Boletín semanal de Ciberseguridad, 28 de octubre – 4 de noviembreTelefónica Tech 4 noviembre, 2022 Vulnerabilidades corregidas en nueva versión de OpenSSL El pasado miércoles se hizo pública la nueva versión de OpenSSL, la 3.0.7, anunciada la semana pasada por los desarrolladores del proyecto. La expectación alrededor de esta versión era elevada debido a que, en principio, se iba a parchear una vulnerabilidad crítica en el software, la primera de esta gravedad desde 2016. Finalmente, la nueva versión incluye soluciones para dos vulnerabilidades consideradas de importancia alta, rebajando así la criticidad inicial anunciada. La vulnerabilidad que había provocado mayor alerta es la CVE-2022-3602, un fallo de desbordamiento de búfer en el proceso de verificación de certificados que requiere que una entidad certificadora (CA) haya firmado un certificado malicioso o que la aplicación prosiga el proceso de verificación sin una ruta válida. Si bien un atacante podría provocar el fallo mediante una dirección de correo maliciosa, muchas plataformas incorporan ya protecciones para evitar este tipo de ataques. La segunda vulnerabilidad corregida, también con criticidad alta, CVE-2022-3786, se trata también de un desbordamiento de búfer en el mismo proceso, pero basado en la longitud de la dirección de correo. Más info → * * * Nueva campaña de Emotet tras cinco meses de inactividad El equipo de investigadores Cryptolaemus, especializado en el estudio del malware Emotet, ha anunciado en Twitter que los operadores del famoso malware han reanudado sus acciones maliciosas tras cinco meses de inactividad. En concreto, se ha detectado una campaña de infección con Emotet vía email en la que distribuye archivos Excel maliciosos. Para evitar la protección Mark-of-the-Web (MoTW), en el mail se instruye a la posible víctima que copie el archivo Excel en la carpeta Templates, lo que permitirá abrirse fuera del modo protegido y así ejecutar las macros que descargarán el malware en el equipo objetivo. A continuación, el malware Emotet se descarga como un archivo DLL en carpetas aleatorias creadas en la ruta %UserProfile%\AppData\Local. De acuerdo con los datos disponibles, esta campaña de reactivación estaría teniendo un impacto global, distribuyendo sus archivos maliciosos en diversos idiomas. Más info → * * * Uso de Raspberry Robin en cadenas de infección complejas Investigadores de Microsoft han reportado en los últimos días nuevos descubrimientos acerca del malware Raspberry Robin. De acuerdo con su análisis, este software malicioso se podría estar comercializando como puerta de entrada a los sistemas de las víctimas para, posteriormente, instalar otros malware o llevar a cabo otras actividades. Durante el pasado verano, Raspberry Robin habría sido utilizado para instalar el malware FakeUpdate por parte de grupos maliciosos cercanos a EvilCorp, llegando a intervenir en cadenas de infección con el ransomware Lockbit. Más recientemente, Raspberry Robin se estaría utilizando para desplegar otros malware como IcedID, Bumblebee y Truebot. Asimismo, Microsoft ha observado su uso por parte del grupo FIN11/TA505, que lo estaría utilizando junto con Truebot para desplegar balizas de Cobalt Strike y lograr infectar a sus víctimas con el ransomware Clop, permitiendo así a este grupo abandonar el phishing como inicio de la cadena de infección tal y como venía siendo habitual. Cabe destacar que, de acuerdo con Microsoft, cerca de 3.000 dispositivos de 1.000 organizaciones distintas se habrían visto afectados de algún modo por Raspberry Robin en el último mes. Más info → * * * Google corrige una vulnerabilidad 0-day para Chrome Google ha lanzado una actualización para Chrome en la que corrige una vulnerabilidad 0-day para la que existe un exploit público. La vulnerabilidad, identificada como CVE-2022-3723, fue descubierta por investigadores de Avast y se trataría de un problema de confusión de tipo en V8 el motor JavaScript en Chrome que se desencadenaría al recibir sets de datos marcados tanto como de confianza como sin ella. La explotación exitosa de la vulnerabilidad permitiría a un atacante remoto la manipulación de datos en el sistema de la víctima y la escalada de privilegios. Se recomienda actualizar el navegador con la mayor brevedad posible, a la versión 107.0.5304.87 en Mac y Linux y 107.0.5304.87/88 en Windows. Más info → * * * RomCom RAT lanza una campaña a través de falsificaciones de KeePass y SolarWinds Investigadores de BlackBerry Threat Research han descubierto la existencia de una campaña del RAT (Remote Access Trojan) RomCom con nuevos vectores de acceso. Según el equipo de BlackBerry, RomCom ha clonado las páginas oficiales de descarga de varios softwares ampliamente utilizados como el monitor de redes SolarWinds, el gestor de contraseñas KeePass o el lector de archivos PDF Reader Pro. RomCom ha copiado el HTML original para reproducirlo en dominios con errores tipográficos que dan apariencia de veracidad a estas URLs maliciosas. De hecho, en el caso de SolarWinds junto con el archivo infectado el usuario será redirigido a la página oficial de registro de SolarWinds para ser contactado por el servicio de atención al cliente legítimo con intención de evitar sospechas por parte de la víctima. En las piezas de malware analizadas, el archivo setup.exe se ha observado ejecutando el fichero hlpr.dat, que contiene el dropper que instala RomCom. Esta campaña se propaga a través de técnicas de phishing, SEO poisoning e ingeniería social. Más info → ¡Atención, Data leak!: en busca de los datos perdidosDesinformación y noticias falsas: ¿qué iniciativas existen para combatirlas?
Nacho Palou Typosquatting: cómo detectarlo y protegerse El typosquatting es un tipo de ciberataque que consiste en crear un nombre de dominio que sea muy similar al de un sitio web conocido y legítimo con la...
Telefónica Tech El poder de la digitalización sostenible en la lucha contra el cambio climático El cambio climático es considerado el mayor desafío de nuestro tiempo. Sus efectos abarcan desde la desertización y sequías hasta inundaciones y aumento del nivel del mar. Algunas de...
Telefónica Tech Boletín semanal de Ciberseguridad, 27 de mayo – 2 de junio Descubierta puerta trasera en cientos de placas base Gigabyte Investigadores de ciberseguridad de Eclypsium descubrieron una puerta trasera secreta en el firmware de cientos de modelos de placas base Gigabyte,...
Nacho Palou Cómo el lenguaje pone en riesgo la Ciberseguridad de las empresas La Ciberseguridad es un asunto fundamental para las empresas y organizaciones, de cualquier tamaño y sector. Los ciberataques pueden tener consecuencias graves o muy graves —incluso fatales— para los...
Carlos Rebato Criptografía, una herramienta para proteger los datos compartidos en la red Actualmente, la Ciberseguridad representa un aspecto primordial en las empresas. No obstante, cada día surgen nuevos modos de atentar contra ella. Muchos se han preguntado: ¿de qué manera las...
Roberto García Esteban ChatGPT y Cloud Computing: un matrimonio bien avenido ChatGPT (quizá no sepas que son las siglas de Chat Generative Pre-Trained Transformer) está en boca de todos por su impresionante habilidad para generar textos que parecen escritos por...
