#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 17-21 de febrero

Fox Kitten: Campaña iraní contra servidores VPN

El equipo de investigadores de ClearSky ha descubierto una campaña iraní contra docenas de empresas y organizaciones en todo el mundo a la que han llamado Fox Kitten y que se habría desarrollado durante el último trimestre de 2019. Según el informe publicado, el agente amenaza respaldado por el gobierno iraní habría priorizado la explotación de vulnerabilidades VPN de software como Pulse Secure, Palo Alto, Fortinet y Citrix tan pronto como se hicieron públicas para infiltrarse e introducir puertas traseras en empresas de todo el mundo. A lo largo de esta campaña, los atacantes lograron acceder y ganar persistencia en la red de numerosas empresas y organizaciones del sector de la informática, telecomunicaciones, petróleo y gas, aviación, gobierno y seguridad. En el análisis de esta campaña se ha encontrado relación entre la infraestructura utilizada en esta campaña y la actividad de los grupos iraníes APT34, APT33 y APT30.

Toda la información aquí: https://www.clearskysec.com/wp-content/uploads/2020/02/ClearSky-Fox-Kitten-Campaign-v1.pdf

Campaña de distribución de Emotet vía SMS

Investigadores de IBM X-Force han descubierto una campaña de distribución de Emotet mediante mensajes SMS. Dichos mensajes habrían sido enviados, aparentemente, desde números estadounidenses a teléfonos móviles haciéndose pasar por bancos reconocidos y alertando a los usuarios sobre una cuenta bloqueada. Estos SMS contienen además un enlace a la supuesta página del banco. Los usuarios que acceden al enlace son redirigidos al dominio shabon[.]co, que ha sido reportado en las últimas semanas por distribuir el malware Emotet. La víctima vería una página de phishing que imita la versión móvil de la página web del banco registrada el mismo día por los atacantes. El dominio incluye el nombre del banco modificando el TLD y está diseñado para obtener las credenciales de la víctima.

Más información: https://securityintelligence.com/posts/emotet-smishing-uses-fake-bank-domains-in-targeted-attacks-payloads-hint-at-trickbot-connection/

Intento de extorsión a usuarios de Google AdSense

Se ha descubierto lo que podría tratarse de un nuevo esquema de extorsión basado en un mensaje enviado por correo electrónico dirigido a los propietarios de sitios web que muestran anuncios publicitarios a través del programa AdSense de Google. En este fraude, los estafadores estarían demandando bitcoins a cambio de una promesa de no inundar los anuncios del editor con “tráfico basura” de bots que provocaría que los sistemas antifraude automatizados de Google suspendieran la cuenta de AdSense del usuario por tráfico sospechoso. Respecto a este mensaje, Google ha indicado que parece ser una amenaza clásica de sabotaje en la que un actor intenta desencadenar una acción contra el publicista enviando tráfico no válido a su historial. Google ha comentado además que tiene amplias herramientas y procesos para proteger contra el tráfico no legítimo en todos sus productos, y que la mayoría del tráfico no válido se filtra en sus sistemas antes de que los anunciantes y editores se vean afectados.

Noticia completa aquí: https://krebsonsecurity.com/2020/02/pay-up-or-well-make-google-ban-your-ads/

Nueva campaña del troyano AZORult suplantando a ProtonVPN

Un equipo de investigadores ha descubierto una nueva campaña del troyano AZORult que se distribuye a través de un instalador falso de ProtonVPN. Esta amenaza estaría activa desde el pasado mes de noviembre, momento en que el actor malicioso registró el dominio protonvpn[.]store. Se ha informado de que uno de los vectores de ataque se realiza mediante malvertising, el cual redirige a un sitio web malicioso mediante un banner. En esta página se realiza una descarga de un instalador falso de ProtonVPN para Windows. El objetivo de este malware es robar criptomonedas de monederos que se encuentran guardados en local, obtener información de inicios de sesión FTP y contraseñas FileZilla. Asimismo, AZORult exfiltra credenciales de correo electrónico e información de los navegadores instalados en el dispositivo.

Toda la información: https://securelist.com/azorult-spreads-as-a-fake-protonvpn-installer/96261/

Corregidas 17 vulnerabilidades de productos Cisco

Cisco ha lanzado actualizaciones de seguridad para abordar 17 vulnerabilidades que afectaban a sus líneas de productos de redes y comunicaciones unificadas. Los fallos corregidos permitían el acceso remoto y ejecución de código, elevación del privilegio, denegación de servicio y falsificaciones de solicitudes en varios sitios. De estas vulnerabilidades, una era crítica, seis se clasificaron como de gravedad alta y el resto con gravedad media. La vulnerabilidad crítica, CVE-2020-3158, tiene que ver con la presencia de una cuenta de sistema que tiene una contraseña predeterminada y estática en la herramienta Smart Software Manager, pudiendo un atacante explotar la vulnerabilidad al usar esta cuenta predeterminada para conectarse a un sistema vulnerable y obtener acceso de lectura y escritura a los datos del sistema. La vulnerabilidad afectaría a las versiones de Cisco Smart Software Manager On-Prem anteriores a la versión 7-202001, pero únicamente si la función Alta disponibilidad (HA) está habilitada (HA no está por defecto habilitada).

Más: https://tools.cisco.com/security/center/publicationListing.x

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de innovación y laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.