22 may 2024

DNSBomb: nuevo ataque DoS práctico y potente

DNS emplea una variedad de mecanismos para garantizar la disponibilidad, proteger la seguridad y mejorar la confiabilidad. Sin embargo, en este paper investigadores de la Universidad Tsinghua de Pekín, revelan que estos mecanismos inherentes, incluidos el tiempo de espera, la agregación de consultas y la respuesta rápida, pueden transformarse en vectores de ataque maliciosos; y proponen un nuevo ataque DoS denominado DNSBomb [PDF / Github].

DNSBomb explota múltiples mecanismos de DNS ampliamente implementados para acumular consultas de DNS que se envían a baja velocidad, para amplificar las consultas en respuestas de gran tamaño y concentrar todas las respuestas de DNS en una ráfaga de pulsaciones periódicas, cortas y de gran volumen para saturar simultáneamente los sistemas de destino.

A través de una evaluación exhaustiva de 10 software de DNS convencionales, 46 servicios de DNS públicos y alrededor de 1,8 millones de solucionadores de DNS abiertos, la investigación demuestra que todos estos podrían explotarse para llevar a cabo ataques DNSBomb más prácticos y potentes que los ataques DoS conocidos anteriormente.

Experimentos a pequeña escala muestran que la magnitud máxima del pulso puede acercarse a 8,7 Gb/s y el factor de amplificación del ancho de banda podría superar las 20.000 veces. Los ataques controlados realizados provocan la pérdida total de paquetes o la degradación del servicio en conexiones con y sin estado (TCP, UDP y QUIC).

El paper además, presenta soluciones de mitigación efectivas con evaluaciones detalladas y los investigadores informaron  responsablemente sus hallazgos a todos los proveedores afectados y recibieron el reconocimiento de 24 de ellos, los cuales están parcheando su software utilizando las soluciones planteadas.

Se han asignado los siguientes CVE-ID:

La presentación se está haciendo en la conferencia 45th IEEE Symposium on Security and Privacy (Oakland)

Fuente: DNSBomb

Vulnerabilidades críticas en Veeam

Veeam advierte a sus clientes que parcheen una vulnerabilidad de seguridad crítica que permite a atacantes no autenticados iniciar sesión en cualquier cuenta a través de Veeam Backup Enterprise Manager (VBEM).

VBEM es una plataforma basada en web que permite a los administradores gestionar las instalaciones de Veeam Backup & Replication a través de una única consola web. Ayuda a controlar los trabajos de respaldo y realizar operaciones de restauración en toda la infraestructura de respaldo de una organización y en implementaciones a gran escala.

Es importante tener en cuenta que VBEM no está habilitado de forma predeterminada y no todos los entornos son susceptibles a ataques que explotan esta vulnerabilidad.

El error, identificado como CVE-2024-29849 (CVSS de 9,8/10) "permite a un atacante no autenticado iniciar sesión en la interfaz web de Veeam Backup Enterprise Manager como cualquier usuario", explica la empresa. 

Los administradores que no pueden actualizar inmediatamente a VBEM versión 12.1.2.172, que corrige esta falla de seguridad, aún pueden mitigarla deteniendo y deshabilitando los servicios VeeamEnterpriseManagerSvc (Veeam Backup Enterprise Manager) y VeeamRESTSvc (Veeam RESTful API)

Si no está en uso actualmente, Veeam Backup Enterprise Manager también se puede desinstalar siguiendo estas instrucciones para eliminar el vector de ataque.

Veeam también parcheó otras dos vulnerabilidades VBEM de alta gravedad, una que permite la apropiación de cuentas a través de retransmisión NTLM (CVE-2024-29850) y una segunda que permite a usuarios con altos privilegios robar el hash NTLM de la cuenta de servicio Veeam Backup Enterprise Manager si es no configurado para ejecutarse como la cuenta predeterminada del sistema local (CVE-2024-29851).

Se han parcheado las siguientes vulnerabilidades en Veeam Backup Enterprise Manager (VBEM):

  • CVE-2024-29849 (Crítica (9,8): esta vulnerabilidad permite que un atacante no autenticado inicie sesión en la interfaz web de Veeam Backup Enterprise Manager como cualquier usuario. 
  • CVE-2024-29850 (Alta 8,8): esta vulnerabilidad permite la toma de cuentas a través de retransmisión NTLM. 
  • CVE-2024-29851 (Alta 7,2): esta vulnerabilidad permite a un usuario con altos privilegios robar el hash NTLM de la cuenta de servicio de Veeam Backup Enterprise Manager si esa cuenta de servicio no es la cuenta predeterminada del sistema local.
  • CVE-2024-29852 (Baja 2,7): esta vulnerabilidad permite a los usuarios con altos privilegios leer registros de sesiones de respaldo. Veeam Agent para Windows (VAW).
  • CVE-2024-29853 (Alta 7,8): esta vulnerabilidad en Veeam Agent para Microsoft Windows permite la escalamiento de privilegios locales.
  • Defectos de Veeam apuntados a ataques de ransomware

    En marzo de 2023, Veeam parcheó una vulnerabilidad de alta gravedad (CVE-2023-27532) en el software de copia de seguridad y replicación que podría explotarse para violar los hosts de la infraestructura de backup. 

    Esta vulnerabilidad fue posteriormente explotada en ataques atribuidos al grupo de amenazas FIN7 con motivación financiera, vinculados a varias operaciones de ransomware como Conti, REvil, Maze, Egregor y BlackBasta. 

    Meses después, los afiliados del ransomware Cuba utilizaron la misma vulnerabilidad en ataques dirigidos a infraestructura crítica de EE.UU. y empresas de TI de América Latina.

    En noviembre, la compañía lanzó revisiones para abordar otras dos fallas críticas (con puntuaciones base CVSS de 9,8 y 9,9/10) en su plataforma de análisis y monitoreo de infraestructura de TI ONE. Estas fallas permiten a los actores de amenazas obtener la ejecución remota de código (CVE-2023-38547) y robar hashes NTLM (CVE-2023-38548) de servidores vulnerables.

    Fuente: BC

    21 may 2024

    Actualizaciones críticas en Git v2.45.1

    GIT está llamando actualizar a la la última versión GIT 2.45.1, lanzada el 14 de mayo de 2024, que aborda cinco vulnerabilidades. Las plataformas afectadas son Windows, MacOS, Linux e incluso *BSD, ¡por lo que estas soluciones son importantes para todos! 

    Esta versión se coordinó con Visual Studio y Github Desktop, que incluyen un subconjunto de GIT. También están lanzando varias actualizaciones de defensa en profundidad para corregir los siguientes errores:

    • CVE-2024-32002 (Critico, Windows & MacOS): los repositorios de Git con submódulos pueden engañar a Git para ejecutar un hook desde el directorio .git/ durante una operación de clonación (git clone), lo que lleva a la Ejecución de Código Remoto (RCE). Existe un exploit público y funcional para esta vulnerabilidad que permite ejecutar código en el cliente. 
    • CVE-2024-32004 (Alto): un atacante puede crear un repositorio local que ejecute código arbitrario cuando se clona.
    • CVE-2024-32465 (Alto): la clonación de los archivos .ZIP que contienen repositorios Git pueden evitar las protecciones, potencialmente ejecutando hooks inseguros.
    • CVE-2024-32020 (Bajo): los clones locales en el mismo disco pueden permitir a los usuarios no confiables modificar archivos vinculados en la base de datos de objetos del repositorio clonado.
    • CVE-2024-32021 (Bajo): la clonación de un repositorio local con enlaces simbólicos puede dar lugar a los archivos arbitrarios en el directorio "objects/"

    La actualización a la última versión de GIT es esencial para proteger contra estas vulnerabilidades. Si no puede actualizar de inmediato, tenga cuidado de donde clone los repositorios.

    Fuente:Github

    Nueva ola de delitos impulsados por Deep Fakes

    A medida que los ataques Deep Fake a empresas dominan los titulares de las noticias, los expertos en detección están recopilando información valiosa sobre cómo surgen estos ataques y las vulnerabilidades que explotan.

    Entre 2023 y 2024, las frecuentes campañas de phishing e ingeniería social provocaron secuestro de cuentas y robo de activos y datos, robo de identidad y daños a la reputación de empresas de todos los sectores.

    Los centros de llamadas de los principales bancos e instituciones financieras ahora están abrumados por una avalancha de llamadas falsas que utilizan tecnología de clonación de voz en un esfuerzo por ingresar a las cuentas de los clientes e iniciar transacciones fraudulentas.

    Los servicios de asistencia técnica y el personal internos también se han visto inundados con campañas de ingeniería social a través de llamadas y mensajes, a menudo con éxito, como fue el caso del ataque a la empresa desarrolladora de software interno Retool, que provocó decenas de millones de dólares en pérdidas para los clientes de la empresa. Un trabajador financiero fue engañado para que transfiriera fondos a estafadores. Tras el ataque de phishing de Retool, solo uno de los clientes de criptomonedas de la empresa perdió 15 millones de dólares en activos.

    La barrera de entrada para los delincuentes ahora está más baja que nunca. Las herramientas que permiten la creación de Deep Fakes son más baratas y accesibles, lo que brinda incluso a los usuarios sin conocimientos técnicos la oportunidad de diseñar sofisticadas campañas de fraude impulsadas por la IA.

    Dada la creciente proliferación y los métodos utilizados por los ciberdelincuentes, la detección en tiempo real que aproveche la IA para detectarla será esencial para proteger los intereses financieros y de reputación de las empresas.

    Deep Fakes en todas las modalidades

    Un Deep Fake es un medio sintético (una imagen, vídeo, audio o texto) que parece auténtico, pero que ha sido creado o manipulado con modelos generativos de IA.

    El audio Deep Fake se refiere al sonido generado sintéticamente que ha sido creado o alterado utilizando modelos de aprendizaje profundo. Un método común detrás del audio Deep Fake es la clonación de voz, que implica discursos falsos creados con menos de un minuto de muestras de voz de personas reales. La clonación de voz es una preocupación particular en las industrias que utilizan la verificación biométrica de voz para acceder a las cuentas de los clientes. Las empresas que reciben un gran volumen de llamadas telefónicas como parte de su negocio informan constantes ataques Deep Fake a su infraestructura mediante esfuerzos de clonación de voz.

    La creación de un video Deep Fake generalmente implica entrenar una red neuronal profunda en un gran conjunto de datos de videos e imágenes que presentan a los individuos objetivo. El modelo aprende sus rasgos faciales, expresiones y gestos, lo que le permite generar nuevo contenido de vídeo que parece auténtico. Los ciberdelincuentes utilizan vídeos Deep Fake para hacerse pasar por ejecutivos, eludir la verificación biométrica y crear publicidad falsa, entre muchos otros usos.

    Mientras tanto, las imágenes Deep Fake se pueden utilizar para alterar documentos y eludir los esfuerzos de los equipos de Conozca a su Cliente (KYC) y Anti-Lavado de Dinero (AML) para frenar la creación de cuentas con identidades falsas.

    El texto Deep Fake se refiere a contenido generado artificialmente destinado a imitar el estilo, la estructura y el tono de la escritura humana. Estos modelos Deep Fake se entrenan en grandes conjuntos de datos de texto para aprender patrones y relaciones entre palabras, enseñándoles a generar oraciones que parecen coherentes y contextualmente relevantes. Estos Deep Fakes ayudan a los ciberdelincuentes en ataques de phishing y ingeniería social a gran escala al producir volúmenes masivos de texto convincente, y son igualmente útiles en la falsificación de documentos.

    El impacto de los Deep Fakes en todas las industrias

    Los Deep Fakes de audio son uno de los mayores factores de riesgo para las empresas modernas, especialmente las instituciones financieras. Los centros de llamadas bancarios están cada vez más inundados de llamadas clonadas de voz falsasllamadas clonadas de voz falsas que intentan acceder a las cuentas de los clientes, y el fraude impulsado por la IA se ha convertido en la principal preocupación de seguridad para la mayoría de los bancos, ya que los estafadores envían documentos alterados por la IA para abrir cuentas falsas.

    Pero el daño causado por el cibercrimen Deep Fake va mucho más allá de la clonación de voz y puede afectar a cualquier industria. Las compañías de seguros se enfrentan a pérdidas importantes a medida que los estafadores presentan pruebas falsas de reclamaciones ilegítimas. Los competidores pueden crear testimonios de clientes falsos o vídeos e imágenes falsos de un producto supuestamente defectuoso para dañar una marca. Si bien el costo promedio de crear un Deep Fake es de 1,33 dólares, el costo global esperado del fraude de Deep Fake en 2024 es de un trillón de dólares.

    Los Deep Fakes son una amenaza para los mercados y la economía en general: el Deep Fake de una explosión en el Pentágono provocó pánico en el mercado de valores antes de que los funcionarios pudieran desmentirlo. Un ataque más sofisticado podría fácilmente provocar pérdidas masivas en el valor de las empresas y daños a las economías globales.

    Para las empresas de medios, el daño a la reputación causado por los Deep Fakes puede conducir rápidamente a una pérdida de espectadores e ingresos publicitarios. En un momento en el que el público ya se muestra escéptico respecto a todo el contenido que encuentra, los Deep Fakes aumentan las apuestas para obtener informes y verificación de hechos precisos. Si se descubre que un medio audiovisual que sirve de base o evidencia para una noticia es Deep Fake, no verificado ni etiquetado, el daño a la redacción y a la relación de la empresa con su audiencia podría ser irreparable.

    Las plataformas de redes sociales son igualmente vulnerables, especialmente porque se han convertido en la principal fuente de noticias para la mayoría de los ciudadanos. Los actores maliciosos gastan apenas 7 centavos para llegar a 100.000 usuarios de redes sociales con un Deep Fake armado. Permitir la difusión incontrolada de noticias manipuladas por la IA puede provocar graves pérdidas de audiencia y anunciantes y malestar entre los accionistas, sin mencionar los efectos corrosivos sobre la sociedad en general.

    Las campañas de desinformación Deep Fake pueden afectar la integridad de las elecciones, provocando malestar cívico y caos dentro de las instituciones gubernamentales. Este malestar puede sacudir los mercados, debilitar la economía y erosionar la confianza entre los votantes y el sistema electoral. Más de 40.000 votantes se vieron afectados por la llamada automática falsa de Biden en New Hampshire. Pero estas campañas no se limitan a las elecciones. Los actores patrocinados por el Estado pueden crear vídeos sintéticos de líderes que hacen afirmaciones falsas para dañar las relaciones diplomáticas y comerciales, incitar conflictos y manipular las acciones. El Informe de Riesgos Globales 2024 del Foro Económico Mundial clasifica la desinformación impulsada por la IA como la amenaza número uno que enfrentará el mundo en los próximos dos años.

    Soluciones de detección de Deep Fake

    ¿Cómo combaten las organizaciones esta amenaza urgente? Todo se reduce a la detección.

    La capacidad de detectar voces, vídeos, imágenes y textos generados por IA (de forma precisa, rápida y a escala) puede ayudar a las organizaciones a adelantarse a los actores de amenazas que intentan utilizar Deep Fakes para ejecutar sus campañas de fraude o desinformación.

    Quienes trabajan para proteger los centros de llamadas, los equipos de atención al cliente y los servicios de asistencia internos querrán buscar una solución que pueda detectar voces generadas por IA en tiempo real. Dado que estos puntos de contacto son altamente vulnerables y susceptibles al fraude, la detección de voz profunda en tiempo real debería encajar perfectamente en los flujos de trabajo de plataformas biométricas o de autenticación de voz existentes, permitiendo a las empresas una integración perfecta sin volver a capacitar a los empleados en una pila tecnológica completamente nueva.

    Uno de cada seis bancos lucha por identificar a sus clientes en cualquier etapa del recorrido del cliente, y los trabajadores financieros citaron la incorporación de clientes como el proceso de flujo de trabajo más vulnerable al fraude. Los detectores de texto e imágenes son un poderoso elemento disuasivo contra la falsificación de documentos, el robo de identidad y los esfuerzos de phishing. Un conjunto completo de herramientas de detección de Deep Fake debería fortalecer el flujo de incorporación y reautenticación de los equipos KYC y antifraude para defenderse contra ataques de presentación e inyección.

    Los periodistas deben sentirse capacitados para informar sobre las noticias con la confianza de que sus fuentes son auténticas. Los modelos de detección de imágenes, vídeos y texto ayudan a garantizar que los periodistas no consideren pruebas falsas en informes legítimos. El 53% de los estadounidenses obtienen noticias a través de las redes sociales. Una solución de detección bien equipada debería ayudar a los equipos de moderación de contenido (de quienes no se puede esperar que verifiquen una avalancha de contenido a escala) a proteger las plataformas de redes sociales para que no se conviertan en canales involuntarios de contenido falso.

    Se han creado sofisticadas herramientas de detección de audio Deep Fake para detectar la herramienta popular más nueva de manipulación política: llamadas automáticas engañosas que utilizan clones de voz de candidatos políticos. Los atacantes patrocinados por el Estado ahora pueden hacerse pasar fácilmente por jefes de Estado y otras figuras políticas. Las soluciones de detección actuales pueden detectar suplantaciones sintetizadas en momentos críticos, garantizando que se pueda advertir al público. La detección de texto ayuda a las instituciones gubernamentales a detectar documentos y comunicaciones dañinos generados por IA para ayudar a prevenir la identidad y el fraude antes de que puedan afectar las vidas y los medios de subsistencia de los ciudadanos.

    Reality Defender es una de esas soluciones para detectar y proteger contra Deep Fakes avanzados de todos los medios. Su API independiente de la plataforma permite a las organizaciones cargar una gran cantidad de contenido y escalar capacidades de detección bajo demanda, utilizando un enfoque multimodelo para observar cada archivo cargado desde múltiples ángulos y con los modelos de creación de Deep Fake más nuevos en mente. Esto crea una puntuación de resultado más completa y sólida, que refleja la probabilidad de manipulación de la IA. Con múltiples modelos en múltiples modalidades, las organizaciones pueden tomar los siguientes pasos informados y basados en datos para proteger a sus clientes, activos y reputaciones de complejos ataques Deep Fake de hoy y del mañana.

    Fuente: SecurityIntelligence

    Nueva vulnerabilidad Wi-Fi permite la escucha ilegal de la red mediante ataques de degradación/downgrade

    Investigadores de Top10VPN han descubierto una nueva vulnerabilidad de seguridad derivada de un defecto de diseño en el estándar Wi-Fi IEEE 802.11 que permite engañar a las víctimas para conectarse a una red inalámbrica menos segura y escuchar el tráfico de su red (downgrade).

    El Ataque de Confusión SSID, rastreado como CVE-2023-52424, impacta todos los sistemas operativos y los clientes Wi-Fi, incluidas las redes hogareñas, corporativas y mesh que se basan en los protocolos de WEP, WPA3, 802.11x/EAP y AMPE.

    El método "implica rebajar a las víctimas a una red menos segura mediante la inspección de un nombre de red confiable (SSID) para que puedan interceptar su tráfico o llevar a cabo más ataques", dijo Top10VPN, que colaboró con los investigadores Ku Leuven y Mathy Vanhoef.

    "Un ataque exitoso de confusión SSID también hace que cualquier VPN con esta funcionalidad se desactive automáticamente en redes de confianza, dejando expuesto el tráfico de la víctima".

    El problema que sustenta el ataque es el hecho de que el estándar Wi-Fi no requiere que el nombre de la red (SSID o el identificador del conjunto de servicios) siempre se autentiquen y que las medidas de seguridad solo se requieran cuando un dispositivo opta para unirse a una red en particular.

    Al crear un ataque adversario en el medio (Adversary-in-the-Middle - AitM), el efecto neto de este comportamiento es que un atacante podría engañar a un cliente para que se conecte a una red Wi-Fi no confiable, distinta de a la que pretendía conectarse.

    "En nuestro ataque, cuando la víctima quiere conectarse a su red de confianza, lo engañamos para que se conecte a una red diferente y que utiliza las mismas credenciales de la red original", describieron los investigadores Héloïse Gollier y Vanhoef. "Como resultado, el cliente de la víctima pensará y mostrará al usuario que está conectado a 'Trusted-net', mientras que en realidad está conectado a 'Wrong-net'".

    En otras palabras, a pesar de que las contraseñas u otras credenciales se verifican mutuamente cuando se conectan a una red Wi-Fi protegida, no hay garantía de que el usuario se conecte a la red correcta a la que desea.

    Hay ciertos requisitos previos para lograr el ataque de downgrade:

    • La víctima quiere conectarse a una red Wi-Fi confiable
    • Hay una red deshonesta disponible con las mismas credenciales de autenticación que la primera
    • El atacante está dentro del rango para realizar un AitM entre la víctima y la red de confianza

    Las mitigaciones propuestas para contrarrestar esta confusión de SSID incluyen una actualización del estándar Wi-Fi 802.11 incorporando el SSID como parte del handshake 4 vías cuando se conecta a redes protegidas, así como mejoras a la protección de baliza que permiten un "cliente almacenar una baliza de referencia que contiene el SSID de la red y verifica su autenticidad durante el handshake de 4 vías".

    Las balizas (beacon) se refieren a los marcos de gestión que un punto de acceso inalámbrico transmite periódicamente para anunciar su presencia. Contiene información como el SSID, el intervalo de tiempo de la baliza y las capacidades de la red, entre otras.

    "Las redes pueden mitigar el ataque evitando la reutilización de las credenciales entre los SSID", dijeron los investigadores. "Las redes empresariales deben usar distintos nombres comunes del servidor Radius, mientras que las redes domésticas deben usar una contraseña única por SSID".

    Los hallazgos se producen casi tres meses después de que se revelaron dos fallas de derivación de autenticación en software Wi-Fi de código abierto como WPA_Supplicant e Intel's Inet Wireless Daemon (IWD) que podría engañar a los usuarios para unirse a un clon malicioso de una red legítima o permitir que un atacante pueda unirse a una red de confianza sin una contraseña.

    En agosto pasado, Vanhoef también reveló que el cliente de Windows para Cloudflare WARPCloudflare WARP podría ser engañado para filtrar todas las solicitudes de DNS, permitiendo efectivamente a un adversario falsificar las respuestas de DNS e interceptar casi todo el tráfico.

    Fuente: THN

    20 may 2024

    Vulnerabilidad y exploit en Foxit PDF Reader, permite infección

    Los actores de múltiples amenazas están aprovechando una falla de diseño en el lector de PDF Foxit para entregar una variedad de malware como el Agente Tesla, Asyncrat, DCRAT, Nanocore Rat, NJRAT, Pony, REMCOS RAT y XWORM.

    "Este exploit desencadena advertencias de seguridad que podrían engañar a los usuarios para ejecutar comandos dañinos", dijo Check Point en un informe técnico. "Este exploit está siendo utilizado por múltiples actores de amenazas para infectar usuarios".

    Vale la pena señalar que Adobe Acrobat Reader, que suele tener muchas más vulnerabilidades, en este caso no es susceptible a este exploit específico, lo que contribuye a la baja tasa de detección de la campaña.

    El problema se deriva del hecho de que la aplicación muestra "OK" como la opción seleccionada predeterminada en una ventana emergente cuando se le solicita al usuario que confíen en el documento antes de habilitar ciertas características para evitar posibles riesgos de seguridad.

    Una vez que un usuario hace clic en Aceptar, se muestra una segunda advertencia emergente de que el archivo está a punto de ejecutar comandos adicionales con la opción "Abrir" establecida como el valor predeterminado. El comando activado se usa para descargar y ejecutar una carga útil maliciosa alojada en la red de entrega de contenido (CDN) de Discord.

    "Si hubiera alguna posibilidad de que el usuario objetivo leyera el primer mensaje, el segundo sería 'acordado' sin leer", dijo el investigador de seguridad Antonis Terefos. "Este es el caso de que los actores de la amenaza están aprovechando esta lógica defectuosa y el comportamiento humano común, lo que proporciona como la opción predeterminada la más 'dañina'".

    Check Point dijo que identificó un documento PDF con un tema militar que, cuando se abre a través de Foxit PDF Reader, ejecuta un comando para obtener un descargador que, a su vez, recuperó dos ejecutables para recopilar y cargar datos, incluidos documentos, imágenes, archivos, archivos, archivos, archivos, y bases de datos a un servidor de Comando y Control (C2).

    Un análisis posterior de la cadena de ataque ha revelado que el descargador también podría usarse para soltar una tercera carga útil que sea capaz de hacer capturas de pantalla del host infectado, después de lo cual se cargan al servidor C2.

    La actividad, evaluada para estar orientada al espionaje, se ha relacionado con el equipo de DoNot Team (también conocido como APT-C-35 y Origami Elephant), citando superposiciones con tácticas y técnicas previamente observadas asociadas con el actor de amenazas.

    Una segunda instancia utiliza la misma técnica para implementar dos módulos mineros de criptomonedas como XMRIG y LOLMiner. Curiosamente, algunos de los archivos PDF se distribuyen a través de Facebook.

    El malware Stealer desarrollado en Python es capaz de robar las credenciales y cookies de las víctimas de los navegadores Chrome y Edge, con los mineros recuperados de un repositorio de Gitlab que pertenece a un usuario llamado TopWorld20241. El repositorio, creado el 17 de febrero de 2024, todavía está activo al escribir esto.

    En otro caso documentado, el archivo PDF actúa como un conducto para recuperar de Discord CDN Blank-Grabber, un ladrón de información de código abierto que está disponible en Github y que ha sido archivado a partir del 6 de agosto de 2023.

    "Otro caso interesante ocurrió cuando un PDF malicioso incluyó un hipervínculo a un archivo adjunto alojado en Trello[.]com. Al descargar, reveló un archivo PDF secundario que contiene código malicioso, que se aprovecha del exploit"

    La vía de infección culmina en la entrega de REMCOS RAT, pero solo después de avanzar a través de una serie de pasos que implican el uso de archivos LNK, aplicación HTML (HTA) y Scripts Visual Basic como pasos intermedios.

    El actor de amenaza detrás de la campaña de REMCOS RAT, afirma ser un "hacker ético con más de 22 años de experiencia", se ha observado que anuncia varias herramientas maliciosas a través de un canal de Telegram dedicado, incluidos Crypters y exploits funcionales para Foxit. El canal fue creado el 21 de abril de 2022. Check Point dijo que también identificó otros servicios PDF Builder disponibles gratuitamente en GitHub.

    En todo caso, el uso de Discord, Gitlab y Trello demuestran el abuso continuo de sitios web legítimos por parte de los actores de amenaza para combinarse con el tráfico de red normal, evadir la detección y distribuir malware. Foxit ha reconocido el problema y se espera que despliegue una solución en la versión 2024.3. La versión actual es 2024.2.1.25153.

    Fuente: THN

    #Grandoreiro, el troyano bancario, vuelve más fuerte que nunca

    Los actores de amenazas detrás del troyano bancario Grandoreiro basado en Windows han regresado en una campaña global desde marzo de 2024, luego de una eliminación policial en enero.

    • Grandoreiro es un troyano bancario multicomponente que funciona como malware como servicio (MaaS).
    • Se utiliza activamente en campañas de phishing haciéndose pasar por entidades gubernamentales en México, Argentina y Sudáfrica.
    • El troyano bancario se dirige específicamente a más de 1.500 aplicaciones y sitios web bancarios globales en más de 60 países, incluidas regiones de América Central y del Sur, África, Europa y el Indo-Pacífico.
    • La última variante contiene actualizaciones importantes que incluyen descifrado de cadenas y cálculo DGA, lo que permite al menos 12 dominios C2 diferentes por día.
    • Grandoreiro admite la recopilación de direcciones de correo electrónico de hosts infectados y el uso de su cliente Microsoft Outlook para enviar más campañas de phishing.

    Según el nuevo informe de IBM X-Force, si bien Grandoreiro es conocido principalmente por su enfoque en América Latina, España y Portugal, la expansión probablemente sea un cambio de estrategia después de los intentos de las autoridades brasileñas de cerrar su infraestructura.

    Desde marzo de 2024, X-Force ha observado campañas de phishing haciéndose pasar por el Servicio de Administración Tributaria (SAT) de México, la Comisión Federal de Electricidad (CFE) de México, la Secretaría de Administración y Finanzas de la Ciudad de México y el Servicio de Impuestos AFIP de Argentina. Los correos electrónicos están dirigidos a usuarios de América Latina, incluidos dominios de nivel superior (TLD) de México, Colombia y Chile ".mx", ".co", ".ar" y ".cl".

    De la mano de una huella de ataque más amplia, se encuentran mejoras significativas en el propio malware, lo que indica un desarrollo activo. "El análisis del malware reveló actualizaciones importantes dentro del algoritmo de descifrado de cadenas y generación de dominios (DGA), así como la capacidad de utilizar clientes Microsoft Outlook en hosts infectados para difundir más correos electrónicos de phishing", dijeron los investigadores de seguridad Golo Mühr y Melissa Frydrych.

    Los ataques comienzan con correos electrónicos de phishing que instruyen a los destinatarios a hacer clic en un enlace para ver una factura o realizar un pago, según la naturaleza del señuelo y la entidad gubernamental suplantada en los mensajes. Los usuarios que terminan haciendo clic en el enlace son redirigidos a una imagen de un ícono de PDF, lo que finalmente conduce a la descarga de un archivo ZIP con el ejecutable del cargador Grandoreiro.

    El cargador personalizado se "infla" artificialmente a más de 100 MB para evitar el software de escaneo antimalware. También es responsable de garantizar que el host comprometido no se encuentre en un entorno aislado, recopilar datos básicos de la víctima en un servidor de comando y control (C2) y descargar y ejecutar el principal troyano bancario. Para eludir la ejecución automatizada, muestra una pequeña ventana emergente CAPTCHA que imita al lector de PDF de Adobe, el cual requiere un clic para continuar con la ejecución.

    Vale la pena señalar que el paso de verificación también se realiza para omitir sistemas geolocalizados en Rusia, Chequia, Polonia y los Países Bajos, así como máquinas con Windows 7 basadas en los EE.UU. sin antivirus instalado.

    El componente troyano comienza su ejecución estableciendo persistencia a través del Registro de Windows, después de lo cual emplea un DGA rediseñado para establecer conexiones con un servidor C2 para recibir más instrucciones.

    Grandoreiro admite una variedad de comandos que permiten a los actores de amenazas controlar remotamente el sistema, realizar operaciones con archivos y habilitar modos especiales, incluido un nuevo módulo que recopila datos de Microsoft Outlook y abusa de la cuenta de correo electrónico de la víctima para enviar mensajes de spam a otros objetivos.

    "Para interactuar con el cliente Outlook local, Grandoreiro utiliza la herramienta Outlook Security Manager, un software utilizado para desarrollar complementos de Outlook. La razón principal detrás de esto es que Outlook Object Model Guard activa alertas de seguridad si detecta acceso a objetos protegidos".

    Al utilizar el cliente Outlook local para enviar spam, Grandoreiro puede propagarse a través de las bandejas de entrada de las víctimas infectadas a través del correo electrónico, lo que probablemente contribuye a la gran cantidad de volumen de spam observado en Grandoreiro.

    Fuente: THN

    18 may 2024

    Recomendación: reemplazar VPN SSL para evitar violaciones

    Debido a la explotación repetida de vulnerabilidades relacionadas en los dispositivos de red Edge para violar las redes corporativas, el Norwegian National Cyber Security Center (NCSC) recomienda reemplazar las soluciones SSLVPN/WebVPN por alternativas actualizadas.

    La organización recomienda que la transición se complete para 2025, mientras que las organizaciones sujetas a la "leyes de seguridad" o las de infraestructura crítica deben adoptar alternativas más seguras a fines de 2024.

    La recomendación oficial de NCSC para los usuarios de productos de red privada Virtual Secure Socket Layer (SSL VPN/WebVPN) es cambiar a Internet Protocol Security (IPSEC) con Internet Key Exchange (IKEV2).

    SSL VPN y WebVPN proporcionan un acceso remoto seguro a una red a través de Internet utilizando protocolos SSL/TLS, asegurando la conexión entre el dispositivo del usuario y el servidor VPN utilizando un "túnel de cifrado".

    IPSEC con IKEV2 asegura las comunicaciones cifrado y autenticando cada paquete utilizando un conjunto de KE renovado periódicamente

    "La gravedad de las vulnerabilidades y la explotación repetida de este tipo de vulnerabilidad por parte de los actores significa que el NCSC recomienda reemplazar las soluciones para el acceso remoto seguro que usan SSL/TLS con alternativas más seguras. NCSC recomienda la seguridad del protocolo de Internet (IPSEC) con el intercambio de claves de Internet. (IKev2)", dice el anuncio de NCSC.

    Si bien la organización de ciberseguridad admite IPSEC con IKEv2 no está libre de defectos, cree que cambiar a ella reduciría significativamente la superficie de ataque para incidentes de acceso remoto seguros debido a tener una tolerancia reducida para los errores de configuración en comparación con SSLVPN.

    Las medidas de implementación propuestas incluyen:

    • Reconfigurar las soluciones VPN existentes o reemplazarlas
    • Migrar a todos los usuarios y sistemas protocolos nuevos y actuales
    • Deshabilitar la funcionalidad SSLVPN y bloquear el tráfico TLS entrante
    • Uso de autenticación basada en certificados
    • Cuando no son posibles las conexiones IPSEC, el NCSC sugiere usar la banda ancha 4G/5G.

    Mientras tanto, NCSC también ha compartido medidas provisionales para organizaciones cuyas soluciones VPN no ofrecen el IPSEC con la opción IKEv2 y necesitan tiempo para planificar y ejecutar la migración.

    Estos incluyen implementar el registro de actividad VPN centralizado, las estrictas restricciones de Geo Fencing y bloquear el acceso de los proveedores de VPN, los nodos de salida de TOR y los proveedores de VPS.

    Otros países también han recomendado usar IPSEC sobre otros protocolos, incluidos Estados Unidos y el Reino Unido.

    Abundancia de fallas SSLVPN explotadas

    A diferencia de IPSEC, que es un estándar abierto que la mayoría de las empresas siguen, SSLVPN no tiene un estándar, lo que hace que los fabricantes de dispositivos de red creen su propia implementación del protocolo.

    Sin embargo, esto ha llevado a numerosos errores descubiertos a lo largo de los años en las implementaciones de SSL VPN de Cisco, Fortinet y Sonicwall que los piratas informáticos explotan activamente para violar las redes.

    Como ejemplo, Fortinet reveló en febrero que el grupo chinos de Volt Typhoon hacking group explotó dos fallas de VPN Fortios SSL para violar las organizaciones, incluida una red militar holandesa.

    En 2023, las operaciones de ransomware Akira y Lockbit explotaron un día cero SSL VPN en enrutadores Cisco ASA para violar las redes corporativas, robar datos y dispositivos cifrados.

    A principios de ese año, una vulnerabilidad de FortiGate SSL VPN fue explotada como un Zero-Day contra el gobierno, la fabricación y la infraestructura crítica.

    Las recomendaciones de NCSC se producen después de que la organización alertó recientemente sobre un actor de amenaza avanzada que explota múltiples vulnerabilidades de día cero en Cisco ASA VPNS utilizadas en infraestructura crítica desde noviembre de 2023.

    Cisco reveló la campaña en particular como "Arcanedoor", atribuyéndolo al grupo de amenazas rastreado como 'UAT4356' o 'Storm-1849', quien obtuvo acceso no autorizado a las sesiones de WebVPN asociadas con los servicios de VPN SSL del dispositivo.

    Los ataques involucraron la explotación de dos días cero, a saber, CVE-2024-20353 y CVE-2024-20359, lo que permitió a los piratas informáticos lograr el derivación de la autenticación, la adquisición del dispositivo y la elevación de privilegios a los derechos administrativos.

    Aunque Cisco fijó las dos vulnerabilidades el 24 de abril, la firma de equipos de seguridad cibernética y de redes no pudo identificar cómo los actores de amenaza inicialmente obtuvieron acceso al dispositivo.

    Fuente: BC

    17 may 2024

    Vulnerabilidad crítica de SQLi en WP-Automatic permite tomar control del servidor (hay exploit)

    Delincuentes informáticos están atacando sitios web que utilizan el conocido complemento de WordPress Automatic. El ataque intenta explotar una vulnerabilidad de alta gravedad que permite una toma total del control de WordPress.

    La vulnerabilidad reside en WordPress Automatic, un complemento con más de 38.000 clientes de pago. Los sitios web que ejecutan el sistema de gestión de contenidos WordPress lo utilizan para incorporar contenido de otros sitios. Investigadores de la empresa Patchstack revelaron el mes pasado que las versiones 3.92.0 e inferiores de WP Automatic tenían una vulnerabilidad con una clasificación de gravedad de 9,9 sobre 10 posible. El desarrollador del complemento, ValvePress, publicó silenciosamente un parche, que está disponible en la versión 3.92.1.

    Los investigadores han clasificado la falla, rastreada como CVE-2024-27956, como una inyección SQL, una clase de vulnerabilidad que surge de una falla de una aplicación web al consultar correctamente las bases de datos backend.

    WPScan dijo que CVE-2024-27596 permite a los visitantes del sitio web no autenticados crear cuentas de usuario de nivel de administrador, cargar archivos maliciosos y tomar el control total de los sitios afectados. La vulnerabilidad, que reside en cómo el complemento maneja la autenticación del usuario, permite a los atacantes eludir el proceso de autenticación normal e inyectar código SQL que les otorga privilegios elevados del sistema. Desde allí, pueden cargar y ejecutar cargas útiles maliciosas que cambian el nombre de archivos confidenciales para evitar que el propietario del sitio o otros piratas informáticos controlen el sitio secuestrado.

    "Esta vulnerabilidad es muy peligrosa y se espera que sea explotada masivamente", escribieron los investigadores de Patchstack el 13 de marzo. Incluso ya se encuentra un exploit público que permite tomar control del servidor a través de una shell reversa.

    Los ataques comenzaron poco después del 13 de marzo, 15 días después de que ValvePress lanzara la versión 3.92.1 sin mencionar el parche crítico en las notas de la versión.

    La firma de seguridad web WPScan dijo que ha registrado más de 5,5 millones de intentos de explotar la vulnerabilidad desde la divulgación del 13 de marzo por parte de Patchstackla divulgación del 13 de marzo por parte de Patchstack. Los intentos comenzaron lentamente y alcanzaron su punto máximo el 31 de marzo. La empresa no dijo cuántos de esos intentos tuvieron éxito.

    Los ataques exitosos suelen seguir este proceso:

    • Inyección SQL (SQLi): los atacantes aprovechan la vulnerabilidad SQLi en el complemento WP‑Automatic para ejecutar consultas no autorizadas a bases de datos.
    • Creación de usuarios administradores: con la capacidad de ejecutar consultas SQL arbitrarias, los atacantes pueden crear nuevas cuentas de usuarios de nivel administrador dentro de WordPress.
    • Carga de malware: una vez que se crea una cuenta de nivel de administrador, los atacantes pueden cargar archivos maliciosos, generalmente shells web o puertas traseras, al servidor del sitio web comprometido.
    • Cambio de nombre de archivos: el atacante puede cambiar el nombre del archivo WP-Automatic vulnerable para asegurarse de que solo él pueda explotarlo.

    Una vez que un sitio de WordPress se ve comprometido, los atacantes garantizan su persistencia y forma de acceso creando puertas traseras y ofuscando el código. Para evadir la detección y mantener el acceso, los atacantes también pueden cambiar el nombre del archivo vulnerable WP-Automatic, lo que dificulta que los propietarios de sitios web o las herramientas de seguridad identifiquen o bloqueen el problema.

    Vale la pena mencionar que también puede ser una forma que los atacantes encuentran para evitar que otros actores malintencionados exploten con éxito sus sitios ya comprometidos. Además, dado que el atacante puede usar los altos privilegios adquiridos para instalar complementos y temas en el sitio, notamos que, en la mayoría de los sitios comprometidos, los delincuentes instalaron complementos que les permitieron cargar archivos o editar código.

    Cualquiera que sea la clasificación, la vulnerabilidad es tan grave como parece. Los usuarios deben parchear el complemento inmediatamente. También deben analizar cuidadosamente sus servidores en busca de signos de explotación utilizando los indicadores de datos de compromiso.

    Fuente: WPScan

    Buterin dice que "GPT-4 ha superado la Prueba de Turing"

    Los comentarios de Buterin hacen referencia a nuevas investigaciones que indican que la mayoría de los humanos ya no pueden distinguir cuándo están hablando con una máquina.

    El GPT-4 de OpenAI, un modelo de inteligencia artificial (IA) generativa, ha superado la prueba de Turing, según el cofundador de Ethereum, Vitalik Buterin.

    La prueba de Turing es un punto de referencia nebuloso para los sistemas de IA que pretende determinar el grado de similitud humana de un modelo de conversación. El término fue acuñado por el famoso matemático Alan Turing, que propuso la prueba en 1950.

    Según Turing, en aquella época, un sistema de IA capaz de generar un texto que engañara a los humanos haciéndoles creer que estaban manteniendo una conversación con otro humano demostraría la capacidad de "pensamiento".

    Casi 75 años después, la persona a la que se atribuye en gran medida la concepción de la segunda criptomoneda más popular del mundo ha interpretado una reciente investigación preimpresa de la Universidad de California en San Diego como un indicio de que la prueba de Turing ha sido finalmente "superada" por un modelo de producción.

    Investigadores de la Universidad de California en San Diego acaban de publicar un artículo titulado "People cannot distinguish GPT-4 from a human in a Turing test" ("La gente no puede distinguir entre GPT-4 y un humano en una prueba de Turing"), en el que hacían interactuar a unos 500 sujetos humanos con humanos y modelos de IA en una prueba a ciegas para determinar si los sujetos podían averiguar cuál era cuál.

    Según la investigación, los humanos determinaron erróneamente que GPT-4 era un "humano" el 56% de las veces. Esto significa que la máquina engañó a los humanos haciéndoles creer que era uno de ellos la mayoría de las veces.

    Según Buterin, un sistema de inteligencia artificial capaz de engañar a más de la mitad de los humanos con los que interactúa supera la prueba de Turing. Buterin matizó su afirmación con un comentario entre paréntesis: "De acuerdo, no del todo, porque a los humanos se les adivina como humanos el 66% de las veces frente al 54% de los bots, pero una diferencia del 12% es minúscula; en cualquier escenario del mundo real eso cuenta básicamente como aprobar. ¡Significa que la capacidad de las personas para saber si es un humano o un robot es básicamente lanzar una moneda al aire!".

    La prueba de Turing

    La inteligencia artificial general (IAG) y la prueba de Turing no están necesariamente relacionadas, a pesar de que ambas terminologías se confunden a menudo. Turing formuló su prueba basándose en su perspicacia matemática y predijo un escenario en el que la IA podría engañar a los humanos haciéndoles creer que era uno de ellos a través de la conversación.

    Cabe mencionar que la Prueba de Turing es una construcción efímera sin un verdadero punto de referencia o base técnica. No hay consenso científico sobre si las máquinas son capaces de "pensar" como los organismos vivos ni sobre cómo se mediría tal hazaña. En pocas palabras, la inteligencia general artificial o la capacidad de "pensar" de una IA no es actualmente mensurable ni está definida por las comunidades científica o de ingeniería.

    Turing hizo sus predicciones conceptuales mucho antes de la llegada de los sistemas de inteligencia artificial basados en tokens y de la aparición de las redes generativas adversariales (GAN, por sus siglas en inglés), precursoras de los actuales sistemas de IA generativa.
    Inteligencia general artificial

    La idea de inteligencia general artificial (IAG), que a menudo se asocia con el Test de Turing, complica aún más las cosas. En lenguaje científico, una "inteligencia general" es aquella que debería ser capaz de cualquier hazaña basada en la inteligencia. Esto excluye a los humanos, ya que ninguna persona ha demostrado capacidades "generales" en todo el espectro del esfuerzo intelectual humano. Por lo tanto, una "inteligencia artificial general" tendría una capacidad de pensamiento muy superior a la de cualquier ser humano conocido.

    Dicho esto, está claro que GPT-4 no se ajusta al perfil de una verdadera "inteligencia general" en el sentido estrictamente científico. Sin embargo, eso no ha impedido que los miembros de la comunidad de la IA se muevan de un lado a otro y utilicen el término "IAG" para referirse a cualquier sistema de IA capaz de engañar a un número significativo de humanos.

    En la cultura actual, es típico ver términos y frases como "IAG", "similar a los humanos" y "supera la prueba de Turing" para referirse a cualquier sistema de IA que produzca contenidos comparables a los producidos por los humanos.

    Fuente: CoinTelegraph