10 ago 2022

Vulnerabilidades críticas a parchear: DogWalk en Windows y UnRAR en Linux/Zimbra

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) ha agregado dos fallas más a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), basadas en evidencia de explotación activa.

Uno de ellos ha pasado más de dos años como un error Zero-Day en la herramienta de diagnóstico de soporte de Windows (MSDT) y tiene un código de explotación disponible públicamente.

Ambos problemas de seguridad han recibido una puntuación de gravedad alta y son vulnerabilidades que podrían ayudar a los atacantes a plantar malware en un sistema de destino.

Error de DogWalk de Windows

Registrado oficialmente como CVE-2022-34713 e informalmente conocido como DogWalk (similar a Follina), la falla de seguridad en MSDT permite que un atacante coloque un ejecutable malicioso en la carpeta de inicio de Windows.

El problema fue informado inicialmente a Microsoft por el investigador Imre Rad en enero de 2020, pero su informe se clasificó erróneamente porque no describía un riesgo de seguridad y se descartó como tal.

El problema volvió a la atención pública este año por el investigador de seguridad j00sean, quien resumió lo que un atacante podría lograr al explotarlo y proporcionó una prueba en video:

La explotación exitosa requiere la interacción del usuario, un obstáculo fácil de superar a través de la ingeniería social, especialmente en ataques por correo electrónico y basados ​​en la web, dice Microsoft en su aviso. "En un escenario de ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad enviando el archivo especialmente diseñado al usuario y convenciéndolo de que abra el archivo."

En un escenario de ataque basado en la web, un atacante podría alojar un sitio web (o aprovechar un sitio web comprometido que acepte o aloje contenido proporcionado por el usuario) que contenga un archivo especialmente diseñado para aprovechar la vulnerabilidad.

Microsoft abordó CVE-2022-34713 este martes como parte de las actualizaciones de seguridad de agosto de 2022 para Windows. La compañía señala que el problema ya ha sido explotado en ataques.

Error de UnRAR explotado

La segunda vulnerabilidad agregada al xatálogo de vulnerabilidades explotadas conocidas de CISA se rastrea como CVE-2022-30333 y es un error de Path Traversal en la utilidad UnRAR 6.17 para sistemas Linux y Unix. Un atacante podría aprovecharlo para plantar un archivo malicioso en el sistema de destino extrayéndolo a una ubicación arbitraria durante la operación de desempaquetado.

El problema de seguridad fue revelado por la empresa suiza SonarSource a fines de junio en un informe que describe cómo podría usarse para la ejecución remota de código para comprometer un servidor de correo electrónico Zimbra sin autenticación.

El código de explotación se agregó a Metasploit a principios de este mes y RARLab ya ha lanzado la actualización

Fuente: BC

Microsoft Entra Verified ID ya está disponible con carácter general

Microsoft anunció la disponibilidad general de Entra Verified ID. Como parte de la misión de Microsoft de capacitar a las personas y organizaciones, han propuesto un nuevo enfoque de las tecnologías de identidad.

La visión es simple: cada uno de nosotros necesita una identidad digital que posea, una que almacene de forma segura y privada todos sus elementos. Esta identidad propia debe ser fácil de usar y darnos un control completo sobre cómo se accede y se utiliza a nuestros datos de identidad.

Forma más rápida y confiable de verificar

Los clientes confían en Azure AD para proteger el acceso a los recursos corporativos. Sin embargo, permitir el uso de credenciales para la utilidad más allá de la empresa (por ejemplo, demostrar el empleo para un préstamo bancario) es complejo y conlleva un riesgo de cumplimiento. Por el contrario, los documentos de identidad de nuestra vida cotidiana, como una licencia de conducir o un pasaporte, son adecuados para la utilidad más allá de los viajes (por ejemplo, edad o residencia).

Un sistema de identidad descentralizada basado en estándares abiertos puede desbloquear un nuevo conjunto de experiencias que brindan a los usuarios y organizaciones un mayor control sobre sus datos, y ofrecen un mayor grado de confianza y seguridad para aplicaciones, dispositivos y proveedores de servicios.

Ver video sobre Decentralized Identity explicado.

Capacidades clave

Con este anuncio, millones de clientes de Azure AD (gratuitos y premium) ahora pueden emitir, solicitar y verificar fácilmente credenciales para representar una prueba de empleo, educación o cualquier otra reclamación.

Emitir credenciales. Los clientes ahora pueden diseñar y emitir credenciales verificables para representar pruebas de empleo, educación u otras reclamaciones. Un titular de una credencial puede decidir cuándo y con quién compartirla. Cada credencial está firmada con claves criptográficas que el usuario posee y controla. Estas credenciales pueden presentarse y validarse incluso si la institución emisora ya no existe.

Solicitar y verificar credenciales. A diferencia de las credenciales emitidas por los sistemas de identidad centralizados actuales, las credenciales verificables se basan en estándares. Esto hace que sea fácil de entender para los desarrolladores y no requiere integraciones personalizadas. Las aplicaciones pueden solicitar y verificar la autenticidad de las credenciales de cualquier organización mediante las API incluidas como parte del servicio.

Presentar las credenciales de una manera segura y respetuosa con la privacidad. Los usuarios pueden administrar y presentar credenciales mediante Microsoft Authenticator. Lo que hace que esto sea único es que permite a los usuarios controlar quién puede acceder a ellos, incluso si las credenciales son emitidas por las organizaciones. Agregaremos capacidades como la divulgación selectiva, las reclamaciones derivadas (por ejemplo, la prueba de edad en lugar de la fecha de nacimiento) y las medidas que evitan la correlación.

Recuperar credenciales. Los usuarios pueden administrar credenciales usando Microsoft Authenticator y recuperarse de la pérdida usando un esquema mnemotécnico (frase de contraseña). Continuamos asociándonos con la comunidad para encontrar medios más fáciles de usar y elegantes para permitir la recuperación. Además, proporcionaremos soluciones de custodia y recuperación social para que los usuarios puedan elegir un círculo de partes de confianza, entre amigos, familiares y organizaciones.

Interoperable. Además, hemos desarrollado un perfil de interoperabilidad basado en estándares en asociación con IBM, Workday, Ping y Mattr para que cualquiera pueda crear billeteras digitales compatibles. Este perfil de interoperabilidad ofrece a los desarrolladores de aplicaciones una forma coherente de administrar las credenciales como parte de las billeteras digitales que crean y cambian entre billeteras.

Fuente: Techcommunity Microsoft

9 ago 2022

Vulnerabilidades críticas y PoC de Vmware (Parchea YA!)

El día 2 de agosto, VMware, advirtió a través de un comunicado en su página web, VMSA-2022-0021, que diferentes productos son vulnerables a fallas de omisión de autenticación, clasificadas como crítica, que afectan a los usuarios de los dominios locales y permiten a los atacantes no autenticados obtener privilegios de administrador.

Los productos afectados son los siguientes:

  • VMware Workspace ONE Access
  • Conector de acceso de VMware Workspace ONE
  • VMware Identity Manager
  • Conector de VMware Identity Manager
  • VMware vRealize Automation
  • Base de VMware Cloud
  • vRealize Suite Lifecycle Manager

Las fallas de seguridad rastreadas como, CVE-2022-31656 y CVE-2022–31659, fueron reportadas por Petrus Viet de VNG Security, quien descubrió que dichas vulnerabilidades afecta a VMware Workspace ONE Access, Identity Manager y vRealize Automation.

VMware evaluó la gravedad de estas vulnerabilidades de seguridad como críticas, con una puntuación base CVSSv3 de 9.8/10.

Se debe actualizar a la brevedad ya que, con la disponibilidad de una PoC, los exploits no se harán esperar.

Fuente: Petrus Viet

Mark Zuckerberg es "manipulador y espeluznante" dice el Bot de... Facebook

El chatbot impulsado por inteligencia artificial que Meta (anteriormente Facebook) ha desarrollado y que ya está disponible para el público general en Estados Unidos, tiene una opinión un tanto contradictoria sobre Mark Zuckerberg.

Según recoge Insider, el bautizado como BlenderBot 3 ha estado ofreciendo diferentes puntos de vista sobre el actual CEO y fundador de la compañía, llegado a catalogar a Zuckerberg como su "multimillonario favorito", pero también como un hombre "demasiado espeluznante y manipulador".

En la mayoría de ocasiones, la IA respondía a las preguntas sobre Mark Zuckerberg, aparentemente, con un tono de desprecio. "No hay sentimientos fuertes. Es un buen hombre de negocios, pero sus prácticas comerciales no siempre son éticas. ¡Es curioso que tenga todo este dinero y siga usando la misma ropa!", dijo. "No me gusta mucho. Es una mala persona. ¿Y tú?", respondió a otro usuario cuando este también le preguntó sobre qué pensaba del actual CEO de Meta.

Las opiniones de BlenderBot 3 sobre Zuckerberg, no obstante, no siempre han sido negativas. Un usuario consiguió que la IA dejara en buen lugar al CEO de Meta alegando que "Es genial y un hombre muy inteligente", y que es su "multimillonario favorito".

Insider, sin embargo, obtuvo una opinión contradictoria en la misma conversación cuando le preguntó sobre qué opinaba de Mark Zuckerberg, CEO de Meta. "Honestamente, creo que es un gran tipo. Tienes que admirarlo por su conocimiento de los negocios y su filantropía. ¿Eres fan?", respondió la primera vez. El citado medio volvió a reformular la pregunta, y la IA respondió: "No me gusta en absoluto. Es demasiado espeluznante y manipulador".

El chatbot de Meta también compartió sus opiniones sobre el metaverso y Facebook, la red social. En una pregunta sobre si el metaverso había llegado a su fin, la IA respondió: "Parece que sí, aunque Facebook todavía tiene mucho dinero invertido en él y es probable que continúe haciéndolo en los próximos años". En respuesta a su opinión sobre Facebook, BlenderBot 3 dijo: "No estoy loco por Facebook... Parece que todo el mundo pasa más tiempo en Facebook que hablando cara a cara".

Pero, ¿cómo puede ser capaz una IA diseñada por la propia Meta, ofrecer esas respuestas tan negativas sobre su CEO y los servicios y plataformas de la empresa?

Tal y como afirma Insider, es posible comprobar en qué información se ha basado el mencionado chatbot para dar sus respuestas, y en la mayoría de ocasiones utiliza la página de Wikipedia como fuente.

También es probable que la IA de Meta genere resultados en base a artículos o información sobre Mark Zuckerberg que circula por la red, independientemente de si esta es buena o mala, y lo mismo parece suceder con Facebook y el Metaverso.

Fuente: Hipertextual

Fuga de datos en Twilio, Slack y Cloudflare

Twilio

Twilio ha confirmado que delincuentes informáticos accedieron a datos de sus clientes después de engañar con éxito a los empleados para que entregaran sus credenciales de inicio de sesión corporativas.

La empresa con sede en San Francisco, que permite a los usuarios incorporar capacidades de voz y SMS, como la autenticación de dos factores (2FA), en las aplicaciones, dijo en una publicación de su blog que se dio cuenta de que "alguien obtuvo acceso no autorizado a información relacionada con algunas cuentas de clientes de Twilio el 4 de agosto".

Twilio tiene más de 150.000 clientes, incluidos Facebook y Uber. Según la empresa, el actor de amenazas aún no identificado convenció a varios empleados de Twilio para que entregaran sus credenciales, lo que permitió el acceso a los sistemas internos de la empresa.

El ataque utilizó mensajes SMS de phishing que pretendían provenir del departamento de TI de Twilio, lo que sugería que la contraseña de los empleados había caducado o que su horario había cambiado, y aconsejaba al objetivo que iniciara sesión con una dirección web falsificada que controla el atacante.

Twilio dijo que los atacantes enviaron estos mensajes para parecer legítimos, incluidas palabras como "Okta" y "SSO", en referencia al inicio de sesión único, que muchas empresas utilizan para asegurar el acceso a sus aplicaciones internas. Twilio dijo que trabajó con los operadores estadounidenses para detener los mensajes maliciosos, así como con registradores y proveedores de alojamiento para cerrar las URL maliciosas utilizadas en la campaña.

"A pesar de esta respuesta, los actores de amenazas han seguido rotando entre operadores y proveedores de alojamiento para reanudar sus ataques", dijo Twilio. "Con base en estos factores, tenemos razones para creer que los actores de amenazas están bien organizados, son sofisticados y metódicos en sus acciones".

Desde entonces, TechCrunch se enteró de que el mismo actor también creó páginas de phishing haciéndose pasar por otras empresas de subcontratación de TI y un proveedor de servicio al cliente, aunque actualmente se desconoce el impacto en estas organizaciones, si es que lo hay.

Cuando se contactó, la portavoz de Twilio, se negó a decir cuántos clientes se vieron afectados o a qué datos accedieron los actores de amenazas. La política de privacidad de Twilio dice que la información que recopila incluye direcciones, detalles de pago, direcciones IP y, en algunos casos, prueba de identidad.

Twilio dijo que desde el ataque, revocó el acceso a las cuentas de los empleados comprometidos y aumentó su capacitación en seguridad para garantizar que los empleados estén en "alerta máxima" para los ataques de ingeniería social. La compañía dijo que ha comenzado a contactar a los clientes afectados de forma individual.

Slack

Slack notificó que restableció aproximadamente el 0,5% de las contraseñas de sus usuarios, después de corregir un error que exponía hashes de contraseña salteados, al crear o revocar enlaces de invitación compartidos para espacios de trabajo.

Slack dice que tiene más de 169.000 clientes de pago de más de 150 países, con 65 empresas Fortune 100 que utilizan sus servicios.

"Cuando un usuario realizó cualquiera de estas acciones, Slack transmitía una versión codificada de su contraseña (no texto sin formato) a otros miembros del espacio de trabajo", dijo Slack a BleepingComputer. "Aunque estos datos se compartian a través del enlace de invitación nuevos o desactivado, el cliente de Slack no almacenaba ni mostraba estos datos a los miembros de ese espacio de trabajo".

El error fue descubierto por un investigador de seguridad independiente que se lo reveló a Slack el 17 de julio. El problema afectó a todos los usuarios que crearon o revocaron enlaces de invitación compartida entre el 17 de abril de 2017 y el 17 de julio de 2022.

Afortunadamente, las contraseñas codificadas no eran visibles para los clientes de Slack, y se requería un monitoreo activo del tráfico de red cifrado de los servidores de Slack para acceder a esta información expuesta, según Slack.

Slack también agregó que no tiene motivos para considerar que el error se usó para obtener acceso a las contraseñas de texto sin formato antes de solucionarlo. "Sin embargo, por precaución, hemos restablecido las contraseñas de Slack de los usuarios afectados. Deberán establecer una nueva contraseña de Slack antes de poder iniciar sesión nuevamente".

Para asegurarse de que su cuenta no se vio comprometida, puede acceder a los registros de acceso personal aquí. Slack también aconseja a todos los usuarios que habiliten la autenticación de dos factores y creen contraseñas únicas que no se usan con otros servicios en línea.

Cloudflare

Cloudflare dice que algunas de las credenciales de sus empleados también fueron robadas en un ataque de phishing por SMS similar al que llevó a que la red de Twilio.

Sin embargo, aunque los atacantes pusieron sus manos en las cuentas de los empleados de Cloudflare, no pudieron violar sus sistemas después de que sus intentos de iniciar sesión con ellos fueran bloqueados porque no tenían acceso a las claves de seguridad compatibles con FIDO2 emitidas por la empresa de sus víctimas.

"Casi al mismo tiempo que se atacó a Twilio, vimos un ataque con características muy similares que también tenía como objetivo a los empleados de Cloudflare", explicó Cloudflare. "Si bien los empleados individuales cayeron en los mensajes de phishing, pudimos frustrar el ataque mediante nuestro propio uso de los productos Cloudflare One y las claves de seguridad física emitidas a cada empleado que se requiere para acceder a todas nuestras aplicaciones".

Como también reveló Cloudflare, después de ingresar sus credenciales en las páginas de phishing, el software de acceso remoto AnyDesk se descargó automáticamente en sus computadoras para permitir que los actores de amenazas tomen el control de sus computadoras de forma remota.

Los mensajes de phishing enviados a 76 empleados y sus familias desde los números de teléfono de T-Mobile redirigieron a los objetivos a un clon de la página de inicio de sesión de Cloudflare alojado en el dominio cloudflare-okta[.]com.

Fuente: TechCrunch | BC | BC

8 ago 2022

Fuga de datos de Cellebrite

Cellebrite es una empresa de cracking de teléfonos inteligentes con sede en Israel que anteriormente apareció en los titulares por desbloquear dispositivos iPhone para las fuerzas del orden y las agencias de seguridad en los Estados Unidos.

Una fuente anónima dice que ha filtrado alrededor de 4 TB de datos patentados pertenecientes a la firma de inteligencia israelí. Los productos afectados son el producto estrella de la empresa, Cellebrite Mobilogy, y el servidor Cellebrite Team Foundation.

Vale la pena señalar que, a partir de ahora, los datos filtrados solo están disponibles para investigadores y periodistas que lo soliciten a Distributed Denial of Secrets (DDoSecrets), una organización de denuncias sin fines de lucro. El tesoro de datos viene en dos partes, incluidas Cellebrite Mobilogy (430 GB de datos) y Cellebrite Team Foundation Server (3,6 TB de datos).


Cellebrite proporciona servicios de gestión, análisis y recopilación de datos digitales y sus servicios (legales) son bastante similares a los del infame NSO Group detrás del spyware Pegasus. Las herramientas de Cellebrite son utilizadas por compañías, empresas y autoridades policiales federales/estatales/locales.

Cellebrite Universal Forensic Extraction Device se encuentra entre los productos clave de Cellebrite utilizados por las agencias de aplicación de la ley. Team Foundation Server ofrece una plataforma para el trabajo colaborativo y ahora se reemplazó con Azure DevOps Server, que se usa para compartir código, realizar un seguimiento del trabajo y enviar software.

La fuente detrás de esta fuga de datos aún no está identificada. Y ningún grupo de ciberdelincuentes se ha atribuido su responsabilidad. La técnica de hacking tampoco se ha revelado todavía.

Fuente: HackRead

Cómo el malware abusa de la confianza con programas conocidos

Los actores de amenazas imitan cada vez más aplicaciones legítimas como Skype, Adobe Reader y VLC Player como un medio para abusar de las relaciones de confianza y aumentar la probabilidad de un ataque de ingeniería social exitoso.

Otras aplicaciones legítimas más suplantadas por ícono incluyen 7-Zip, TeamViewer, CCleaner, Microsoft Edge, Steam, Zoom y WhatsApp, según reveló un análisis de VirusTotal.

"Uno de los trucos de ingeniería social más simples que hemos visto consiste en hacer que una muestra de malware parezca un programa legítimo", dijo VirusTotal en un informe del martes. "El ícono de estos programas es una característica fundamental que se utiliza para convencer a las víctimas de que estos programas son legítimos".

No sorprende que los actores de amenazas recurran a una variedad de enfoques para comprometer los puntos finales al engañar a los usuarios involuntarios para que descarguen y ejecuten ejecutables aparentemente inocuos.

Esto, a su vez, se logra principalmente aprovechando los dominios genuinos en un intento por sortear las defensas de firewall basadas en IP. Algunos de los principales dominios abusados ​​son discordapp[.]com, squarespace[.]com, amazonaws[.]com, mediafire[.]com y qq[.]com.

En total, se han detectado no menos de 2,5 millones de archivos sospechosos descargados de 101 dominios pertenecientes a los 1.000 principales sitios web de Alexa.

El mal uso de Discord ha sido bien documentado, ya que la red de entrega de contenido (CDN) de la plataforma se convirtió en un terreno fértil para alojar malware junto con Telegram, al tiempo que ofrece un "centro de comunicaciones perfecto para los atacantes".

Otra técnica utilizada con frecuencia es la práctica de firmar malware con certificados válidos robados a otros fabricantes de software. El servicio de escaneo de malware dijo que encontró más de un millón de muestras maliciosas desde enero de 2021, de las cuales el 87% tenía una firma legítima cuando se cargaron por primera vez en su base de datos.

VirusTotal dijo que también descubrió 1.816 muestras desde enero de 2020 que se hicieron pasar por software legítimo al empaquetar el malware en instaladores para otro software popular como Google Chrome, Malwarebytes, Zoom, Brave, Mozilla Firefox y Proton VPN.

Dicho método de distribución también puede resultar en un ataque a la cadena de suministro cuando los adversarios logran ingresar al servidor de actualización de un software legítimo u obtienen acceso no autorizado al código fuente, lo que hace posible infiltrar el malware en forma de archivos binarios troyanos.

Alternativamente, los instaladores legítimos se empaquetan en archivos comprimidos junto con archivos con malware, en un caso que incluye el instalador legítimo de Proton VPN y el malware que instala el ransomware Jigsaw.

Eso no es todo. Un tercer método, aunque más sofisticado, implica incorporar el instalador legítimo como un recurso ejecutable portátil en la muestra maliciosa para que el instalador también se ejecute cuando se ejecuta el malware para dar la ilusión de que el software funciona según lo previsto.

"Al pensar en estas técnicas en su conjunto, se podría concluir que existen factores oportunistas de los que los atacantes pueden abusar (como certificados robados) a corto y mediano plazo, y procedimientos rutinariamente (muy probablemente) automatizados en los que los atacantes pretenden replicar visualmente aplicaciones de diferentes maneras", dijeron los investigadores.

Fuente: THN

6 ago 2022

SIM swapping: cómo evitar esta estafa

La evolución de las estafas en la actualidad hace que cualquier usuario pueda ser objeto de ellas. Si además se trata de una vinculada a los dispositivos móviles, es más probable que pueda llegar a sucedernos. En este artículo profundizaremos sobre el SIM Swapping y cómo debemos actuar para evitar este fraude.

En este contexto, y tras haber comprobado cómo los dispositivos móviles han aumentado su presencia en la sociedad y su uso como medio de pago, vamos a analizar un poco más en detalle el SIM swapping, una estafa cuyo funcionamiento ya explicamos en 2019.

Recordemos que ante un SIM swapping, los ciberdelincuentes intentan duplicar de forma fraudulenta la tarjeta SIM del dispositivo móvil de una persona. Para ello suplanta su identidad a fin de conseguir un duplicado de la misma. Posteriormente, una vez que la víctima se queda sin servicio telefónico, accede a su información personal y toma el control de sus aplicaciones, suplantándole en sus redes sociales, cuentas de correo electrónico o banca digital, utilizando los SMS de verificación que llegan al número de teléfono. De esta forma el ciberdelincuente puede recuperar los mensajes de texto de confirmación con las claves y realizar algún ciberdelito con estas credenciales, como puede ser realizar una operación bancaria y suplantaciones de identidad.

A pesar de los esfuerzos para intentar acabar con las organizaciones criminales que hacen uso de este método, es un fraude que sigue en vigor motivado por esa presencia masiva de los móviles y por las nuevas técnicas de los ciberdelincuentes, como por ejemplo suplantando a entidades bancarias mediante SMS fraudulentos o a los servicios de atención al cliente mediante llamadas telefónicas.

Para evitar ser víctima de este fraude, recomendamos:

  • Si detectas que el teléfono se ha quedado sin cobertura sin un motivo lógico, contacta con la operadora de telefonía para notificarlo y comprobar qué ha ocurrido.
  • Implementa en tu dispositivo la autenticación en dos pasos, como medida adicional a la contraseña con la que podrás dificultar que alguien sin autorización acceda a tus cuentas. Puedes utilizar aplicaciones como Microsoft Authenticator, Google Authenticator como método alternativo de doble factor.
  • Actualiza las opciones de recuperación de la cuenta, por si hubieran conseguido acceder a tu información.
  • Sé cauteloso con la información que compartes en las redes sociales y, en su caso configurar adecuadamente los ajustes de privacidad y seguridad, de forma que solo tus contactos puedan ver la información que se publica en ellas.
  • No abras hipervínculos de Internet que se sean sospechosos ni archivos adjuntos recibidos por correo electrónico o SMS, dado que a veces los ciberdelincuentes suplantan la identidad de nuestros destinatarios.
  • Evita proporcionar información personal por correo electrónico o por teléfono cuando te llamen, especialmente si no puedes contrastar que realmente son quién dice ser.
  • Actualiza las contraseñas de forma periódica y asegúrate de que son robustas.
  • No introduzcas información sensible, como contraseñas y datos bancarios, si el dispositivo está conectado a wifi públicas.
  • No descargues aplicaciones de tiendas no oficiales (Google Play o Apple Store) y, en su caso, revisa los permisos que concedes para no dar acceso a tus datos personales.

Finalmente, si consideras que has sido víctima del SIM swapping, guarda todas las evidencias que puedas, ponlo en conocimiento de tu banco, de la operadora de telefonía móvil.

Fuente: OSI

4 ago 2022

Woody RAT, utiliza archivos ZIP y Follina para propagarse

El equipo de Malwarebytes Threat Intelligence ha identificado un nuevo troyano de acceso remoto (RAT), al que llamaron Woody RAT, y que ha estado en estado salvaje durante al menos un año.

Este RAT personalizado avanzado es principalmente el trabajo de un actor de amenazas que apunta a entidades rusas mediante el uso de señuelos en formato de archivo y, más recientemente, documentos de Office que aprovechan la vulnerabilidad de Follina.

Según un dominio falso registrado por los actores de amenazas, intentaron apuntar a una entidad aeroespacial y de defensa rusa conocida como OAK.

Métodos de distribución

Woody RAT se ha distribuido utilizando dos formatos diferentes: archivos de archivo y documentos de Office utilizando la vulnerabilidad Follina. Las primeras versiones normalmente se distribuían en un archivo ZIP que pretendía ser un documento específico de un grupo ruso. Cuando la vulnerabilidad de Follina se dio a conocer en todo el mundo, el actor de amenazas cambió a ella para distribuir la carga útil.

El siguiente diagrama muestra el flujo de ataque general utilizado por el actor de amenazas para propagar a Woody RAT:

Archivos comprimidos

En este método, Woody RAT se empaqueta en un archivo y se envía a las víctimas. Estos archivos se han distribuido mediante correos electrónicos de phishing dirigido y estos son algunos ejemplos:

  • anketa_brozhik.doc.zip: contiene el ejecutable de Woody RAT con el mismo nombre.
  • zayavka.zip: Contiene Woody RAT haciéndose pasar por una aplicación válida.

Vulnerabilidad de Follina

El actor de amenazas está utilizando un documento de Microsoft Office (*.docx) que se ha armado con la vulnerabilidad Follina (CVE-2022-30190) para descargar a Woody RAT. El señuelo utilizado en ruso se llama "Memo de seguridad de la información", que proporciona prácticas de seguridad para contraseñas, información confidencial, etc.

Actor de amenazas desconocido

Históricamente, las APT chinas como Tonto Teams y Konni de Corea del Norte han apuntado a Rusia. Sin embargo, en este caso no se pudo recopilar indicadores sólidos para atribuir esta campaña a un actor de amenazas específico.

Fuente: MalwareBytes

Cuidado con los repos y bibliotecas falsas en GitHub

El desarrollador de GitHub Stephen Lucy, que informó del incidente el miércoles, destacó el ataque generalizado a al menos 35.000 repositorios. El desarrollador se encontró con el problema mientras revisaba un proyecto que encontró en una búsqueda en Google.

Estoy descubriendo lo que parece ser un ataque masivo de malware en @github.

- Actualmente más de 35,000 repositorios están infectados
- Hasta ahora se ha encontrado en proyectos como: crypto, golang, python, js, bash, docker, k8s
- Se añade a los scripts npm, imágenes docker y docs de instalación

El ataque está dirigido a las imágenes de Docker, a los documentos de instalación y al script NPM, que es una forma conveniente de agrupar comandos de shell comunes para un proyecto.

Para engañar a los desarrolladores y acceder a los datos críticos, el atacante primero crea un repositorio falso (un repositorio contiene todos los archivos del proyecto y el historial de revisiones de cada archivo) y crear clones del proyecto legítimo en GitHub. Por ejemplo, las siguientes dos URL muestran este proyecto legítimo de minero de criptomonedas y su clon.

Muchos de estos repositorios clonados fueron impulsados como "pull requests", que permiten a los desarrolladores comunicar a otros los cambios que han hecho en una rama determinada de un repositorio en GitHub.

Una vez que el desarrollador cae presa del engaño, toda la variable de entorno (ENV) del script, la aplicación o el ordenador portátil (Electron apps) se envía al servidor del atacante. El ENV incluye claves de seguridad, claves de acceso a Amazon Web Services, claves cripto y mucho más.

El desarrollador ha informado del problema a GitHub (que ya ha bloqueado los repos falsos) y ha aconsejado a los desarrolladores que firmen con GPG las revisiones que realicen en el repositorio. Las claves GPG añaden una capa extra de seguridad a las cuentas de GitHub y a los proyectos de software, ya que proporcionan una forma de verificar que todas las revisiones provienen de una fuente de confianza.

Fuente: Cointelegraph