Newsletter - 2024-34
Tabla de Contenidos
Brecha masiva de datos en National Public Data
| Categoría | Ciberseguridad |
| Nombre vulnerabilidad | Exposición de datos personales |
| Brecha | Datos personales y contraseñas expuestos |
| Criticidad | |
| Fuente | KrebsOnSecurity |
Nuevos detalles han surgido sobre una importante violación en National Public Data (NPD), un corredor de datos de consumidores que recientemente expuso en línea los números de Seguro Social, direcciones y números de teléfono de cientos de millones de estadounidenses. La violación se agravó cuando otro corredor de datos de NPD publicó inadvertidamente las contraseñas de su base de datos de back-end en su página de inicio. Este incidente se remonta a un problema de seguridad en diciembre de 2023, con datos que comenzaron a ser vendidos en abril por un ciberdelincuente llamado USDoD. La información filtrada incluyó detalles personales de más de 272 millones de personas.
Una investigación adicional reveló que otra propiedad de NPD, recordscheck.net, también fue comprometida, exponiendo nombres de usuario y contraseñas de administradores del sitio. El código fuente y las credenciales en texto plano estaban disponibles en un archivo llamado “members.zip”, que incluía contraseñas que coincidían con aquellas de violaciones anteriores relacionadas con el fundador de NPD, Salvatore Verini.
El mejor consejo para los afectados es congelar sus archivos de crédito con las principales agencias de informes de consumidores. Esta medida dificulta que los ladrones de identidad creen nuevas cuentas. Los consumidores también tienen derecho a una copia gratuita de su informe de crédito semanalmente de cada una de las tres principales agencias.
En respuesta a la violación, se han creado servicios como npdbreach.com y npd.pentester.com para ayudar a las personas a verificar si sus datos fueron expuestos. Sin embargo, el problema fundamental destacado por esta violación es el estado defectuoso del sistema de informes de crédito y la ineficacia de los números de Seguro Social como autenticadores.
La violación subraya la necesidad de leyes de privacidad más estrictas y mejores prácticas de seguridad de datos por parte de las empresas que manejan información personal sensible. A medida que continúan las repercusiones de este incidente, se insta a las personas afectadas a mantenerse vigilantes y tomar medidas proactivas para proteger sus identidades.
Seguridad en WordPress: Vulnerabilidad en el plugin GiveWP
| Categoría | Seguridad Web |
| Nombre vulnerabilidad | CVE-2024-5932 |
| Brecha | Inyección de objetos PHP |
| Criticidad | |
| Fuente | Wordfence |
Se ha revelado una vulnerabilidad de máxima severidad en el plugin de donaciones y recaudación de fondos GiveWP para WordPress, que expone a más de 100,000 sitios web a ataques de ejecución remota de código. La falla, identificada como CVE-2024-5932 con una puntuación CVSS de 10.0, afecta a todas las versiones del plugin anteriores a la 3.14.2, lanzada el 7 de agosto de 2024. Un investigador de seguridad conocido como villu164 ha sido reconocido por descubrir y reportar este problema.
Según un informe de Wordfence, el plugin es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 3.14.1, debido a la deserialización de entradas no confiables desde el parámetro ‘give_title’. Esto permite a atacantes no autenticados inyectar un objeto PHP, y la presencia adicional de una cadena POP posibilita la ejecución remota de código y la eliminación de archivos arbitrarios.
La vulnerabilidad reside en una función llamada “give_process_donation_form()”, que se utiliza para validar y sanear los datos ingresados en el formulario antes de pasar la información de la donación, incluidos los detalles de pago, al gateway especificado. La explotación exitosa de la falla podría permitir a un actor de amenazas autenticado ejecutar código malicioso en el servidor, lo que hace imperativo que los usuarios actualicen sus instancias a la última versión.
Vulnerabilidades críticas en plugins de WordPress
| Categoría | Seguridad Web |
| Nombre vulnerabilidad | Varias (CVE-2024-6500, CVE-2024-7094) |
| Brecha | Ejecución remota de código, eliminación de archivos |
| Criticidad | |
| Fuente | Wordfence, Sucuri |
Recientemente, Wordfence detalló otra falla de seguridad crítica en los plugins InPost PL e InPost para WooCommerce (CVE-2024-6500, CVSS 10.0) que permite a actores de amenazas no autenticados leer y eliminar archivos arbitrarios, incluido el archivo wp-config.php. En sistemas Linux, solo se pueden eliminar archivos dentro del directorio de instalación de WordPress, pero todos los archivos pueden ser leídos. Este problema ha sido parcheado en la versión 1.4.5.
Otra vulnerabilidad crítica en JS Help Desk, un plugin de WordPress con más de 5,000 instalaciones activas, también ha sido descubierta (CVE-2024-7094, CVSS 9.8) permitiendo la ejecución remota de código debido a una falla de inyección de código PHP. Un parche para esta vulnerabilidad ha sido lanzado en la versión 2.8.7.
Parchar estas vulnerabilidades es una línea de defensa crucial contra ataques que las exploten para entregar skimmers de tarjetas de crédito capaces de recolectar información financiera ingresada por los visitantes del sitio. La compañía de seguridad web GoDaddy ha advertido a los propietarios de sitios WordPress sobre la instalación de plugins y temas nulled, ya que podrían actuar como vectores de malware y otras actividades nefastas. Sucuri también ha destacado una campaña de skimming que inyecta sitios e-commerce de PrestaShop con JavaScript malicioso para robar detalles de tarjetas de crédito mediante una conexión WebSocket.
Campaña de Phishing Dirigida a Usuarios de Móviles en la República Checa
| Categoría | Phishing |
| Nombre vulnerabilidad | PWA Phishing |
| Brecha | Robo de credenciales bancarias |
| Criticidad | |
| Fuente | ESET |
Los usuarios móviles en la República Checa son el objetivo de una novedosa campaña de phishing que utiliza una Aplicación Web Progresiva (PWA) para intentar robar las credenciales de sus cuentas bancarias. Los ataques han tenido como objetivo el Československá obchodní banka (CSOB) de la República Checa, así como el OTP Bank de Hungría y el TBC Bank de Georgia, según la empresa eslovaca de ciberseguridad ESET.
Los sitios de phishing que apuntan a iOS instruyen a las víctimas a agregar una PWA a sus pantallas de inicio, mientras que en Android la PWA se instala después de confirmar ventanas emergentes personalizadas en el navegador. Estas aplicaciones de phishing son prácticamente indistinguibles de las aplicaciones bancarias reales que imitan.
Lo notable de esta táctica es que los usuarios son engañados para instalar una PWA, o incluso WebAPKs en algunos casos en Android, desde un sitio de terceros sin necesidad de permitir específicamente la instalación externa. Un análisis de los servidores de comando y control (C2) y la infraestructura de backend revela que dos actores de amenazas diferentes están detrás de las campañas.
Estos sitios web se distribuyen mediante llamadas automáticas, mensajes SMS y publicidad maliciosa en redes sociales como Facebook e Instagram. Las llamadas de voz advierten a los usuarios sobre una aplicación bancaria desactualizada y les piden que seleccionen una opción numérica, tras lo cual se envía la URL de phishing. Los usuarios que hacen clic en el enlace ven una página similar a la lista de Google Play Store para la aplicación bancaria objetivo, o un sitio falso para la aplicación, lo que finalmente lleva a la “instalación” de la PWA o WebAPK bajo el disfraz de una actualización de la aplicación.
Este paso crucial de instalación evita las advertencias tradicionales del navegador sobre la “instalación de aplicaciones desconocidas”, lo cual es el comportamiento predeterminado de la tecnología WebAPK de Chrome, que es abusada por los atacantes. Además, instalar un WebAPK no produce ninguna de las advertencias de “instalación desde una fuente no confiable”.
Para aquellos que usan dispositivos Apple iOS, se proporcionan instrucciones para agregar la falsa aplicación PWA a la pantalla de inicio. El objetivo final de la campaña es capturar las credenciales bancarias ingresadas en la aplicación y exfiltrarlas a un servidor C2 controlado por el atacante o a un grupo de chat en Telegram.
ESET registró la primera instancia de phishing mediante PWA a principios de noviembre de 2023, con olas subsiguientes detectadas en marzo y mayo de 2024. La primera instancia de esta técnica se observó en julio de 2023.
La revelación se produce cuando los investigadores de ciberseguridad han descubierto una nueva variante del troyano Android Gigabud que se propaga a través de sitios web de phishing que imitan la Google Play Store o sitios que se hacen pasar por diversos bancos o entidades gubernamentales. El malware tiene varias capacidades, como la recopilación de datos sobre el dispositivo infectado, la exfiltración de credenciales bancarias, la recopilación de grabaciones de pantalla, etc., según Broadcom-owned Symantec. También sigue el descubrimiento de Silent Push de 24 paneles de control diferentes para una variedad de troyanos bancarios Android operados por un actor de amenazas llamado DukeEugene.
Lockbit: El Grupo de Ransomware Más Prolífico del Verano
| Categoría | Ransomware |
| Nombre vulnerabilidad | Lockbit 3.0 |
| Brecha | Filtración de datos y cifrado |
| Criticidad | |
| Fuente | NCC Group |
Lockbit se ha consolidado como el grupo de ransomware más prolífico del verano, según datos del NCC Group. Con un total de 62 ataques en julio, este grupo ha superado a sus competidores más cercanos, Hiveleaks y BlackBasta, que registraron 27 y 24 ataques respectivamente. Lockbit 3.0 mantiene su posición como la amenaza más significativa en el panorama del ransomware, y se recomienda a todas las organizaciones estar al tanto de sus actividades. La reaparición de ataques de ransomware, liderada por antiguos grupos de ransomware como servicio (RaaS), ha aumentado un 47% en comparación con junio. En mayo, el gobierno de Estados Unidos intensificó sus esfuerzos contra el ciberdelito ruso, ofreciendo hasta $15 millones por información valiosa sobre Conti, el principal grupo de ransomware en ese momento. Como resultado, se cree que los actores de amenazas se han adaptado a sus nuevos modos de operación, incrementando el número total de compromisos. Hiveleaks y BlackBasta han surgido de esta reestructuración, asociados a Conti como afiliado y reemplazo respectivamente. Se espera que estas cifras sigan aumentando en agosto.