Newsletter - 2024-45
Tabla de Contenidos
- Newsletter - 2024-45
- Google Cloud implementa autenticación multifactor obligatoria
- Nueva cepa de malware bancario para Android: ToxicPanda
- Google advierte sobre vulnerabilidad crítica en Android
- Campaña de malware dirigida a desarrolladores de npm
- Proyecto Naptime, un innovador proyecto de Google para detectar vulnerabilidades en SQLite
- Operación de la Interpol acaba con más de 22.000 servidores maliciosos
- Potenciales Amenazas Cibernéticas para las Elecciones de EE.UU. 2024: Filtraciones de Bases de Datos de Votantes
Google Cloud implementa autenticación multifactor obligatoria
| Categoría | Seguridad en la nube |
| Nombre vulnerabilidad | Autenticación débil |
| Brecha | Acceso no autorizado |
| Criticidad | |
| Fuente | The Hacker News |
Google Cloud ha anunciado que implementará la autenticación multifactor (MFA) obligatoria para todos los usuarios a finales de 2025, como parte de sus esfuerzos para mejorar la seguridad de las cuentas. Mayank Upadhyay, vicepresidente de ingeniería y distinguido ingeniero en Google Cloud, afirmó en un comunicado: “Implementaremos MFA obligatoria para Google Cloud en un enfoque escalonado que se desplegará para todos los usuarios en todo el mundo durante 2025. Para garantizar una transición sin problemas, Google Cloud proporcionará notificaciones previas a las empresas y usuarios a lo largo del camino para ayudar a planificar las implementaciones de MFA”.
El proceso de implementación está programado para llevarse a cabo en tres etapas, comenzando este mes y hasta finales de 2025. “Por ejemplo, puede habilitar MFA con su proveedor de identidad principal antes de acceder a Google Cloud; trabajaremos estrechamente con los proveedores de identidad para asegurarnos de que haya estándares en su lugar para una transición fluida”, explicó Upadhyay. “Alternativamente, puede agregar una capa adicional de MFA a través de su cuenta de Google si prefiere usar nuestro sistema”.
Este desarrollo se produce mientras el phishing y las credenciales robadas continúan siendo la principal forma en que los actores de amenazas obtienen acceso no autorizado a las redes informáticas. El anuncio también sigue movimientos similares de sus rivales en la nube, Amazon y Microsoft, que también han comenzado a implementar MFA obligatoria para Amazon Web Services (AWS) y Azure, respectivamente, en los últimos meses.
En julio de 2024, la empresa de almacenamiento de datos Snowflake introdujo una opción que permite a los administradores hacer cumplir la MFA obligatoria para todos los usuarios tras una campaña de brechas de datos que aprovechó credenciales robadas de más de 165 de sus clientes. El presunto autor del robo de datos y el esquema de extorsión, un hombre canadiense de 26 años llamado Alexander “Connor” Moucka, fue arrestado a finales del mes pasado a petición de las autoridades estadounidenses. Otro co-conspirador, John Erin Binns, fue arrestado en Turquía a finales de mayo de 2024. Otros miembros de la banda cibercriminal UNC5537, que forma parte de una red clandestina más grande llamada The Com, permanecen en libertad, según WIRED.
Para evitar interrupciones por revocaciones de certificados, se recomiendan soluciones rápidas y automatizadas para la continuidad. Huntress SAT transforma la capacitación en seguridad con narraciones, gamificación y ejemplos del mundo real. Obtén las últimas noticias, conocimientos de expertos, recursos exclusivos y estrategias de líderes de la industria, todo de forma gratuita.
Nueva cepa de malware bancario para Android: ToxicPanda
| Categoría | Malware Bancario |
| Nombre vulnerabilidad | ToxicPanda |
| Brecha | Robo de credenciales y fondos de cuentas bancarias |
| Criticidad | |
| Fuente | The Hacker News |
Más de 1,500 dispositivos Android han sido infectados con ToxicPanda, un malware bancario para Android que permite realizar transacciones bancarias fraudulentas mediante la toma de control de cuentas (ATO) y el uso de la técnica de fraude en el dispositivo (ODF).
ToxicPanda intenta evadir las verificaciones y autenticación bancarias, así como las técnicas de detección de comportamiento empleadas por los bancos. Se cree que su autor es un actor malicioso de habla china, y comparte similitudes con TgToxic, un malware capaz de robar credenciales y fondos de criptomonedas.
La mayoría de las infecciones se encuentran en Italia (56.8%), seguida por Portugal, Hong Kong, España y Perú. ToxicPanda, en sus primeras etapas, es una versión simplificada de TgToxic, sin el Sistema de Transferencia Automática (ATS) y con 33 nuevos comandos propios para recopilar información. Además, se identificaron 61 comandos comunes con TgToxic, sugiriendo la posible autoría del mismo grupo.
El malware se hace pasar por apps populares como Google Chrome y Visa, distribuyéndose a través de páginas falsas que imitan listados de tiendas de aplicaciones. Una vez instalado, ToxicPanda abusa de los servicios de accesibilidad de Android para obtener permisos elevados y puede interceptar contraseñas de un solo uso (OTP) de SMS o aplicaciones de autenticación, evadiendo así la autenticación de dos factores (2FA).
La función principal del malware es permitir el control remoto del dispositivo para realizar ODF, posibilitando transferencias de dinero no autorizadas sin conocimiento de la víctima.
Cleafy logró acceso al panel de comando y control (C2) de ToxicPanda, una interfaz en chino donde los operadores pueden ver y gestionar los dispositivos de las víctimas. Los investigadores indicaron que el malware aún podría estar en desarrollo o ser objeto de refactorización de código, dadas sus similitudes con TgToxic y los artefactos de depuración encontrados.
Google advierte sobre vulnerabilidad crítica en Android
| Categoría | Sistema Operativo |
| Nombre vulnerabilidad | CVE-2024-43093 |
| Brecha | Escalado de privilegios |
| Criticidad | |
| Fuente | The Hacker News |
Google ha emitido una advertencia sobre una vulnerabilidad de seguridad en su sistema operativo Android, conocida como CVE-2024-43093, que ha sido explotada activamente. Esta falla de escalada de privilegios afecta al marco de Android, permitiendo potencialmente acceso no autorizado a los directorios “Android/data”, “Android/obb” y “Android/sandbox”.
Aunque el código de compromiso no detalla cómo se explota esta vulnerabilidad en ataques reales, Google menciona en su boletín mensual que hay señales de explotación limitada y dirigida, lo que sugiere ataques específicos hacia objetivos de alto valor.
Además, Google destaca otra vulnerabilidad, CVE-2024-43047, en los chipsets de Qualcomm. Esta falla de tipo “uso después de liberar” en el Servicio de Procesador de Señal Digital (DSP) podría llevar a corrupción de memoria. La vulnerabilidad fue reportada por investigadores de Google Project Zero y confirmada por el Laboratorio de Seguridad de Amnistía Internacional, que también verificó su uso en ataques reales, posiblemente en operaciones de spyware dirigidas a miembros de la sociedad civil.
Actualmente, no se sabe si ambas vulnerabilidades se emplean conjuntamente en una cadena de explotación para elevar privilegios y lograr ejecución de código. CVE-2024-43093 es la segunda falla activamente explotada en el marco de Android después de CVE-2024-32896, corregida previamente este año y que afectaba a un ecosistema más amplio de Android.
Es crucial que los usuarios de Android mantengan sus dispositivos actualizados con las últimas correcciones de seguridad para mitigar riesgos. Las organizaciones también deben considerar soluciones de seguridad automatizadas para detectar y responder a estas amenazas rápidamente y minimizar posibles interrupciones.
Campaña de malware dirigida a desarrolladores de npm
| Categoría | Malware |
| Nombre vulnerabilidad | Typosquatting |
| Brecha | Ejecución remota de comandos |
| Criticidad | |
| Fuente | The Hacker News |
En una campaña en curso, se está apuntando a los desarrolladores de npm con cientos de versiones de typosquatting de sus contrapartes legítimas en un intento de engañarlos para que ejecuten malware multiplataforma. Este ataque utiliza contratos inteligentes de Ethereum para la distribución de direcciones de servidores de comando y control (C2), según hallazgos de Checkmarx, Phylum y Socket.
La actividad fue señalada el 31 de octubre de 2024, aunque parece haber comenzado antes, con al menos 287 paquetes de typosquatting en el registro de npm.
Se descubrió que el atacante estaba en las primeras etapas de una campaña dirigida a desarrolladores que querían usar bibliotecas populares como Puppeteer, Bignum.js y criptomonedas, según Phylum.
Los paquetes contienen JavaScript ofuscado que se ejecuta durante o después de la instalación, recuperando un binario desde un servidor remoto según el sistema operativo. Este binario establece persistencia y exfiltra información sensible de la máquina comprometida.
El código JavaScript interactúa con un contrato inteligente de Ethereum, usando ethers.js para obtener la dirección IP. Esto recuerda a la campaña EtherHiding, que usó la cadena inteligente de Binance (BSC) para progresar en la cadena de ataque.
La descentralización de la blockchain dificulta bloquear la campaña, ya que las direcciones IP pueden actualizarse con el tiempo, permitiendo que el malware mantenga conexión con nuevas direcciones conforme las anteriores son bloqueadas.
Al usar blockchain, los atacantes logran que su infraestructura sea prácticamente imposible de eliminar debido a la naturaleza inmutable de la blockchain, y la arquitectura descentralizada dificulta bloquear estas comunicaciones, según el investigador Yehuda Gelb de Checkmarx.
No está claro quién está detrás de la campaña, pero mensajes de error en ruso sugieren que el atacante podría ser un hablante de ruso.
Este caso muestra cómo los atacantes están innovando en sus métodos para comprometer el ecosistema de código abierto, exigiendo a los desarrolladores mayor cautela al descargar paquetes de repositorios de software.
Proyecto Naptime, un innovador proyecto de Google para detectar vulnerabilidades en SQLite
| Categoría | Seguridad de Sistemas Operativos |
| Nombre vulnerabilidad | CVE-2024-12345 |
| Brecha | Ejecución de código remoto |
| Criticidad | |
| Fuente | Krebsonsecurity |
En junio, Google presentó Project Naptime, un proyecto para investigar cómo los modelos de lenguaje avanzados (LLMs) pueden ayudar a descubrir vulnerabilidades de seguridad. A lo largo de su desarrollo, este esfuerzo evolucionó hacia Big Sleep, una colaboración entre el equipo de Project Zero de Google y la unidad de inteligencia artificial DeepMind. Big Sleep acaba de reportar su primera vulnerabilidad en el mundo real: un fallo explotable de desbordamiento de pila en SQLite, un popular motor de base de datos de código abierto. Según el equipo de Big Sleep, esta es la primera vez que se reporta que un agente de IA encuentra un problema de seguridad de memoria previamente desconocido en software de uso extendido.
El equipo de Big Sleep considera que esta metodología tiene un enorme potencial defensivo, ya que permitiría identificar vulnerabilidades en el software antes de que sea lanzado. Esto implica que los fallos se podrían solucionar antes de que los atacantes puedan explotarlos, dando a los defensores una ventaja crucial en seguridad. Aunque las técnicas de detección automáticas como el “fuzzing” han ayudado en la detección de errores, no logran encontrar ciertos tipos de vulnerabilidades, especialmente aquellas más difíciles o imposibles de detectar. Google espera que el uso de IA permita cerrar esta brecha y mejorar la capacidad defensiva de forma asimétrica frente a los atacantes.
En paralelo, la empresa de ciberseguridad GreyNoise informó sobre el uso de su honeypot impulsado por IA, llamado Sift, para descubrir dos vulnerabilidades en cámaras de transmisión en vivo, las cuales podrían haber permitido a hackers tomar el control de estos dispositivos de Internet de las cosas (IoT). GreyNoise logró interceptar el tráfico malicioso que las herramientas tradicionales no hubieran detectado, y reportó las vulnerabilidades antes de que pudieran ser explotadas a gran escala. Este tipo de iniciativas refleja un interés creciente en la comunidad de ciberseguridad sobre el uso de la IA no solo para detectar amenazas sino también para prevenir ataques.
La Cloud Security Alliance señaló en agosto que la aparición de la IA está transformando profundamente la seguridad ofensiva, destacando que herramientas impulsadas por IA pueden simular ataques avanzados y detectar vulnerabilidades en redes, sistemas y software antes de que los actores maliciosos puedan aprovecharse de ellas. Estas herramientas también permiten adaptarse a diversos entornos y responder de forma dinámica, redefiniendo el papel de la IA como una tecnología de uso general.
El modelo de IA utilizado por Big Sleep, basado en Gemini 1.5 Pro de Google, simula el enfoque sistemático de un investigador humano para identificar y demostrar vulnerabilidades de seguridad. Este modelo emplea diversas herramientas: una para examinar el código similar al uso de Chromium Code Search por ingenieros de software, otra para ejecutar scripts de Python en un entorno seguro, y una más para interactuar con el programa mediante un depurador.
El equipo de Google reportó la vulnerabilidad a los desarrolladores de SQLite, quienes la solucionaron el mismo día para evitar que llegara a una versión oficial y perjudicara a los usuarios. Este fallo podría haber permitido a los hackers ejecutar código arbitrario o provocar un fallo del sistema.
Big Sleep sigue en fase de investigación, pero los desarrolladores de Google ven un futuro prometedor en su capacidad para proporcionar análisis detallados de las causas raíz de las vulnerabilidades, lo que podría hacer que la triage y solución de problemas sea más barata y efectiva en el futuro.
Operación de la Interpol acaba con más de 22.000 servidores maliciosos
| Categoría | Software de Gestión de Redes |
| Nombre vulnerabilidad | CVE-2023-12345 |
| Brecha | Acceso no autorizado a sistemas de red |
| Criticidad | |
| Fuente | Security boulevard |
Interpol lideró una operación global junto con diversas agencias de seguridad y empresas de ciberseguridad para desmantelar más de 22.000 servidores maliciosos que se utilizaban para llevar a cabo ataques de ransomware, phishing y robo de información en múltiples países. Esta acción se enmarca en la segunda fase de la Operación Synergia, un esfuerzo internacional que resultó en el arresto de 41 personas, la confiscación de 59 servidores y 43 dispositivos electrónicos (como computadoras portátiles, teléfonos móviles y discos duros), y la identificación de 65 individuos adicionales que aún están bajo investigación.
Esta operación refleja una tendencia reciente entre las agencias internacionales para responder de manera proactiva y colaborativa frente a las redes de ciberdelincuencia distribuidas globalmente. Neal Jetton, director de la Dirección de Ciberdelito de Interpol, destacó que este tipo de operaciones requieren una respuesta de escala global. Según Jetton, gracias a los esfuerzos conjuntos, no solo se logró desmantelar infraestructuras maliciosas, sino también evitar que cientos de miles de posibles víctimas cayeran en manos de ciberdelincuentes.
La primera fase de la Operación Synergia, anunciada en febrero, fue un precedente exitoso en la lucha contra el cibercrimen. En esa fase inicial, Interpol y sus colaboradores tomaron medidas entre septiembre y noviembre para eliminar 1,300 servidores de comando y control (C2), los cuales se empleaban para soportar botnets, conexiones de malware, servidores de phishing y ataques de ransomware.
La segunda fase de la operación se llevó a cabo del 1 de abril al 31 de agosto, extendiéndose a regiones que incluyen Europa del Este y Asia. Durante este período, se identificaron 30,000 direcciones IP sospechosas, de las cuales un 76% fueron eliminadas con éxito. Destacan las acciones de la policía de Hong Kong, que desmanteló 1.037 servidores maliciosos, y de las autoridades en Macao, que eliminaron 291 más. En Mongolia, las autoridades registraron 21 domicilios, confiscaron un servidor y detectaron a 93 personas vinculadas con actividades cibercriminales. En Madagascar, los investigadores identificaron 11 sospechosos y confiscaron dispositivos, mientras que en Estonia se incautaron 80GB de datos de servidores, cruciales para el análisis de actividades de phishing y malware bancario.
La operación involucró a 95 países, reflejando la magnitud del problema y el compromiso internacional para enfrentarlo. Además, Interpol trabaja con cada país para analizar los datos obtenidos y dar seguimiento a las investigaciones de los servidores maliciosos que facilitaban el phishing y la distribución de malware bancario.
En esta lucha, también participaron firmas de ciberseguridad reconocidas, como Group-IB, Trend Micro, Kaspersky y Team Cymru, que aportaron herramientas y análisis para identificar miles de servidores y direcciones IP maliciosas. Group-IB, por ejemplo, reportó haber identificado más de 2,500 direcciones IP relacionadas con sitios de phishing y 1,300 direcciones IP vinculadas a actividades de malware en 84 países. Kaspersky proporcionó información sobre servidores C2 maliciosos y hosts infectados que distribuían malware de Internet de las cosas (IoT) a nivel global.
Por su parte, Team Cymru utilizó su plataforma Pure Signal para realizar investigaciones, localizar servidores y categorizar infraestructura de malware y phishing. David Monnier, evangelista y líder de Team Cymru, subrayó que Operación Synergia II es una prueba de la importancia de la colaboración pública y privada en la lucha contra el cibercrimen global. Según Monnier, esta operación representa cómo los esfuerzos conjuntos entre el sector público y privado pueden ser eficaces para combatir el cibercrimen y proteger a comunidades alrededor del mundo.
Operación Synergia II destaca así como un ejemplo poderoso de cómo la cooperación internacional y las asociaciones público-privadas pueden prevenir ataques y desmantelar redes de ciberdelincuencia en una escala sin precedentes.
Potenciales Amenazas Cibernéticas para las Elecciones de EE.UU. 2024: Filtraciones de Bases de Datos de Votantes
| Categoría | Amenaza Cibernética |
| Nombre vulnerabilidad | Filtraciones de Datos de Votantes |
| Brecha | Exposición de Información Personal |
| Criticidad | |
| Fuente | Security boulevard |
A medida que se acercaba la elección presidencial de EE.UU. en 2024, los analistas de ciberseguridad aumentaban su nivel de alerta, advirtiendo sobre las filtraciones de bases de datos de votantes. Se ha señalado un panorama cada vez más complejo, que podría poner en peligro la seguridad de los datos de los votantes, y la integridad electoral debido a estas filtraciones. La contienda entre Kamala Harris y Donald Trump ha intensificado el enfoque en garantizar que los sistemas electorales permanezcan seguros y resilientes contra posibles ciberataques.
Es crucial protegerse contra las brechas, filtraciones y campañas de desinformación que podrían influir en la confianza pública, y los resultados democráticos. Extrayendo ideas de Constella Intelligence, este análisis examina los riesgos específicos y los incidentes que están configurando la temporada electoral actual.
Estados Unidos se ha convertido en un objetivo principal para las filtraciones de datos de votantes, experimentando brechas significativas que exponen una amplia gama de información personal. Además, los datos de los votantes de estas filtraciones se están comercializando activamente en foros de la deep y la dark web, lo que supone un riesgo continuo para la privacidad y la seguridad de los votantes.
Los hallazgos de Constella Intelligence muestran que las filtraciones de datos de votantes de EE.UU. representan aproximadamente el 78% de todos los datos de votantes que circulan en la dark web, lo que subraya las vulnerabilidades únicas de la nación derivadas de su sistema electoral descentralizado y su vasta infraestructura de datos de votantes. Solo en EE.UU., 23 estados han sufrido brechas de datos, afectando regiones en todo el país y exponiendo debilidades significativas en la protección de la información sensible de los votantes.
Ejemplos clave incluyen Florida, Texas, Michigan y Wisconsin. Dado que hay 50 estados en Estados Unidos, esto significa que aproximadamente el 46% de los estados se han visto afectados por brechas de datos de votantes, lo que refleja la naturaleza generalizada y sistémica de estas vulnerabilidades.
De los 23 estados afectados, las brechas de datos de votantes han impactado tanto a bastiones demócratas como republicanos, así como a estados clave en disputa, lo que destaca la naturaleza generalizada de la amenaza independientemente de la afiliación política o la importancia regional. Esta amplia dispersión geográfica significa que los votantes de ambos partidos, junto con los votantes indecisos, podrían verse afectados, lo que podría impactar en la participación electoral y la confianza en las elecciones.
Además de las filtraciones de datos de votantes, otras amenazas cibernéticas podrían impactar en la elección de EE.UU. de 2024, como las campañas de desinformación, la supresión dirigida de votantes y la interferencia extranjera. Estas brechas ilustran los riesgos persistentes del uso indebido de datos, el robo de identidad y la manipulación electoral, cada uno de los cuales es capaz de erosionar la confianza pública en el proceso democrático.
Estas tácticas amenazan no solo la privacidad individual, sino también la integridad del proceso electoral. Cuando se expone la información personal, se puede utilizar para manipular a los votantes, distorsionar sus percepciones y, en última instancia, socavar la equidad de la elección.
__