Noticias de Ciberseguridad: Boletín semanal 4-17 de abril

ZOOM – Amenazas en la app de videovigilancia

Durante estas últimas semanas han continuado publicándose noticias acerca de la aplicación de videoconferencia Zoom:

• Detectada base de datos con cuentas de Zoom en foros underground: según una reciente investigación llevada a cabo por la firma de ciberseguridad IntSights, se ha descubierto una base de datos en un foro underground que contendría más de 2.300 nombres de usuario, contraseñas, emails, claves de acceso y enlaces a las reuniones de cuentas de Zoom, muchas de estas de carácter corporativo. Además, dentro del foro, los investigadores descubrieron diferentes hilos donde se abordaba cómo acceder a estas videoconferencias. Una de las formas sugeridas hacía referencia al credential stuffing, el cual permite verificar la validez de las cuentas y recopilar otros datos adicionales, siendo sugerido para ello el uso de la herramienta de código abierto OpenBullet.
• Venta de exploits para vulnerabilidades 0-Day en Zoom: un grupo de ciberdelicuentes estaría vendiendo exploits para dos vulnerabilidades 0-Day en Zoom que permitirían espiar las llamadas de la víctima. Concretamente, uno de los fallos afectaría a Windows y el otro a OS X. Según las fuentes, el 0-Day para Windows se trata de una vulnerabilidad de ejecución remota que permitiría a los atacantes acceder a la aplicación, si bien sería necesario explotar un fallo previo para poder acceder a la máquina de la víctima y estar presente en la llamada. Por otro lado, en lo referente al fallo en MacOS, no se trataría de una vulnerabilidad de ejecución remota de código, por lo que se considera menos crítico que el anterior. Estos fallos estarían vendiéndose por cerca de 500.000 dólares debido al creciente interés que hay en esta herramienta recientemente.

Difusión de malware mediante suplantación de la Inspección de Trabajo de la Seguridad Social

Durante la mañana del martes 7 de abril, numerosas empresas españolas recibieron correos falsos que fingían proceder de la Inspección de Trabajo y la Seguridad Social y que informaban de la apertura de una denuncia laboral en su contra. Dichos correos se enviaban desde un dominio falseado sin relación alguna con la Seguridad Social e incluían un enlace que redirigía a los usuarios a una página falsa que suplantaba al Ministerio de Trabajo. Una vez en dicha página, los supuestos documentos que detallaban la denuncia incluían tres archivos maliciosos destinados a instalar y ejecutar una versión del malware Smoke Loader, que se ha utilizado en el pasado para el robo de credenciales, el minado de criptomoneda o la difusión ransomware, entre otros. La infraestructura y malware utilizado es similar a la utilizada en el mes de marzo para suplantar a la Agencia Tributaria. Además, tan solo unos días más tarde se alertaba desde la propia página de la Inspección de Trabajo y Seguridad Social de una nueva campaña de suplantación.

Más información: https://maldita.es/malditobulo/2020/04/07/correo-inspeccion-trabajo-investigacion-empresa-ministerio/

Vulnerabilidades 0-Day de Firefox explotadas por cibercriminales

El equipo de Mozilla ha parcheado dos vulnerabilidades críticas en la última versión de su navegador web  Firefox que estarían siendo actualmente explotadas por agentes amenaza. Ambas vulnerabilidades (CVE-2020-6819 y CVE-2020-6820) son del tipo use-after-free (UAF) y podrían ser explotadas para ejecutar código en el equipo de la víctima. Según los investigadores, se habría detectado la explotación activa de estas vulnerabilidades mediante ataques dirigidos. Ambos fallos han sido parcheados en las versión 74.0.1 del navegador Firefox y 68.6.1 de Firefox ESR. Se recomienda actualizar a la última versión del navegador lo antes posible.

Todos los detalles: https://www.mozilla.org/en-US/security/advisories/mfsa2020-11/

Vulnerabilidad crítica en VMware vCenter Server

VMware ha publicado una actualización de seguridad que corrige una vulnerabilidad crítica de exposición de información en el software VMware vCenter Server. Este fallo, CVE-2020-3952 (CVSSv3 10.0), afecta al servicio de directorio de VMware (vmdir) solo en instalaciones actualizadas y podría permitir a los atacantes con acceso a la red de una implementación vmdir, extraer información sensible y, según la CISA, tomar el control de los sistemas afectados. Las nuevas instalaciones de vCenter Server 6.7 no estarían afectadas. Desde VMware se ha recomendado actualizar vCenter Server a la versión 6.7u3f lo antes posible.

Más info: https://www.vmware.com/security/advisories/VMSA-2020-0006.html

Suplantación de Cisco WebEx

Investigadores de Cofense han detectado una campaña de phishing que pretende obtener credenciales de acceso a Cisco WebEx de los usuarios. Los agentes amenaza estarían enviando correos fraudulentos suplantando a Cisco, donde alertan de la existencia de una vulnerabilidad crítica en Cisco CloudCenter. El correo tiene asuntos como Critical Update o Alert! y tratan de suplantar la dirección de correo meetings@webex[.]com. Incluye referencias reales a una vulnerabilidad en dicho producto y se incita a los usuarios para que actualicen cuanto antes sus productos. Cuando los usuarios acceden al enlace que debería llevar a la supuesta página de Cisco, son dirigidos a un phishing alojado en un dominio registrado en los últimos días y que guarda gran similitud con el legítimo. Una vez se accede al dominio ilegítimo, se solicita al usuario que introduzca las credenciales y, tras ello, es redirigido a la página legítima de Cisco, desde la que podrá descargar las actualizaciones sin ser consciente del robo de sus datos.

Toda la información: https://cofense.com/new-phishing-campaign-spoofs-webex-target-remote-workers/

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.