Noticias de Ciberseguridad: Boletín semanal 29 de agosto – 4 de septiembre

Amanecer Rojo, nuevo documento adjunto de Emotet

En la última semana se ha descubierto el uso de una nueva plantilla de documento adjunto por parte de Emotet. Red Dawn (Amanecer Rojo) es el nombre que el investigador de seguridad Joseph Roosen ha dado a este archivo malicioso de Word (.doc) adjunto en los correos electrónicos de campañas de spam. Al abrirlo, se indica que el documento está protegido y por tanto la vista previa no está disponible, por lo que es necesario “habilitar edición” y “habilitar contenido” para verlo. Si la víctima realiza estos pasos anteriores, se ejecutan las macros maliciosas que descargan e instalan Emotet en el sistema. Con anterioridad, durante este verano, Emotet ha estado haciendo uso de una plantilla similar en la que indicaba que el documento había sido creado en iOS siendo necesario “habilitar edición” y “habilitar contenido” para verlo. Cabe recordar la importancia de detectar estos correos electrónicos de Emotet, debido a que es la puerta de entrada a troyanos como TrickBot y QBot, y estos, a su vez, de ransomware como Conti o ProLock.

Para saber más: https://www.bleepingcomputer.com/news/security/emotet-malwares-new-red-dawn-attachment-is-just-as-dangerous/

Vulnerabilidad en EMV, protocolo de comunicación de tarjetas bancarias

Investigadores han descubierto la forma de eludir la autenticación con código PIN en las transacciones sin contacto de tarjetas bancarias Visa. Se trata de un fallo protocolo EMV, concretamente en el método de verificación de la tarjeta bancaria que carece de protección criptográfica, lo cual permite que un agente amenaza pueda llevar a cabo un ataque del tipo Man-In-The-Middle (MITM). Los investigadores habrían demostrado mediante una prueba de concepto, basada en una aplicación Android llamada Tamarin, que se puede eludir el PIN en el proceso de pago debido a que el dispositivo no requiere introducir el código al creer que se ha realizado la autenticación por parte del consumidor. La prueba de concepto, llevada a cabo en tiendas y otros locales, fue un éxito a la hora de eludir la introducción del PIN en las tarjetas Visa Credit, Visa Electron y VPay.

Todos los detalles: https://arxiv.org/pdf/2006.08249.pdf

Epic Manchego: ofuscación en la distribución de maldocs

Investigadores de NVISO han descubierto nuevas técnicas de ofuscación de maldocs que eluden la detección por parte de algunos sistemas de seguridad. Se trata de documentos Excel maliciosos que distribuyen malware a través de código VBA, con la peculiaridad de que se crean sin usar Microsoft Office. Un análisis de los investigadores ha revelado su creación a través de herramientas como EPPlus, un software para generar documentos con una biblioteca .NET que crea hojas de cálculo Office Open XML (OOXML). Con esta técnica se obtienen archivos con código VBA no compilado, característica que puede brindar únicamente Office, y que se entrega en texto plano sin cifrar, pero sí protegido por contraseña, la cual no necesita ser introducida para que se ejecuten las macros. Una vez ejecutadas, se obtiene un payload que inicia una segunda fase de infección, identificado por algunos fabricantes de antivirus como Agente Tesla. Tras la carga dinámica de un DLL, como tercera fase del ataque se descarga un infostealer que exfiltra datos sensibles del equipo de la víctima.

Más: https://blog.nviso.eu/2020/09/01/epic-manchego-atypical-maldoc-delivery-brings-flurry-of-infostealers/

ISPs europeos sufren ataques DDoS

Más de una docena de proveedores de servicios de Internet (ISP) en Europa han informado de ataques DDoS dirigidos a su infraestructura de DNS. La lista de ISPs que sufrieron ataques durante la semana pasada incluye a la operadora belga Edpnet, las francesas Bouygues Telecom, FDN, K-net, SFR y las holandesas Caiway, Delta, FreedomNet, Online.nl, Signet y Tweak.nl. Los ataques no duraron más de un día y todos fueron eventualmente mitigados, pero los servicios de ISP estuvieron caídos mientras el DDoS estaba activo. NBIP, una organización sin ánimo de lucro fundada por ISP holandeses para combatir colectivamente los ataques DDoS y los intentos de escuchas telefónicas del gobierno, ha proporcionado información adicional sobre los incidentes de la semana pasada indicando que «varios ataques iban dirigidos a routers e infraestructura de DNS de los ISP con sede en Benelux». Además desde NBIP señalan que «la mayoría de los ataques fueron de amplificación de DNS y ataques de tipo LDAP». «Algunos de los ataques tardaron más de 4 horas y alcanzaron un volumen cercano a los 300 Gbit / s».

Más info: https://www.zdnet.com/article/european-isps-report-mysterious-wave-of-ddos-attacks/

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.