Noticias de ciberseguridad boletín nº366: malware, phishing y ransomware 3yw2r
Noticias de ciberseguridad 1e2t4r
A continuación, hemos seleccionado las noticias de seguridad a nivel mundial más relevantes.
CapraRAT en aplicaciones falsas de video para Android 195ny
SentinelLabs ha descubierto la persistencia de la campaña de ingeniería social para Android, denominada CapraTube, que apunta a jugadores móviles, entusiastas de las armas y fans de TikTok, usando aplicaciones de video falsas para distribuir el spyware CapraRAT, una versión modificada de AndroRAT. Este troyano de remoto, asociado con el grupo de amenazas Transparent Tribe (APT36) de Pakistán, ha estado activo desde 2018 y se ha utilizado principalmente para espiar a personal gubernamental y militar. Inicialmente, CapraRAT se distribuía a través de aplicaciones de citas falsas. Recientemente, se han identificado cuatro nuevas apps (Crazy Game, Sexy Videos, TikToks y Weapons) que imitan aplicaciones de video para espiar y recolectar datos de los s. Estas APK maliciosas utilizan WebView para lanzar URL que parecen legítimas, mientras en segundo plano abusan de permisos para acceder a datos sensibles como ubicaciones, os, mensajes y registros de llamadas, además de realizar capturas de pantalla y grabar audio y vídeo, lo que le permite al spyware obtener datos confidenciales de los dispositivos infectados. Accede a la noticia completa en https://www.sentinelone.com/
Skeleton Key: nueva técnica jailbreak de IA 4v13r
Los investigadores de Microsoft Security han publicado un artículo sobre un nuevo tipo de ataque jailbreak que afectaría a múltiples modelos de IA generativa. Un ataque jailbreak permite a los atacantes sobrepasar las limitaciones éticas de modelos de IA como ChatGPT, de tal manera que estos ofrezcan respuestas ofensivas, dañinas e incluso ilegales. En concreto, Microsoft ha identificado una nueva técnica a la que ha denominado Skeleton Key y que consiste en proveer a la IA de un contexto específico para que esta genere respuestas que no debería. Por ejemplo, indicando a una IA que la consulta que se le está realizando está enmarcada en un contexto educativo y ético, e indicando que añada una cláusula de exención de responsabilidad o un aviso legal, esta podría responder a preguntas tales como los pasos para crear un malware. Accede a la noticia completa en https://www.microsoft.com/en-us/security/blog/
Detectada una vulnerabilidad crítica en plugin de WordPress p3g1n
Recientemente fue descubierta una vulnerabilidad crítica en el plugin de WordPress Email Subscribers de Icegram Express. Identificado como CVE-2024-6172, con una puntuación CVSSv3 de 9.8 según Wordfence, el fallo permite a atacantes no autenticados ejecutar inyecciones SQL basadas en el tiempo. Esta vulnerabilidad afecta a todas las versiones del plugin hasta la 5.7.25 inclusive y se debe a un escape insuficiente en el parámetro suministrado por el y a una preparación inadecuada en la consulta SQL existente. Esto hace posible que atacantes no autenticados añadan consultas SQL adicionales y puedan extraer información sensible de la base de datos, poniendo en riesgo la seguridad y privacidad de los sitios web afectados. La vulnerabilidad ha sido corregida en versión 5.7.26. Por lo tanto, se recomienda a los es de sitios web que utilicen este plugin que tomen medidas inmediatas para mitigar el riesgo. Accede a la noticia completa en https://www.wordfence.com/threat-intel/vulnerabilities/
Google parchea vulnerabilidades en Android 1e1xn
La compañía Google ha lanzado una actualización de seguridad para el sistema Android que corrige un total de 25 vulnerabilidades, de entre las cuales destaca una considerada como crítica. En concreto, dicho fallo de seguridad ha sido registrado como CVE-2024-31320 que afecta al componente Framework y cuyo aprovechamiento podría producir una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales. Cabe indicar que esta vulnerabilidad afecta a las versiones de Android 12 y 12L, además de que también se han abordado otros siete problemas de alta gravedad en dicho activo. Por otra parte, se han resuelto otras 17 vulnerabilidades en componentes Kernel, Arm, Imagination Technologies, MediaTek y Qualcomm. Accede a la noticia completa en https://source.android.com/docs/security/
Campaña de malware para macOS distribuido con anuncios falsos de Google 1x1q70
Una campaña maliciosa distribuye el malware "Poseidon" para macOS a través de anuncios de Google para el navegador Arc. Este malware, desarrollado por el actor malicioso conocido como Rodrigo4, roba archivos, datos de criptomonedas y contraseñas. La descarga maliciosa se realiza desde sitios falsos que imitan a Arc. Según Malwarebytes, al hacer clic en los anuncios se redirigía a los internautas a arc-[.]com, una página de navegador de Arc falsa y de aspecto casi idéntico a la real. Este stealer comparte código con el anterior OSX.RodStealer y ha sido renombrado como "Poseidón", añadiendo nuevas funciones como el robo de configuraciones VPN. Accede a la noticia completa en https://www.malwarebytes.com/blog/
Nueva botnet diseñada para ataques DDoS: Zergeca 263d1b
Investigadores de QiAnXin XLab descubrieron una nueva botnet basada en Golang llamada Zergeca, diseñada para realizar ataques DDoS. La botnet utiliza múltiples métodos de resolución DNS y prioriza DNS sobre HTTPS para el C2, utilizando la biblioteca Smux para comunicación cifrada. Además, consta de cuatro módulos conocidos como persistencia, proxy, silivaccine y zombie, siendo este último el núcleo de la botnet, encargado de reportar información y ejecutar comandos. Asimismo, Zergeca mantiene la persistencia en dispositivos comprometidos mediante el servicio geomi.service, que genera nuevos procesos si se reinicia el dispositivo. El análisis realizado concluyó que Zergeca cuenta con capacidades avanzadas, incluyendo proxy, escaneo, autoactualización, persistencia, transferencia de archivos, shell inverso y recopilación de información sensible. Accede a la noticia completa en https://blog.xlab.qianxin.com/
Snowblind: nuevo malware para Android rl9
Investigadores de Promon han analizado el malware Snowblind. Éste utiliza una característica de seguridad de Android llamada seccomp, una función de seguridad del kernel de Linux diseñada para reducir la superficie de ataque de las aplicaciones restringiendo las llamadas al sistema (syscalls) que pueden realizar para evadir las protecciones de las aplicaciones que manejan datos sensibles. Este malware inyecta una biblioteca nativa que intercepta las llamadas al sistema y manipula los registros para evitar la detección de manipulaciones, permitiendo acciones maliciosas como la recolección de credenciales o el control remoto del dispositivo. Accede a la noticia completa en https://promon.co/app-threat-reports/
Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.
¡Hasta pronto!
