Newsletter - 2024-42
Tabla de Contenidos
- Newsletter - 2024-42
- Vulnerabilidad crítica en el plugin Jetpack de WordPress
- DOJ crea la firma NexFundAI en una operación encubierta contra el fraude criptográfico
- Aumento de aplicaciones maliciosas en Google Play
- Creciente Red de Estafadores en Plataformas de Reservas de Alojamiento
- Game Freak sufre una brecha de seguridad
- Gestión de Identidad y Acceso en la Ciberseguridad Moderna
- Nueva campaña de malware con Hijack Loader
Vulnerabilidad crítica en el plugin Jetpack de WordPress
| Categoría | Plugin de WordPress |
| Nombre vulnerabilidad | No especificado |
| Brecha | Acceso no autorizado a formularios |
| Criticidad | |
| Fuente | The Hacker News |
Los mantenedores del plugin Jetpack para WordPress han lanzado una actualización de seguridad para remediar una vulnerabilidad crítica que podría permitir a los usuarios con sesión iniciada acceder a formularios enviados por otros usuarios en el sitio web. Jetpack, propiedad del creador de WordPress Automattic, es un plugin todo-en-uno que ofrece una suite completa de herramientas para mejorar la seguridad del sitio, el rendimiento y el crecimiento del tráfico. Según su sitio web, se utiliza en 27 millones de sitios de WordPress.
La vulnerabilidad fue identificada por el equipo de Jetpack durante una auditoría de seguridad interna y ha persistido desde la versión 3.9.9, lanzada en 2016. El problema reside en la función de Formulario de Contacto de Jetpack, y “podría ser utilizada por cualquier usuario con sesión iniciada en un sitio para leer formularios enviados por visitantes en el sitio”, explicó Jeremy Herve de Jetpack.
El equipo de Jetpack ha trabajado en estrecha colaboración con el equipo de seguridad de WordPress.org para actualizar automáticamente el plugin a una versión segura en los sitios instalados. La vulnerabilidad se ha abordado en 101 versiones diferentes de Jetpack, desde la 3.9.10 hasta la 13.9.1.
Aunque no hay evidencia de que la vulnerabilidad haya sido explotada en el mundo real, existe la posibilidad de que pueda ser abusada en el futuro, dada la divulgación pública de la misma. Es importante destacar que Jetpack ya había implementado correcciones similares para otra fallo crítica en el plugin Jetpack en junio de 2023, que había existido desde noviembre de 2012.
Este desarrollo se produce en medio de una disputa en curso entre el fundador de WordPress, Matt Mullenweg, y el proveedor de hosting WP Engine. WordPress.org ha tomado el control del plugin Advanced Custom Fields (ACF) de WP Engine para crear su propio fork llamado Secure Custom Fields (SCF). “SCF ha sido actualizado para eliminar ventas comerciales adicionales y solucionar un problema de seguridad”, dijo Mullenweg. “Esta actualización es lo más mínima posible para arreglar el problema de seguridad”.
WordPress no divulgó la naturaleza exacta del problema de seguridad, pero mencionó que tiene que ver con $_REQUEST. Además, dijo que el problema se ha abordado en la versión 6.3.6.2 de Secure Custom Fields.
En respuesta a las acciones de WordPress, WP Engine afirmó en una publicación en X que WordPress nunca ha “tomado unilateralmente y por la fuerza” un plugin activamente desarrollado “de su creador sin consentimiento”. WordPress respondió diciendo que “esto ha sucedido varias veces antes” y que se reserva el derecho de deshabilitar o eliminar cualquier plugin del directorio, eliminar el acceso del desarrollador a un plugin, o cambiarlo “sin el consentimiento del desarrollador” en interés de la seguridad pública.
DOJ crea la firma NexFundAI en una operación encubierta contra el fraude criptográfico
| Categoría | Criptomonedas |
| Nombre vulnerabilidad | Wash Trading |
| Brecha | Manipulación del mercado |
| Criticidad | |
| Fuente | Security Boulevard |
En un esfuerzo innovador y sin precedentes para combatir el fraude en el ámbito de las criptomonedas, el Departamento de Justicia de los Estados Unidos (DOJ) llevó a cabo una operación encubierta creando una empresa ficticia de criptomonedas llamada NexFundAI. Esta operación tenía como objetivo atrapar a individuos y entidades que estaban involucrados en la práctica ilegal de aumentar artificialmente el valor de los tokens de criptomonedas para luego venderlos a precios inflados, una técnica conocida como “wash trading”.
El DOJ ha acusado a 18 personas y organizaciones en conexión con esta práctica ilícita, con algunas de estas operaciones remontándose hasta el año 2018 y extendiéndose hasta la actualidad. Además de los cargos contra los individuos y sus empresas, el DOJ también confiscó más de 25 millones de dólares en criptomonedas y desactivó varios bots de trading que se utilizaban para realizar wash trading con millones de dólares en aproximadamente 60 criptomonedas diferentes.
De acuerdo con el DOJ, los acusados crearon empresas de criptomonedas y realizaron declaraciones falsas sobre sus tokens. Ejecutaron transacciones ficticias para crear la apariencia de actividad comercial, haciendo que sus tokens parecieran ser inversiones valiosas. Esta apariencia atrajo a nuevos inversores, incrementando así los precios de los tokens. Los acusados luego vendieron sus tokens a estos precios artificialmente inflados, con la empresa más grande, Saitama, alcanzando en un momento un valor de mercado de 7.5 mil millones de dólares.
Las empresas fraudulentas también contrataron a firmas de servicios financieros conocidas como “market makers” para comerciar con sus tokens. Según uno de los acusados, que aceptó declararse culpable, el objetivo de estas compañías era encontrar compradores dentro de la comunidad de criptomonedas que no conocieran o se preocuparan por la manipulación, porque el fin último era asegurarse de que los otros compradores perdieran dinero para que los market makers pudieran obtener beneficios.
“El wash trading ha estado prohibido durante mucho tiempo en los mercados financieros, y las criptomonedas no son una excepción,” dijo el Fiscal de los Estados Unidos en funciones, Joshua Levy, en un comunicado. “Estos son casos en los que una tecnología innovadora, las criptomonedas, se encontraron con un esquema centenario, el pump and dump. Estas acusaciones son también un recordatorio contundente de lo vigilantes que deben ser los inversores en línea y de que es crítico hacer su tarea antes de aventurarse en la frontera digital.”
Para llevar a cabo la investigación, el DOJ creó una empresa falsa de criptomonedas llamada NexFundAI y su propio token. Los investigadores también crearon un sitio web para la empresa que describía el token, detallaba una hoja de ruta, explicaba los tipos de empresas de IA en las que querían invertir y ofrecía una forma para que los inversores contactaran a la empresa.
Una descripción en el sitio decía que “NexFundAI está a la vanguardia de redefinir la intersección entre las finanzas y la inteligencia artificial. Nuestro propósito es claro: crear un token de criptomoneda que no solo sirva como una reserva de valor segura, sino que también actúe como un catalizador para el cambio positivo en el mundo de la IA. En colaboración con NextFundAI [sic], dirigimos las tarifas de nuestro token hacia proyectos de IA en etapas tempranas, fomentando la innovación y generando rendimientos.”
El sitio continuaba hablando sobre el objetivo de NexFundAI de ser transparente, permitiendo a los inversores participar en aplicaciones desarrolladas por los socios de la empresa, y distribuyendo el 80% de las ganancias de los proyectos de inversión a los tenedores de tokens.
Aumento de aplicaciones maliciosas en Google Play
| Categoría | Malware móvil |
| Nombre vulnerabilidad | Joker, Adware, Facestealer |
| Brecha | Instalación de aplicaciones maliciosas |
| Criticidad | |
| Fuente | InfoSecurity |
En el reciente informe de Zscaler ThreatLabz 2024 Mobile, IoT, & OT Threat Report, se ha revelado una alarmante cantidad de aplicaciones maliciosas en Google Play Store, afectando potencialmente a millones de usuarios. Este informe, que cubre el periodo de junio de 2023 a abril de 2024, detalla el descubrimiento de más de 200 aplicaciones maliciosas en Google Play, una plataforma que se supone más segura que las tiendas de aplicaciones de terceros.
Estas aplicaciones maliciosas lograron acumular más de ocho millones de instalaciones, exponiendo a los usuarios a diversas formas de malware. Entre los tipos de malware identificados, Joker fue el más prevalente, representando casi dos quintos (38%) de las aplicaciones maliciosas detectadas. Joker es especialmente peligroso porque facilita el fraude de Protocolo de Aplicación Inalámbrica (WAP), suscribiendo a las víctimas a servicios de tarifa premium sin su consentimiento.
El segundo tipo de malware más común fue el Adware, representando el 35% de las detecciones, seguido por Facestealer (14%), diseñado para recolectar credenciales de Facebook y secuestrar cuentas. Este tipo de malware representa una amenaza significativa para la privacidad y seguridad de los usuarios, dado que las credenciales de redes sociales pueden ser utilizadas para llevar a cabo ataques más sofisticados.
La categoría “Herramientas” fue la más explotada por los actores maliciosos en la Play Store, representando casi la mitad (48%) de las aplicaciones infectadas por malware. Otras categorías comunes incluyeron aplicaciones de personalización maliciosas (15%) y de fotografía (11%).
Casi la mitad (46%) de los ataques ahora son troyanos, mientras que los sectores de tecnología (18%), educación (18%) y manufactura (14%) fueron los más afectados por el malware móvil el año pasado. En particular, los ataques en el sector educativo aumentaron un 136% anualmente, una tendencia preocupante dado el creciente uso de dispositivos móviles en entornos educativos.
El informe también señaló aumentos significativos en el malware bancario móvil (29%) y el spyware móvil (111%) durante el periodo del informe. Estas amenazas son especialmente preocupantes debido a la creciente dependencia de las aplicaciones móviles para transacciones financieras y la cantidad de datos personales que los usuarios almacenan en sus dispositivos.
Por primera vez, India registró la mayor cuota (28%) de ataques móviles, seguida por EE.UU. (27%) y Canadá (27%). Este cambio en la geografía de los ataques puede reflejar una combinación de factores, incluyendo el aumento en el uso de dispositivos móviles en estas regiones y la evolución de las tácticas de los atacantes.
El informe de Zscaler también destacó la amenaza para las empresas de los sistemas operativos heredados y al final de su vida útil que a menudo se ejecutan en equipos de tecnología operativa (OT). Estos sistemas a menudo no pueden ser actualizados debido a la incompatibilidad del hardware subyacente con versiones más nuevas o porque son demasiado críticos para ser desconectados para pruebas y parches.
“Los ciberdelincuentes están atacando cada vez más los activos expuestos heredados, que a menudo actúan como una cabeza de playa para los entornos IoT y OT, lo que resulta en brechas de datos y ataques de ransomware”, dijo Deepen Desai, CSO en Zscaler. “El malware móvil y los ataques de vishing impulsados por IA se suman a esa lista, haciendo crítico que los CISOs y CIOs prioricen una solución de confianza cero impulsada por IA para cerrar los vectores de ataque de todo tipo, protegiéndose contra estos ataques.”
Creciente Red de Estafadores en Plataformas de Reservas de Alojamiento
| Categoría | Phishing |
| Nombre vulnerabilidad | Telekopye |
| Brecha | Compromiso de cuentas legítimas de hoteles |
| Criticidad | |
| Fuente | InfoSecurity |
Una red creciente de estafadores en línea está dirigiéndose a usuarios de populares plataformas de reservas de alojamiento como Booking.com y Airbnb. Según nuevos hallazgos de los investigadores de ESET, estos ciberdelincuentes utilizan una herramienta basada en Telegram llamada Telekopye, que ha estado operando desde 2016.
Inicialmente, estos grupos se centraban en estafar a usuarios de mercados en línea, pero han expandido sus tácticas para explotar el sector de reservas de hoteles y apartamentos. Telekopye permite a los estafadores, conocidos como “Neandertales”, realizar campañas de phishing bien organizadas.
La herramienta proporciona características fáciles de usar, incluyendo la generación de correos electrónicos de phishing, mensajes SMS y sitios web de pago falsos. Al comprometer cuentas legítimas de hoteles, los estafadores contactan a los usuarios con afirmaciones de problemas relacionados con los pagos de reservas, lo que lleva a las víctimas a proporcionar detalles de pago sensibles en sitios web fraudulentos que imitan de cerca a las plataformas reales.
ESET ha advertido que las tácticas de los estafadores se han vuelto cada vez más sofisticadas, utilizando información de reservas reales obtenidas de cuentas comprometidas de proveedores de alojamiento legítimos para engañar a las víctimas. Por ejemplo, los usuarios podrían recibir correos electrónicos o mensajes de canales aparentemente oficiales, haciendo que las estafas sean más difíciles de detectar.
Los investigadores de ESET observaron un aumento en estas estafas temáticas de alojamiento durante julio de 2024, que por primera vez superaron a las estafas originales dirigidas a mercados en línea de Telekopye.
Además de los nuevos métodos de ataque, los grupos de Telekopye continúan mejorando sus herramientas y operaciones. Estas mejoras incluyen la creación automatizada de páginas de phishing, traducción en tiempo real e incluso medidas anti-DDoS para proteger sus sitios web fraudulentos de interrupciones.
A pesar de las operaciones policiales a finales de 2023 que llevaron a varios arrestos, las redes de estafas persisten. “La mejor manera de mantenerse protegido contra las estafas impulsadas por Telekopye es estar al tanto de las tácticas de los Neandertales y tener precaución en las plataformas afectadas,” dijo ESET. “Además de saber qué señales de alerta hay que buscar, recomendamos encarecidamente usar una solución antimalware de buena reputación en su dispositivo para intervenir si termina siendo atraído a un sitio web de phishing.”
Adicionalmente, utilizar contraseñas fuertes y habilitar la autenticación de dos factores son pasos clave recomendados para proteger las cuentas en línea.
Game Freak sufre una brecha de seguridad
| Categoría | Seguridad de datos |
| Nombre vulnerabilidad | TeraLeak |
| Brecha | Exposición de datos de empleados y socios |
| Criticidad | |
| Fuente | InfoSecurity |
Game Freak, el desarrollador japonés detrás de la famosa franquicia Pokémon, ha sufrido una brecha de seguridad que ha expuesto los datos de 2606 empleados y socios. La filtración, conocida como ‘TeraLeak’, apareció por primera vez en el foro 4chan a principios de octubre y ahora circula en redes sociales y foros en línea.
El TeraLeak contiene múltiples gigabytes de información, incluyendo nombres en clave de futuros proyectos de Nintendo Switch, código fuente de juegos existentes como Pokémon HeartGold y SoulSilver, y datos sobre la próxima generación de juegos de Pokémon, así como un título no anunciado.
El 10 de octubre, Game Freak confirmó que había experimentado un incidente de seguridad en agosto, durante el cual una tercera parte accedió de manera no autorizada a su sistema y expuso los datos de sus empleados. La compañía ha declarado que ya ha reconstruido e inspeccionado el servidor afectado y que fortalecerá aún más sus medidas de seguridad para evitar futuras incidencias.
Game Freak está en proceso de contactar individualmente a los empleados afectados y ha establecido una línea de atención para aquellos que no puedan ser contactados directamente. No se ha confirmado si los datos relacionados con Pokémon o Nintendo han sido expuestos o si la información filtrada es precisa.
El próximo juego de Pokémon, Pokémon Legends: Z-A, está actualmente en desarrollo y está programado para ser lanzado en 2025.
Gestión de Identidad y Acceso en la Ciberseguridad Moderna
| Categoría | Ciberseguridad |
| Nombre vulnerabilidad | Uso indebido de identidades comprometidas |
| Brecha | Acceso no autorizado a redes organizacionales |
| Criticidad | |
| Fuente | Info Security |
La Gestión de Identidad y Acceso (IAM) es esencial para proteger a las organizaciones contra amenazas cibernéticas. Los líderes de IAM juegan un papel crucial en garantizar la seguridad de los datos y en impulsar el éxito empresarial. La función principal de IAM es asegurarse de que las personas y máquinas correctas tengan acceso a los activos de una organización en el momento y por las razones correctas. Sin embargo, en el panorama actual de amenazas, esto representa un desafío significativo.
Los actores maliciosos continúan utilizando identidades comprometidas, incluidas contraseñas y credenciales, para obtener acceso no autorizado a las redes de las organizaciones. Tácticas como el relleno de credenciales, los ataques de ingeniería social y la toma de control de cuentas siguen siendo prevalentes, asistidas por tecnologías avanzadas como la inteligencia artificial (IA).
Como resultado, Gartner ha identificado el papel de IAM para mejorar la ciberseguridad como una de las principales tendencias de ciberseguridad para 2024. Aunque el rol de IAM en los programas de seguridad está destinado a aumentar, Gartner señala que las prácticas deben evolucionar para centrarse más en la higiene fundamental y el fortalecimiento de los sistemas para mejorar la resiliencia. Las capacidades de IAM deben combinarse con una sólida infraestructura de identidad y con la detección y respuesta a amenazas de identidad.
Se prevé que las responsabilidades de los líderes de IAM crezcan y Gartner predice que para 2026, el 25% de los líderes de IAM serán responsables tanto de la ciberseguridad como de los resultados comerciales, operando desde la alta dirección como directores de identidad (CIDOs). La empresa también predice que hasta 2026, el 40% de los líderes de IAM asumirán la responsabilidad principal de detectar y responder a las brechas relacionadas con IAM.
El acceso privilegiado permite a los usuarios eludir los controles estándar para ejecutar tareas por encima de aquellos con acceso estándar. Aunque esto es una herramienta útil para muchos empleados, puede introducir riesgos en los sistemas, tanto en las instalaciones como en la nube. Los riesgos principales asociados con el acceso privilegiado incluyen la proliferación de privilegios, el potencial de error humano en el uso de sus permisos y la elevación no autorizada de privilegios. Esta última es una técnica utilizada por los actores maliciosos para obtener permisos de nivel superior en un sistema.
Los controles tradicionales de gestión de acceso privilegiado (PAM), como el almacenamiento seguro de credenciales, privilegios mínimos, privilegios just-in-time y la gestión de sesiones, pueden reducir el riesgo, pero pueden ser ineficaces si se implementan incorrectamente. La gestión de acceso privilegiado (PAM) debe priorizarse como un mecanismo de defensa cibernética. PAM desempeña un papel clave en la habilitación de estrategias de confianza cero y defensa en profundidad que van más allá de los requisitos de cumplimiento simples.
IAM no es una herramienta única, y la red de soluciones puede causar confusión si no se implementa de manera coherente. La evolución de la arquitectura de IAM debe incluir la consideración de la infraestructura de identidad de la organización, un enfoque arquitectónico que apunta a integrar aplicaciones, servicios e infraestructura de IAM. Al desmantelar los silos entre herramientas, eliminar la deuda tecnológica y mejorar un marco de conectores en múltiples entornos, IAM puede ser más efectivo.
Tener una infraestructura de identidad establecida permite a las organizaciones responder a la pregunta de quién tiene acceso a qué, independientemente de dónde se encuentren los recursos y los usuarios. La evolución de la arquitectura de IAM continuará con la creciente adopción de entornos en la nube y de nube híbrida.
La inteligencia artificial generativa está preparada para revolucionar muchos elementos de la ciberseguridad, incluido el mejoramiento de IAM. Gartner predice que para 2025, al menos el 35% de las organizaciones utilizarán IA generativa como parte de sus funciones de infraestructura de identidad. Estas organizaciones mejorarán sustancialmente la experiencia del usuario y la eficiencia de sus controles de IAM. La IA generativa puede proporcionar avances en análisis de identidad, mientras que el aprendizaje automático puede reducir el riesgo y simplificar múltiples actividades de gestión de identidad y acceso.
Existen múltiples casos de uso donde la IA generativa puede ser un cambio.
Nueva campaña de malware con Hijack Loader
| Categoría | Malware |
| Nombre vulnerabilidad | Hijack Loader |
| Brecha | Distribución de malware mediante certificados de firma de código legítimos |
| Criticidad | |
| Fuente | The Hacker News |
Investigadores de ciberseguridad han revelado una nueva campaña de malware que distribuye artefactos de Hijack Loader firmados con certificados de firma de código legítimos. La empresa de ciberseguridad francesa HarfangLab, que detectó la actividad a principios de mes, informó que las cadenas de ataque buscan desplegar un ladrón de información conocido como Lumma.
Hijack Loader, también conocido como DOILoader, IDAT Loader y SHADOWLADDER, se dio a conocer en septiembre de 2023. Las cadenas de ataque que involucran este cargador de malware generalmente implican engañar a los usuarios para que descarguen un binario trampa bajo la apariencia de software o películas pirateadas.
Recientemente, se han encontrado variaciones de estas campañas que dirigen a los usuarios a páginas CAPTCHA falsas que les instan a demostrar que son humanos copiando y ejecutando un comando PowerShell codificado que deja caer la carga maliciosa en forma de un archivo ZIP.
El archivo ZIP incluye un ejecutable genuino vulnerable al side-loading de DLL y la DLL maliciosa (es decir, Hijack Loader) que debe cargarse en su lugar. El propósito de la DLL de HijackLoader es descifrar y ejecutar un archivo cifrado proporcionado en el paquete, que contiene la etapa final de HijackLoader destinada a descargar y ejecutar un implante ladrón.
El mecanismo de entrega cambió de side-loading de DLL a usar varios binarios firmados a principios de octubre de 2024 para evadir la detección por software de seguridad. Aunque no está claro si todos los certificados de firma de código fueron robados o generados intencionalmente por los actores de la amenaza, la empresa de ciberseguridad evaluó con baja a media confianza que podría ser lo último. Los certificados han sido revocados desde entonces.
Para varias autoridades emisoras de certificados, se observó que la adquisición y activación de un certificado de firma de código es mayormente automatizada, requiriendo solo un número de registro de empresa válido y una persona de contacto. Este hallazgo subraya que el malware puede estar firmado, destacando que la firma de código por sí sola no puede servir como un indicador fiable de confianza.