataformas incorporan ya protecciones para evitar este tipo de ataques.

La segunda vulnerabilidad corregida, también con criticidad alta, CVE-2022-3786, se trata también de un desbordamiento de búfer en el mismo proceso, pero basado en la longitud de la dirección de correo. 

Más info

* * *

Nueva campaña de Emotet tras cinco meses de inactividad

El equipo de investigadores Cryptolaemus, especializado en el estudio del malware Emotet, ha anunciado en Twitter que los operadores del famoso malware han reanudado sus acciones maliciosas tras cinco meses de inactividad.

En concreto, se ha detectado una campaña de infección con Emotet vía email en la que distribuye archivos Excel maliciosos. Para evitar la protección Mark-of-the-Web (MoTW), en el mail se instruye a la posible víctima que copie el archivo Excel en la carpeta Templates, lo que permitirá abrirse fuera del modo protegido y así ejecutar las macros que descargarán el malware en el equipo objetivo.

A continuación, el malware Emotet se descarga como un archivo DLL en carpetas aleatorias creadas en la ruta %UserProfile%\AppData\Local.

De acuerdo con los datos disponibles, esta campaña de reactivación estaría teniendo un impacto global, distribuyendo sus archivos maliciosos en diversos idiomas. 

Más info

* * *

Uso de Raspberry Robin en cadenas de infección complejas 

Investigadores de Microsoft han reportado en los últimos días nuevos descubrimientos acerca del malware Raspberry Robin. De acuerdo con su análisis, este software malicioso se podría estar comercializando como puerta de entrada a los sistemas de las víctimas para, posteriormente, instalar otros malware o llevar a cabo otras actividades.

Durante el pasado verano, Raspberry Robin habría sido utilizado para instalar el malware FakeUpdate por parte de grupos maliciosos cercanos a EvilCorp, llegando a intervenir en cadenas de infección con el ransomware Lockbit.

Más recientemente, Raspberry Robin se estaría utilizando para desplegar otros malware como IcedID, Bumblebee y Truebot. Asimismo, Microsoft ha observado su uso por parte del grupo FIN11/TA505, que lo estaría utilizando junto con Truebot para desplegar balizas de Cobalt Strike y lograr infectar a sus víctimas con el ransomware Clop, permitiendo así a este grupo abandonar el phishing como inicio de la cadena de infección tal y como venía siendo habitual.

Cabe destacar que, de acuerdo con Microsoft, cerca de 3.000 dispositivos de 1.000 organizaciones distintas se habrían visto afectados de algún modo por Raspberry Robin en el último mes. 

Más info

* * *

Google corrige una vulnerabilidad 0-day para Chrome

Google ha lanzado una actualización para Chrome en la que corrige una vulnerabilidad 0-day para la que existe un exploit público. 

La vulnerabilidad, identificada como CVE-2022-3723, fue descubierta por investigadores de Avast y se trataría de un problema de confusión de tipo en V8 el motor JavaScript en Chrome que se desencadenaría al recibir sets de datos marcados tanto como de confianza como sin ella.

La explotación exitosa de la vulnerabilidad permitiría a un atacante remoto la manipulación de datos en el sistema de la víctima y la escalada de privilegios.

Se recomienda actualizar el navegador con la mayor brevedad posible, a la versión 107.0.5304.87 en Mac y Linux y 107.0.5304.87/88 en Windows

Más info

* * *

RomCom RAT lanza una campaña a través de falsificaciones de KeePass y SolarWinds

Investigadores de BlackBerry Threat Research han descubierto la existencia de una campaña del RAT (Remote Access Trojan) RomCom con nuevos vectores de acceso. Según el equipo de BlackBerry, RomCom ha clonado las páginas oficiales de descarga de varios softwares ampliamente utilizados como el monitor de redes SolarWinds, el gestor de contraseñas KeePass o el lector de archivos PDF Reader Pro.

RomCom ha copiado el HTML original para reproducirlo en dominios con errores tipográficos que dan apariencia de veracidad a estas URLs maliciosas. De hecho, en el caso de SolarWinds junto con el archivo infectado el usuario será redirigido a la página oficial de registro de SolarWinds para ser contactado por el servicio de atención al cliente legítimo con intención de evitar sospechas por parte de la víctima.

En las piezas de malware analizadas, el archivo setup.exe se ha observado ejecutando el fichero hlpr.dat, que contiene el dropper que instala RomCom. Esta campaña se propaga a través de técnicas de phishing, SEO poisoning e ingeniería social. 

Más info

Deja una respuesta

Tu dirección de correo electrónico no será publicada.