Noticias de ciberseguridad 1e2t4r

 

A continuación, hemos seleccionado las noticias de seguridad a nivel mundial más relevantes.

 

Nuevo ataque dirigido a servicios LLM en la nube 1v4t60

 

Los investigadores de Sysdig Threat Research Team han descubierto un nuevo tipo de ataque en el que actores maliciosos emplean credenciales previamente robadas para atacar servicios Large Language Models (LLM) alojados en la nube. Este tipo de ataque, que ha sido denominado LLMjacking, tiene como objetivo vender el a estos entornos de la nube a otros actores de amenazas. Con respecto a la cadena de infección, los atacantes explotan la vulnerabilidad CVE-2021-3129, CVSSv3 9.8, en instancias vulnerables de Laravel Framework, para posteriormente sustraer las credenciales de Amazon Web Services (AWS) para acceder a los servicios LLM. De acuerdo con los investigadores, en los incidentes analizados los ataques LLMjacking se dirigieron contra un modelo local Claude (v2/v3) LLM de Anthropic. Asimismo, desde Sysdig destacan que un ataque de este tipo podría implicar un coste de más de 46 000$ al día para la empresa víctima. Accede a la noticia en https://sysdig.com/blog/

 

 

El troyano bancario Grandoreiro resurge 2kn2j

 

El troyano bancario Grandoreiro, basado en Windows y operado como un Malware-as-a-Service (MaaS), ha resurgido en una campaña global desde marzo de 2024 tras una intervención de las fuerzas del orden en enero. El análisis del malware ha revelado importantes actualizaciones en el descifrado de cadenas y el algoritmo de generación de dominios (DGA), además de la capacidad de utilizar clientes de Microsoft Outlook en equipos infectados para propagar más correos electrónicos de phishing. La última variante del malware también apunta específicamente a más de 1500 bancos globales, permitiendo a los atacantes realizar fraudes bancarios en más de 60 países, incluyendo regiones de América Central y del Sur, África, Europa y el Indo-Pacífico. Accede a la noticia completa en https://securityintelligence.com/x-force/

 

 

Nueva campaña del malware Darkgate 5x53d

 

El equipo de investigación X-Labs de Forcepoint ha identificado una reciente campaña de Darkgate. Este malware se distribuye principalmente a través de correos electrónicos de phishing, utilizando archivos adjuntos comunes como XLSX, HTML y PDF. Darkgate está diseñado para ser sigiloso y persistente, lo que complica su detección y eliminación. Sus efectos pueden incluir la pérdida de datos personales, pérdidas financieras por fraude o extorsión, y la exposición de información sensible. La campaña detectada comienza con correos electrónicos de phishing que simulan ser facturas de QuickBooks, incitando a los s a instalar Java. Al hacer clic en el enlace incrustado, los s son dirigidos a una URL geolocalizada, donde sin saberlo descargan un archivo JAR malicioso. Accede a la noticia completa en https://www.forcepoint.com/blog/x-labs/

 

 

Campaña de phishing que descarga ransomware LockBit Black f1ah

 

Se ha detectado una campaña de correos electrónicos fraudulentos de tipo phishing que, a través de un archivo adjunto malicioso, instalan el ransomware LockBit Black en el dispositivo. Este ransomware, de ser descargado, podría cifrar los archivos contenidos en el dispositivo, impidiendo al acceder a ellos.

En caso de haber recibido un correo electrónico como el descrito en el apartado de detalle, se recomienda eliminarlo inmediatamente y ponerlo en conocimiento del departamento de IT y del resto de empleados para evitar posibles víctimas. Accede a la noticia completa en https://www.incibe.es/empresas/avisos/

 

 

Vulnerabilidad crítica SSRF descubierta en NextJS 3k5163

 

Los investigadores en seguridad de Assetnote han descubierto algunas configuraciones erróneas en los sitios web de NextJS, una plataforma muy utilizada para desarrollar aplicaciones web modernas, además de una vulnerabilidad crítica de falsificación de solicitudes del lado del servidor (SSRF). Esta vulnerabilidad se origina en el componente de optimización de imágenes integrado en NextJS, que permite a los desarrolladores alojar imágenes desde múltiples dominios. Al permitir dominios específicos en una lista blanca o incluso permitir todas las URL, los desarrolladores exponen inadvertidamente sus aplicaciones a ataques SSRF. Cabe indicar que los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes a direcciones URL internas, obteniendo no autorizado a información delicada. La vulnerabilidad, identificada como CVE-2024-34351, ha sido corregida en la versión 14.1.1 de NextJS. Accede a la noticia completa en https://www.assetnote.io/resources/

 

  476a2w

Túneles DNS para escaneo de redes y seguimiento de víctimas 564f1j

 

El equipo de investigación de seguridad de Palo Alto Networks Unit 42 ha identificado tres campañas recientes que emplean el túnel del Sistema de Nombres de Dominio (DNS) con propósitos que van más allá del uso convencional de C2 y VPN: escaneo y seguimiento. Los actores maliciosos están utilizando este método para rastrear a sus objetivos cuando acceden a correos electrónicos de phishing y hacen clic en enlaces maliciosos, así como para escanear redes en busca de posibles vulnerabilidades. Para este fin, codifican los datos de diversas maneras, como mediante Base16 o Base64, e incluso mediante algoritmos de codificación de texto personalizados, con el objetivo de que puedan ser recuperados al consultar registros DNS, tales como TXT, MX, CNAME y registros de dirección. Accede a la noticia completa en https://unit42.paloaltonetworks.com/

 

 

Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.

 

¡Hasta pronto!