Noticias de Ciberseguridad: Boletín semanal 14-20 de noviembre

Campaña de distribución de malware suplanta la identidad de ministerios españoles

Investigadores de ESET alertan de la existencia de una campaña de distribución de malware en la que se estaría suplantando la identidad de ministerios españoles para distribuir una aplicación maliciosa para Android mediante enlaces enviados por WhatsApp. El enlace facilitado en la aplicación de mensajería llevaría a los usuarios a un dominio de reciente creación gobiernoeconomica[.]com, en el que se ofrece información acerca de supuestas ayudas económicas. Paralelamente, al acceder a la web, comienza a descargarse de forma automática un supuesto archivo PDF que en realidad es una aplicación maliciosa para Android.

Toda la información: https://blogs.protegerse.com/2020/11/18/web-fraudulenta-con-supuestas-ayudas-economicas-del-gobierno-espanol-descarga-troyano-bancario-para-android/

Campaña contra organizaciones de Japón

Investigadores de Symantec han descubierto una campaña contra compañías japonesas de diferentes sectores y localizadas en 17 países diferentes. Esta campaña habría estado activa durante un año, desde octubre de 2019 hasta octubre de 2020 y, de acuerdo con los investigadores, se podría atribuir a la APT Cicada, también conocida como APT10, Stone Panda, Cloud Hopper, siendo su finalidad el espionaje. Entre las técnicas utilizadas por Cicada se encuentra el uso de DLLs y la explotación de la vulnerabilidad ZeroLogon (CVE-2020-1472). Es destacable el hecho de que la APT habría estado dentro de la red de alguna de las víctimas durante casi un año, lo que evidencia la amplia cantidad de recursos y habilidades de los que disponen.

Más detalles: https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cicada-apt10-japan-espionage

Vulnerabilidades en sistemas de control industrial

Los proveedores de sistemas de control industrial Real Time Automation (RTA) y Paradox han advertido recientemente de vulnerabilidades críticas que exponen sus sistemas a ataques remotos por parte de actores amenaza. Homólogamente, el proveedor Schneider Electric ha solventado nueve fallos con criticidad alta en sus sistemas SCADA. Según los investigadores de Claroty, el fallo en RTA asignado con CVE-2020-25159 se sitúa en la pila ENIP (versiones anteriores a la 2.28) que es utilizada en hasta 11 dispositivos de otros seis proveedores diferentes. Por su parte, la vulnerabilidad en Paradox asignada con CVE-2020-25189 se debe a un desbordamiento de búfer que afecta a su módulo de internet IP150. Este mismo sistema se encuentra también afectado por una segunda vulnerabilidad de importancia alta consignada como CVE-2020-25185. Finalmente, las vulnerabilidades de Schneider afectan a su sistema Interactive Graphical SCADA e incluyen errores de lectura y escritura, así como una restricción incorrecta de las operaciones dentro de los límites del búfer de memoria. CISA también ha emitido alertas sobre las vulnerabilidades críticas ya que podrían permitir la ejecución remota de código.

Más info: https://threatpost.com/ics-vendors-warn-critical-bugs/161333/

Nueva campaña de ciberespionaje denominada CostaRicto

Durante los últimos seis meses, el equipo de Inteligencia de Blackberry ha monitorizado una campaña de ciberespionaje dirigida contra diversas víctimas de todo el mundo. La campaña, denominada CostaRicto, parece estar operada por “hackers-for-hire”, un grupo de mercenarios APT que utilizan malware a medida y complejas capacidades de Proxy VPN y túneles SSH. Este tipo de cibercriminales que ofrecen su servicio bajo demanda se están popularizando en sofisticadas campañas financiadas por estados, aunque en esta ocasión, la diversidad de objetivos impide identificar los intereses de un solo grupo. Esta campaña se ha dirigido contra entidades de diversos sectores, prioritariamente instituciones financieras, localizadas en Europa, América, Asia, Australia, África y, especialmente, el sudeste asiático. Entre el conjunto de herramientas utilizadas en la campaña CostaRicto se identifica un malware diseñado a medida que apareció por primera vez en octubre de 2019 y que apenas había sido utilizado, por lo que podría ser exclusivo de este operador.

Todos los detalles: https://blogs.blackberry.com/en/2020/11/the-costaricto-campaign-cyber-espionage-outsourced

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.