#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 23-27 de marzo

COVID-19 – Nueva campaña del malware Ginp en España

El equipo de investigadores ha detectado una nueva campaña del troyano bancario Ginp, utilizado para robar credenciales bancarias de la víctima aprovechándose de la temática del COVID-19. El fraude consiste en que, mediante una notificación push, se intenta que la víctima acceda a una página web denominada Coronavirus Finder. Una vez que el usuario accede a esta, se le informa que 12 personas a su alrededor están infectadas por el virus, y se solicita un micropago para conocer su localización exacta. Si el usuario decide realizar el pago, la información es transmitida a actores maliciosos obteniendo las credenciales bancarias. El equipo indica que la mayoría de los usuarios afectados por el malware Ginp se encuentran en España, aunque señalan que la etiqueta utilizada en esta campaña «flash-2» difiere de versiones anteriores «flash-es12», lo que podría significar que, al eliminar “es”, podrían planear expandir esta campaña a otros países.

COVID-19 – Campaña con ransomware NetWalker y Ryuk contra el sector sanitario

José Ángel González, Director Adjunto Operativo de la Policía Nacional, alertaba el pasado lunes sobre una campaña de ransomware que estaría difundiéndose mediante correos electrónicos al personal sanitario con el objetivo de afectar a los sistemas de centros hospitalarios. Bernardo Quintero, creador del motor VirusTotal, señalaba horas más tarde acerca de las declaraciones, que no se trataba de una campaña contra hospitales en nuestro país, sino que los correos recibidos se engloban dentro de una campaña a nivel internacional de distribución del ransomware NetWalker, el cual se propaga mediante un mail con un archivo adjunto nombrado “CORONAVIRUS_COVID-19.vbs”. Los indicadores de compromiso detectados en esta campaña, coincidían además con los reportados el pasado día 21 de marzo desde el equipo de seguridad de MalwareHunterTeam, quienes ya habían detectado la distribución de NetWalker en correos sobre la temática del COVID-19.

Unos días más tarde, investigadores de seguridad alertaban también de la actividad de los gestores del ransomware Ryuk contra hospitales. Al contrario que otros operadores de ransomware como Maze o DoppelPaymer, que afirmaron paralizar sus ataques contra centros hospitalarios durante la pandemia, los operadores de Ryuk han continuado teniendo a este tipo organismos en su centro de mira. A lo largo de marzo, Ryuk ha dirigido sus ataques contra al menos 10 entidades dedicadas al sector salud en Estados Unidos; habiendo podido también localizarse varias muestras del ransomware inspiradas en la temática COVID-19, con nombres de archivo como «Protection of Department of Health».

Campaña internacional de APT41

Investigadores de FireEye han descrito lo que podría ser una de las campañas de ciberespionaje más extensas de los últimos años llevada a cabo por el actor chino APT41. Desde finales de enero hasta mediados de marzo, los investigadores identificaron ataques a 75 compañías mediante el aprovechamiento de vulnerabilidades recientes en routers Cisco (RV320), Citrix NetScanler/ADC (CVE-2019-19781) y Zoho ManageEngine (CVE-2020-10189). El sector y localización territorial de las entidades afectadas es muy amplio, sin haberse llegado a determinar si la campaña pretende una explotación masiva o responde a objetivos dirigidos. Un compromiso exitoso continúa con la descarga de malware libre como Cobalt Strike o Meterpreter, en espera de realizar tareas de reconocimiento interno antes de desplegar malware más sofisticado. Cabe señalar que, en anteriores campañas más limitadas, APT41 también ha aprovechado la vulnerabilidad CVE-2019-3396 en Atlassian Confluence.

Información completa aquí: https://www.fireeye.com/blog/threat-research/2020/03/apt41-initiates-global-intrusion-campaign-using-multiple-exploits.html

Explotación de vulnerabilidades 0-Day de Microsoft

Microsoft emitió un aviso de seguridad para dos vulnerabilidades 0-Day críticas de Windows sin parchear que actualmente están siendo explotadas mediante la ejecución de código arbitrario de forma remota. En concreto, se ha detectado que existen dos fallos RCE en la librería de parseo de fuentes Adobe Type Manager, encargada de renderizar las tipografías PostScript en los sistemas Windows. Para explotar esta vulnerabilidad, un atacante podría construir una fuente en formato PostScript Adobe Type 1 que, al abrirse o previsualizarse el documento que la contiene, desencadenaría la ejecución de código. Microsoft ha publicado una serie de mitigaciones para estas vulnerabilidades, que afectan a todas las versiones de Windows.

Toda la info: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200006

Vulnerabilidad en iOS impide el cifrado de tráfico VPN

Se ha encontrado una vulnerabilidad en la versión 13.3.1 de iOS que impide que las VPNs cifren todo el tráfico. En la versión actual de iOS, el sistema operativo no cierra las conexiones existentes, lo que podría dar lugar a que los datos de los usuarios quedasen expuestos si las conexiones afectadas no estuvieran cifradas por sí mismas. Un atacante podría ver tanto la dirección IP de los usuarios como la de los servidores a los que se están conectando. Además, el servidor al que se conecta podría ver la verdadera dirección IP en lugar de la del servidor VPN. Apple todavía no ha publicado una solución para este fallo.

Más aquí: https://protonvpn.com/blog/apple-ios-vulnerability-disclosure/

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.