EcuCERT de Arcotel
EcuCERT de Arcotel > Noticias > Alertas

Alertas

 

aaaaa

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus 

Consulta nuestras alertas anteriores
Se utilizó un nuevo malware basado en PowerShell denominado PowerExchange en ataques vinculados a piratas informáticos estatales iraníes APT34 a servidores de Microsoft Exchange locales de puerta trasera.
Los ataques en curso están dirigidos a una vulnerabilidad de secuencias de comandos entre sitios almacenados (XSS) no autenticadas en un complemento de consentimiento de cookies de WordPress llamado Beautiful Cookie Consent Banner con más de 40,000 instalaciones activas.

La Operación DreamJob del grupo Lazarus consiste en acercarse a los objetivos a través de LinkedIn y tentarlos con ofertas de trabajo de los líderes de la industria. El nombre fue acuñado por ClearSky en un artículo publicado en agosto de 2020.

https://www.ecucert.gob.ec/wp-content/uploads/2023/05/19-drupal.pdfLa función de descarga de archivos no evade suficientemente las rutas de los archivos en ciertas situaciones. Esto puede dar lugar a que los usuarios obtengan acceso a archivos privados a los que no deberían tener acceso.

https://www.ecucert.gob.ec/wp-content/uploads/2023/05/18-Agent-Tesla.pdfInvestigadores de ESET descubrieron en marzo de 2023 una campaña de malware denominada “Operación Guinea Pig” que apuntaba a varios países de América Latina. El objetivo de la campaña era infectar a las víctimas con el malware AgentTesla.

En abril de 2023, investigadores del equipo de seguridad de Aqua Nautilus, dieron a conocer que obtuvieron evidencias de ataques que han explotado el control de acceso basado en roles (RBAC) de Kubernetes (K8) para crear puertas traseras. Los atacantes también implementaron DaemonSets para secuestrar los recursos de los clústeres de K8 que atacan.

https://www.ecucert.gob.ec/wp-content/uploads/2023/05/16-Bumblebee.pdfActores maliciosos estarían utilizando a los archivos de instalación de aplicaciones populares como Zoom, Cisco AnyConnect, ChatGPR, etc., para distribuir el malware Bumblebee

20-mar-2023. Cisco corrigió una vulnerabilidad DoS de alta gravedad (CVE-2023-20049) en el software IOS XR que afecta a varios enrutadores empresariales. Cisco lanzó actualizaciones de seguridad para abordar una vulnerabilidad DoS de alta gravedad, rastreada como CVE-2023-20049 (puntaje CVSS de 8.6), en el software IOS XR utilizado por varios enrutadores de nivel empresarial.

20-mar-2023. Fortinet lanzó actualizaciones de seguridad el 7 de marzo de 2023 para abordar una vulnerabilidad de seguridad con puntaje de gravedad alto (CVE-2022-41328) que permite a los actores de amenazas ejecutar códigos o comandos no autorizados.

20-mar-2023. En marzo de 2023, una operación de ransomware conocida como Medusa comenzó a cobrar fuerza, apuntando a víctimas corporativas en todo el mundo con demandas de rescate. La operación Medusa comenzó en junio de 2021 teniendo una actividad relativamente baja, con pocas víctimas. Sin embargo, en 2023, se aumentó su actividad y se lanzó un ‘Blog de Medusa’ que se utiliza para filtrar los datos de las víctimas que se niegan a pagar un rescate.

17-mar-2023, Actores maliciosos estarían utilizando mecanismos de Inteligencia Artificial para la generación de videos en Youtube, que a su vez distribuyan una variedad de programas maliciosos malware,  especializados en el robo de información.

.

16-feb-2023, Microsoft atribuyó a un actor de ciber espionaje con sede en China una serie de ataques dirigidos a entidades diplomáticas en América del Sur. El equipo de inteligencia de seguridad del gigante tecnológico está rastreando el grupo bajo el apodo emergente “DEV-0147”, describiendo la actividad como: una «expansión de las operaciones de filtración de datos del grupo que tradicionalmente se dirigían a agencias gubernamentales y grupos de expertos en Asia y Europa».

.

27-feb-2023, Microsoft publicó parches y actualizaciones de seguridad que corrigen tres vulnerabilidades de día cero explotadas activamente y un total de 77 fallas. Nueve (9)  vulnerabilidades han sido clasificadas como ‘Críticas’ ya que permiten la ejecución remota de código en dispositivos vulnerables.

24-feb-2023, El fabricante de software Adobe lanzó en febrero de 2023 correcciones de seguridad para al menos media docena de vulnerabilidades que exponen a los usuarios de Windows y macOS a ataques de piratas informáticos maliciosos.

27-feb-2023, Apple lanzó actualizaciones de seguridad para iOS, iPadOS, macOS y Safari para abordar problemas de falla de día cero.

22-feb-2023, Se ha detectado que el grupo malicioso APT37 conocido como RedEyes, ha desarrollado una nueva herramienta de tipo malware que estaría siendo activamente usada junto a técnicas de estenografía, en campañas de ataque contra activos de información de carácter personal

Los actores de amenazas han explotado los dispositivos de red privada virtual (VPN) de Fortinet para intentar infectar con ransomware una universidad con sede en 
Canadá y una empresa de inversión global.

SpyNote es un malware de la categoría de troyanos de acceso remoto (RAT) de Android. La herramienta de creación SpyNote RAT se puede utilizar para desarrollar aplicaciones maliciosas con la funcionalidad del malware.

Cyble Research & Intelligence Labs, identificó recientemente una campaña de phishing dirigida al software de la aplicación Zoom para entregar el malware IcedID. IcedID, es conocido como BokBot, un troyano bancario que permite a los atacantes robar las credenciales bancarias de las víctimas. Este malware se dirige principalmente a las empresas y se puede utilizar para robar información de
pago.Además, IcedID actúa como cargador, lo que le permite entregar otras familias de malware o descargar módulos adicionales.

Atacantes han creado un malware basado en el módulo Shc de Linux. El malware está enfocado en instalar aplicaciones de minera de cripto monedas y bots utilizados para ataques de denegación de servicio DDoS.

El boletín de seguridad de enero de 2023 de Qualcomm, abordó 22 vulnerabilidades de
software en su suite Snapdragon, que afectaron los dispositivos de Microsoft, Lenovo y
Samsung, entre otros.RCE (Remote Control Execution), es uno de los tipos más peligrosos de vulnerabilidades informáticas. Permite a un atacante ejecutar código malicioso de forma remota dentro del sistema de destino en la red local o en Internet. No se requiere acceso físico al dispositivo.

RCE (Remote Control Execution), es uno de los tipos más peligrosos de vulnerabilidades informáticas. Permite a un atacante ejecutar código malicioso de forma remota dentro del sistema de destino en la red local o en Internet. No se requiere acceso físico al dispositivo.

Maggie es el nuevo backdoor diseñado para afectar servidores Microsoft SQL a nivel global.

Maggie puede forzar los inicios de sesión en otros servidores MS SQL y añadir un nuevo usuario backdoor codificado después de forzar los inicios de sesión del administrador

Múltiples vulnerabilidades en productos Fortinet podrían permitir ataques contra los procesos de autenticación.

Actualización. Múltiples vulnerabilidades en Microsoft Exchange Server podrían permitir ataques remotos y ejecución de código malicioso.

Microsoft descubrió una vulnerabilidad de alta gravedad en la aplicación de Android TikTok, que podría haber permitido a los atacantes comprometer las cuentas de los usuarios.

El grupo de expertos de seguridad de Faraday descubrió una vulnerabilidad crítica que afecta al eCos SDK fabricado por la empresa taiwanesa de semiconductores Realtek, la cual podría exponer los dispositivos de red de varios proveedores a ataques remotos

Los investigadores han descubierto al menos 9000 puntos finales VNC (Virtual

Network Computing) expuestos, a los que se puede acceder y utilizar sin

autenticación, lo que permite a los actores de amenazas, acceder fácilmente a

estaciones de trabajo y redes internas.

Investigaciones dieron a conocer un error de omisión de autentificación que se está explotando activamente para comprometer los servicios de correo electrónico del servicio ZCS.

Malware de fraude telefónico puede suscribir a los usuarios a servicios premium sin que ellos lo descubran ni se den cuenta

Ataque de malware de criptominería dirigido a servidores Linux, con el objetivo de instalar criptomineros como parte de una campaña de larga duración.

Campaña maliciosa de suplantación de identidad a nombre de la Cooperativa de Ahorro y Crédito JEP

Aplicación móvil GetContact se instala con el consentimiento del usuario y obtiene información personal con fines no determinados. 

Ciberdelincuentes emplean diferentes técnicas para realizar el secuestro de cuentas de víctimas en servicios y aplicaciones web.

Ciberdelincuentes extraen datos de tarjetas de crédito de empresas en línea de EEUU, al inyectar código PHP malicioso en las páginas de pago de comercio electrónico, según alerta emitida por el FBI.

Posibilidad de ejecutar malware sobre dispositivos iPhone, incluso cuando estén apagados. Esto se debe a que, ciertos chips inalámbricos permanecen encendidos, lo que permite que el teléfono siga enviando señales que pueden ayudar a localizarlo.

Se han identificado varias aplicaciones en la tienda de apps de Google (Google Play) cuyo objetivo es realizar actividades de tipo maliciosas, como robar credenciales e información confidencial de usuarios

Problema de liberación de recursos en algunas versiones de Apache Tomcat, fue identificado por el equipo de “Apache Tomcat Security”, el 21 de diciembre de 2021 y se hizo público el 12 de mayo de 2022, a través del CVE-2022-25762.

Campaña de phishing distribuye tres programas maliciosos que permitirían robar información confidencial del equipo de la víctima.

Se han detectado 134 problemas de seguridad que permiten a atacantes la ejecución de código arbitrario en dos de las aplicaciones más utilizadas en el mundo.

Apple emite actualizaciones de seguridad para corregir vulnerabilidades encontradas en varios tipos de productos. Las actualizaciones gestionan ciertas vulnerabilidades de tipo Zero Day

Quantum Locker es un tipo de ransomware que ha venido cambiando de denominación desde su detección en 2020; así mismo, se caracteriza por tener un TTRhttps://www.ecucert.gob.ec/wp-content/uploads/2022/05/alerta-ransomware-Quantum-Locker-2022-05-11.pdf inferior al de las otras sepas de ransomware.

F5 Networks; dio a conocer una vulnerabilidad calificada como crítica, que afecta a diferentes versiones de software de los productos BIG-IP; la misma que permitiría a un atacante la ejecución arbitraria de comandos, crear o borrar archivos, o deshabilitar servicios.

CONTI es un RaaS (Ransomware as a service) que fue detectado a finales de 2019, con ataques en Europa, América del Norte y en este último mes con ataques en países cercanos de la región, como: Costa Rica, Colombia y Perú.

En el mes de abril de 2022 se identificaron ataques por parte de ransomware DJVU/STOP  que afectan a infraestructura tecnológica de instituciones públicas y privadas en Ecuador.

En ciertos productos de Java se presenta una vulnerabilidad en la omisión de firma digital que podría permitir a un atacante falsificar firmas y eludir las medidas de autenticación implementadas; permitiendo la modificación de comunicaciones.

VMware dio a conocer diferentes vulnerabilidades calificadas como críticas, importantes y moderadas asociadas a varios productos disponibles en el mercado tecnológico.

En redes sociales circulan campañas de tipo maliciosas que toman la identidad de la Agencia Nacional de Tránsito (ANT) y la empresa TERPEL, la primera hace referencia a consultas de supuestas infracciones de tránsito en un sitio Web y la segunda a un portal de premios ofertados por la empresa. Las dos campañas están orientadas a obtener datos de tipo personal y se encuentran relacionadas.

El compresor de archivos gratuito y de código libre “7-ZIP” presenta una vulnerabilidad que permitiría a un atacante remoto escalamiento de privilegios y ejecución de comandos.

 

En el transcurso de la última semana de marzo del 2022 se han dado a conocer diferentes vulnerabilidades asociadas a Spring framework.

El malware Verblecon; es utilizado para cargar malware, permitiendo la instalación de criptomineros en las máquinas de las víctimas.

VMware dio a conocer diferentes vulnerabilidades calificadas como críticas, importantes y moderadas asociadas a varios productos disponibles en el mercado tecnológico.

Microsoft a través de un comunicado; dio a conocer las correcciones implementadas para un total de 145 vulnerabilidades existentes en sus productos.

Durante marzo y abril de 2022, empresas ecuatorianas, de los sectores de comercialización de materiales de construcción y prestadores de servicios de logística y transportación, fueron víctimas de un ciberataque de tipo Ransomware LockBit 2.0.