Noticias de Ciberseguridad: Boletín semanal 4-17 de abrilElevenPaths 17 abril, 2020 ZOOM – Amenazas en la app de videovigilancia Durante estas últimas semanas han continuado publicándose noticias acerca de la aplicación de videoconferencia Zoom: Detectada base de datos con cuentas de Zoom en foros underground: según una reciente investigación llevada a cabo por la firma de ciberseguridad IntSights, se ha descubierto una base de datos en un foro underground que contendría más de 2.300 nombres de usuario, contraseñas, emails, claves de acceso y enlaces a las reuniones de cuentas de Zoom, muchas de estas de carácter corporativo. Además, dentro del foro, los investigadores descubrieron diferentes hilos donde se abordaba cómo acceder a estas videoconferencias. Una de las formas sugeridas hacía referencia al credential stuffing, el cual permite verificar la validez de las cuentas y recopilar otros datos adicionales, siendo sugerido para ello el uso de la herramienta de código abierto OpenBullet.Venta de exploits para vulnerabilidades 0-Day en Zoom: un grupo de ciberdelicuentes estaría vendiendo exploits para dos vulnerabilidades 0-Day en Zoom que permitirían espiar las llamadas de la víctima. Concretamente, uno de los fallos afectaría a Windows y el otro a OS X. Según las fuentes, el 0-Day para Windows se trata de una vulnerabilidad de ejecución remota que permitiría a los atacantes acceder a la aplicación, si bien sería necesario explotar un fallo previo para poder acceder a la máquina de la víctima y estar presente en la llamada. Por otro lado, en lo referente al fallo en MacOS, no se trataría de una vulnerabilidad de ejecución remota de código, por lo que se considera menos crítico que el anterior. Estos fallos estarían vendiéndose por cerca de 500.000 dólares debido al creciente interés que hay en esta herramienta recientemente. Difusión de malware mediante suplantación de la Inspección de Trabajo de la Seguridad Social Durante la mañana del martes 7 de abril, numerosas empresas españolas recibieron correos falsos que fingían proceder de la Inspección de Trabajo y la Seguridad Social y que informaban de la apertura de una denuncia laboral en su contra. Dichos correos se enviaban desde un dominio falseado sin relación alguna con la Seguridad Social e incluían un enlace que redirigía a los usuarios a una página falsa que suplantaba al Ministerio de Trabajo. Una vez en dicha página, los supuestos documentos que detallaban la denuncia incluían tres archivos maliciosos destinados a instalar y ejecutar una versión del malware Smoke Loader, que se ha utilizado en el pasado para el robo de credenciales, el minado de criptomoneda o la difusión ransomware, entre otros. La infraestructura y malware utilizado es similar a la utilizada en el mes de marzo para suplantar a la Agencia Tributaria. Además, tan solo unos días más tarde se alertaba desde la propia página de la Inspección de Trabajo y Seguridad Social de una nueva campaña de suplantación. Más información: https://maldita.es/malditobulo/2020/04/07/correo-inspeccion-trabajo-investigacion-empresa-ministerio/ Vulnerabilidades 0-Day de Firefox explotadas por cibercriminales El equipo de Mozilla ha parcheado dos vulnerabilidades críticas en la última versión de su navegador web Firefox que estarían siendo actualmente explotadas por agentes amenaza. Ambas vulnerabilidades (CVE-2020-6819 y CVE-2020-6820) son del tipo use-after-free (UAF) y podrían ser explotadas para ejecutar código en el equipo de la víctima. Según los investigadores, se habría detectado la explotación activa de estas vulnerabilidades mediante ataques dirigidos. Ambos fallos han sido parcheados en las versión 74.0.1 del navegador Firefox y 68.6.1 de Firefox ESR. Se recomienda actualizar a la última versión del navegador lo antes posible. Todos los detalles: https://www.mozilla.org/en-US/security/advisories/mfsa2020-11/ Vulnerabilidad crítica en VMware vCenter Server VMware ha publicado una actualización de seguridad que corrige una vulnerabilidad crítica de exposición de información en el software VMware vCenter Server. Este fallo, CVE-2020-3952 (CVSSv3 10.0), afecta al servicio de directorio de VMware (vmdir) solo en instalaciones actualizadas y podría permitir a los atacantes con acceso a la red de una implementación vmdir, extraer información sensible y, según la CISA, tomar el control de los sistemas afectados. Las nuevas instalaciones de vCenter Server 6.7 no estarían afectadas. Desde VMware se ha recomendado actualizar vCenter Server a la versión 6.7u3f lo antes posible. Más info: https://www.vmware.com/security/advisories/VMSA-2020-0006.html Suplantación de Cisco WebEx Investigadores de Cofense han detectado una campaña de phishing que pretende obtener credenciales de acceso a Cisco WebEx de los usuarios. Los agentes amenaza estarían enviando correos fraudulentos suplantando a Cisco, donde alertan de la existencia de una vulnerabilidad crítica en Cisco CloudCenter. El correo tiene asuntos como Critical Update o Alert! y tratan de suplantar la dirección de correo meetings@webex[.]com. Incluye referencias reales a una vulnerabilidad en dicho producto y se incita a los usuarios para que actualicen cuanto antes sus productos. Cuando los usuarios acceden al enlace que debería llevar a la supuesta página de Cisco, son dirigidos a un phishing alojado en un dominio registrado en los últimos días y que guarda gran similitud con el legítimo. Una vez se accede al dominio ilegítimo, se solicita al usuario que introduzca las credenciales y, tras ello, es redirigido a la página legítima de Cisco, desde la que podrá descargar las actualizaciones sin ser consciente del robo de sus datos. Toda la información: https://cofense.com/new-phishing-campaign-spoofs-webex-target-remote-workers/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com. Buscadores de dispositivos IoT: ¿por qué elegir si podemos usar todos?¿Te atreves a crear un plugin de TheTHE? Concurso #EquinoxRoom111
Telefónica Tech Boletín semanal de ciberseguridad, 25 de junio — 1 de julio Kaspersky investiga ataques a sistemas de control industrial Investigadores de Kaspersky han investigado una campaña de ataques que se centraba en diversos países del continente asiático, y que estaba dirigida...
Aarón Jornet Cómo funciona Lokibot, el malware que utiliza Machete para robar información y credenciales de acceso Machete es un grupo dedicado al robo de información y el espionaje. Utiliza distintas herramientas, entre las que se encuentra LokiBot.
Nacho Palou Lucía y Marina: #MujeresHacker que se lanzan a la piscina del campus 42 Lucía, experta tech, y Marina, estudiante de 42, comparten su experiencia e intercambian opiniones tras pasar por las Piscina del campus 42 de Telefónica
Telefónica Tech Boletín semanal de ciberseguridad, 18 — 24 de junio Caída de los servicios de Microsoft Office 365 y Cloudflare a nivel mundial A lo largo del pasado martes se vieron interrumpidos múltiples servicios web a nivel mundial. El origen...
Cristina del Carmen Arroyo Siruela Día de la mujer ingeniera: construyendo nuevos caminos El término “ingeniero” proviene del latín, ingenium, en castellano ingenio. Desde hace mucho tiempo, se ha asociado el mundo de la ingeniería con el sexo masculino. Pero ¿es el...
Cristina del Carmen Arroyo Siruela Los ataques más comunes contra las contraseñas y cómo protegerte Una credencial de acceso es básicamente un nombre de usuario y una contraseña asociada a esa persona y a los permisos de accesos que tiene otorgados para una aplicación,...