Newsletter - 2025-11

Tabla de Contenidos
  1. Newsletter - 2025-11
    1. Nueva técnica de extensión maliciosa que suplanta cualquier complemento instalado
    2. Aumento de ataques de phishing en Estados Unidos debido a nuevos kits fraudulentos
    3. La importancia de la seguridad en la nube en la era digital
    4. Nueva campaña de malware masivo infecta a usuarios con un minero de criptomonedas llamado SilentCryptoMiner
    5. Ciberataque masivo mediante malvertising impacta a más de un millón de dispositivos globalmente
    6. La evolución de los ataques de smishing y cómo protegerse
    7. Ciberataques mediante dispositivos USB: riesgos y cómo protegerse

Nueva técnica de extensión maliciosa que suplanta cualquier complemento instalado

Categoría Seguridad en Aplicaciones
Nombre del tema Nueva técnica de extensión maliciosa que suplanta cualquier complemento instalado
Brecha Vulnerabilidad en extensiones de navegador que permite suplantación y robo de credenciales
Criticidad
Solución propuesta Monitorización constante de extensiones instaladas, uso de herramientas de seguridad avanzadas y educación del usuario sobre los riesgos de extensiones maliciosas
Beneficios esperados Mejora en la seguridad del navegador, prevención de robos de credenciales y reducción de accesos no autorizados a información sensible
Artículo original The Hacker News

Seguridad en Aplicaciones

Los investigadores de ciberseguridad han demostrado una técnica novedosa que permite a una extensión de navegador web maliciosa suplantar cualquier complemento instalado. Las extensiones polimórficas crean una réplica exacta del icono, el popup HTML, los flujos de trabajo del complemento objetivo y hasta desactivan temporalmente la extensión legítima, haciendo que las víctimas crean que están proporcionando sus credenciales a la extensión real, según el informe publicado por SquareX la semana pasada.

Las credenciales recolectadas pueden ser utilizadas por los actores maliciosos para secuestrar cuentas en línea y obtener acceso no autorizado a información personal y financiera sensible. El ataque afecta a todos los navegadores basados en Chromium, incluyendo Google Chrome, Microsoft Edge, Brave, Opera, entre otros.

La técnica se basa en el hecho de que los usuarios comúnmente fijan las extensiones en la barra de herramientas del navegador. En un escenario de ataque hipotético, los actores maliciosos podrían publicar una extensión polimórfica en la Chrome Web Store (o cualquier mercado de extensiones) y disfrazarla como una utilidad.

Mientras la extensión proporciona la funcionalidad anunciada para no despertar sospechas, activa características maliciosas en segundo plano escaneando activamente la presencia de recursos web que correlacionan con extensiones específicas utilizando una técnica llamada “web resource hitting”.

Una vez identificada una extensión objetivo adecuada, el ataque pasa a la siguiente etapa, causando que se transforme en una réplica de la extensión legítima. Esto se logra cambiando el icono de la extensión maliciosa para que coincida con el del objetivo y desactivando temporalmente el complemento real mediante la API “chrome.management”, lo que resulta en su eliminación de la barra de herramientas.

“La ataque de extensión polimórfica es extremadamente poderoso ya que explota la tendencia humana de depender de señales visuales como confirmación”, dijo SquareX. “En este caso, los iconos de extensión en una barra fijada se utilizan para informar a los usuarios sobre las herramientas con las que están interactuando”.

Estos hallazgos se presentan un mes después de que la compañía también revelara otro método de ataque llamado Syncjacking del navegador, que permite tomar control del dispositivo de una víctima mediante una extensión de navegador aparentemente inocua.

El ataque de Syncjacking se basa en la sincronización de datos del navegador, lo que permite a los actores maliciosos acceder y controlar la información sincronizada en múltiples dispositivos. Este ataque demuestra la necesidad de una mayor vigilancia y medidas de seguridad para las extensiones del navegador, que a menudo son vistas como herramientas útiles y benignas.

Para protegerse de estos ataques, se recomienda a los usuarios seguir algunas prácticas de seguridad clave:

  1. Revisar y gestionar las extensiones instaladas regularmente para asegurarse de que todas las extensiones son legítimas y necesarias.
  2. Utilizar herramientas de seguridad avanzadas, como extensiones de seguridad y software de monitoreo de actividad del navegador.
  3. Educarse sobre los riesgos asociados con las extensiones del navegador y ser cautelosos al instalar nuevas extensiones, especialmente aquellas que requieren permisos extensivos.
  4. Mantener el navegador y sus extensiones actualizadas para garantizar que se apliquen los últimos parches de seguridad.

En resumen, la técnica de extensión polimórfica representa una amenaza significativa para la seguridad de los navegadores web y subraya la necesidad de una vigilancia continua y la implementación de medidas de seguridad robustas. La prevención y la educación del usuario son esenciales para mitigar los riesgos asociados con las extensiones del navegador y proteger la información sensible contra accesos no autorizados.

Aumento de ataques de phishing en Estados Unidos debido a nuevos kits fraudulentos

Categoría Seguridad en Aplicaciones
Nombre del tema Aumento de ataques de phishing en Estados Unidos debido a nuevos kits fraudulentos
Brecha Uso de kits de phishing avanzados que suplantan a operadores de peajes
Criticidad
Solución propuesta Implementación de filtros y análisis de comportamiento en aplicaciones de mensajería y autenticación
Beneficios esperados Reducción del impacto de estafas mediante SMS, aumento de la seguridad en la autenticación móvil y mejora de la detección de phishing
Artículo original The Hacker News

Seguridad en Aplicaciones

En los últimos tiempos, se ha observado un incremento significativo en los mensajes de texto fraudulentos (phishing por SMS o “smishing”) en Estados Unidos, dirigidos a usuarios de operadores de peajes como E-ZPass. Estos mensajes advierten a los destinatarios sobre multas por tarifas de peaje no pagadas, instándoles a proporcionar datos de tarjetas de pago y, eventualmente, contraseñas de un solo uso enviadas a través de SMS o aplicaciones de autenticación móvil.

Este fenómeno está vinculado a la adición de nuevas funciones a un kit de phishing comercial popular en China, que facilita la creación de señuelos convincentes que suplantan a los operadores de peajes en varios estados de EE.UU. La semana pasada, el Departamento de Transporte de Massachusetts (MassDOT) alertó a los residentes sobre una nueva estafa de smishing dirigida a los usuarios del programa de peajes electrónicos EZDriveMA. Los informes de ataques similares surgieron simultáneamente en otros estados como Florida, Texas, California, Colorado, Connecticut, Minnesota y Washington.

Los kits de phishing utilizados en estos ataques son especialmente sofisticados, ya que permiten a los delincuentes imitar de manera convincente la interfaz y las comunicaciones de los operadores de peajes, haciendo que los destinatarios confíen en la legitimidad de los mensajes. Además, estos kits incluyen herramientas para recoger información sensible de las víctimas, como datos de tarjetas de crédito y credenciales de autenticación.

La criticidad de estas estafas radica en la facilidad con la que los atacantes pueden acceder a información financiera y personal, lo que puede llevar a robos de identidad y fraudes financieros. Los usuarios que caen en estos engaños no solo enfrentan la pérdida de dinero, sino también posibles daños a su reputación y problemas legales derivados del uso indebido de sus datos.

Para combatir este tipo de amenazas, se propone la implementación de filtros avanzados en las aplicaciones de mensajería y autenticación móvil, que puedan detectar patrones sospechosos y bloquear mensajes fraudulentos antes de que lleguen a los usuarios. Además, es crucial que los operadores de peajes y otras entidades similares fortalezcan sus sistemas de comunicación, asegurándose de que los mensajes enviados a los usuarios sean fácilmente identificables como legítimos.

Entre los beneficios esperados de estas medidas se encuentran la reducción del impacto de las estafas mediante SMS, el aumento de la seguridad en la autenticación móvil y la mejora de la detección de phishing. La implementación de estas soluciones no solo protegerá a los usuarios de los operadores de peajes, sino que también contribuirá a la seguridad general en la comunicación móvil, haciendo más difícil para los delincuentes explotar este vector de ataque.

Además, es esencial que los usuarios estén informados y sean conscientes de los riesgos asociados con el smishing. Las campañas de concienciación pública pueden jugar un papel crucial en la prevención de estos ataques, educando a los ciudadanos sobre cómo identificar mensajes fraudulentos y qué pasos tomar si reciben uno. Al estar mejor informados, los usuarios podrán reaccionar de manera más efectiva ante posibles intentos de phishing, minimizando así el riesgo de caer en estas estafas.

Por último, las autoridades deben continuar monitoreando y respondiendo rápidamente a los informes de smishing, colaborando con las empresas de telecomunicaciones y los operadores de peajes para identificar y neutralizar las amenazas en el menor tiempo posible. La cooperación entre entidades públicas y privadas es fundamental para mantener la seguridad en el ecosistema digital y proteger a los ciudadanos de los crecientes riesgos de ciberseguridad.

En resumen, el aumento de ataques de phishing mediante SMS en Estados Unidos es una amenaza significativa que requiere una respuesta coordinada y multifacética. La implementación de tecnologías avanzadas, la educación pública y la colaboración entre diferentes entidades son esenciales para combatir estas estafas y proteger a los usuarios de los operadores de peajes y otras plataformas similares. Mantenerse informado y adoptar prácticas de seguridad robustas son pasos fundamentales para mitigar el impacto de estas amenazas y asegurar un entorno digital más seguro para todos.

La importancia de la seguridad en la nube en la era digital

Categoría Seguridad en la Nube
Nombre del tema La importancia de la seguridad en la nube en la era digital
Brecha Insuficiente implementación de medidas de seguridad en servicios en la nube
Criticidad
Solución propuesta Aplicación de políticas de seguridad robustas, cifrado de datos y auditorías periódicas
Beneficios esperados Mejora en la protección de datos, reducción de vulnerabilidades y aumento de la confianza en servicios en la nube
Artículo original The Hacker News

Seguridad en la Nube

En la actualidad, la nube ha revolucionado la forma en que las empresas gestionan y almacenan sus datos. Sin embargo, esta transformación también ha traído consigo una serie de desafíos en términos de seguridad. La seguridad en la nube se refiere a un conjunto de políticas, controles y tecnologías diseñados para proteger datos, aplicaciones y servicios basados en la nube. A medida que más organizaciones migran sus operaciones a la nube, la necesidad de una seguridad robusta se vuelve imperativa.

Uno de los principales desafíos en la seguridad en la nube es la gestión de identidades y accesos. Con usuarios accediendo a recursos de la nube desde diversos dispositivos y ubicaciones, es esencial garantizar que solo personas autorizadas puedan acceder a información sensible. La implementación de autenticación multifactor y la gestión de permisos son estrategias clave para mitigar este riesgo.

Además, el cifrado de datos juega un papel crucial en la protección de la información en la nube. Los datos deben ser cifrados tanto en tránsito como en reposo, asegurando que cualquier información interceptada no sea legible sin las claves adecuadas. Soluciones de cifrado avanzadas y la gestión de claves son fundamentales para mantener la seguridad de los datos.

Otro aspecto importante es la auditoría y el monitoreo continuo. Las organizaciones deben realizar auditorías periódicas para identificar y corregir vulnerabilidades en sus sistemas de nube. El monitoreo continuo permite detectar actividades sospechosas y responder rápidamente a posibles amenazas. Herramientas de monitoreo y análisis de seguridad pueden proporcionar una visión clara de la seguridad del entorno en la nube.

La gestión de configuraciones también es crítica. Configuraciones incorrectas pueden abrir puertas a atacantes y exponer datos sensibles. Utilizar herramientas de gestión de configuración automatizadas y realizar revisiones regulares puede ayudar a prevenir estos problemas.

El cumplimiento normativo es otro aspecto esencial de la seguridad en la nube. Las organizaciones deben asegurarse de cumplir con regulaciones y estándares de seguridad, como el GDPR en Europa, para evitar sanciones y proteger la privacidad de los datos de los usuarios. Políticas de cumplimiento y auditorías pueden ayudar a garantizar que se sigan las mejores prácticas y regulaciones.

La educación y concienciación de los empleados también son cruciales. Proporcionar formación en seguridad y concienciar sobre las mejores prácticas ayuda a prevenir errores humanos, que son una de las principales causas de brechas de seguridad. Programas de formación y campañas de concienciación pueden fortalecer la cultura de seguridad en la organización.

En conclusión, la seguridad en la nube es un componente esencial para cualquier organización que utilice servicios en la nube. Implementar políticas de seguridad robustas, cifrar datos, realizar auditorías periódicas y educar a los empleados son pasos cruciales para proteger la información y mantener la integridad del entorno digital. La adopción de estas prácticas no solo mejora la protección de datos, sino que también aumenta la confianza en los servicios en la nube, permitiendo a las organizaciones aprovechar al máximo los beneficios de la nube mientras minimizan los riesgos.

Nueva campaña de malware masivo infecta a usuarios con un minero de criptomonedas llamado SilentCryptoMiner

Categoría Seguridad en Aplicaciones
Nombre del tema Nueva campaña de malware masivo infecta a usuarios con un minero de criptomonedas llamado SilentCryptoMiner
Brecha Uso de herramientas de desvío de paquetes para distribuir malware camuflado
Criticidad
Solución propuesta Implementación de soluciones de seguridad robustas y educación sobre la importancia de no desactivar los sistemas de protección
Beneficios esperados Reducción de infecciones por malware, protección contra el robo de recursos y mejora de la seguridad general del sistema
Artículo original The Hacker News

Seguridad en Aplicaciones

En la actualidad, se ha identificado una campaña de malware masivo que infecta a los usuarios con un minero de criptomonedas conocido como SilentCryptoMiner. Este malware se disfraza como una herramienta destinada a eludir bloqueos y restricciones en servicios online, lo que lo hace especialmente peligroso debido a la manera en que se distribuye y engaña a los usuarios.

La empresa rusa de ciberseguridad Kaspersky ha señalado que esta actividad forma parte de una tendencia creciente en la que los cibercriminales utilizan herramientas de desvío de paquetes de Windows (WPD) para distribuir malware bajo la apariencia de programas para eludir restricciones. Estos programas suelen distribuirse en forma de archivos comprimidos acompañados de instrucciones de instalación, en las que los desarrolladores recomiendan desactivar las soluciones de seguridad, alegando falsos positivos.

Los investigadores Leonid Bezvershenko, Dmitry Pikush y Oleg Kupreev han destacado que esta práctica favorece a los atacantes, permitiéndoles persistir en un sistema desprotegido sin riesgo de detección. La táctica ha sido utilizada en esquemas que propagan ladrones de información, herramientas de acceso remoto (RATs), troyanos que proporcionan acceso remoto oculto y mineros de criptomonedas como NJRat, XWorm, Phemedrone y DCRat.

La última variante de esta táctica es una campaña que ha comprometido a más de 2,000 usuarios rusos con un minero disfrazado como una herramienta para eludir bloqueos basados en inspección profunda de paquetes (DPI). El programa se ha publicitado en forma de un enlace a un archivo malicioso a través de un canal de YouTube con 60,000 suscriptores.

En una escalada posterior de las tácticas observadas en noviembre de 2024, los actores de la amenaza han suplantado a desarrolladores de estas herramientas para amenazar a propietarios de canales con falsas notificaciones de infracción de derechos de autor, exigiendo que publiquen vídeos con enlaces maliciosos o arriesgándose a que sus canales sean cerrados debido a supuestas infracciones.

En diciembre de 2024, los usuarios informaron sobre la distribución de una versión infectada con un minero de la misma herramienta a través de otros canales de Telegram y YouTube, que desde entonces han sido cerrados, según Kaspersky.

Los archivos trampa han sido descubiertos conteniendo un ejecutable adicional, con uno de los scripts de lote legítimos modificado para ejecutar el binario a través de PowerShell. En caso de que el software antivirus instalado en el sistema interfiera con la cadena de ataque y elimine el binario malicioso, se muestra un mensaje de error a los usuarios, instándolos a volver a descargar el archivo y ejecutarlo después de desactivar las soluciones de seguridad.

El ejecutable es un cargador basado en Python diseñado para recuperar un malware de siguiente etapa, otro script de Python que descarga la carga útil del minero SilentCryptoMiner y establece persistencia, pero no antes de verificar si está corriendo en un entorno de sandbox y configurar exclusiones en Windows Defender.

El minero, basado en el minero de código abierto XMRig, está relleno con bloques de datos aleatorios para inflar artificialmente el tamaño del archivo a 690 MB y, en última instancia, dificultar el análisis automático por soluciones antivirus y sandboxes.

Para el sigilo, SilentCryptoMiner emplea el hollowing de procesos para inyectar el código del minero en un proceso del sistema (en este caso, dwm.exe). El malware es capaz de detener la minería mientras los procesos especificados en la configuración están activos. Puede ser controlado remotamente a través de un panel web.

Ciberataque masivo mediante malvertising impacta a más de un millón de dispositivos globalmente

Categoría Seguridad en Aplicaciones
Nombre del tema Ciberataque masivo mediante malvertising impacta a más de un millón de dispositivos globalmente
Brecha Uso de plataformas legítimas como GitHub y Discord para distribuir malware
Criticidad
Solución propuesta Implementación de controles de seguridad en aplicaciones, monitoreo constante de actividades inusuales y educación sobre ciberseguridad para los usuarios
Beneficios esperados Reducción de la exposición a malware, mejora de la detección de amenazas y aumento de la resiliencia frente a ciberataques
Artículo original The Hacker News

Seguridad en Aplicaciones

Microsoft ha revelado detalles de una campaña de malvertising a gran escala que ha afectado a más de un millón de dispositivos globalmente, como parte de un ataque oportunista diseñado para robar información sensible. La actividad fue detectada a principios de diciembre de 2024 y ha sido rastreada bajo el nombre Storm-0408, un grupo de actores de amenazas conocidos por distribuir malware de acceso remoto o de robo de información a través de phishing, optimización de motores de búsqueda (SEO) o malvertising.

El ataque se originó en sitios web de streaming ilegales que contenían redireccionadores de malvertising, llevando a los usuarios a un sitio web intermedio desde donde eran redirigidos a GitHub y otras dos plataformas. Esta campaña ha afectado a una amplia gama de organizaciones e industrias, tanto en dispositivos de consumidores como de empresas, lo que destaca la naturaleza indiscriminada del ataque.

Un aspecto significativo de la campaña es el uso de GitHub como plataforma para entregar los payloads de acceso inicial. En al menos otros dos casos aislados, los payloads fueron encontrados alojados en Discord y Dropbox. Los repositorios de GitHub han sido eliminados, pero Microsoft no ha revelado cuántos de estos repositorios fueron removidos.

El servicio de alojamiento de código propiedad de Microsoft actúa como base para el malware de dropper, responsable de desplegar una serie de programas adicionales como Lumma Stealer y Doenerium, que son capaces de recopilar información del sistema. El ataque también emplea una cadena de redirección sofisticada que comprende de cuatro a cinco capas, con el redireccionador inicial incrustado en un elemento iframe en sitios web de streaming ilegales que sirven contenido pirateado.

La secuencia de infección es un proceso de múltiples etapas que implica descubrimiento del sistema, recopilación de información y el uso de payloads adicionales como NetSupport RAT y scripts de AutoIT para facilitar el robo de más datos. El troyano de acceso remoto también sirve como conducto para el malware de robo de información.

Las etapas del ataque son las siguientes:

  1. Primera etapa - Establecer un punto de apoyo en dispositivos objetivo.
  2. Segunda etapa - Reconocimiento del sistema, recopilación y exfiltración de datos, y entrega de payloads.
  3. Tercera etapa - Ejecución de comandos, entrega de payloads, evasión defensiva, persistencia, comunicaciones de comando y control, y exfiltración de datos.
  4. Cuarta etapa - Uso de scripts de PowerShell para configurar exclusiones de Microsoft Defender y ejecutar comandos para descargar datos de un servidor remoto.

Otro aspecto de los ataques es el uso de varios scripts de PowerShell para descargar NetSupport RAT, identificar aplicaciones instaladas y software de seguridad, escaneando específicamente para la presencia de monederos de criptomonedas, indicando un posible robo de datos financieros.

Además de los ladrones de información, se ejecutaron scripts de PowerShell, JavaScript, VBScript y AutoIT en el host. Los actores de amenazas incorporaron el uso de binarios y scripts vivos (LOLBAS) como PowerShell.exe, MSBuild.exe y RegAsm.exe para el comando y control y la exfiltración de datos de usuario y credenciales de navegador.

La revelación se produce mientras Kaspersky ha descubierto que sitios web falsos que se hacen pasar por los chatbots de inteligencia artificial DeepSeek y Grok están siendo utilizados para engañar a los usuarios y hacerles instalar un ladrón de información Python previamente no documentado. Los sitios falsos temáticos de DeepSeek, anunciados por cuentas verificadas en X (como @ColeAddisonTech, @gaurdevang2 y @saduq5), también se han empleado para ejecutar un script de PowerShell que utiliza SSH para otorgar a los atacantes acceso remoto a la computadora.

“Los cibercriminales usan varios esquemas para atraer a las víctimas a recursos maliciosos,” dijo la empresa de ciberseguridad rusa. “Típicamente, los enlaces a dichos sitios se distribuyen a través de mensajeros y redes sociales. Los atacantes también pueden usar typosquatting o comprar tráfico de anuncios a sitios maliciosos a través de numerosos programas de afiliados.”

La evolución de los ataques de smishing y cómo protegerse

Categoría Seguridad Móvil
Nombre del tema La evolución de los ataques de smishing y cómo protegerse
Brecha Falta de concienciación y medidas de seguridad adecuadas para protegerse contra el smishing
Criticidad
Solución propuesta Implementación de soluciones de seguridad móvil, educación del usuario y monitoreo de actividad anómala
Beneficios esperados Reducción de casos de fraude, protección de datos personales y financieros, y mejora de la seguridad móvil
Artículo original The Hacker News

Seguridad Móvil

En los últimos tiempos, se ha observado un incremento significativo en los mensajes de texto fraudulentos (phishing por SMS o “smishing”) en Estados Unidos, dirigidos a usuarios de operadores de peajes como E-ZPass. Estos mensajes advierten a los destinatarios sobre multas por tarifas de peaje no pagadas, instándoles a proporcionar datos de tarjetas de pago y, eventualmente, contraseñas de un solo uso enviadas a través de SMS o aplicaciones de autenticación móvil.

Este fenómeno está vinculado a la adición de nuevas funciones a un kit de phishing comercial popular en China, que facilita la creación de señuelos convincentes que suplantan a los operadores de peajes en varios estados de EE.UU. La semana pasada, el Departamento de Transporte de Massachusetts (MassDOT) alertó a los residentes sobre una nueva estafa de smishing dirigida a los usuarios del programa de peajes electrónicos EZDriveMA. Los informes de ataques similares surgieron simultáneamente en otros estados como Florida, Texas, California, Colorado, Connecticut, Minnesota y Washington.

Los ataques de smishing explotan la confianza del usuario en los servicios legítimos de peaje y utilizan técnicas de ingeniería social para convencerlos de proporcionar información sensible. Estos ataques pueden tener consecuencias graves, como el robo de identidad y la pérdida financiera.

Para protegerse contra el smishing, es crucial adoptar las siguientes medidas:

  1. Educación del usuario: Informar a los usuarios sobre los riesgos del smishing y cómo identificar mensajes fraudulentos. Los mensajes de texto que solicitan información personal o financiera deben ser tratados con escepticismo.

  2. Soluciones de seguridad móvil: Implementar aplicaciones de seguridad que puedan detectar y bloquear mensajes de texto sospechosos. Estas aplicaciones pueden ofrecer protección adicional contra el smishing.

  3. Monitoreo de actividad anómala: Establecer sistemas de monitoreo que detecten actividades inusuales en las cuentas de los usuarios y alerten sobre posibles intentos de fraude.

  4. Verificación de fuentes: Siempre verificar la autenticidad de los mensajes de texto recibidos. Los usuarios deben comunicarse directamente con los operadores de peajes a través de canales oficiales para confirmar cualquier solicitud de información.

  5. Uso de autenticación multifactor: Implementar la autenticación multifactor para acceder a cuentas sensibles. Esto añade una capa adicional de seguridad que puede impedir el acceso no autorizado.

Los beneficios esperados de estas medidas incluyen la reducción significativa de los casos de fraude, la protección eficaz de los datos personales y financieros, y la mejora general de la seguridad móvil. La implementación de estas estrategias puede ayudar a mitigar el impacto del smishing y proteger a los usuarios de las consecuencias negativas de estos ataques.

En conclusión, la evolución del smishing destaca la necesidad de mejorar la concienciación y las medidas de seguridad para proteger a los usuarios de la creciente amenaza de mensajes de texto fraudulentos. A través de la educación, la tecnología y la vigilancia continua, es posible reducir el riesgo y protegerse contra este tipo de ataques.

Ciberataques mediante dispositivos USB: riesgos y cómo protegerse

Categoría Seguridad en Endpoint
Nombre del tema Ciberataques mediante dispositivos USB: riesgos y cómo protegerse
Brecha Uso de dispositivos USB no controlados que pueden introducir malware en sistemas internos
Criticidad
Solución propuesta Implementación de soluciones de monitoreo de actividad USB como Wazuh, políticas estrictas de acceso y uso de dispositivos USB autorizados
Beneficios esperados Reducción de brechas de seguridad, prevención de infecciones por malware y protección de datos sensibles
Artículo original The Hacker News

Seguridad en Endpoint

Los ataques mediante dispositivos USB constituyen un riesgo significativo para la ciberseguridad, aprovechando el uso diario de estos dispositivos para entregar malware y evadir las medidas tradicionales de seguridad en redes. Estos ataques pueden resultar en brechas de datos, pérdidas financieras y disrupciones operacionales, con impactos duraderos en la reputación de una organización.

Un ejemplo destacado es el gusano Stuxnet descubierto en 2010, un malware diseñado para atacar sistemas de control industrial, específicamente las instalaciones de enriquecimiento nuclear de Irán. Stuxnet explotó múltiples vulnerabilidades de día cero y se propagó principalmente a través de dispositivos USB, convirtiéndose en uno de los primeros ejemplos de ciberataques con efectos físicos en el mundo real. Este incidente expuso los riesgos de los medios removibles y aumentó la conciencia global sobre las amenazas de ciberseguridad a la infraestructura crítica.

Cómo se propagan los ataques mediante dispositivos USB

Los atacantes utilizan varios métodos para entregar cargas maliciosas a través de dispositivos USB, dirigidos a individuos y organizaciones. Entre estos métodos se encuentran:

  • Ataques de caída: Los dispositivos USB infectados se dejan deliberadamente en áreas públicas, como estacionamientos, para tentar a las víctimas a conectarlos y así infectar sus ordenadores.
  • Ataques por correo: Los dispositivos USB se envían a los objetivos por correo, disfrazados como artículos promocionales o dispositivos legítimos, para engañarlos y hacer que los conecten a sus sistemas.
  • Ingeniería social: Los atacantes utilizan tácticas psicológicas para persuadir a las víctimas a conectar dispositivos USB infectados a sus ordenadores.
  • Conexión no solicitada: Los atacantes conectan dispositivos USB infectados a sistemas desatendidos, propagando malware sin interacción de la víctima.

Cómo funcionan los ataques mediante dispositivos USB

Los ataques mediante dispositivos USB suelen seguir un proceso de múltiples pasos para infiltrarse en los sistemas y causar daño:

  1. Reconocimiento: Los atacantes investigan su objetivo para identificar posibles vulnerabilidades. En este caso, pueden reunir información sobre la organización, sus empleados y su entorno operativo para determinar la probabilidad de que alguien utilice un dispositivo USB.
  2. Armamentización: Los actores de amenaza preparan el dispositivo USB incrustando malware. Esto se puede lograr infectando directamente el dispositivo o creando un archivo aparentemente benigno, como un documento, video o imagen, que contiene código malicioso oculto.
  3. Entrega: Los atacantes distribuyen el dispositivo USB infectado a los objetivos dejándolo en áreas públicas, regalándolo como artículo promocional o utilizando ingeniería social para entregarlo.
  4. Explotación: Cuando el objetivo conecta el dispositivo USB, el malware se activa automáticamente o mediante interacción del usuario, explotando las vulnerabilidades del sistema.
  5. Instalación: El malware se instala en el sistema objetivo, obteniendo persistencia. Este paso permite al atacante mantener el control del dispositivo infectado incluso si se reinicia o se desconecta.
  6. Comando y Control (C2): El malware se comunica con el servidor del atacante, permitiéndole emitir comandos, exfiltrar datos o desplegar cargas adicionales.
  7. Acciones sobre los objetivos: Los atacantes logran sus objetivos, como robar datos sensibles, desplegar ransomware o establecer acceso persistente para futuras explotaciones.

Mejora de la postura de ciberseguridad contra ataques mediante dispositivos USB con Wazuh

Wazuh es una plataforma de seguridad de código abierto que ayuda a las organizaciones a detectar y responder a las amenazas de seguridad mediante el monitoreo de actividades del sistema, desde eventos informativos hasta incidentes críticos. Las organizaciones pueden prevenir proactivamente brechas y proteger datos sensibles monitoreando la actividad USB con Wazuh.

Monitoreo de actividades de dispositivos USB en Windows usando Wazuh

Wazuh monitorea las actividades de dispositivos USB en endpoints de Windows utilizando la función de Actividad Audit PNP. Esta función registra eventos Plug and Play (PnP), lo que ayuda a identificar cuándo se conectan dispositivos USB. Está disponible en Windows 10 Pro y Windows 11 Pro, Windows Server 2016 y versiones posteriores.

Las organizaciones pueden configurar Wazuh para detectar eventos específicos del sistema y monitorear eventos relacionados con USB, particularmente centrándose en el ID de evento de Windows 6416, que indica cuándo se conecta un dispositivo externo. Los administradores de seguridad pueden detectar conexiones de dispositivos USB creando reglas personalizadas en Wazuh para identificar posibles incidentes de seguridad.

El siguiente paso incluye crear una Base de Datos Constante (CDB) de identificadores únicos de dispositivos permitidos (DeviceID). Esta lista permite a Wazuh diferenciar entre dispositivos autorizados y no autorizados, generando alertas para ambas categorías. Por ejemplo, cuando se conecta un dispositivo USB autorizado, se desencadena una alerta de bajo nivel, mientras que las conexiones no autorizadas pueden generar alertas de alta severidad que indican una posible brecha de seguridad.

Caso de uso de detección de amenazas: Detectando actividades del USB-Drive Raspberry Robin

Wazuh proporciona una solución para mitigar amenazas relacionadas con USB, como Raspberry Robin, un gusano basado en Windows. Raspberry Robin apunta a industrias como petróleo, gas, transporte y tecnología, causando disrupciones operacionales. Se propaga mediante archivos .lnk disfrazados, obtiene persistencia actualizando el registro UserAssist y imita carpetas legítimas. El gusano utiliza procesos legítimos de Windows como msiexec.exe, rundll32.exe, odbcconf.exe y fodhelper.exe para ejecutarse, persistir y descargar componentes maliciosos adicionales. Su dependencia de servidores de comando y control (C2) basados en TOR para la comunicación saliente añade sigilo y complica la detección.

Wazuh detecta Raspberry Robin monitoreando modificaciones en el registro, patrones de ejecución de comandos inusuales y uso sospechoso de binarios del sistema. Su monitoreo de integridad de archivos en tiempo real y reglas de detección de amenazas identifican actividades maliciosas, permitiendo una respuesta rápida para mitigar disrupciones potenciales.

Wazuh detecta y mitiga Raspberry Robin monitoreando y respondiendo a actividades sospechosas como:

  • Actividades anómalas de cmd.exe: terminando procesos sospechosos o aislando endpoints afectados.
  • Descargas de msiexec.exe desde dominios oscuros: bloqueando conexiones y alertando a los administradores.
  • Bypass de UAC mediante fodhelper.exe: terminando el proceso y notificando a los administradores.
  • Bloqueo de conexiones salientes inusuales por rundll32.exe y dllhost.exe.

Monitoreo de dispositivos USB en Linux usando Wazuh

Los dispositivos USB también pueden introducir riesgos de seguridad en endpoints Linux como vectores potenciales de malware y acceso no autorizado a datos. udev es una utilidad del sistema en Linux que detecta y gestiona automáticamente dispositivos externos, como dispositivos USB, cuando se conectan. Crea los archivos de dispositivo necesarios en el directorio /dev para que el sistema pueda interactuar con ellos. Los administradores pueden crear reglas personalizadas de udev que generen eventos detallados, proporcionando información sobre la actividad USB. Wazuh tiene reglas integradas para el monitoreo de USB, pero los eventos generados por udev proporcionan detalles más ricos, mejorando la detección de amenazas.

Configuramos reglas de udev en nuestros endpoints Linux para activar un script de registro cada vez que se conecta un dispositivo USB. El agente de Wazuh debe configurarse para leer el archivo de registro JSON generado por el script de registro, permitiéndole procesar y analizar la actividad USB.

Al igual que en el monitoreo de dispositivos USB en Windows, se necesita una lista de Base de Datos Constante (CDB) de números de serie de dispositivos USB autorizados. Wazuh comparará las conexiones entrantes con esta lista, desencadenando alertas para dispositivos no autorizados.

Monitoreo de dispositivos USB en macOS usando Wazuh

Puedes utilizar un script personalizado para registrar eventos críticos relacionados con dispositivos USB en endpoints macOS y luego configurar Wazuh para monitorear estos eventos. Los administradores pueden extraer información como eventos de conexión y desconexión, IDs de vendedor, IDs de producto y números de serie de dispositivos USB conectados. Este script interactúa con el marco I/O Kit de macOS para recopilar información sobre dispositivos USB, que luego se formatea como JSON y se guarda en un archivo de registro. Los datos de registro generados por este script personalizado se envían al servidor de Wazuh para su análisis utilizando el agente de Wazuh.

Conclusión

Los ataques mediante dispositivos USB representan un riesgo de seguridad en los principales sistemas operativos, permitiendo la propagación de malware y el acceso no autorizado a actores maliciosos. Wazuh ofrece varios mecanismos de detección para aumentar las posibilidades de detectar ataques de dispositivos USB y mitigar su impacto potencial. Las organizaciones pueden mejorar su ciberseguridad integrando estos métodos de detección y aplicando políticas estrictas de acceso a dispositivos USB.