Agencia de seguridad social de Costa Rica sufre infección masiva de ransomware

Los sistemas informáticos de la Caja Costarricense de Seguro Social (CCCS), principal institución de seguridad social en Costa Rica, han sido desconectados por completo luego de una devastadora infección de ransomware Hive. Esta variante funciona como una operación de ransomware como servicio (RaaS, por sus siglas en inglés) y está detrás de al menos 30 ataques confirmados.

La CCCS ya ha reconocido el incidente, mencionando únicamente que los hackers accedieron a sus redes durante la madrugada del martes. Una investigación está en curso, aunque las autoridades aseguran que la información fiscal y de salud de los costarricenses no se ha visto comprometida durante el ataque.   

Después del ataque, todas las impresoras en la red gubernamental comenzaron a imprimir a la vez, por lo que el personal de CCCS instruyó a los empleados en general para desconectar sus equipos de las redes. Las hojas impresas por estos equipos estaban llenas de texto ilegible basado en ASCII.

La administración pública costarricense sigue trabajando para la restauración de los sistemas afectados, aunque aún se desconoce cuánto tiempo tomará el proceso de recuperación.

Oleada de ransomware afecta a Costa Rica

El ataque de Hive fue confirmado un par de días después de que Costa Rica declarara estado de emergencia nacional a causa de los ataques del ransomware Conti contra múltiples agencias gubernamentales, incluyendo los ministerios de Hacienda, Trabajo y Seguridad Social y Ciencia, Innovación, Tecnología y Telecomunicaciones: “Se declara emergencia nacional en todo el sector público del Estado costarricense”, declaró el presidente entrante Rodrigo Chaves.

Hace unas semanas se supo que los operadores de Conti exigían un pago de $10 millones USD a cambio de restablecer los sistemas afectados y no filtrar la información comprometida. Desde un inicio, el gobierno de Costa Rica se negó a negociar con los cibercriminales.

Por el momento se desconoce si existe alguna relación real entre ambos incidentes, aunque esta hipótesis podría resultar acertada. Desde hace meses, Conti ha experimentado una notable baja en sus ataques, aunque se sabe que sus principales operadores se han aliado a otras bandas de ransomware (AvosLocker, BlackCat, BlackByte y posiblemente Hive) para conformar grupos independientes.  

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Agencia de seguridad social de Costa Rica sufre infección masiva de ransomware apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

EnemyBot: Nuevo malware IoT explota múltiples vulnerabilidades para hackear miles de dispositivos

Especialistas en ciberseguridad de AT&T Alien Labs reportan la detección de una variante de malware de Internet de las Cosas (IoT) dirigido a sistemas de gestión de contenido (CMS), servidores web y dispositivos Android. Este malware habría sido desarrollado por el grupo de hacking Keksec, formado en 2016 y que integra diversas botnets.

El malware, identificado como EnemyBot, apunta contra servicios como VMware Workspace ONE, Adobe ColdFusion y WordPress, así como algunos dispositivos IoT y Android. EnemyBot se ha desplegado a una velocidad asombrosa gracias a la explotación de algunas vulnerabilidades.

Este nuevo software malicioso fue desarrollado a partir del código fuente utilizado por otras botnets, incluyendo a Mirai, Qbot y Zbot. Los hackers usan EnemyBot para apuntar contra sistemas Linux y dispositivos IoT.

Una mirada más cercana

Según el reporte, el malware se divide en cuatro secciones principales:

• Un script de Python ‘cc7.py’, usado para descargar todas las dependencias y compilar el malware en diferentes arquitecturas de sistema operativo (x86, ARM, macOS, OpenBSD, PowerPC, MIPS). Después de la compilación, se crea un archivo por lotes “update.sh” para la propagación del malware
• El código fuente principal, que incluye todas las funciones de EnemyBot, e incorpora el código fuente de las otras botnets
• Un segmento de ofuscación “hide.c” que se compila y ejecuta manualmente para codificar/decodificar las cadenas de malware
• Un componente de comando y control (C&C) para recibir acciones vitales y cargas útiles de los hackers

El malware también cuenta con una función para el escaneo de direcciones IP vulnerables y una función “adb_infect”, que abusa de la función Android Debug Bridge para el compromiso de dispositivos móviles.

Entre las fallas explotadas en esta campaña destacan:

• CVE-2021-44228 y CVE-2021-45046, también conocidas como Log4Shell
• CVE-2022-1388, vulnerabilidad en dispositivos F5 BIG IP
• CVE-2022-25075, falla en los routers TOTOLink A3000RU
• CVE-2021-35064, falla en Kramer VIAWare

Si bien los investigadores creen que esta campaña está en fases iniciales, la constante actualización que recibe el malware y la posibilidad de explotar múltiples vulnerabilidades permitiría a los hackers desplegar campañas masivas en el futuro cercano.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo EnemyBot: Nuevo malware IoT explota múltiples vulnerabilidades para hackear miles de dispositivos apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Interpol arresta a hackers que atacaron empresas petroleras y de gas a nivel mundial: Operación Killer Bee

Interpol anunció que la Operación Killer Bee, desplegada en colaboración con las autoridades de 11 países al sur de Asia, permitió el arresto de tres ciudadanos nigerianos acusados de usar troyanos de acceso remoto (RAT) para desviar fondos y robar credenciales de acceso en las organizaciones afectadas. Este grupo cibercriminal operaba desde Lagos, Nigeria, y habría atacado a múltiples compañías de petróleo y gas en Medio Oriente, el norte de África y el sudeste asiático, robando un monto no determinado.

Uno de los arrestados enfrenta cargos por posesión de documentos fraudulentos, suplantación de identidad y obtención de dinero con falsas afirmaciones, y podría pasar más de tres años en prisión. Los otros dos acusados solo enfrentan un cargo de posesión de documentos fraudulentos, que Interpol cree que habrían utilizado en una campaña de compromiso de email empresarial (BEC).

FUENTE: Interpol

Durante el arresto de los tres individuos se confiscaron laptops y smartphones usados para esta operación fraudulenta, lo que permitió a los agentes de la ley descubrir que los hackers usaban el RAT conocido como Agent Tesla. Esta variante de malware permite el robo de información, registro de pulsaciones del teclado y el robo de credenciales almacenadas en navegadores web, clientes email, y otras plataformas.

Los acusados habrían usado Agent Tesla para robar credenciales en las organizaciones atacadas, además de acceder a emails internos y mantener una vigilancia constante de los empleados en estas compañías. La recolección de información sobre el objetivo es parte fundamental de un ataque BEC, pues los actores de amenazas requieren conocer los procesos, estándares y actores involucrados en los procesos de las organizaciones afectadas.

FUENTE: Interpol

Especialistas en ciberseguridad reportan que Agent Tesla se ha convertido en una de las variantes de software malicioso más utilizadas actualmente, por encima de otras variantes como AveMaria, Formbook, Lokibot, RedLine, y Wakbot.

En días pasados, Interpol también colaboró con el arresto del presunto líder de SilverTerrier, otra operación BEC presuntamente administrada por cibercriminales en Nigeria.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Interpol arresta a hackers que atacaron empresas petroleras y de gas a nivel mundial: Operación Killer Bee apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Así rastrearon y enviaron a prisión a mafia cibercriminal responsable de estafas bancarias multimillonarias

El Departamento de Justicia de E.U. (DOJ) anunció que el residente de Nueva York, John Telusma ha sido sentenciado a cuatro años de prisión por participar en la venta de tarjetas de crédito robadas a través de una plataforma cibercriminal en dark web.

En la denuncia se menciona que Telusma, de 37 años, se unió a Infraud, operación cibercriminal internacional en 2011, consolidándose como uno de los principales vendedores de tarjetas de crédito robadas después de casi seis años de actividad ilícita. Telusma es uno más de los 37 individuos acusados de colaborar en Infraud, derribada en 2018.

Infraud estuvo activa entre 2010 y 2018, cuando ya no les fue posible ocultar sus actividades de las agencias de la ley en E.U., que derribaron la infraestructura criminal de Infraud en una operación conjunta.

Durante la investigación se identificaron decenas de sospechosos de participar en Infraud, ya fuera como vendedores o administradores de la plataforma. Las autoridades participantes en la investigación arrestaron a 13 individuos en Estados Unidos, Australia, Reino Unido, Italia, Kosovo y Serbia.

Para unirse a Infraud, los usuarios debían usar un método de verificación especial, además de que debían ser aprobados por alguno de los administradores principales. A lo largo de casi 10 años, esta operación fraudulenta generó pérdidas por unos $586 millones de dólares.

Otros miembros reconocidos de esta operación fraudulenta son:

• Sergey Medvedev, cofundador de Infraud. Sentenciado a 10 años de prisión
• Valerian Chiochiu, desarrollador de malware. Sentenciado a 10 años de prisión
• Arnaldo Sánchez Torteya, miembro VIP de Infraud. Sentenciado a ocho años de prisión
• Edgar Rojas, miembro VIP de Infraud. Sentenciado a ocho años de prisión

La mayoría de los arrestados se han declarado culpables, mientras que otros acusados siguen siendo investigados por la justicia norteamericana.

Amenaza constante

A pesar de que las agencias del orden a nivel mundial han mostrado su constante compromiso en el combate al cibercrimen, el fraude de tarjetas de crédito sigue siendo un problema para usuarios en todo el mundo, que frecuentemente son engañados por los grupos de hacking para entregar su información bancaria a quienes no deben.

Como en otros casos, la mejor solución es la prevención; no visitar sitios web sospechosos, hacer compras en línea solo en plataformas reconocidas e ignorar cualquier mensaje o llamada telefónica solicitando compartir información bancaria son medidas fundamentales para evitar caer en estas trampas.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Así rastrearon y enviaron a prisión a mafia cibercriminal responsable de estafas bancarias multimillonarias apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

GitHub guardó contraseñas en texto sin formato de 100,000 usuarios de npm en archivos de registro; hackers podrían haber robado información confidencial fácilmente

En un informe de seguridad, GitHub confirmó que se almacenaron en texto sin formato las credenciales de un número no determinado de usuarios para el registro npm. Esta información es producto de la investigación ordenada en abril, cuando en un incidente no relacionado un grupo de hacking robó los datos de unos 100,000 usuarios del paquete JavaScript.

En su informe, el repositorio de código asegura que los archivos de registro no fueron comprometidos y que sus protocolos de seguridad habían sido mejorados incluso antes del ataque a npm. Aunque la compañía ha estado enviando alertas de seguridad desde entonces, esta semana comenzó a notificar directamente a cada usuario afectado por este almacenamiento inseguro.

No se mencionó la cantidad de usuarios afectados o por cuánto tiempo se mantuvo este almacenamiento inseguro. GitHub reconoce que el registro de credenciales va en contra de sus prácticas de seguridad, aunque enfatiza en que ni el repositorio ni npm experimentaron un compromiso o brecha de datos que hubiese expuesto la información en texto sin formato.

Como se menciona anteriormente, la investigación fue ordenada después de que GitHub identificó el robo de tokens OAuth emitidos a dos integradores: Heroku y Travis CI. Según el reporte, Heroku detectó algunos accesos no autorizados a sus repositorios privados a inicios de abril, mientras que Travis CI volvió a emitir todas las claves y tokens privados para la integración de GitHub a pesar de que no se habían detectado indicios de actividad maliciosa.

Los atacantes detrás de este incidente pudieron usar los tokens OAuth robados para acceder a la infraestructura npm de AWS, logrando comprometer una copia de seguridad con información de usuarios que databa de 2015.

De forma inusual y después de publicar este informe, los servicios de GitHub cayeron abruptamente, por lo que los usuarios no pudieron acceder a sus repositorios durante la mañana del lunes. El incidente fue corregido unas horas más tarde.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo GitHub guardó contraseñas en texto sin formato de 100,000 usuarios de npm en archivos de registro; hackers podrían haber robado información confidencial fácilmente apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Pantallas en aeropuerto brasileño son hackeadas para mostrar pornografía

En un hecho sin precedentes, los usuarios del Aeropuerto Santos Dumont, Río de Janeiro, Brasil, se vieron sorprendidos cuando las pantallas en las instalaciones del aeropuerto comenzaron a mostrar videos pornográficos de forma inadvertida. En redes sociales quedaron muestras de este incidente, ocurrido este lunes por la mañana.

Durante el incidente, atribuido a un ciberataque, pudo verse cómo las pantallas que debían mostrar información publicitaria en el aeropuerto eran controladas por actores no identificados para mostrar contenido explícito. Los monitores que muestran los datos de aterrizajes y salidas de vuelos no se vieron afectados.

Minutos después, y ante la imposibilidad de retomar el control de estas pantallas, los administradores del aeropuerto decidieron apagarlas por completo: “Los monitores afectados permanecerán apagados hasta que la empresa responsable de los mismos garantice su seguridad”, señala un comunicado.

El ciberataque fue notificado a la Policía Federal de Brasil, mientras que las autoridades aeroportuarias concluyeron mencionando que la integridad de estas pantallas y el contenido que puedan mostrar es responsabilidad total de la empresa privada que las ha contratado: “Resaltamos que el contenido exhibido en los monitores de los medios es responsabilidad de las empresas de publicidad, que utilizan redes lógicas y sistemas de difusión propios, sin relación con el sistema de información de vuelos en el aeropuerto”, señala el mensaje.

Desde el atentado terrorista de 2001 en E.U., la seguridad aeroportuaria se convirtió en un tema de seguridad nacional para cualquier gobierno, por lo que esta clase de incidentes enciende las alertas para cualquier agencia de investigación por más insignificantes que parezcan. Otros incidentes similares han sido investigados a fondo, con consecuencias indeseables para los infractores.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Pantallas en aeropuerto brasileño son hackeadas para mostrar pornografía apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad día cero en Microsoft Office Pro Plus, Office 2013, Office 2016 y Office 2021 permite hackear redes de forma remota y con un solo clic

Hace unos días, el investigador de seguridad conocido como “nao_sec” reportó la detección de un archivo de Word especialmente diseñado para explotar una vulnerabilidad día cero en Microsoft Office que permitiría la ejecución de código arbitrario apenas al abrir un archivo malicioso.

Este malware, cargado desde Bielorrusia a la plataforma VirusTotal, fue analizado por el experto Kevin Beaumont, quien reporta que este documento usa la función de plantilla remota de Word para recuperar un archivo HTML desde un servidor web remoto que emplea MSProtocol ms-msdt para cargar código y ejecutar código PowerShell.

Interesting maldoc was submitted from Belarus. It uses Word's external link to load the HTML and then uses the "ms-msdt" scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt

— nao_sec (@nao_sec) May 27, 2022

Beaumont menciona que el código se ejecuta sin importar que las macros estén deshabilitadas en el sistema objetivo, sin mencionar que Microsoft Defender no parece poder evitar el ataque: “Aunque la vista protegida se activa, si se cambia el documento a formato RTF, el código malicioso se ejecutará sin siquiera abrir el documento”.   

La falla fue bautizada como “Follina”, como guiño a que el archivo malicioso hace referencia a 0438, el código de área de un pequeño poblado italiano. El investigador, y otros miembros de la comunidad de la ciberseguridad, confirmaron que el exploit conocido permite ejecutar código remoto en algunas versiones de Windows y Office, incluyendo Office Pro Plus, Office 2013, Office 2016 y Office 2021.

If you use Defender for Endpoint on E5, here's a quick advanced hunting query I made for this — can be set as a Custom detection rule.

I'm calling this vuln Follina, a place a Italy (and also the area code of the CVE suspected to be allocated to this).https://t.co/t5CaajScrI

— Kevin Beaumont (@GossiTheDog) May 29, 2022

El exploit parece no parece funcionar en las versiones recientes de Office y en implementaciones Windows Insider, lo que podría significar que Microsoft ya está trabajando para abordar este problema. Beaumont también cree que el exploit podría funcionar en estas versiones con algunas modificaciones.

Un grupo de hacking alojó un dominio web en Namecheap para emplearlo como servidor C&C; la compañía de hosting cerró rápidamente este sitio web. La comunidad de la ciberseguridad ha propuesto algunos mecanismos de mitigación, por lo que se prevé muy poco probable una oleada de explotación activa. 

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad día cero en Microsoft Office Pro Plus, Office 2013, Office 2016 y Office 2021 permite hackear redes de forma remota y con un solo clic apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Hackers podrían usar señales electromagnéticas para controlar smartphones a distancia

Investigadores de la Universidad de Zhejiang y la Universidad Técnica de Darmstadt publicaron un informe detallando lo que definieron como “el primer ataque sin contacto contra pantallas táctiles”. Bautizado como GhostTouch, este ataque usa la interferencia electromagnética (EMI, por sus siglas en inglés) para inyectar falsos puntos de contacto en una pantalla táctil sin tener que tocarla físicamente.

“GhostTouch controla y da forma a la señal electromagnética de campo cercano e inyecta eventos táctiles en un área determinada de la pantalla táctil, sin necesidad de contacto físico o acceso al dispositivo de la víctima”, reportan los expertos.

El ataque podría funcionar desde una distancia de hasta 40 mm, y depende del hecho de que estas pantallas son sensibles a EMI, permitiendo inyectar señales electromagnéticas en los electrodos transparentes integrados en los dispositivos inteligentes. Estas señales electromagnéticas permiten ejecutar eventos táctiles básicos, como toques y deslizamientos en ubicaciones específicas de una pantalla, lo que en algunos casos permitiría a los cibercriminales tomar control remoto de un dispositivo afectado.

Los investigadores configuraron un experimento empleando una pistola electrostática responsable de generar una señal de pulso y enviarla a una antena para transmitir un campo electromagnético hacia la pantalla táctil del dispositivo objetivo. Esto hará que los electrodos, actuando como antenas, reciban la EMI.

Durante el experimento, los investigadores pudieron realizar algunos ajustes para replicar toda clase de comportamientos en una pantalla táctil, como mantener presionado un punto específico o deslizar para abrir un menú.   

Un ataque como este representaría un riesgo para millones de usuarios de smartphones y tabletas, pues los actores de amenazas podrían desbloquear dispositivos, conectarse a puntos WiFi inseguros, hacer clic en enlaces maliciosos, descargar malware e incluso responder llamadas telefónicas de forma arbitraria y actuar a nombre de la víctima.

El ataque GhostTouch fue probado contra múltiples modelos de smartphones de varias marcas, demostrando ser exitoso en dispositivos iPhone SE 2020, Galaxy A10 y S20 5G, Huawei P30 Lite, Honor View 10, Nexus 5X, Redmi Note 9S y Nokia 7.2. Al probar el iPhone SE, los investigadores incluso pudieron establecer una conexión Bluetooth no autorizada.

Además, aunque configurar un escenario de ataque parezca complicado, los expertos creen que un hacker podría arreglárselas para ocultar los dispositivos requeridos para lanzar las señales electromagnéticas requeridas: “Un atacante puede ocultar la herramienta debajo de una mesa en una biblioteca, restaurante, salas de reuniones  y otros lugares”.

Los investigadores creen que los fabricantes podrían mitigar el impacto de esta variante de hacking móvil agregando algún mecanismo de protección para bloquear la intercepción electromagnética, además de mejorar el algoritmo de detección de las pantallas táctiles y fomentar el uso de escáneres biométricos como método de desbloqueo de pantalla.

Por el momento se desconoce si el informe ha sido presentado a los fabricantes de los dispositivos afectados o si estas compañías planean implementar las medidas de seguridad recomendadas en el informe.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Hackers podrían usar señales electromagnéticas para controlar smartphones a distancia apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Autor del tiroteo en Uvalde, Texas, envió amenazas de muerte a través de Facebook Messenger; inteligencia artificial en Meta no pudo detectarlas

Es bien sabido que Meta ha implementado tecnología sofisticada para monitorear mensajes privados enviados a través de Facebook e Instagram con el fin de identificar patrones de contenido dañino como pornografía infantil, acoso o venta de narcóticos. Si bien esta tecnología impulsada por inteligencia artificial ha ayudado a evitar cientos de prácticas criminales, nada en el mundo es infalible.

Este miércoles, el gobernador de Texas, Greg Abbott, confirmó que se tenían advertencias sobre los mensajes que Salvador Ramos envió en Facebook antes de perpetrar el tiroteo que dejó 19 personas muertas en una escuela primaria de Uvalde.

Poco después, el portavoz de Facebook, Andy Stone, aclaró que las publicaciones descritas por el gobernador Abbott eran parte de una conversación privada vía Facebook Messenger descubierta después de que ocurriera esta tragedia. El portavoz también mencionó que Meta estará colaborando con las autoridades locales en la investigación.

The messages Gov. Abbott described were private one-to-one text messages that were discovered after the terrible tragedy occurred. We are closely cooperating with law enforcement in their ongoing investigation.

— Andy Stone (@andymstone) May 25, 2022

Aunque la declaración de Stone parece sugerir que Meta no puede revisar las conversaciones privadas de sus usuarios, lo cierto es que sus sistemas de inteligencia artificial sí pueden analizar los patrones en estos mensajes, además de que son capaces de verificar el contexto, tono y otras características para determinar si existe un riesgo verdadero.

Por lo tanto, se desconoce la razón por la que Meta no pudo determinar que los mensajes enviados por Ramos eran amenazas reales. Además, Meta está por implementar el cifrado de extremo a extremo en sus plataformas de mensajería, lo que eliminaría definitivamente la capacidad de detectar potenciales amenazas.

Un artículo reciente encargado por Meta y retomado por ABC News se enfoca en los beneficios que el cifrado de extremo a extremo traería a los usuarios de Messenger, poniendo como ejemplo principal la privacidad mejorada. No obstante, Meta no se ha pronunciado sobre el posible impacto negativo en tareas como la lucha contra el abuso en línea o la distribución de material de abuso infantil.

El cifrado de extremo a extremo es una preocupación real para las agencias policiales. En 2019 ocurrió una tragedia involucrando a marinos estadounidenses y, aunque las autoridades trataron de acceder a la información contenida en el iPhone de un sospechoso, las políticas de Apple impidieron esta etapa de la investigación.   

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Autor del tiroteo en Uvalde, Texas, envió amenazas de muerte a través de Facebook Messenger; inteligencia artificial en Meta no pudo detectarlas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Código de explotación para hackear productos de VMware es divulgada públicamente. PoC para CVE-2022-22972

Se ha divulgado públicamente el código de una prueba de concepto (PoC) para CVE-2022-22972, una vulnerabilidad crítica en algunos productos de VMware como Workspace ONE Access, Identity Manager y vRealize Automation.

Esta PoC fue publicada por los investigadores de la firma de seguridad Horizon3, en conjunto con un análisis técnico, después de que VMware lanzara las actualizaciones correspondientes: “Este script puede usarse mediante la evasión de autenticación en vRealize Automation”, reportan los investigadores.

Un escaneo con Shodan muestra una cantidad limitada de dispositivos VMware potencialmente comprometidos, la mayoría usados por organizaciones industriales, hospitales y entidades gubernamentales. Los expertos de Horizon3 mencionan que esta vulnerabilidad de manipulación de encabezado es relativamente simple y los actores de amenazas no deberían tener grandes dificultades para explotar implementaciones sin actualizar.

Al respecto, la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) emitió una Directiva de Emergencia en la que se ordena a las agencias federales en E.U. actualizar de inmediato los productos VMware vulnerables, e incluso eliminarlos de ser necesario.

Si bien esta falla no ha sido explotada en escenarios reales, los actores de amenazas han comenzado a atacar implementaciones corregidas para tratar de inyectar un minero de criptomoneda: “CISA espera que los actores de amenazas desarrollen rápidamente la capacidad para explotar estas vulnerabilidades”.

Este ha sido un año difícil para VMware. En abril, la compañía corrigió dos vulnerabilidades críticas de ejecución remota y escalada de privilegios identificadas como CVE-2022-22954 y CVE-2022-229600 en VMware Workspace ONE Access y VMware Identity Manager.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Código de explotación para hackear productos de VMware es divulgada públicamente. PoC para CVE-2022-22972 apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Hackers rusos filtran nuevamente correos electrónicos sobre el Brexit y la agencia de inteligencia británica

Un presunto grupo de ciberespionaje vinculado al Kremlin habría filtrado las conversaciones entre los principales impulsores del Brexit en Reino Unido, incluyendo al ex director de espionaje del MI6 Richard Dearlove; la baronesa Gisela Stuart de la cámara de lores; y el experto en historia Robert Tombs, entre otros.

Estas conversaciones vía correo electrónico fueron publicadas en un sitio web con dominio registrado en Reino Unido y titulado “Very English Coop d’Etat” (que podría traducirse como “un golpe de estado muy inglés”), según reportó la agencia de noticias Reuters.

Poco después, Dearlove confirmó que su cuenta de ProtonMail había sido intervenida: “Estoy al tanto de una operación rusa contra una cuenta de Proton que contenía correos electrónicos dirigidos a mi persona”, mencionó. Dearlove fungió como ministro de inteligencia exterior entre 1999 y 2004.

Poco después, Shane Huntley, director de Google Threat Analysis Group (TAG), atribuyó el ataque a Cold River/Callisto, un grupo cibercriminal presuntamente auspiciado por el gobierno de Rusia. Huntley asegura que este grupo suele explotar cuentas emails asociadas a actores políticos, entidades gubernamentales, organizaciones no gubernamentales (ONG), periodistas y activistas, usando emails de phishing con enlaces y archivos adjuntos maliciosos.

Article on latest Russian efforts.

The "English Coop" website was linked to what the Google knew as "Cold River," a Russia-based hacking group. We're able to see that through technical indicators.https://t.co/CmHNUAP5Fa

— Shane Huntley (@ShaneHuntley) May 25, 2022

El informe de Google TAG apunta a un incremento en las operaciones de hacking contra gobiernos europeos desde el inicio de la invasión rusa en Ucrania. Estos grupos parecen tener como objetivo el robo de información de figuras relevantes en el mundo de la política y los negocios: “Grupos respaldados por China, Irán, Corea del Norte y Rusia, han utilizado varios temas relacionados con la guerra de Ucrania en un esfuerzo por lograr que los objetivos abran correos electrónicos o hagan clic en enlaces maliciosos”, reporta TAG.

De confirmarse que las filtraciones publicadas en “Very English Coop d’Etat” son reales, esta sería la segunda ocasión en que un grupo de hacking ruso filtra documentos confidenciales de funcionarios y políticos influyentes en Reino Unido. En 2019, hackers respaldados por el Kremlin comprometieron la cuenta email de Liam Fox, un reconocido parlamentario conservador. Entre las conversaciones filtradas destacada un supuesto plan para privatizar el Servicio Nacional de Salud británico. 

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Hackers rusos filtran nuevamente correos electrónicos sobre el Brexit y la agencia de inteligencia británica apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

7 vulnerabilidades severas en Open Automation Software Platform, utilizado para la conectividad entre PLC y dispositivos IoT

Investigadores de Cisco Talos detectaron múltiples vulnerabilidades críticas en Open Automation Software Platform, una solución impulsada por un conector de datos universal y que permite mover datos entre controladores lógicos programables (PLC) de diferentes proveedores, desde un PLC a una base de datos, o desde una base de datos a una visualización.

El investigador Jared Rittle fue responsable de identificar las fallas, mencionando que los ataques exitosos permitirían a los actores de amenazas realizar ataques de denegación de servicio (DoS), ejecución de código arbitrario y acceso a información confidencial.   

Cisco Talos publicó un informe con detalles técnicos de cada una de las fallas, disponible para consulta pública.

A continuación se presentan breves descripciones de las vulnerabilidades reportadas, y su correspondiente clave de identificación y puntuación según el Common Vulnerability Scoring System (CVSS).

CVE-2022-26077: El software utiliza un canal de comunicación no seguro para transmitir información confidencial dentro de la funcionalidad de comunicaciones de configuración de OAS Engine, permitiendo a los hackers remotos rastrear el tráfico de la red y acceder a información confidencial.

La vulnerabilidad recibió un puntaje CVSS de 6.5/10.

CVE-2022-27169: La falta de autenticación para una función crítica en la funcionalidad OAS Engine SecureBrowseFile permitiría a los actores de amenazas remotos enviar una solicitud especialmente diseñada y revelar información confidencial.

Esta es una vulnerabilidad de severidad media y recibió un puntaje CVSS de 6.5/10.

CVE-2022-26082: Un problema de escritura de archivos en la funcionalidad OAS Engine SecureTransferFiles permitiría a un administrador remoto enviar solicitudes especialmente diseñadas para ejecutar código arbitrario en el sistema objetivo.

La falla recibió una puntuación CVSS de 7.9/10.

CVE-2022-26026: La falta de autenticación para una función crítica en la funcionalidad OAS Engine SecureConfigValues permitiría a los administradores remotos conducir a una condición DoS mediante una solicitud especialmente diseñada.

La falla recibió un puntaje CVSS de 6.5/10.

CVE-2022-26043: Un problema de control de configuración externo en la funcionalidad OAS Engine SecureAddSecurity permitiría a los hackers remotos enviar solicitudes especialmente diseñadas para crear grupos de seguridad personalizados, evadiendo el proceso de autenticación.

Esta es una vulnerabilidad de severidad media y recibió un puntaje CVSS de 6.5/10.

CVE-2022-26067: La falta de autenticación para una función crítica en la funcionalidad OAS Engine SecureTransferFiles permitiría a los administradores remotos enviar solicitudes especialmente diseñadas para leer archivos arbitrarios en el sistema afectado.

Esta es una falla de bajo riesgo y recibió un puntaje CVSS de 4.3/10.

CVE-2022-26303: La vulnerabilidad existe debido a un problema de control de configuración externo en la funcionalidad OAS Engine SecureAddUser. Un atacante remoto puede enviar una solicitud especialmente diseñada y crear una cuenta de usuario de la OEA.

La vulnerabilidad recibió un puntaje CVSS de 6.5/10.

Según el reporte, las fallas residen en Open Automation Software Platform v16.00.0112. Si bien las fallas pueden ser explotadas por actores de amenazas remotos, hasta el momento no se han detectado intentos de explotación activa; aún así, se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo 7 vulnerabilidades severas en Open Automation Software Platform, utilizado para la conectividad entre PLC y dispositivos IoT apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Ataque de ransomware detiene todas las actividades en condado de Nueva Jersey

El condado de Somerset, Nueva Jersey, ha sido severamente afectado por un ataque de ransomware detectado esta semana, interrumpiendo gran parte de sus operaciones. Con una población de 350,000 habitantes, el condado ha visto completamente paralizados sus sistemas de correo electrónico.

Los funcionarios públicos tuvieron que crear cuentas temporales de Gmail para que los residentes pudieran comunicarse con los departamentos locales de salud, seguridad y servicios de emergencia. También se ha solicitado a los pobladores llamar por teléfono para confirmar que los servicios de su interés estén operando.   

Colleen Mahr, administradora de condado, prevé que la situación demorará unos días más en normalizarse: “Hemos activado nuestro Centro de Operaciones de Emergencia; suponemos que la situación permanecerá vigente al menos por el resto de la semana”.   

Poco después, el condado publicó una actualización mencionando que la oficina del secretario del condado no podía proporcionar la mayoría de los servicios que requieren acceso a Internet. Esto incluye las solicitudes de acceso a registros de tierras, estadísticas vitales, registros de sucesiones y buscadores de títulos antes de 1977.

Nueva Jersey está en proceso de celebrar elecciones primarias y la fecha límite para solicitar boletas por correo es el 31 de mayo. Los funcionarios del condado reiteraron que los sistemas electorales no se vieron afectados por el ataque de ransomware.

Mar concluyó mencionando que el departamento de TI del condado está trabajando de forma ininterrumpida para restablecer los sistemas afectados cuanto antes, por lo que solo queda ser pacientes y seguir las recomendaciones de las autoridades locales.

Las autoridades locales de Somerest no agregaron detalles sobre la variante de ransomware utilizada en este ataque o el monto de rescate exigido por los atacantes.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Ataque de ransomware detiene todas las actividades en condado de Nueva Jersey apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidades de seguridad críticas en enrutador NETGEAR BR200 y BR500. Fallas imposibles de actualizar

La firma tecnológica NETGEAR publicó una alerta de seguridad relacionada con múltiples vulnerabilidades en los enrutadores BR200 y BR500. Según el reporte, un ataque exitoso requiere que la computadora que administra el enrutador visite un sitio web malicioso. Las fallas son consideradas críticas y recibieron puntajes por encima del 7/10 según el Common Vulnerability Scoring System (CVSS).

Debido a limitaciones técnicas en las implementaciones de NETGEAR, se ha confirmado que es imposible lanzar actualizaciones de seguridad para corregir los errores. Ya que las fallas permanecerán sin actualizar, la compañía lanzó una serie de recomendaciones para mitigar el riesgo de explotación:

• Aislar la red mediante redes de área local virtual (VLAN)
• Uso de listas de control de acceso MAC del enrutador para restringir la administración del enrutador a computadoras específicas
• Verificar que la computadora utilizada para acceder a la GUI de administración del enrutador esté protegida con herramientas antivirus/antimalware
• Evitar sitios web sospechosos o emails no solicitados
• Cerrar todas las demás pestañas del navegador que no sean la GUI de administración del enrutador

Para cerrar sesión en la GUI de los enrutadores afectados, siga los pasos a continuación:

• Haga clic en el icono de cierre de sesión (un semicírculo con una flecha saliente) en la parte superior derecha de la página GUI de administración del enrutador
• Asegúrese de que la GUI de administración del enrutador muestre el mensaje “Thank you for using the NETGEAR Web-based Router Configuration Utility”

NETGEAR está ofreciendo descuentos o reemplazos gratuitos a los usuarios que hayan adquirido recientemente alguno de los modelos afectados: Aquellos que compraron un BR200 o BR500 después del 19 de mayo de 2021, son elegibles para recibir un SXR30 (enrutador Orbi Pro WiFi 6 Mini AX1800) gratis, mientras que quienes compraron un BR200 o BR500 antes de la fecha mencionada, podrán solicitar un 50% de descuento al adquirir un SXR30.

En la alerta de seguridad de NETGEAR los usuarios podrán encontrar más información sobre esta oferta.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidades de seguridad críticas en enrutador NETGEAR BR200 y BR500. Fallas imposibles de actualizar apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Interpol arresta al “Rey de los Estafadores”; había robado millones de dólares a miles de personas

Después de una investigación de un año coordinada por Interpol y en la que participaron algunas compañías de ciberseguridad, la Policía de Nigeria arrestó a un individuo de 37 años sospechoso de dirigir SilverTerrier, una de las más grandes redes de compromiso de email empresarial (BEC, por sus siglas en inglés).

Esta agrupación cibercriminal habría comenzado a operar en 2015, desplegando considerables campañas de phishing principalmente desde Nigeria. Inicialmente identificada como SilverTerrier por los expertos de Palo Alto Networks, otras firmas como Group-IB habían apodado a este grupo como TMT. Estas compañías, además de Trend Micro, colaboraron con Interpol en la llamada Operación Delilah.

La Operación comenzó en mayo de 2021 y culminó esta semana con el arresto del presunto líder de SilverTerrier, cuyo nombre no fue revelado, mientras trataba de abordar un vuelo en el Aeropuerto Internacional Murtala Mohammed, en la capital nigeriana. Otros 14 miembros de la pandilla cibercriminal habían sido arrestados a lo largo de 2021.

Los operadores de SilverTerrier habrían montado una infraestructura colosal para sus actividades maliciosas, incluyendo el registro de unos 250 nombres de dominio; 50 de estas plataformas fungían como servidores C&C para el control de variantes de malware como ISRStealer, LokiBot y Pony.

FUENTE: Interpol

Group-IB identificó las operaciones de este grupo en 2019 y desde entonces trató de rastrear a sus operadores. La firma de seguridad calcula que, para inicios de 2020, SilverTerrier/TMT ya había atacado más de 500,000 empresas en unos 150 países.

El BEC es la variante de fraude electrónico más redituable en la actualidad, pues se considera incluso más lucrativa que las operaciones de ransomware. Esta estadística no es nueva, ya que se calcula que, solo en 2021, los grupos de estafadores BEC obtuvieron ganancias ilícitas por unos $2.4 mil millones USD.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Interpol arresta al “Rey de los Estafadores”; había robado millones de dólares a miles de personas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Hackers toman control de 100 cuentas email de empleados de RT y otras organizaciones rusas con fines de ciberespionaje

Una reciente investigación detalla cómo un grupo de hacking no identificado logró comprometer los servidores email de entidades vinculadas al gobierno de Rusia empleando cuatro operaciones separadas de phishing a inicios de 2022. Acorde a los expertos de Malwarebytes, los atacantes usan un troyano de acceso remoto (RAT) que permite espiar y ejecutar comandos en los sistemas infectados, a la vez que despliega diversos mecanismos para evadir la detección y dificultar la ingeniería inversa.

Después de mucho trabajo de recolección de muestras, análisis y seguimiento, los expertos pudieron descubrir algunos detalles sobre este RAT. Si bien estas campañas de phishing no han sido atribuidas a un actor de amenazas en específico, todo apunta a que esta operación está a cargo de un grupo de amenazas persistentes avanzadas (APT) con sede en China.

Operaciones simultáneas

Como se menciona al inicio, los hackers desplegaron cuatro campañas de emails maliciosos desde finales de febrero, trabajando de forma simultánea y empleando diversos señuelos para atraer a los usuarios desprevenidos.

A continuación, revisaremos brevemente las características de cada ataque de phishing, según la evidencia recolectada por Malwarebytes.

Mapa interactivo

Los hackers comenzaron a distribuir el RAT en un archivo identificado como interactive_map_UA.exe, un supuesto mapa interactivo de Ucrania. La distribución del malware comenzó unos días después de que Rusia invadiera Ucrania, lo que indica que los hackers trataron de aprovecharse del conflicto internacional.

Actualización para Log4j

En otra de las campañas maliciosas detectadas se usa una falsa actualización para corregir la vulnerabilidad Log4Shell empleando un archivo tar identificado como Patch_Log4j.tar.gz. Los reportes sobre estos emails comenzaron en marzo y se dirigían a al menos 100 empleados de RT TV, una red de medios de comunicación financiada por el gobierno de Rusia.

Los mensajes aparentan ser enviados por Rostec, el conglomerado de defensa estatal ruso, e incluyen diversas imágenes y archivos PDF en un intento por darle una apariencia menos sospechosa al mensaje.

El PDF adjunto, nombrado О кибербезопасности 3.1.2022.pdf, contiene instrucciones sobre cómo ejecutar el parche falso, además de una lista de viñetas con supuestos consejos de seguridad.

Entre estas recomendaciones incluso se agrega un enlace a VirusTotal anunciando que el archivo no ha sido identificado como malicioso por ningún motor antivirus.

El mensaje también incluye enlaces al sitio web rostec.digital, registrado por actores de amenazas y diseñado de forma similar al sitio real de Rostec. Curiosamente, el sitio web fraudulento fue registrado a mediados de 2021, meses antes de que iniciara la invasión rusa en Ucrania.

Rostec

Los hackers usan de nuevo la imagen de Rostec en la tercera campaña, esta vez distribuyendo un archivo malicioso nombrado build_rosteh4.exe.

Falsa oferta laboral

La última campaña detectada usa un documento de Word que contiene una supuesta oferta laboral en la petrolera estatal Saudi Aramco. El ataque también involucra un archivo autoextraíble usando el ícono de Jitsi y que crea un directorio identificado como Aramco en C:\ProgramData.

En el documento, redactado en inglés, se incluye un mensaje en ruso solicitando al usuario habilitar las macros en su dispositivo.

Posteriormente, una inyección de plantilla remota permite descargar una plantilla incrustada en una macro, que ejecuta una macro para entregar un script VBS identificado como HelpCenterUpdater.vbs en el directorio %USER%\Documents\AdobeHelpCenter. La plantilla también verifica la existencia de %USER%\Documents\D5yrqBxW.txt; siempre y cuando exista, el script será entregado y ejecutado.

El script HelpCenterUpdater.vbs entrega otro archivo VBS ofuscado llamado UpdateRunner.vbs y descarga la carga útil principal, una DLL llamada GE40BRmRLP.dll, desde su servidor C&C. En otra carga útil relacionada, el script parece entregar un EXE en lugar de una DLL, aunque parecen compartir código. 

El script UpdateRunner.vbs se encarga de ejecutar la DLL a través de rundll32.exe.

La DLL maliciosa contiene el código que se comunica con el servidor C&C y ejecuta los comandos recibidos.

La campaña sigue activa y ha tenido éxito relativo, aunque siguen sin conocerse muchos detalles y es difícil saber qué fines específicos siguen los atacantes. Malwarebytes se ha comprometido a continuar con el monitoreo de esta campaña y el malware utilizado por los hackers.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Hackers toman control de 100 cuentas email de empleados de RT y otras organizaciones rusas con fines de ciberespionaje apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad día cero en Tails y TOR Browser expone la identidad de los usuarios. No hay parches disponibles

La distribución Linux Tails ha solicitado a sus usuarios que no utilicen el navegador Tor Browser incluido con el sistema operativo, ya que se ha detectado una vulnerabilidad de contaminación de prototipo. Tor Browser es una modificación de código abierto de Firefox, con enfoque en la privacidad del usuario.

Identificada como CVE-2022-1802, la vulnerabilidad permitiría a los actores de amenazas corromper los métodos de un objeto array en JavaScript a través de la contaminación de prototipo, conduciendo a la ejecución de código malicioso en el contexto de un proceso privilegiado.

Otra falla, identificada como CVE-2022-1529, podría permitir a los hackers maliciosos enviar mensajes al proceso principal para indexar dos veces un objeto JavaScript, conduciendo a la contaminación de prototipo y la ejecución de código JavaScript.

Los desarrolladores de Tails han solicitado a los usuarios no iniciar este navegador mientras trabajan con información confidencial, pues la explotación exitosa de la falla permitiría evadir los mecanismos de seguridad en la distribución, dejando expuesta información potencialmente crítica.

“La vulnerabilidad permite que un sitio web malicioso esquive parte de la seguridad integrada en Tor Browser y acceda a información de otros sitios web. Por ejemplo, después de visitar un sitio web malicioso, un atacante podría acceder a contraseñas y otros registros confidenciales enviados a otros sitios web durante la misma sesión de Tails”, señala el reporte.   

Tails agrega que esta falla no rompe el anonimato y el cifrado de las conexiones Tor, lo que significa que sigue siendo seguro acceder a sitios web desde Tails siempre y cuando el usuario no ingrese información confidencial. Otras aplicaciones en el sistema operativo no se ven afectadas, ya que la ejecución de JavaScript  está deshabilitada.

Por el momento no hay parches disponibles, aunque los desarrolladores ya han confirmado el lanzamiento de la versión corregida Tails 5.1, programada para el 31 de mayo. Mientras tanto, la comunidad de Tails podrá usar la versión independiente del navegador en sistemas Windows, Linux y macOS.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad día cero en Tails y TOR Browser expone la identidad de los usuarios. No hay parches disponibles apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Brokers de datos venden detalles de ubicación de las mujeres que visitan clínicas de aborto

Un grupo de senadores del Partido Demócrata envió una carta a la Comisión Federal de Comercio de E.U. (FTC) solicitando tomar medidas para proteger la privacidad de las mujeres que visitan clínicas de salud reproductiva, esto después de que se confirmara que algunos data brokers venden esta información a compañías de terceros.

Estos reportes llegan en un momento crítico para la salud de las mujeres en E.U., ya que se prevé que la Suprema Corte revocará el histórico fallo Roe v. Wade de 1971, que establece que el derecho al aborto está protegido por la Decimocuarta Enmienda constitucional.

De ser revocado este fallo, cada estado podría fijar su propia ley en materia de salud reproductiva, algo con lo que ya cuentan 13 estados donde sólo se permite el aborto bajo condiciones determinadas. Las mujeres de estos estados tendrían que viajar a otro territorio donde el aborto sea legal, aunque ya hay legisladores proponiendo medidas en contra de esta práctica.

Los senadores que firmaron esta carta consideran que, ante el inminente fallo de la Corte, es vital tomar medidas para la protección de la privacidad de las mujeres que toman decisiones entre ellas, sus familiares y médicos. Como ejemplo de los riesgos por la falta de controles de privacidad, los senadores mencionan los múltiples reportes sobre brokers de datos comprando y vendiendo datos recopilados por apps móviles; estos datos podrían mostrar las conductas de mujeres viajando a otros estados buscando clínicas de salud reproductiva, que podrían resultar de gran interés a terceros.

Recientemente, Vice reportó que las compañías pueden pagar hasta $160 millones USD por bases de datos sobre visitantes a las diversas instalaciones de Planned Parenthood a lo largo de E.U. durante un periodo de apenas una semana.

En la carta, se pide a la FTC que indique que establezca un plan de acción para mitigar los posibles daños de los datos de ubicación recopilados por las aplicaciones móviles para tales fines, además de definir cómo se trabaja con los fiscales y gobiernos locales para evitar que empresas de dudosa reputación accedan a información crítica de millones de mujeres en E.U.

Durante 2021, el valor estimado del mercado de datos de ubicación alcanzó los $14 mil millones USD, lo que deja claro que estas prácticas son redituables y se valen de cualquier vacío en los términos de servicio en las aplicaciones para la extracción de datos confidenciales.

Un representante de la FTC confirmó que la carta fue recibida, aunque no se mencionaron más detalles al respecto.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Brokers de datos venden detalles de ubicación de las mujeres que visitan clínicas de aborto apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Popular paquete ctx Python y biblioteca PHP comprometidos; hackers inyectan backdoor

Investigadores reportan que ctx Python, uno de los paquetes más populares del lenguaje de programación Python, habría sido comprometido por actores de amenazas para la inyección de un backdoor imposible de detectar para los usuarios.

Según se reportó apenas hace unas horas, el paquete recibió una versión de actualización identificada como v0.2.6, algo que llamó la atención debido a que ctx Python no había recibido actualizaciones en 8 años.

Después de que se reflejara la actualización en el repositorio de GitHub, algunos investigadores comenzaron a analizar el código, encontrando algunas características interesantes:

Según los expertos, el código está diseñado de modo que, al crear un diccionario, se envían todas sus variables de entorno a una URL de la aplicación Heroku bajo control de los atacantes. Esta es una clara señal de que la versión actual del paquete ha sido manipulada con fines maliciosos y no debería ser utilizada.

Otras versiones de una bifurcación ‘phpass’, publicadas en el repositorio Packagist, también fueron manipuladas para agregar este código malicioso. Según se ha reportado, PHPass ha sido descargado unas 2.5 millones de veces.

Según el investigador de seguridad Somdev Sangwan, la inserción de este backdoor podría tener como fin la extracción de credenciales de acceso para Amazon Web Services (AWS).

🚨 ALERT 🚨

Python's ctx library and a fork of PHP's phpass have been compromised. 3 million users combined.

The malicious code sends all the environment variables to a heroku app, likely to mine AWS credentials.

— Somdev Sangwan (@s0md3v) May 24, 2022

La versión maliciosa fue lanzada el 14 de mayo, por lo que los usuarios que instalaron el paquete antes de esa fecha están empleando la versión original (v0.1.2), y no se verán afectados por este problema. Por otra parte, cualquier instalación de ctx Python posterior al 14 de mayo podría incluir el código malicioso.

Sobre el método de ataque, especialistas mencionan que, aparentemente, el nombre de dominio de los mantenedores originales de ctx Python expiró, lo que habría permitido a los atacantes registrarlo de nuevo y tomar control de este paquete, agregando la carga maliciosa para su posterior distribución.

La página oficial del proyecto ctx Python en PyPI ha sido eliminada, mostrando el error ‘Not Found’ a los visitantes.  

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Popular paquete ctx Python y biblioteca PHP comprometidos; hackers inyectan backdoor apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Desarrolladores del spyware Predator usan fallas día cero en Chrome para infectar dispositivos Android

Un reporte de Threat Analysis Group (TAG), unidad de Google especializada en la investigación sobre el cibercrimen, señala que Cytrox, desarrolladores del peligroso spyware Predator, ha desarrollado nuevos exploits para 5 vulnerabilidades día cero que permitirían infectar millones de dispositivos Android.

Según el informe, al menos tres campañas de hacking están desplegando Predator de forma simultánea, por lo que las infecciones de spyware podrían alcanzar niveles insospechados.

Los exploits detectados apuntan contra cuatro vulnerabilidades día cero en Chrome y una más en Android. Clement Lecigne y Christian Resell, de TAG, mencionan que estos exploits requieren de otras vulnerabilidades conocidas. Estas campañas también se han beneficiado del retraso o diferencia en el lanzamiento de parches para vulnerabilidades críticas, que en muchas ocasiones permanecen sin corregir en áreas específicas del ecosistema Android.

Con sede en Macedonia del Norte, Cytrox habría vendido estos exploits a diferentes grupos de hacking auspiciados por gobiernos en países como Armenia, Costa de Margil, Grecia Egipto, España, Indonesia, Madagascar y Serbia. Sobre el spyware, Predator es descrito como una herramienta similar a Pegasus, de NSO Group, lo que permite a los actores de amenazas penetrar en los dispositivos iOS y Android.

Las vulnerabilidades explotadas en estas campañas han sido identificadas como:

• CVE-2021-1048
• CVE-2021-37973
• CVE-2021-37976
• CVE-2021-38000
• CVE-2021-38003

Para comenzar, los atacantes distribuyen el malware Alien, que una vez en el sistema objetivo, recibirá comandos de Predator a través de un mecanismo de comunicación entre procesos, otorgándole la capacidad de grabar audio, ocultar aplicaciones y evadir la detección.

La primera campaña fue detectada en agosto pasado, explotando las fallas en Google Chrome para dispositivos Samsung Galaxy S21. Un mes después, la segunda campaña se centró en un Samsung Galaxy S10 actualizado, mientras que la tercera se detectó en octubre de 2021.

En las tres campañas, los atacantes envían URLs únicas a los usuarios de Android afectados vía emails de phishing. Una vez que los usuarios hacen clic en estos enlaces, son redirigidos a un sitio web malicioso desde donde se implementan de forma automática los exploits. Para TAG, esta campaña también demuestra que el phishing sigue siendo un método altamente efectivo para la propagación de malware, el robo de información y otros fines cuestionables.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Desarrolladores del spyware Predator usan fallas día cero en Chrome para infectar dispositivos Android apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad día cero en PayPal permíteme robar dinero de cualquier usuario

Una vulnerabilidad sin corregir en el sistema de transferencia de dinero en PayPal permitiría a los actores de amenazas engañar a cualquier usuario para realizar una trasferencia electrónica con un simple clic.

Este es un ejemplo de la técnica conocida como secuestro de clics (clickjacking), basada en hacer que un usuario interactúe involuntariamente con contenido malicioso en una página web aparentemente inofensiva. Los ataques de secuestro de clics usualmente permiten la descarga de malware, redirecciones a sitios web maliciosos o el robo de datos.

Esto es posible colocando una página invisible o un elemento HTML por encima del contenido visible para el usuario, de modo que el usuario ni siquiera pueda sospechar cuando esté siendo atacado.

El investigador que identificó el problema, conocido como h4x0r_dz, menciona: “El atacante puede secuestrar los clics destinados a la página web legítima y enrutarlos a un sitio probablemente propiedad de otra aplicación, dominio o ambos”. Según el investigador, la falla reside en el endpoint https://ift.tt/CW3Dlqn, y fue reportada a PayPal a finales de 2021.

El endpoint está diseñado para acuerdos de facturación y solo debe aceptar tokens billingAgreementToken. No obstante, h4x0r_dz afirma haber descubierto que es posible pasar otro tipo de token, lo que permitiría vaciar cualquier cuenta de PayPal.

Los cibercriminales podrían incrustar el endpoint dentro de un iframe, lo que provocaría que una víctima con sesión previamente iniciada en un navegador web transfiera fondos a una cuenta de PayPal bajo su control, requiriendo un mínimo nivel de interacción con la víctima.

La falla también podría ser explotada en los portales en línea que se integran con PayPal para pagar: “Hay servicios en línea que permiten agregar saldo mediante PayPal; es posible usar el mismo exploit y agregar saldo a mi cuenta desde el perfil de PayPal de cualquier usuario”.

Aparentemente, la vulnerabilidad no ha sido corregida y el investigador no ha sido contactado por PayPal. Se desconocen los motivos por los que la compañía no ha respondido a este reporte.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad día cero en PayPal permíteme robar dinero de cualquier usuario apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Hacker ético obtiene recompensa de $10 millones USD por encontrar vulnerabilidad crítica en el contrato Ethereum Wormhole

Un investigador y especialista en hacking ético obtuvo un histórico pago de $10 millones USD después de reportar una vulnerabilidad crítica en Wormhole, el contrato de puente central de Ethereum. Wormhole es un protocolo descentralizado que permite la interoperabilidad entre estructuras blockchain como Ethereum, Terra y Binance Smart Chain (BSC).

El reporte, a cargo de un investigador conocido simplemente como ‘Satya0x’, detalla que la explotación de esta falla podría haber permitido a los hackers maliciosos exigir un rescate con la amenaza de bloquear el acceso al protocolo, lo que habría dejado inutilizables todos los fondos almacenados.

En su prueba de concepto (PoC), publicada en GitHub, el investigador señala que más de $730 millones USD en activos virtuales residían en el contrato Wormhole al momento de realizar las pruebas. En respuesta, Wormhole aprobó el pago máximo establecido en su programa de recompensas por vulnerabilidades.

La vulnerabilidad fue descrita como un error de autodestrucción de implementación de proxy actualizable, y fue validada y corregida a finales de febrero, unas horas después de que el investigador presentara su reporte.

Al parecer, este error existe debido a una implementación para un proxy Universal Upgradeable Proxy Standard (UUPS), que no fue inicializado después de que una corrección anterior revirtiera la inicialización original. Los actores de amenazas podrían haber pasado su propio conjunto Guardian y proceder con la actualización como un Guardian bajo su control.

Posteriormente, los hackers maliciosos podrían forzar un intento de actualización con submitContractUpgrade(), provocando una DELEGATECALL a una dirección maliciosa; en esta etapa, los atacantes podrían ejecutar un código SELFDESTRUCT para eliminar definitivamente el contrato de implementación.

Satya0x se mostró satisfecho con su trabajo y con la disposición mostrada por Wormhole e Immunefi, operadora del programa de recompensas del contrato: “Estoy orgulloso de haber participado en la mitigación de esta vulnerabilidad”.

Una recompensa de $10 millones USD parece algo completamente desmedido, aunque esto se explica si se analiza en las grandes y frecuentes pérdidas que sufren las plataformas de finanzas descentralizadas (DeFi). A inicios de 2022, el mismo Wormhole perdió $325 millones USD derivados de un ciberataque de origen desconocido, por lo que no debería resultar extraño que sus programas de recompensas resulten tan atractivos a la comunidad del hacking ético.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Hacker ético obtiene recompensa de $10 millones USD por encontrar vulnerabilidad crítica en el contrato Ethereum Wormhole apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente