Noticias de Ciberseguridad: Boletín semanal 21-27 de noviembre

Qbot como preludio a infecciones del ransomware Egregor

Investigadores de la compañía de seguridad Group-IB han emitido un comunicado donde afirman haber encontrado actividad que relaciona al troyano bancario Qbot (también conocido como QakBot, Pinkslipbot o Quakbot) con la distribución del ransomware Egregor. Los operadores de Qbot habrían decidido migrar su operación (antes asociada con otras familias de ransomware como ProLock) para unirse con Egregor, buscando así un mayor número de víctimas. En los tres meses de actividad desde la creación del ransomware en septiembre de 2020, Egregor ha conseguido vulnerar un total de 69 compañías, principalmente en el sector manufacturero (28.9%) y retail (14.5%), siendo una de las familias más activas desde que Maze cerró su operación el pasado mes. Asimismo, desde que Emotet decidió retomar la distribución de TrickBot en septiembre, los operadores de Qbot han tenido que distribuirse sin su ayuda, a través de campañas de phishing propias que adjuntan documentos maliciosos de Microsoft Excel.

Toda la información: https://www.bleepingcomputer.com/news/security/qbot-partners-with-egregor-ransomware-in-bot-fueled-attacks/

Vulnerabilidad en la autenticación 2FA en cPanel

Investigadores de seguridad de Digital Defense han descubierto un fallo de seguridad importante en cPanel, un paquete de software popular utilizado por las empresas de alojamiento web para administrar los sitios web de sus clientes. El error descubierto podría permitir a los atacantes eludir la autenticación de dos factores (2FA) para las cuentas de cPanel mediante el uso de ataques de fuerza bruta, con un coste temporal de sólo unos minutos. Digital Defense ha informado de manera privada del error al equipo de cPanel y, según el aviso de seguridad de estos últimos, el fallo en la autenticación 2FA habría sido corregido en el software cPanel & WebHost Manager (WHM) 11.92.0.2, 11.90.0.17, y 11.86.0.32. Los usuarios no deben deshabilitar la función 2FA para sus cuentas de cPanel debido a este error, sino que deben solicitar que sus proveedores de alojamiento web actualicen la instalación de cPanel a la última versión.

Más detalles: https://www.digitaldefense.com/news/zero-day-cpanel-and-webhost-manager/

Nueva versión y nueva campaña del malware Trickbot

El actor amenaza detrás de Trickbot ha lanzado la versión 100 del malware, que incluye nuevas características para evitar la detección. Entre las nuevas funciones que presenta, Trickbot puede inyectar ahora su DLL malicioso directamente desde la memoria en el ejecutable legítimo de Windows “wermgr.exe”. Adicionalmente, los operadores de Trickbot han lanzado una nueva herramienta de reconocimiento, denominada Lightbot, utilizada para buscar en la red de sus víctimas objetivos de alto valor. La campaña más reciente de malspam llevada a cabo por el grupo pretende la distribución de esta herramienta. El contenido de los correos utilizados como pretexto son similares a aquellos responsables de difundir BazarLoader. Éstos simulan provenir de recursos humanos o departamentos legales, refieren a quejas de clientes o finalizaciones de contrato e incluyen un adjunto que contiene un archivo javascript que ejecuta el script Powershell de Lightbot. La herramienta tiene por objeto realizar un reconocimiento superficial para determinar el valor de la víctima. Entre la información recopilada está el nombre del ordenador, información del hardware, nombre de usuario, versión de Windows, lista de controladores de dominios de Windows, PDC (Primary domain controller) de Windows, direcciones IP, DNS, tipo de tarjeta de red y un listado de los programas instalados.

Toda la info: https://www.bleepingcomputer.com/news/security/trickbot-turns-100-latest-malware-released-with-new-features/

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.