EcuCERT de Arcotel

ARCOTEL - EcuCERT

Alertas

aaaaa

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus

La campaña de actualización falsa del navegador ‘ClearFake’ se ha expandido a macOS, apuntando a computadoras Apple con malware Atomic Stealer (AMOS). La campaña ClearFake comenzó en julio de este año para dirigirse a los usuarios de Windows con mensajes falsos de actualización de Chrome que aparecen en sitios pirateados mediante inyecciones de JavaScript

El 09 de noviembre de 2023, CISA (Cybersecurity and Infrastructure Security Agency) de los Estados Unidos, reveló una falla de gravedad alta en el Protocolo de ubicación de servicios (SLP).

Investigadores alerta de un nuevo conjunto de paquetes Python maliciosos que se ha abierto camino hasta el repositorio del índice de paquetes Python (PyPI), con el objetivo de robar información confidencial de los sistemas de desarrollo comprometidos. Estos paquetes se hacen pasar por herramientas de ofuscación aparentemente inocentes, pero albergan un malware llamado BlazeStealer.

Emotet tiene la capacidad de engañar a los programas antivirus básicos y esconderse de ellos; una vez que infecta, el malware se propaga como un gusano informático e intenta infiltrarse en otras computadoras de la red.

CherryBlos es el nombre de un malware dirigido a sistemas operativos Android. Este programa malicioso se clasifica como un stealer y un clipper. Funciona extrayendo o exfiltrando credenciales de monederos de criptomonedas y redirigiendo las transacciones de criptomonedas a monederos propiedad de los atacantes.

El 27 de octubre de 2023, F5 reveló una vulnerabilidad de gravedad crítica que afecta a sus sistemas BIG-IP.

Los proveedores de VMware alertaron a los clientes sobre un exploit de PoC la vulnerabilidad puede inyectar archivos en el sistema operativo afectado, que puede resultar en una ejecución de código remoto.

Zanubis es un malware del tipo troyano de origen peruano que viola los sellos de seguridad de los dispositivos móviles para robar credenciales de acceso y secuestra mensajes SMS que las instituciones bancarias envían a las víctimas, de esta manera los ciberdelincuentes pueden robar el dinero que los usuarios guardan en su banca móvil.

En días anterior Chrome a generados parches de seguridad los cuales han servido para mitigar una vulnerabilidad de día cero el cual se estaría explotando de manera activa para lo cual ya se tiene generado un parche de seguridad, ya que la vulnerabilidad que presentaba era alta en cuanto a navegadores basados en Chrome.

Apple generaría diferentes tipos de parches de seguridad los cuales cubrirían tres fallas, las cuales se han venido explotando en últimamente ya que estaría afectando a las actividades de los diferentes dispositivos los cuales son iOS, iPadOS, macOS y Safari.

En Windows a sido atacado por una nueva cepa del malware ZenRat el cual está generando una problemática ya que esta incrustado en los paquetes de instalación en uno de los gestores de contraseñas que etaria usando Windows como lo es Bitwarden.

WinRAR presentaría una vulnerabilidad que se lanzaría como un PoC falso el cual se encontraría en GitHub con la finalidad de que se pueda infectar a los diferentes usuarios que habría descargado el código que tenía incorporado un malware llamado Venom RAT.

Cisco muestra que han encontrado diferentes vulnerabilidades en su software IOS y en IOS XE que estaría permitiendo a un atacante remoto estar ejecutando código en los sistema afectados los cuales ponen en riesgo la integridad de los quipos ya que podrían causar un fallo en los mismos.

Se han detectado vulnerabilidades en el acceso remoto VPN de CISCO ASA (Adaptative Security Appliance) y CISCO FTD (Firepower Threat Defense) que permitirían a un atacante ejecutar de manera remota ataques de fuerza bruta y establecer conexiones SSL VPN, con la finalidad de instalar ransomware.

Se han detectado múltiples vulnerabilidades en el navegador Google Chrome, y que de ser explotadas, los ciber atacantes podrían ejecutar código malicioso comprometiendo los sistemas y activos de información, a través de la instalación no autorizada de aplicaciones, modificación y borrado de archivos, y creación de cuentas de usuarios con perfiles administrativos.

VMware lanzó actualizaciones de software para corregir dos vulnerabilidades de seguridad en Aria Operations for Networks que podrían explotarse para evitar la autenticación y obtener la ejecución remota de código.

Investigadores del CERT de Japón han alertado de una nueva técnica que consiste en insertar un archivo malicioso de Microsoft Word dentro de un archivo PDF. Esta técnica ha sido bautizada como MalDoc en PDF.

Ciber atacantes estarían explotando vulnerabilidades existentes en MinIO, y consecuentemente accediendo de manera no autorizada a información privada, ejecución de código malicioso y tomar control total de servidores para la ejecución de otras actividades de ataque.

En enero de 2023, Morphisec identificó una tendencia alarmante en la que numerosos clientes, principalmente dentro de los sectores de logística y financiero, estaban bajo el ataque de una nueva y avanzada variante de malware Chaes. Se observó que la sofisticación de la amenaza aumenta durante múltiples iteraciones de abril a junio de 2023.

Se descubrió una nueva versión para Android del software espía GravityRAT que se distribuye como versiones troyanizadas de la aplicación legítima de código abierto OMEMO Instant Messenger para Android.

Una vulnerabilidad de día cero de inyección SQL en la solución de transferencia de archivos administrados (MFT) MOVEit Transfer que ha sido un objetivo activo desde finales de mayo de 2023. La explotación exitosa podría conducir a la ejecución remota de código (RCE), lo que permitiría a los atacantes no autenticados, ejecutar código arbitrario para realizar actividades maliciosas, como deshabilitar soluciones antivirus (AV) o implementar cargas útiles de malware.

Cado Labs descubrió e informó recientemente sobre una herramienta de pirateo emergente centrada en la nube, diseñada para recopilar credenciales de servidores web mal configurados y aprovechar estas credenciales para el abuso de correo electrónico. La herramienta fue nombrada ‘Legión’ por sus desarrolladores, y fue distribuida y comercializada en varios grupos públicos y canales dentro del servicio de mensajería Telegram.

El 23 de mayo de 2023, ASEC (AhnLab Security Emergency Response Center), informó que el grupo Lazarus lleva a cabo ataques contra servidores web de Microsoft Windows IIS, cuando este grupo realiza un análisis y encuentran un servidor web con una versión vulnerable, utilizan la vulnerabilidad adecuada de la versión para instalar un shell web o ejecutar comandos maliciosos.

Se ha detectado una vulnerabilidad crítica de inyección de comando remoto con puntuación de 9.4 que afecta solo a los dispositivos físicos Barracuda Email Security Gateway (CVE-2023-2868).

Se utilizó un nuevo malware basado en PowerShell denominado PowerExchange en ataques vinculados a piratas informáticos estatales iraníes APT34 a servidores de Microsoft Exchange locales de puerta trasera.

Investigadores han detectado la ejecución de una técnica de ataque de tipo de fuerza bruta que inhabilitaría los controles de acceso basados en huellas digitales, lo cual pone en riesgo la privacidad de los activos de información.

Los ataques en curso están dirigidos a una vulnerabilidad de secuencias de comandos entre sitios almacenados (XSS) no autenticadas en un complemento de consentimiento de cookies de WordPress llamado Beautiful Cookie Consent Banner con más de 40,000 instalaciones activas.

La Operación DreamJob del grupo Lazarus consiste en acercarse a los objetivos a través de LinkedIn y tentarlos con ofertas de trabajo de los líderes de la industria. El nombre fue acuñado por ClearSky en un artículo publicado en agosto de 2020.

https://www.ecucert.gob.ec/wp-content/uploads/2023/05/19-drupal.pdf La función de descarga de archivos no evade suficientemente las rutas de los archivos en ciertas situaciones. Esto puede dar lugar a que los usuarios obtengan acceso a archivos privados a los que no deberían tener acceso.

https://www.ecucert.gob.ec/wp-content/uploads/2023/05/18-Agent-Tesla.pdf Investigadores de ESET descubrieron en marzo de 2023 una campaña de malware denominada “Operación Guinea Pig” que apuntaba a varios países de América Latina. El objetivo de la campaña era infectar a las víctimas con el malware AgentTesla.

En abril de 2023, investigadores del equipo de seguridad de Aqua Nautilus, dieron a conocer que obtuvieron evidencias de ataques que han explotado el control de acceso basado en roles (RBAC) de Kubernetes (K8) para crear puertas traseras. Los atacantes también implementaron DaemonSets para secuestrar los recursos de los clústeres de K8 que atacan.

https://www.ecucert.gob.ec/wp-content/uploads/2023/05/16-Bumblebee.pdf Actores maliciosos estarían utilizando a los archivos de instalación de aplicaciones populares como Zoom, Cisco AnyConnect, ChatGPR, etc., para distribuir el malware Bumblebee

20-mar-2023. Cisco corrigió una vulnerabilidad DoS de alta gravedad (CVE-2023-20049) en el software IOS XR que afecta a varios enrutadores empresariales. Cisco lanzó actualizaciones de seguridad para abordar una vulnerabilidad DoS de alta gravedad, rastreada como CVE-2023-20049 (puntaje CVSS de 8.6), en el software IOS XR utilizado por varios enrutadores de nivel empresarial.

20-mar-2023. Fortinet lanzó actualizaciones de seguridad el 7 de marzo de 2023 para abordar una vulnerabilidad de seguridad con puntaje de gravedad alto (CVE-2022-41328) que permite a los actores de amenazas ejecutar códigos o comandos no autorizados.

20-mar-2023. En marzo de 2023, una operación de ransomware conocida como Medusa comenzó a cobrar fuerza, apuntando a víctimas corporativas en todo el mundo con demandas de rescate. La operación Medusa comenzó en junio de 2021 teniendo una actividad relativamente baja, con pocas víctimas. Sin embargo, en 2023, se aumentó su actividad y se lanzó un ‘Blog de Medusa’ que se utiliza para filtrar los datos de las víctimas que se niegan a pagar un rescate.

17-mar-2023, Actores maliciosos estarían utilizando mecanismos de Inteligencia Artificial para la generación de videos en Youtube, que a su vez distribuyan una variedad de programas maliciosos malware, especializados en el robo de información.

.

16-feb-2023, Microsoft atribuyó a un actor de ciber espionaje con sede en China una serie de ataques dirigidos a entidades diplomáticas en América del Sur. El equipo de inteligencia de seguridad del gigante tecnológico está rastreando el grupo bajo el apodo emergente “DEV-0147”, describiendo la actividad como: una «expansión de las operaciones de filtración de datos del grupo que tradicionalmente se dirigían a agencias gubernamentales y grupos de expertos en Asia y Europa».

.

27-feb-2023, Microsoft publicó parches y actualizaciones de seguridad que corrigen tres vulnerabilidades de día cero explotadas activamente y un total de 77 fallas. Nueve (9) vulnerabilidades han sido clasificadas como ‘Críticas’ ya que permiten la ejecución remota de código en dispositivos vulnerables.

24-feb-2023, El fabricante de software Adobe lanzó en febrero de 2023 correcciones de seguridad para al menos media docena de vulnerabilidades que exponen a los usuarios de Windows y macOS a ataques de piratas informáticos maliciosos.

27-feb-2023, Apple lanzó actualizaciones de seguridad para iOS, iPadOS, macOS y Safari para abordar problemas de falla de día cero.

22-feb-2023, Se ha detectado que el grupo malicioso APT37 conocido como RedEyes, ha desarrollado una nueva herramienta de tipo malware que estaría siendo activamente usada junto a técnicas de estenografía, en campañas de ataque contra activos de información de carácter personal

Los actores de amenazas han explotado los dispositivos de red privada virtual (VPN) de Fortinet para intentar infectar con ransomware una universidad con sede en
Canadá y una empresa de inversión global.

SpyNote es un malware de la categoría de troyanos de acceso remoto (RAT) de Android. La herramienta de creación SpyNote RAT se puede utilizar para desarrollar aplicaciones maliciosas con la funcionalidad del malware.

Cyble Research & Intelligence Labs, identificó recientemente una campaña de phishing dirigida al software de la aplicación Zoom para entregar el malware IcedID. IcedID, es conocido como BokBot, un troyano bancario que permite a los atacantes robar las credenciales bancarias de las víctimas. Este malware se dirige principalmente a las empresas y se puede utilizar para robar información de
pago.Además, IcedID actúa como cargador, lo que le permite entregar otras familias de malware o descargar módulos adicionales.

Atacantes han creado un malware basado en el módulo Shc de Linux. El malware está enfocado en instalar aplicaciones de minera de cripto monedas y bots utilizados para ataques de denegación de servicio DDoS.

El boletín de seguridad de enero de 2023 de Qualcomm, abordó 22 vulnerabilidades de
software en su suite Snapdragon, que afectaron los dispositivos de Microsoft, Lenovo y
Samsung, entre otros.RCE (Remote Control Execution), es uno de los tipos más peligrosos de vulnerabilidades informáticas. Permite a un atacante ejecutar código malicioso de forma remota dentro del sistema de destino en la red local o en Internet. No se requiere acceso físico al dispositivo.

RCE (Remote Control Execution), es uno de los tipos más peligrosos de vulnerabilidades informáticas. Permite a un atacante ejecutar código malicioso de forma remota dentro del sistema de destino en la red local o en Internet. No se requiere acceso físico al dispositivo.

Maggie es el nuevo backdoor diseñado para afectar servidores Microsoft SQL a nivel global.

Maggie puede forzar los inicios de sesión en otros servidores MS SQL y añadir un nuevo usuario backdoor codificado después de forzar los inicios de sesión del administrador

Múltiples vulnerabilidades en productos Fortinet podrían permitir ataques contra los procesos de autenticación.

Actualización. Múltiples vulnerabilidades en Microsoft Exchange Server podrían permitir ataques remotos y ejecución de código malicioso.

Microsoft descubrió una vulnerabilidad de alta gravedad en la aplicación de Android TikTok, que podría haber permitido a los atacantes comprometer las cuentas de los usuarios.

El grupo de expertos de seguridad de Faraday descubrió una vulnerabilidad crítica que afecta al eCos SDK fabricado por la empresa taiwanesa de semiconductores Realtek, la cual podría exponer los dispositivos de red de varios proveedores a ataques remotos

Los investigadores han descubierto al menos 9000 puntos finales VNC (Virtual

Network Computing) expuestos, a los que se puede acceder y utilizar sin

autenticación, lo que permite a los actores de amenazas, acceder fácilmente a

estaciones de trabajo y redes internas.

Investigaciones dieron a conocer un error de omisión de autentificación que se está explotando activamente para comprometer los servicios de correo electrónico del servicio ZCS.

Malware de fraude telefónico puede suscribir a los usuarios a servicios premium sin que ellos lo descubran ni se den cuenta

Ataque de malware de criptominería dirigido a servidores Linux, con el objetivo de instalar criptomineros como parte de una campaña de larga duración.

Campaña maliciosa de suplantación de identidad a nombre de la Cooperativa de Ahorro y Crédito JEP

Aplicación móvil GetContact se instala con el consentimiento del usuario y obtiene información personal con fines no determinados.

Ciberdelincuentes emplean diferentes técnicas para realizar el secuestro de cuentas de víctimas en servicios y aplicaciones web.

Ciberdelincuentes extraen datos de tarjetas de crédito de empresas en línea de EEUU, al inyectar código PHP malicioso en las páginas de pago de comercio electrónico, según alerta emitida por el FBI.

Posibilidad de ejecutar malware sobre dispositivos iPhone, incluso cuando estén apagados. Esto se debe a que, ciertos chips inalámbricos permanecen encendidos, lo que permite que el teléfono siga enviando señales que pueden ayudar a localizarlo.

Se han identificado varias aplicaciones en la tienda de apps de Google (Google Play) cuyo objetivo es realizar actividades de tipo maliciosas, como robar credenciales e información confidencial de usuarios

Problema de liberación de recursos en algunas versiones de Apache Tomcat, fue identificado por el equipo de “Apache Tomcat Security”, el 21 de diciembre de 2021 y se hizo público el 12 de mayo de 2022, a través del CVE-2022-25762.

Campaña de phishing distribuye tres programas maliciosos que permitirían robar información confidencial del equipo de la víctima.

Se han detectado 134 problemas de seguridad que permiten a atacantes la ejecución de código arbitrario en dos de las aplicaciones más utilizadas en el mundo.

Apple emite actualizaciones de seguridad para corregir vulnerabilidades encontradas en varios tipos de productos. Las actualizaciones gestionan ciertas vulnerabilidades de tipo Zero Day

Quantum Locker es un tipo de ransomware que ha venido cambiando de denominación desde su detección en 2020; así mismo, se caracteriza por tener un TTR https://www.ecucert.gob.ec/wp-content/uploads/2022/05/alerta-ransomware-Quantum-Locker-2022-05-11.pdf inferior al de las otras sepas de ransomware.

F5 Networks; dio a conocer una vulnerabilidad calificada como crítica, que afecta a diferentes versiones de software de los productos BIG-IP; la misma que permitiría a un atacante la ejecución arbitraria de comandos, crear o borrar archivos, o deshabilitar servicios.

CONTI es un RaaS (Ransomware as a service) que fue detectado a finales de 2019, con ataques en Europa, América del Norte y en este último mes con ataques en países cercanos de la región, como: Costa Rica, Colombia y Perú.

En el mes de abril de 2022 se identificaron ataques por parte de ransomware DJVU/STOP que afectan a infraestructura tecnológica de instituciones públicas y privadas en Ecuador.

En ciertos productos de Java se presenta una vulnerabilidad en la omisión de firma digital que podría permitir a un atacante falsificar firmas y eludir las medidas de autenticación implementadas; permitiendo la modificación de comunicaciones.

VMware dio a conocer diferentes vulnerabilidades calificadas como críticas, importantes y moderadas asociadas a varios productos disponibles en el mercado tecnológico.

En redes sociales circulan campañas de tipo maliciosas que toman la identidad de la Agencia Nacional de Tránsito (ANT) y la empresa TERPEL, la primera hace referencia a consultas de supuestas infracciones de tránsito en un sitio Web y la segunda a un portal de premios ofertados por la empresa. Las dos campañas están orientadas a obtener datos de tipo personal y se encuentran relacionadas.

El compresor de archivos gratuito y de código libre “7-ZIP” presenta una vulnerabilidad que permitiría a un atacante remoto escalamiento de privilegios y ejecución de comandos.

En el transcurso de la última semana de marzo del 2022 se han dado a conocer diferentes vulnerabilidades asociadas a Spring framework.

El malware Verblecon; es utilizado para cargar malware, permitiendo la instalación de criptomineros en las máquinas de las víctimas.

VMware dio a conocer diferentes vulnerabilidades calificadas como críticas, importantes y moderadas asociadas a varios productos disponibles en el mercado tecnológico.

Microsoft a través de un comunicado; dio a conocer las correcciones implementadas para un total de 145 vulnerabilidades existentes en sus productos.

Durante marzo y abril de 2022, empresas ecuatorianas, de los sectores de comercialización de materiales de construcción y prestadores de servicios de logística y transportación, fueron víctimas de un ciberataque de tipo Ransomware LockBit 2.0.