Noticias de Ciberseguridad: Boletín semanal 18-24 de julio

Nueva campaña de Emotet tras cinco meses

Tras meses de inactividad, Emotet ha reaparecido con el envío masivo de correos electrónicos de cadena de respuestas y el pago de facturas, entre otros, que incluyen adjuntos documentos Word maliciosos, dirigidos a usuarios en todo el mundo. El investigador Joseph Roosen declaró que la botnet de Emotet estaría distribuyendo cantidades masivas de spam, los cuales incluyen documentos maliciosos con URLs actualizadas, normalmente de sitios de WordPress vulnerados. Una vez que la víctima se infecta, el malware desplegaría más módulos que permitirían el robo del correo de la víctima, la propagación a otros equipos o el uso del equipo infectado para enviar spam.

Más detalles: https://blog.malwarebytes.com/trojans/2020/07/long-dreaded-emotet-has-returned/

Incidente de ransomware contra Blackbaud

La compañía Blackbaud, proveedora de software y de almacenamiento en la nube, ha comunicado que ha sido víctima de un incidente de ransomware aún sin identificar. Según la empresa, el pasado mes de mayo agentes amenaza realizaron una intrusión en su red interna con el objetivo de desplegar un ransomware en ella. A raíz de estos hechos, el equipo de seguridad logró evitar el cifrado de los archivos pertenecientes a Blackbaud expulsando de la red a dichos actores maliciosos. Sin embargo, antes de repeler el ataque, los cibercriminales consiguieron robar la información de un pequeño subconjunto de clientes, los cuales han sido ya notificados. Consecuentemente, estos atacantes han amenazado ya con publicar la información sustraída a menos que se pague un rescate por los archivos. Desde la compañía han asegurado que cumplirán con estas demandas y que pagarán por la eliminación de dichos datos. Este incidente se suma a la tendencia actual de doble extorsión que caracteriza a este tipo de ataques en la que no solo se cifra la información, sino que se roba y se exige un pago tanto para descifrarla como para no hacer pública la documentación.

Toda la información: https://www.blackbaud.com/securityincident

Exploit para vulnerabilidad RCE en SharePoint

El investigador de seguridad Steven Seeley ha publicado los detalles de cómo se puede aprovechar la vulnerabilidad crítica CVE-2020-1147 en SharePoint para obtener la capacidad de ejecutar código de forma remota como un usuario con pocos privilegios. En este caso, Seeley ha demostrado como, haciendo uso de objetos de tipo DataSet, se puede lograr la ejecución de código al aprovecharse del método «LosFormatter.Deserialize». Para ello, habría que crear un payload en base64. Una vez hecho esto, se podría añadir este payload a un DataSet específico y conseguir de este modo la ejecución remota de código en el servidor SharePoint víctima. Esta táctica podría ser utilizada contra otras aplicaciones .NET, por lo que aunque no se disponga de servidores SharePoint instalados, el usuario podría verse afectado de todos modos.

Más: https://srcincite.io/blog/2020/07/20/sharepoint-and-pwn-remote-code-execution-against-sharepoint-server-abusing-dataset.html

Campañas de phishing alojadas en servicios en la nube

El equipo de investigadores de CheckPoint ha realizado una publicación en la que advierten sobre la utilización de servicios en la nube como Google Cloud o Microsoft Azure, para realizar campañas de phishing. En enero de 2020, los investigadores detectaron un documento PDF en Google Drive en el que se facilitaba un enlace a un phishing alojado en los servidores de Google. En este incidente, los agentes amenaza suplantaron una página de inicio de sesión a SharePoint en el que se solicitaba credenciales de usuario o corporativas con el fin de exfiltrar dicha información. Durante todas estas etapas, los usuarios no sospechan ninguna actividad maliciosa, debido a que la página de phishing está alojada en Google Cloud Storage y aparece el protocolo de cifrado HTTPS. Una forma de identificar estos engaños era visualizar el código fuente de la página de phishing, debido a que podría identificarse que la mayoría de los recursos se cargaban desde un sitio web que pertenece a los actores maliciosos. Sin embargo, ataques más recientes revelan que agentes amenaza han comenzado a utilizar Google Cloud Functions, un servicio que permite la ejecución de código en la nube, lo que permite ofuscar los dominios maliciosos de los atacantes.

Más información: https://blog.checkpoint.com/2020/07/21/how-scammers-are-hiding-their-phishing-trips-in-public-clouds/

Botnet Emotet difunde malware QakBot

El investigador de seguridad Cryptolaemus, ha informado que, tras volver a la actividad recientemente, Emotet ha comenzado a distribuir el malware QakBot. Esta campaña utilizaría como vector de entrada el uso de correos electrónicos para la distribución de dicho malware ofuscado en documentos maliciosos. Cabe destacar que en los últimos días el equipo de MalwareBytes alertó sobre una nueva campaña de Emotet tras cinco meses de inactividad, a la cual tradicionalmente se ha ligado la distribución de otra herramienta maliciosa denominada Trickbot. Sin embargo, este nuevo hallazgo podría evidenciar que habría una nueva tendencia con la distribución de Qakbot, ya que desde Cryptolaemus aseguran haber observado la ausencia de TrickBot en los ataques de Emotet más recientes. Asimismo, los investigadores indicaron que existen antecedentes en cuanto al cambio en la distribución de software malicioso, aunque no ocurre con frecuencia. Uno de estos cambios ya se observó el año pasado, por lo que se considera probable que a futuro se vuelva a utilizar Trickbot y reanuden su tradicional metodología de ataques.

Todos los detalles: https://twitter.com/Cryptolaemus1/status/1285579090234400769

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.