Newsletter - 2024-36
Tabla de Contenidos
- Newsletter - 2024-36
- Campaña de malware que suplanta el software VPN de Palo Alto Networks
- Intento de extorsión fallido por ex-empleado
- Vulnerabilidad Crítica en Versa Director
- Punchmade Dev y sus actividades ilícitas
- Ciberseguridad en evolución: Alinear la estrategia con el crecimiento empresarial
- Vulnerabilidades en Aplicaciones de Microsoft para macOS
- RansomHub: Un nuevo actor en el ransomware
Campaña de malware que suplanta el software VPN de Palo Alto Networks
| Categoría | Malware |
| Nombre vulnerabilidad | WikiLoader (WailingCrab) |
| Brecha | Distribución de malware a través de SEO |
| Criticidad | Alta |
| Fuente | Unit 42, Proofpoint, AhnLab, Trend Micro |
En junio de 2024, se observó una nueva campaña de malware que suplanta el software VPN GlobalProtect de Palo Alto Networks para distribuir una variante del cargador WikiLoader (también conocido como WailingCrab) mediante una campaña de optimización de motores de búsqueda (SEO). Esta actividad de malvertising marca una desviación de las tácticas previamente observadas, donde el malware se propagaba a través de correos electrónicos de phishing tradicionales, según los investigadores de Unit 42, Mark Lim y Tom Marsden.
WikiLoader, documentado por primera vez por Proofpoint en agosto de 2023, ha sido atribuido a un actor de amenazas conocido como TA544, con ataques por correo electrónico que aprovechan el malware para desplegar Danabot y Ursnif. En abril, la empresa de ciberseguridad surcoreana AhnLab detalló una campaña de ataque que utilizaba una versión troyanizada de un plugin de Notepad++ como vector de distribución.
El cargador, disponible para alquiler, es sospechoso de ser utilizado por al menos dos brokers de acceso inicial (IABs), según Unit 42. Las cadenas de ataque se caracterizan por tácticas que permiten evadir la detección por herramientas de seguridad. Los atacantes utilizan el envenenamiento SEO como vector de acceso inicial para engañar a las personas y hacerles visitar una página que suplanta el resultado de búsqueda legítimo para entregar malware en lugar del producto buscado.
La infraestructura de entrega de esta campaña utilizó sitios web clonados etiquetados como GlobalProtect junto con repositorios Git basados en la nube. Los usuarios que buscan el software GlobalProtect son mostrados anuncios en Google que, al hacer clic, los redirigen a una página de descarga falsa de GlobalProtect, desencadenando efectivamente la secuencia de infección. El instalador MSI incluye un ejecutable (“GlobalProtect64.exe”) que, en realidad, es una versión renombrada de una aplicación legítima de comercio de acciones de TD Ameritrade (ahora parte de Charles Schwab) utilizada para cargar una DLL maliciosa llamada “i4jinst.dll.”
Esto allana el camino para la ejecución de código shell que pasa por una secuencia de pasos para finalmente descargar y lanzar el backdoor WikiLoader desde un servidor remoto. Para mejorar aún más la percepción de legitimidad del instalador y engañar a las víctimas, se muestra un mensaje de error falso al final del proceso, indicando que faltan ciertas bibliotecas en sus computadoras con Windows.
Además de utilizar versiones renombradas de software legítimo para cargar el malware, los actores de amenazas han incorporado verificaciones anti-análisis que determinan si WikiLoader se está ejecutando en un entorno virtualizado y se terminan a sí mismos cuando se encuentran procesos relacionados con software de máquinas virtuales.
Aunque la razón del cambio de phishing a envenenamiento SEO como mecanismo de propagación no está clara, Unit 42 teoriza que es posible que la campaña sea obra de otro IAB o que los grupos existentes que entregan el malware lo hayan hecho en respuesta a divulgaciones públicas. Los investigadores señalaron que “la combinación de infraestructura suplantada, comprometida y legítima utilizada por las campañas de WikiLoader refuerza la atención de los autores del malware en construir un cargador operacionalmente seguro y robusto, con múltiples configuraciones de mando y control.”
Esta revelación se produce días después de que Trend Micro descubriera una nueva campaña que también aprovecha un software VPN GlobalProtect falso para infectar a usuarios en el Medio Oriente con malware de puerta trasera.
Intento de extorsión fallido por ex-empleado
| Categoría | Ciberataque |
| Nombre vulnerabilidad | Acceso no autorizado |
| Brecha | Acceso remoto a cuentas de administrador |
| Criticidad | Alta |
| Fuente | Departamento de Justicia de los EE. UU. |
Un hombre de 57 años del estado de Missouri, EE. UU., ha sido arrestado en relación con una campaña fallida de extorsión de datos que tenía como objetivo a su antiguo empleador. Daniel Rhyne de Kansas City, Missouri, ha sido acusado de un cargo de extorsión relacionado con una amenaza de causar daños a una computadora protegida, un cargo de daño intencional a una computadora protegida y un cargo de fraude electrónico. Fue arrestado el 27 de agosto de 2024, tras un intento de extorsionar a una empresa industrial no identificada con sede en el condado de Somerset, Nueva Jersey, donde trabajaba como ingeniero de infraestructura central.
Según documentos judiciales, algunos empleados de la empresa recibieron un correo electrónico de extorsión que advertía que todos sus administradores de TI habían sido bloqueados o eliminados de la red, que las copias de seguridad de los datos habían sido eliminadas y que se apagarían 40 servidores adicionales cada día durante los próximos 10 días si no se pagaba un rescate de 20 bitcoins, valorados entonces en $750,000. “La investigación reveló que Rhyne obtuvo acceso no autorizado a los sistemas informáticos de la empresa accediendo de forma remota a la cuenta de administrador de la empresa”, dijo el Departamento de Justicia de los EE. UU. (DoJ).
Rhyne, sin autorización, programó varias tareas informáticas para llevarse a cabo en la red, incluidas el cambio de las contraseñas de los administradores de la empresa y el apagado de sus servidores. Rhyne controlaba la dirección de correo electrónico utilizada para enviar el correo electrónico de extorsión del 25 de noviembre a los empleados de la empresa. Se cree que utilizó la herramienta PsPasswd de Sysinternals Utilities y el comando ‘net user’ de Windows para modificar las cuentas de administrador de dominio y local, y cambiar las contraseñas a “TheFr0zenCrew!”. Las autoridades dijeron que el acusado supuestamente utilizó una máquina virtual oculta para acceder de forma remota a una cuenta de administrador que no solo se rastreó hasta su computadora portátil proporcionada por la empresa, sino también para buscar en la web detalles sobre cómo usar la línea de comandos para cambiar la contraseña del administrador local y borrar los registros de Windows.
Rhyne, quien hizo su primera aparición el mismo día de su arresto, enfrenta una pena máxima de 35 años de prisión y una multa de $750,000 por los tres cargos.
Vulnerabilidad Crítica en Versa Director
| Categoría | Phishing |
| Nombre vulnerabilidad | CVE-2024-39717 |
| Brecha | Explotación de día cero en servidores Versa Director |
| Criticidad | Alta |
| Fuente | Security Boulevard, Black Lotus Labs, FBI, NSA |
Un importante grupo de amenazas persistentes avanzadas (APT) patrocinado por el estado chino, conocido como Volt Typhoon, ha estado explotando una vulnerabilidad de día cero en los servidores de Versa Director. Esta vulnerabilidad, identificada como CVE-2024-39717, afecta a todas las versiones de las aplicaciones SD-WAN de Versa Director anteriores a la 22.1.4. El objetivo del grupo es causar daños reales en caso de un conflicto futuro con Estados Unidos, enfocándose en la infraestructura crítica, incluyendo redes de comunicación y telecomunicaciones.
La vulnerabilidad se basa en una web shell personalizada llamada “VersaMem”, cuyo propósito principal es interceptar y recolectar credenciales que permitan el acceso a las redes de los clientes downstream. Los ataques han estado ocurriendo desde al menos el 12 de junio de 2024, y se han publicado Indicadores de Compromiso (IoCs) en la página de GitHub de Black Lotus Labs.
Las agencias de seguridad estadounidenses, incluyendo el FBI y la NSA, han advertido que los actores de Volt Typhoon se están posicionando en redes de TI para permitir movimientos laterales y potencialmente interrumpir funciones críticas. En una declaración, el Director del FBI, Christopher Wray, mencionó que China está desarrollando la capacidad de causar estragos físicos en la infraestructura crítica estadounidense en el momento que elijan.
Versa Networks ha sido criticada por culpar a sus propios clientes, grandes proveedores de servicios de internet (ISP) y proveedores de servicios gestionados (MSP), por no implementar medidas de seguridad adecuadas, como el endurecimiento del sistema y las directrices de firewall, dejando expuestos puertos de gestión en internet que proporcionaron a los actores de amenazas el acceso inicial.
Punchmade Dev y sus actividades ilícitas
| Categoría | Ciberataque |
| Nombre vulnerabilidad | No aplica |
| Brecha | Actividades fraudulentas y cibercriminales |
| Criticidad | Alta |
| Fuente | KrebsOnSecurity, SecurityAffairs |
Punchmade Dev, un rapero conocido por sus canciones que glorifican el estilo de vida del cibercrimen, ha sido objeto de un escrutinio intensivo después de que se revelara su conexión con tiendas en línea que venden datos financieros robados y otras actividades ilícitas. A pesar de su negativa, hay evidencia que vincula a Devon Turner, un hombre de 22 años de Kentucky, con estas actividades. Turner ha demandado a su banco, PNC, por bloquear una transferencia de $75,000 y cerrar su cuenta debido a “actividad sospechosa” y la implicación de las fuerzas del orden.
En enero, KrebsOnSecurity destacó cómo los perfiles en redes sociales de Punchmade Dev promovían tiendas en línea que vendían acceso a cuentas de CashApp y PayPal, software para imprimir cheques y datos personales y financieros de estadounidenses. Turner ha presentado una demanda pro se contra PNC Bank, alegando discriminación y acciones tortuosas después de que se le negara una transferencia bancaria. La demanda detalla que PNC cerró su cuenta debido a actividad sospechosa y se negó a liberar los fondos, lo que provocó que Turner tomara acciones legales.
La tienda en línea de Punchmade Dev, que ahora está inactiva, promovía la venta de datos financieros, pero su cuenta de Instagram actualmente promociona punchmade[.]cc, un sitio similar. El servicio de seguimiento de brechas Constella Intelligence ha encontrado que la dirección de correo electrónico asociada con las empresas de Turner se ha utilizado para comprar software en línea y registrar dominios que promueven actividades fraudulentas.
Turner ha admitido que PNC le informó que su cuenta había sido señalada para la atención de las fuerzas del orden, pero insiste en que no ha realizado ninguna actividad ilegal. La situación se complica aún más con la promoción de tutoriales sobre cómo cometer delitos financieros en línea y mantener la seguridad operativa (opsec), algo que Turner parece no haber logrado, ya que su identidad real y sus actividades en línea están fácilmente vinculadas.
En resumen, el caso de Punchmade Dev destaca la intersección entre el mundo del entretenimiento y el cibercrimen, y cómo las plataformas de redes sociales pueden ser utilizadas para promover actividades ilegales. La situación actual de Turner y su demanda contra PNC Bank siguen siendo un desarrollo importante en esta historia en curso.
Ciberseguridad en evolución: Alinear la estrategia con el crecimiento empresarial
| Categoría | Actualización de seguridad |
| Nombre vulnerabilidad | No específica |
| Brecha | Evolución de estrategias |
| Criticidad | Alta |
| Fuente | [Security Bloggers Network] |
La evolución del panorama de ciberseguridad está impulsada por rápidos avances tecnológicos y amenazas cibernéticas cada vez más sofisticadas. Las estrategias reactivas y fragmentadas ya no son suficientes. Las organizaciones deben priorizar la previsión estratégica, la adaptabilidad y la madurez en sus programas de seguridad para proteger sus activos y datos de manera efectiva.
La ciberseguridad debe alinearse con los objetivos estratégicos de la organización, siendo vista como un habilitador del negocio en lugar de un centro de costos. Esto requiere programas de seguridad dinámicos que se adapten a los riesgos emergentes sin comprometer las operaciones comerciales. Además, es crucial optimizar los costos mientras se mejoran las medidas de mitigación de riesgos.
El futuro de la ciberseguridad radica en la creación de estrategias de gestión de riesgos sostenibles y flexibles que puedan escalar con la organización. La madurez de un programa de ciberseguridad es un indicador clave de la capacidad de una organización para manejar amenazas de manera efectiva y eficiente. La comunicación efectiva entre los equipos técnicos y los líderes ejecutivos es esencial para tomar decisiones basadas en riesgos que sean comprendidas y adoptadas en toda la organización.
Las organizaciones deben evaluar, mejorar o mejorar la madurez de sus programas de ciberseguridad buscando orientación experta para navegar esta compleja evolución.
Vulnerabilidades en Aplicaciones de Microsoft para macOS
| Categoría | Malware |
| Nombre vulnerabilidad | Elevación de Privilegios en Aplicaciones Microsoft |
| Brecha | Permisos del Sistema Operativo |
| Criticidad | Baja (según Microsoft) |
| Fuente | Cisco Talos |
Ocho vulnerabilidades han sido descubiertas en aplicaciones de Microsoft para macOS que un adversario podría explotar para obtener privilegios elevados o acceder a datos sensibles, eludiendo el modelo de permisos del sistema operativo, que se basa en el marco de Transparencia, Consentimiento y Control (TCC).
“Si tiene éxito, el adversario podría obtener cualquier privilegio ya otorgado a las aplicaciones de Microsoft afectadas,” indicó Cisco Talos. “Por ejemplo, el atacante podría enviar correos electrónicos desde la cuenta del usuario sin que este lo note, grabar clips de audio, tomar fotos o grabar videos sin ninguna interacción del usuario.”
Las deficiencias abarcan varias aplicaciones como Outlook, Teams, Word, Excel, PowerPoint y OneNote.
La empresa de ciberseguridad señaló que se podrían inyectar librerías maliciosas en estas aplicaciones y obtener sus permisos y autorizaciones concedidos por el usuario, que luego podrían ser utilizados para extraer información sensible dependiendo del acceso otorgado a cada una de esas aplicaciones.
TCC es un marco desarrollado por Apple para gestionar el acceso a datos sensibles del usuario en macOS, ofreciendo a los usuarios mayor transparencia sobre cómo se accede y utiliza su información por las diferentes aplicaciones instaladas en la máquina. Esto se mantiene en forma de una base de datos cifrada que registra los permisos otorgados por el usuario a cada aplicación para asegurar que las preferencias se apliquen de manera consistente en todo el sistema.
“TCC funciona en conjunto con la función de sandboxing de aplicaciones en macOS e iOS,” señala Huntress en su explicación sobre TCC. “El sandboxing restringe el acceso de una aplicación al sistema y a otras aplicaciones, añadiendo una capa extra de seguridad. TCC asegura que las aplicaciones solo puedan acceder a datos para los que han recibido consentimiento explícito del usuario.”
El sandboxing también es una contramedida que protege contra la inyección de código, lo que permite a los atacantes con acceso a una máquina insertar código malicioso en procesos legítimos y acceder a datos protegidos.
“La inyección de librerías, también conocida como secuestro de Dylib en el contexto de macOS, es una técnica mediante la cual se inserta código en el proceso en ejecución de una aplicación,” explicó el investigador de Talos, Francesco Benvenuto. “macOS contrarresta esta amenaza con características como el runtime endurecido, que reduce la probabilidad de que un atacante ejecute código arbitrario a través del proceso de otra aplicación.”
“Sin embargo, si un atacante lograra inyectar una librería en el espacio de proceso de una aplicación en ejecución, esa librería podría usar todos los permisos ya otorgados al proceso, operando efectivamente en nombre de la aplicación misma.”
Cabe señalar que ataques de este tipo requieren que el actor de la amenaza ya tenga un cierto nivel de acceso al host comprometido para que pueda ser abusado para abrir una aplicación más privilegiada e inyectar una librería maliciosa, esencialmente otorgándoles los permisos asociados con la aplicación explotada.
En otras palabras, si una aplicación de confianza es infiltrada por un atacante, podría ser aprovechada para abusar de sus permisos y obtener acceso no autorizado a información sensible sin el consentimiento o conocimiento de los usuarios.
Este tipo de brecha podría ocurrir cuando una aplicación carga librerías desde ubicaciones que el atacante podría manipular y ha deshabilitado la validación de librerías a través de un permiso riesgoso (es decir, configurado en true), que de otro modo limita la carga de librerías a aquellas firmadas por el desarrollador de la aplicación o Apple.
“macOS confía en que las aplicaciones autocontrolen sus permisos,” señaló Benvenuto. “Un fallo en esta responsabilidad conduce a una brecha en todo el modelo de permisos, con aplicaciones actuando inadvertidamente como proxies para acciones no autorizadas, eludiendo TCC y comprometiendo el modelo de seguridad del sistema.”
RansomHub: Un nuevo actor en el ransomware
| Categoría | Ransomware |
| Nombre vulnerabilidad | Varias CVEs |
| Brecha | Exfiltración y cifrado de datos |
| Criticidad | Alta |
| Fuente | ZeroFox, Palo Alto Networks Unit 42, SOCRadar |
El grupo de ransomware RansomHub, activo desde febrero de 2024, ha comprometido a al menos 210 víctimas en varios sectores críticos como agua, TI, servicios gubernamentales, salud, servicios de emergencia, agricultura, servicios financieros, manufactura crítica, transporte y comunicaciones. RansomHub es una variante de ransomware-as-a-service (RaaS), descendiente de Cyclops y Knight, que ha atraído a afiliados de alto perfil de otros variantes prominentes como LockBit y ALPHV (BlackCat).
Según análisis de ZeroFox, la actividad de RansomHub ha mostrado una tendencia ascendente, representando aproximadamente el 14.2% de todos los ataques de ransomware observados en el tercer trimestre de 2024. El grupo emplea un modelo de doble extorsión, exfiltrando datos y cifrando sistemas para extorsionar a las víctimas a través de una URL .onion única. Si las víctimas no pagan el rescate, su información se publica en un sitio de fugas de datos entre tres y 90 días.
El acceso inicial se facilita explotando vulnerabilidades conocidas en dispositivos como Apache ActiveMQ (CVE-2023-46604), Atlassian Confluence Data Center y Server (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997) y Fortinet FortiClientEMS (CVE-2023-48788). Posteriormente, los afiliados realizan reconocimiento y escaneo de red, desactivan software antivirus y mueven lateralmente dentro de la red utilizando herramientas como RDP, PsExec, AnyDesk, entre otros.
Además, RansomHub emplea métodos de cifrado intermitente para acelerar el proceso y exfiltra datos usando herramientas como PuTTY, Amazon AWS S3 buckets, HTTP POST requests, WinSCP, Rclone, Cobalt Strike y Metasploit. Este desarrollo coincide con la evolución de las tácticas de extorsión, que ahora incluyen esquemas de triple y cuádruple extorsión.
El lucrativo modelo de RaaS ha impulsado un aumento en nuevas variantes de ransomware como Allarich, Cronus, CyberVolk, Datablack, DeathGrip, Hawk Eye e Insom. También ha llevado a actores estatales iraníes a colaborar con grupos conocidos como NoEscape, RansomHouse y BlackCat a cambio de una parte de los ingresos ilícitos.