Noticias de Ciberseguridad: Boletín semanal 17-23 de octubre

ElevenPaths    23 octubre, 2020
Noticias de Ciberseguridad: Boletín semanal 17-23 de octubre

Nuevo troyano bancario denominado Vizom

El equipo de investigadores de IBM Security Trusteer ha publicado un informe en el que analiza el nuevo troyano bancario de la “familia brasileña” denominado Vizom. Este software malicioso emplea técnicas similares a otros troyanos bancarios, como es la superposición de una pantalla que se genera cuando la víctima inicia sesión y realiza transacciones bancarias con el objetivo de exfiltrar dicha información, funciones de Keylogger, así como de hacer capturas de pantalla. Asimismo, Vizom destaca por la forma en que se infecta e implementa en los dispositivos de las víctimas, debido a que se ofusca como un software de videoconferencias legítimo, lo que garantiza que el sistema operativo ejecute sus DLL maliciosos permitiendo la infiltración en directorios legítimos de dispositivos que utilizan Windows. El vector de entrada utilizado por agentes amenaza en mediante la remisión de correos maliciosos en los que se adjunta un archivo malicioso. Otro aspecto a destacar es el mecanismo utilizado para crear persistencia, para ello Vizom modifica los accesos directos del navegador con el fin de que, sin importar qué navegador se utilice, se ejecute en segundo plano el navegador legítimo Vivaldi, que en realidad se trata de un proceso malicioso. De esta manera, se exfiltra la información robada y se transmite a su Command & Control.

Más información: https://securityintelligence.com/posts/vizom-malware-targets-brazilian-bank-customers-remote-overlay

Google corrige vulnerabilidad 0-day

Google ha lanzado una actualización de seguridad que corrige cinco fallos en su navegador Google Chrome, incluyendo una vulnerabilidad 0-day que estaría siendo activamente explotada. Esta última vulnerabilidad (CVE-2020-15999) se trata de un fallo de corrupción de memoria en la librería de renderizado de fuentes FreeType, la cual se incluye por defecto en Chrome. Según Ben Hawkes, líder del equipo Project Zero de Google, los actores amenaza estarían explotando este error en la librería para llevar a cabo ataques contra usuarios de Chrome. Se recomienda actualizar el navegador Google Chrome a la versión 86.0.4240.111. Además, se ha corregido el fallo en la versión 2.10.4 de FreeType.

Más información: https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop_20.html

Incidente de ransomware en Sopra Steria

A primera hora de la tarde de ayer, el medio Le Mag IT informaba de un incidente de ransomware en Sopra Steria que habría afectado al directorio activo de la compañía, logrando cifrar una parte de los sistemas de información de la consultora. La compañía ha confirmado a través de un comunicado oficial que el ataque se detectó la noche del 20 de octubre y que se tomaron medidas para limitar el riesgo de propagación. Sopra Steria ha trasladado, además, que está en estrecho contacto con sus clientes y socios, así como con las autoridades competentes. Todavía no se tiene una confirmación oficial sobre la familia de ransomware que habría provocado el incidente. Sin embargo, el periodista Tristan Brossat aseguraba a primera hora de la tarde que se trataría del ransomware Erica, mientras que el medio que ha difundido la noticia, Le Mag IT, ha actualizado la información sobre el incidente informando que este ataque estaría relacionado con el ransomware Ryuk. Se espera que durante las próximas horas se publique más información sobre el grado de afectación y las posibles causas de este incidente.

Más información: https://www.lemagit.fr/actualites/252490877/Sopra-Steria-frappe-par-un-ransomware

Vulnerabilidades de elevación de privilegios en Citrix Gateway Plug-in

Citrix ha actualizado su boletín de seguridad con dos nuevas vulnerabilidades (CVE-2020-8257 y CVE-2020-8258) en Citrix Gateway Plug-in para sistemas Windows. Los investigadores de seguridad de Cymptom han analizado dichas vulnerabilidades y han publicado pruebas de concepto. De ser explotadas, estas vulnerabilidades podrían dar lugar a que un usuario local eleve sus privilegios a SYSTEM. El cliente de Citrix Gateway instala un servicio que se ejecuta como SYSTEM, el cual ejecuta un script en PowerShell cada 5 minutos. El fallo reside en que la llamada a PowerShell no se realiza al path completo, lo que permite al atacante añadir un archivo powershell.exe malicioso. Ambas vulnerabilidades pueden ser mitigadas con listas de control de acceso (ACL), estableciendo permisos más restrictivos a las carpetas locales de Citrix. Desde Citrix recomiendan actualizar Citrix Gateway Plug-in a una versión corregida lo antes posible.

Más información: https://cymptom.com/gateway2hell-multiple-privilege-escalation-vulnerabilities-in-citrix-gateway-plug-in/2020/10/


Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *