Newsletter - 2024-43
Tabla de Contenidos
- Newsletter - 2024-43
- Vulnerabilidad crítica en software de webmail Roundcube
- Actividades fraudulentas de trabajadores de TI de Corea del Norte
- Nueva campaña de phishing dirigida a usuarios de GitHub
- Brecha de datos en Fidelity
- Vulnerabilidad crítica en el portal web de Kia
- Cicada3301: Nuevo Grupo de Ransomware en auge
- Vulnerabilidad en macOS “HM Surf”
Vulnerabilidad crítica en software de webmail Roundcube
| Categoría | Phishing, XSS |
| Nombre vulnerabilidad | CVE-2024-37383 |
| Brecha | Ejecución de JavaScript arbitrario |
| Criticidad | |
| Fuente | The Hacker News |
Un grupo de actores malintencionados desconocidos ha sido observado intentando explotar una vulnerabilidad de seguridad ahora parcheada en el software de webmail de código abierto Roundcube como parte de un ataque de phishing diseñado para robar credenciales de usuario.
La empresa rusa de ciberseguridad Positive Technologies informó el mes pasado sobre un correo electrónico enviado a una organización gubernamental no especificada ubicada en uno de los países de la Comunidad de Estados Independientes (CIS). Sin embargo, cabe señalar que el mensaje fue enviado originalmente en junio de 2024.
“El correo electrónico parecía ser un mensaje sin texto, que contenía solo un documento adjunto”, se indicó en un análisis publicado a principios de esta semana. “Sin embargo, el cliente de correo electrónico no mostraba el adjunto. El cuerpo del correo electrónico contenía etiquetas distintivas con la declaración eval(atob(…)), que decodifican y ejecutan código JavaScript.”
La cadena de ataque, según Positive Technologies, es un intento de explotar CVE-2024-37383 (puntuación CVSS: 6.1), una vulnerabilidad de scripting entre sitios almacenado (XSS) a través de atributos de animación SVG que permite la ejecución de JavaScript arbitrario en el contexto del navegador web de la víctima.
En otras palabras, un atacante remoto podría cargar código JavaScript arbitrario y acceder a información sensible simplemente engañando a un destinatario del correo electrónico para que abra un mensaje especialmente diseñado. El problema se ha resuelto en las versiones 1.5.7 y 1.6.7 desde mayo de 2024.
“Al insertar código JavaScript como valor para ‘href’, podemos ejecutarlo en la página de Roundcube siempre que un cliente de Roundcube abra un correo electrónico malicioso”, señaló Positive Technologies.
La carga útil de JavaScript, en este caso, guarda el adjunto de Microsoft Word vacío (“Road map.docx”) y luego procede a obtener mensajes del servidor de correo utilizando el plugin ManageSieve. También muestra un formulario de inicio de sesión en la página HTML mostrada al usuario con el fin de engañar a las víctimas para que proporcionen sus credenciales de Roundcube.
En la etapa final, la información de nombre de usuario y contraseña capturada se exfiltra a un servidor remoto (“libcdn[.]org”) alojado en Cloudflare.
Actualmente no está claro quién está detrás de la actividad de explotación, aunque fallos previos descubiertos en Roundcube han sido abusados por múltiples grupos de hackers como APT28, Winter Vivern y TAG-70.
“Si bien Roundcube webmail puede no ser el cliente de correo electrónico más utilizado, sigue siendo un objetivo para los hackers debido a su uso prevalente por agencias gubernamentales”, dijo la empresa. “Los ataques a este software pueden resultar en un daño significativo, permitiendo a los ciberdelincuentes robar información sensible.”
Actividades fraudulentas de trabajadores de TI de Corea del Norte
| Categoría | Ciberseguridad |
| Nombre vulnerabilidad | Nickel Tapestry (Famous Chollima, UNC5267) |
| Brecha | Infiltración y extorsión por parte de trabajadores de TI norcoreanos |
| Criticidad | |
| Fuente | The Hacker News |
En un giro inesperado y preocupante, se ha detectado que trabajadores de tecnología de la información (TI) de Corea del Norte, que obtienen empleo bajo identidades falsas en compañías occidentales, no solo están robando propiedad intelectual, sino que además están exigiendo rescates para no filtrar la información robada. Esta táctica marca una nueva fase en sus ataques motivados financieramente.
Según un análisis publicado esta semana por la Unidad de Contramedidas de Amenazas de Secureworks (CTU), “en algunos casos, los trabajadores fraudulentos exigieron pagos de rescate a sus antiguos empleadores después de obtener acceso privilegiado, una táctica que no se había observado en esquemas anteriores”. En un caso particular, un contratista exfiltró datos propietarios casi inmediatamente después de comenzar su empleo a mediados de 2024.
La actividad, según la compañía de ciberseguridad, comparte similitudes con un grupo de amenazas que rastrean como Nickel Tapestry, también conocido como Famous Chollima y UNC5267. Este esquema de trabajadores fraudulentos de TI, orquestado con la intención de avanzar los intereses estratégicos y financieros de Corea del Norte, se refiere a una operación de amenazas internas que implica infiltrar compañías en Occidente para generar ingresos ilícitos para la nación sancionada.
Estos trabajadores norcoreanos suelen ser enviados a países como China y Rusia, desde donde se hacen pasar por freelancers en busca de oportunidades laborales. Otra táctica que utilizan es robar las identidades de individuos legítimos que residen en EE.UU. para lograr los mismos objetivos. También se sabe que solicitan cambios en las direcciones de entrega de los portátiles proporcionados por la empresa, a menudo redirigiéndolos a intermediarios en “granjas de portátiles”, quienes son compensados por sus esfuerzos por facilitadores basados en el extranjero y son responsables de instalar software de escritorio remoto que permite a los actores norcoreanos conectarse a las computadoras.
Además, múltiples contratistas podrían terminar siendo contratados por la misma compañía, o alternativamente, un individuo podría asumir varias identidades. Secureworks también ha observado casos en los que los contratistas falsos solicitaron permiso para usar sus propios portátiles personales e incluso lograron que las organizaciones cancelaran el envío del portátil corporativo por completo debido a que cambiaron la dirección de entrega mientras estaba en tránsito.
“Este comportamiento se alinea con la técnica de Nickel Tapestry de intentar evitar los portátiles corporativos, potencialmente eliminando la necesidad de un facilitador en el país y limitando el acceso a evidencias forenses”, explicó Secureworks. “Esta táctica permite a los contratistas usar sus portátiles personales para acceder remotamente a la red de la organización”.
En un indicio de que los actores de la amenaza están evolucionando y llevando sus actividades al siguiente nivel, han salido a la luz evidencias que demuestran cómo un contratista cuya relación laboral fue terminada por una empresa no identificada debido a un bajo rendimiento recurrió a enviar correos electrónicos de extorsión, incluyendo archivos ZIP con pruebas de los datos robados.
“Este cambio altera significativamente el perfil de riesgo asociado con la contratación inadvertida de trabajadores de TI norcoreanos”, afirmó Rafe Pilling, Director de Inteligencia de Amenazas en Secureworks CTU, en un comunicado. “Ya no buscan solo un sueldo constante, ahora buscan sumas mayores, más rápidamente, a través del robo de datos y la extorsión, desde dentro de las defensas de la empresa”.
Pilling comentó a The Hacker News que la operación general de trabajadores de TI norcoreanos impacta a cientos, si no miles, de roles en todo el mundo, aunque solo un pequeño porcentaje de eventos parece convertirse en escenarios de extorsión. Estos esfuerzos han apuntado principalmente a compañías que desarrollan software y usan contratistas remotos para hacerlo.
Para enfrentar esta amenaza, se ha instado a las organizaciones a ser vigilantes durante el proceso de reclutamiento, incluyendo la realización de verificaciones de identidad exhaustivas, entrevistas en persona o por video, y estar atentos a intentos de redirigir equipos de TI corporativos enviados a la dirección declarada del contratista.
Nueva campaña de phishing dirigida a usuarios de GitHub
| Categoría | Phishing |
| Nombre vulnerabilidad | Lumma Stealer |
| Brecha | Robo de credenciales |
| Criticidad | |
| Fuente | Krebsonsecurity |
Esta semana, muchos usuarios de GitHub recibieron un correo electrónico de phishing que advertía sobre vulnerabilidades críticas en su código. Aquellos que hicieron clic en el enlace proporcionado fueron llevados a una página web que les pedía que verificaran que eran humanos presionando una combinación de teclas que provocó que Microsoft Windows descargara malware diseñado para robar contraseñas. Aunque es poco probable que muchos programadores hayan caído en esta estafa, es notable porque versiones menos específicas de este ataque podrían ser mucho más exitosas contra el usuario promedio de Windows.
Un lector llamado Chris compartió un correo electrónico que recibió esta semana que suplantaba al equipo de seguridad de GitHub y advertía: “¡Hola! Hemos detectado una vulnerabilidad de seguridad en tu repositorio. Por favor, contáctanos en https://github-scanner[.]com para obtener más información sobre cómo solucionar este problema”.
Visitar ese enlace genera una página web que pide al visitante que “Verifique que es humano” resolviendo un CAPTCHA inusual. Este ataque de malware pretende ser un CAPTCHA destinado a separar humanos de bots. Al hacer clic en el botón “No soy un robot”, se genera un mensaje emergente que pide al usuario que siga tres pasos secuenciales para demostrar su humanidad.
El primer paso implica presionar simultáneamente la tecla con el icono de Windows y la letra “R”, lo que abre un cuadro de diálogo “Ejecutar” de Windows que ejecutará cualquier programa especificado que ya esté instalado en el sistema. Ejecutar esta serie de combinaciones de teclas solicita al PowerShell de Windows descargar malware diseñado para robar contraseñas.
El segundo paso pide al usuario que presione las teclas “CTRL” y “V” al mismo tiempo, lo que pega el código malicioso desde el portapapeles virtual del sitio. El tercer paso, presionar la tecla “Enter”, hace que Windows ejecute un comando de PowerShell y luego descargue y ejecute un archivo malicioso desde github-scanner[.]com llamado “l6e.exe”.
Según un análisis en el servicio de escaneo de malware Virustotal.com, el archivo malicioso descargado por el texto pegado se llama Lumma Stealer, y está diseñado para robar cualquier credencial almacenada en la PC de la víctima. Esta campaña de phishing puede no haber engañado a muchos programadores, quienes sin duda entienden de manera nativa que presionar las teclas Windows y “R” abrirá un cuadro de diálogo “Ejecutar”, o que Ctrl-V volcará el contenido del portapapeles. Sin embargo, apuesto a que el mismo enfoque funcionaría muy bien para engañar a algunos de mis amigos y familiares menos expertos en tecnología para que ejecuten malware en sus PC.
Dada esta realidad, sería ideal que existiera una forma sencilla de deshabilitar o al menos restringir fuertemente PowerShell para los usuarios normales, para quienes podría convertirse en una mayor responsabilidad. Sin embargo, Microsoft desaconseja encarecidamente deshabilitar PowerShell porque algunos procesos y tareas del sistema principal pueden no funcionar correctamente sin él. Además, hacerlo requiere modificar configuraciones sensibles en el registro de Windows, lo que puede ser una tarea arriesgada incluso para los más experimentados.
Aun así, no estaría de más compartir este artículo con los usuarios de Windows en tu vida que se ajusten al perfil menos experto. Porque esta estafa particular tiene un gran margen de crecimiento y creatividad.
Brecha de datos en Fidelity
| Categoría | Brecha de datos |
| Nombre vulnerabilidad | Acceso no autorizado a información personal |
| Brecha | 77,099 registros comprometidos |
| Criticidad | |
| Fuente | Security Boulevard |
En agosto de 2023, Fidelity Investments, una de las firmas de gestión de activos más grandes del mundo, sufrió una brecha de datos significativa que expuso información personal de 77,099 clientes. La información comprometida incluye números de Seguro Social, licencias de conducir y otros datos no especificados. Sin embargo, lo más preocupante no solo fue la magnitud de la brecha, sino también la falta de transparencia mostrada por la compañía al manejar el incidente.
Fidelity confirmó que la brecha ocurrió entre el 17 y 19 de agosto de 2023, pero no informó al público hasta varias semanas después. Según una presentación ante el fiscal general de Maine, un tercero no identificado accedió a la información utilizando dos cuentas de cliente que se habían creado recientemente. Estos atacantes lograron acceder y recuperar documentos relacionados con clientes de Fidelity y otras personas al enviar solicitudes fraudulentas a una base de datos interna que contenía imágenes de documentos.
Cuando se le preguntó cómo los atacantes pudieron acceder a los datos de miles de clientes utilizando solo dos cuentas, Fidelity no proporcionó detalles específicos. Michael Aalto, jefe de comunicaciones corporativas externas de Fidelity, se limitó a decir que los atacantes no vieron las cuentas, sino la información del cliente. Esta falta de claridad ha generado muchas críticas, ya que los clientes y expertos en seguridad buscan entender cómo se pudo permitir una vulnerabilidad tan significativa.
Expertos en seguridad, como Venky Raju, han sugerido que esta brecha probablemente se deba a configuraciones de seguridad incorrectas en las aplicaciones web de cara al cliente de Fidelity. Un vector de ataque bien conocido y comprendido, clasificado como el número uno en el Top 10 de Riesgos de Seguridad de Aplicaciones Web de OWASP, podría haber sido explotado. Este tipo de vulnerabilidad permitiría a los atacantes crear nuevas cuentas en Fidelity y acceder a otras cuentas de clientes.
Un ejemplo simple de cómo pudo ocurrir esto es el fallo conocido como “Control de Acceso Roto”, donde una página de perfil de cliente solo verifica que el usuario esté autenticado, pero no que sea realmente el cliente cuyo perfil está intentando ver.
La brecha de datos en Fidelity ha subrayado una vez más la importancia crítica de la seguridad de los datos en las instituciones financieras. Los expertos han sugerido varias medidas para evitar incidentes similares en el futuro, incluyendo la implementación de controles de acceso más estrictos y la inversión en infraestructuras de seguridad robustas.
Un usuario anónimo en un foro sugirió que las empresas deberían estar obligadas a pagar una compensación mínima directamente a cada cliente cuyo dato sea accedido ilegalmente, lo que podría focalizar mejor las mentes de los ejecutivos en la seguridad de los datos.
Finalmente, Fidelity ha intentado mitigar el impacto de la brecha restringiendo el acceso a ciertas cuentas y mejorando sus medidas de seguridad. Sin embargo, la confianza de los clientes ya se ha visto afectada, y la empresa tendrá que trabajar arduamente para recuperar su reputación.
Vulnerabilidad crítica en el portal web de Kia
| Categoría | Vulnerabilidad Web en la Industria Automotriz |
| Nombre vulnerabilidad | Exposición de Control Remoto en Vehículos Kia |
| Brecha | Acceso no autorizado a funciones del vehículo |
| Criticidad | |
| Fuente | Security Boulevard |
En un reciente episodio del podcast Shared Security, los anfitriones discutieron una vulnerabilidad significativa encontrada en el portal web de Kia que permite el control remoto de varias características del automóvil a través de su aplicación. Esta vulnerabilidad potencialmente permite el desbloqueo no autorizado y el rastreo de vehículos, lo cual es un riesgo de seguridad considerable para los propietarios de automóviles Kia.
La vulnerabilidad fue descubierta por un investigador de seguridad y afecta al portal web que se integra con la aplicación móvil de Kia. La falla permite que un atacante, con el conocimiento adecuado, pueda ejecutar comandos remotos en el vehículo de otra persona. Estos comandos incluyen la capacidad de desbloquear el vehículo, arrancar el motor y rastrear la ubicación del automóvil en tiempo real.
Este incidente resalta un problema más amplio de vulnerabilidades web en la industria automotriz. A medida que los vehículos se vuelven más conectados y dependientes de las tecnologías digitales, las superficies de ataque se expanden, proporcionando más puntos de entrada para los ciberatacantes. La seguridad de las aplicaciones móviles y los portales web asociados con los vehículos es crucial para proteger tanto la privacidad como la seguridad física de los propietarios de automóviles.
Para mitigar este tipo de riesgos, se recomienda a los fabricantes de automóviles adoptar prácticas robustas de ciberseguridad, como:
Auditorías de seguridad regulares: Realizar evaluaciones de seguridad periódicas para identificar y corregir vulnerabilidades antes de que puedan ser explotadas.
Autenticación multifactor (MFA): Implementar MFA para acceder a portales y aplicaciones críticas, añadiendo una capa adicional de seguridad.
Encriptación de datos: Asegurar que toda la comunicación entre la aplicación móvil y el servidor esté encriptada para evitar la intercepción de datos sensibles.
Actualizaciones de software: Proveer actualizaciones de software regulares para corregir vulnerabilidades conocidas y mejorar la seguridad general del sistema.
Tras el descubrimiento de la vulnerabilidad, Kia ha trabajado para solucionar el problema y ha lanzado actualizaciones para su sistema. Sin embargo, este incidente sirve como un recordatorio de la importancia de la ciberseguridad en la era de los vehículos conectados y la necesidad de una vigilancia continua para proteger a los usuarios.
Cicada3301: Nuevo Grupo de Ransomware en auge
| Categoría | Ransomware |
| Nombre vulnerabilidad | Cicada3301 |
| Brecha | Publicación de datos de empresas |
| Criticidad | |
| Fuente | Info Security |
Un nuevo grupo de ransomware, Cicada3301, ha emergido como una amenaza significativa desde su descubrimiento en junio de 2024, apuntando a negocios en sectores críticos en los EE. UU. y el Reino Unido. En solo tres meses, el grupo ha publicado datos de 30 empresas en sus sitios dedicados a filtraciones, subrayando la gravedad de la amenaza.
Un análisis reciente de Group-IB reveló que el ransomware de Cicada3301 está escrito en Rust, lo que le permite funcionar en múltiples plataformas, incluyendo Windows, Linux, ESXi y hasta arquitecturas menos comunes como PowerPC. El ransomware emplea técnicas de cifrado avanzadas, utilizando cifrado ChaCha20 y RSA con modos configurables: Completo, Rápido y Automático. Esta flexibilidad permite diferentes niveles de cifrado basados en tamaños de archivos y extensiones, optimizando el impacto del ransomware.
Uno de los aspectos más destacados de Cicada3301 es su sofisticado programa de afiliados, que recluta testers de penetración y brokers de acceso. A los afiliados se les ofrece una comisión del 20% sobre los pagos de rescate y obtienen acceso a un panel web que proporciona herramientas extensas para personalizar ataques. El panel web permite a los afiliados generar muestras de ransomware, crear notas de rescate y gestionar negociaciones con las víctimas.
El programa de afiliados incluye:
Generación de muestras de ransomware personalizadas.
Creación de notas de rescate.
Gestión de negociaciones con las víctimas.
Herramientas para personalizar configuraciones de cifrado y demandas de rescate.
Cicada3301 emplea tácticas agresivas diseñadas para causar la máxima disrupción. Su ransomware es capaz de apagar máquinas virtuales, terminar servicios críticos y eliminar copias de seguridad en la sombra, todo mientras evita la detección. El panel web otorga a los afiliados control granular sobre sus ataques, desde elegir configuraciones de cifrado hasta configurar demandas de rescate.
A medida que Cicada3301 continúa ascendiendo, las organizaciones deben priorizar la autenticación multifactor, la detección temprana, estrategias de respaldo adecuadas y el parcheo regular para mitigar los riesgos que presentan estos avanzados grupos de ransomware.
Vulnerabilidad en macOS “HM Surf”
| Categoría | Vulnerabilidad de software |
| Nombre vulnerabilidad | HM Surf |
| Brecha | Acceso a datos protegidos del usuario |
| Criticidad | |
| Fuente | Info Security |
Microsoft ha descubierto una vulnerabilidad en macOS que permite a los atacantes acceder a datos protegidos de los usuarios y ha advertido que puede estar siendo explotada activamente. La falla, denominada “HM Surf”, permite a los atacantes eludir la tecnología de Transparencia, Consentimiento y Control (TCC) del sistema operativo para acceder a datos sensibles del usuario, incluyendo páginas web visitadas, la cámara del dispositivo, el micrófono y la ubicación.
La vulnerabilidad está identificada como CVE-2024-44133, con una calificación de severidad media. Microsoft compartió sus hallazgos con Apple, que lanzó una corrección como parte de las actualizaciones de seguridad para macOS Sequoia el 16 de septiembre de 2024. Se insta a los usuarios de macOS a aplicar las actualizaciones lo antes posible, ya que Microsoft ha detectado actividad de explotación potencial asociada con Adload, una familia prevalente de malware para macOS.
La explotación implica eliminar la protección TCC para el directorio del navegador Safari y modificar un archivo de configuración en el directorio, según Microsoft. TCC es una tecnología que impide que las aplicaciones accedan a la información personal de los usuarios, incluidos servicios como servicios de ubicación, cámara, micrófono, directorio de descargas y otros, sin su consentimiento y conocimiento previos.
Eludir TCC se puede lograr aprovechando la autorización TCC com.apple.private.tcc.allow en Safari, que es el navegador predeterminado para macOS. Esto permite que la aplicación eluda por completo las comprobaciones de TCC para los servicios mencionados bajo la autorización. Los navegadores de terceros, como Google Chrome, Mozilla Firefox y Microsoft Edge, no tienen las mismas autorizaciones de privacidad que Safari, lo que significa que no se pueden usar para eludir las comprobaciones de TCC.
Los investigadores de Microsoft descubrieron que Safari mantiene su configuración en varios archivos bajo el directorio de inicio del usuario (~/Library/Safari). Este directorio contiene varios archivos de interés, incluida la historial del navegador del usuario, la lista de descargas y la lista de permisos. Fueron capaces de modificar los archivos sensibles bajo el directorio de inicio real del usuario (como /Users/$USER/Library/Safari/PerSitePreferences.db) y cambiar el directorio de inicio nuevamente para que Safari usara los archivos modificados. Esto les permitió ejecutar Safari para abrir una página web que toma una instantánea de la cámara y rastrea la ubicación del dispositivo.
En un escenario real, un atacante podría usar la técnica para llevar a cabo las siguientes actividades:
<b>Acceder a la cámara del dispositivo</b> y tomar fotos sin el consentimiento del usuario.
<b>Grabar audio a través del micrófono</b> del dispositivo.
<b>Rastrear la ubicación</b> del dispositivo en tiempo real.
<b>Acceder al historial de navegación del usuario</b> y a las listas de descargas.
Microsoft ha observado actividad sospechosa en el dispositivo de un cliente, lo que sugiere que Adload podría estar explotando la vulnerabilidad HM Surf. “Dado que no pudimos observar los pasos previos a la actividad, no podemos determinar completamente si la campaña de Adload está explotando la vulnerabilidad HM Surf en sí. Los atacantes que usan un método similar para desplegar una amenaza prevalente destacan la importancia de tener protección contra ataques que usan esta técnica”, advirtió Microsoft en la publicación del blog.