Newsletter - 2025-12
Tabla de Contenidos
- Newsletter - 2025-12
- El aumento de estafas de smishing dirigidas a usuarios de peajes en Estados Unidos
- Descubriendo vulnerabilidades críticas en la biblioteca ruby-saml
- Aumento de ataques de ransomware en almacenamiento en la nube
- Compromiso de GitHub Action y filtración de secretos en repositorios
- La nueva amenaza de malware que se dirige a los usuarios de software pirata
- El auge del malware de ingeniería social: R77 y su impacto en la seguridad cibernética
- Microsoft revela la sofisticada campaña de phishing “Storm-1865” dirigida al sector hotelero
El aumento de estafas de smishing dirigidas a usuarios de peajes en Estados Unidos
| Categoría | Seguridad en Aplicaciones |
|---|---|
| Nombre del tema | El aumento de estafas de smishing dirigidas a usuarios de peajes en Estados Unidos |
| Brecha | Vulnerabilidad en la protección de datos personales ante ataques de smishing |
| Criticidad | |
| Solución propuesta | Implementación de filtros avanzados de detección de smishing y educación a los usuarios sobre estas amenazas |
| Beneficios esperados | Reducción del número de víctimas de estafas de smishing, protección mejorada de datos personales y aumento de la conciencia sobre estas amenazas |
| Artículo original | The Hacker News |
En los últimos tiempos, se ha observado un incremento significativo en los mensajes de texto fraudulentos (phishing por SMS o “smishing”) en Estados Unidos, dirigidos a usuarios de operadores de peajes como E-ZPass. Estos mensajes advierten a los destinatarios sobre multas por tarifas de peaje no pagadas, instándoles a proporcionar datos de tarjetas de pago y, eventualmente, contraseñas de un solo uso enviadas a través de SMS o aplicaciones de autenticación móvil.
Este fenómeno está vinculado a la adición de nuevas funciones a un kit de phishing comercial popular en China, que facilita la creación de señuelos convincentes que suplantan a los operadores de peajes en varios estados de EE.UU. La semana pasada, el Departamento de Transporte de Massachusetts (MassDOT) alertó a los residentes sobre una nueva estafa de smishing dirigida a los usuarios del programa de peajes electrónicos EZDriveMA. Los informes de ataques similares surgieron simultáneamente en otros estados como Florida, Texas, California, Colorado, Connecticut, Minnesota y Washington.
Los actores maliciosos están explotando las hojas de estilo en cascada (CSS), que se utilizan para estilizar y dar formato al diseño de páginas web, para evadir filtros de spam y rastrear las acciones de los usuarios. Según nuevos hallazgos de Cisco Talos, estas actividades maliciosas pueden comprometer la seguridad y la privacidad de la víctima.
“Las características disponibles en CSS permiten a los atacantes y spammers rastrear las acciones y preferencias de los usuarios, aunque varias características relacionadas con el contenido dinámico (por ejemplo, JavaScript) están restringidas en los clientes de correo electrónico en comparación con los navegadores web”, explicó el investigador de Talos, Omid Mirzaei, en un informe publicado la semana pasada.
Los conocimientos se basan en hallazgos anteriores de la empresa de ciberseguridad sobre un aumento en las amenazas de correo electrónico que aprovechan la sal oculta de texto en la segunda mitad de 2024, con el objetivo de evadir filtros de spam de correo electrónico y puertas de seguridad. Esta técnica implica especialmente el uso de características legítimas del Lenguaje de Marcado de Hipertexto (HTML) y CSS para incluir comentarios y contenido irrelevante que son invisibles para la víctima cuando se renderizan en un cliente de correo electrónico, pero pueden desencadenar parsers y motores de detección.
El análisis más reciente de Talos ha encontrado que los actores de amenazas están utilizando propiedades de CSS como text_indent y opacity para ocultar contenido irrelevante de ser mostrado en el cuerpo del correo electrónico. El objetivo final de estas campañas, en algunos casos, es redirigir al destinatario del correo electrónico a una página de phishing.
Además, ha surgido que CSS ofrece oportunidades para que los actores de amenazas monitoreen el comportamiento del usuario a través de correos electrónicos de spam mediante la incorporación de propiedades CSS como la regla CSS @media, abriendo así la puerta a posibles ataques de huellas digitales.
“Este abuso puede variar desde identificar las preferencias de fuente y esquema de color de los destinatarios y el idioma del cliente hasta rastrear sus acciones (por ejemplo, ver o imprimir correos electrónicos)”, explicó Mirzaei.
“CSS proporciona una amplia gama de reglas y propiedades que pueden ayudar a los spammers y actores de amenazas a identificar a los usuarios, su cliente de correo web o correo electrónico, y su sistema. Por ejemplo, la regla de medios puede detectar ciertos atributos del entorno de un usuario, incluyendo el tamaño de la pantalla, la resolución y la profundidad del color”.
Para mitigar el riesgo que plantean tales amenazas, se recomienda implementar mecanismos de filtrado avanzados para detectar la sal oculta de texto y el ocultamiento de contenido, así como usar proxies de privacidad de correo electrónico.
Descubriendo vulnerabilidades críticas en la biblioteca ruby-saml
| Categoría | Seguridad en Aplicaciones |
|---|---|
| Nombre del tema | Vulnerabilidades críticas en ruby-saml |
| Brecha | Fallos en la parse de XML por REXML y Nokogiri que permiten ataques de Signature Wrapping |
| Criticidad | |
| Solución propuesta | Actualización a las versiones 1.12.4 y 1.18.0 de ruby-saml |
| Beneficios esperados | Protección contra ataques de toma de control de cuentas y denegación de servicio |
| Artículo original | The Hacker News |
Las vulnerabilidades en ruby-saml, identificadas como CVE-2025-25291 y CVE-2025-25292, tienen una puntuación CVSS de 8.8 sobre 10.0, lo que indica su alta severidad. Estas fallas afectan a las versiones anteriores a la 1.12.4 y entre la 1.13.0 y la 1.18.0 de la biblioteca. Los problemas surgen debido a diferencias en cómo los analizadores REXML y Nokogiri interpretan el XML, generando estructuras de documentos completamente diferentes a partir de la misma entrada XML. Este diferencial en los analizadores permite a un atacante ejecutar un ataque de Signature Wrapping, lo que puede resultar en la omisión de la autenticación.
Las vulnerabilidades han sido resueltas en las versiones 1.12.4 y 1.18.0 de ruby-saml. GitHub, propiedad de Microsoft, descubrió y reportó los fallos en noviembre de 2024, señalando que podrían ser explotados por actores malintencionados para llevar a cabo ataques de toma de control de cuentas. Los atacantes que posean una firma válida creada con la clave utilizada para validar las respuestas o afirmaciones SAML de la organización objetivo pueden utilizarla para construir afirmaciones SAML por sí mismos y, a su vez, iniciar sesión como cualquier usuario.
Según Peter Stöckli, investigador de GitHub Security Lab, el problema radica en una “desconexión” entre la verificación del hash y la verificación de la firma, lo que abre la puerta a la explotación mediante un diferencial en los analizadores. Además, las versiones 1.12.4 y 1.18.0 también abordan una vulnerabilidad de denegación de servicio (DoS) remoto al manejar respuestas SAML comprimidas (CVE-2025-25293, puntuación CVSS: 7.7). Se recomienda a los usuarios actualizar a la última versión para protegerse contra posibles amenazas.
Estos hallazgos se producen casi seis meses después de que GitLab y ruby-saml solucionaran otra vulnerabilidad crítica (CVE-2024-45409, puntuación CVSS: 10.0) que también podría resultar en una omisión de la autenticación. GitLab ha lanzado actualizaciones para abordar CVE-2025-25291 y CVE-2025-25292 con las versiones de Community Edition (CE) y Enterprise Edition (EE) 17.9.2, 17.8.5 y 17.7.7.
En instancias de GitLab CE/EE que utilizan autenticación SAML, bajo ciertas circunstancias, un atacante con acceso a un documento SAML firmado válido del IdP podría autenticarse como otro usuario válido dentro del entorno del IdP de SAML. Sin embargo, GitLab señaló que una explotación exitosa depende de que el atacante ya haya comprometido una cuenta de usuario válida para llevar a cabo la omisión de la autenticación.
La biblioteca ruby-saml es una pieza clave para muchos sistemas que requieren autenticación y autorización segura, y estos fallos ponen de relieve la importancia de mantener las dependencias actualizadas y vigiladas. La implementación de actualizaciones y parches de seguridad es crucial para mitigar riesgos y proteger la integridad de las aplicaciones y datos. Las organizaciones deben estar atentas a las alertas de seguridad y actuar rápidamente para corregir vulnerabilidades que podrían ser explotadas por atacantes.
En conclusión, las vulnerabilidades críticas en ruby-saml demuestran la necesidad de una gestión proactiva de la seguridad en aplicaciones. Mantenerse informado sobre las últimas amenazas y soluciones es esencial para asegurar un entorno digital seguro y resistente a los ataques.
Aumento de ataques de ransomware en almacenamiento en la nube
| Categoría | Seguridad en la Nube |
|---|---|
| Nombre del tema | Aumento de ataques de ransomware en almacenamiento en la nube |
| Brecha | Vulnerabilidades en los controles de seguridad y configuraciones por defecto de los proveedores de servicios en la nube |
| Criticidad | |
| Solución propuesta | Implementación de políticas de IAM, habilitación de copias de seguridad, versionado de objetos y bloqueo de objetos |
| Beneficios esperados | Mejora en la resiliencia frente a ataques de ransomware, reducción de la pérdida de datos y aumento de la seguridad general en la nube |
| Artículo original | The Hacker News |
El último informe de Palo Alto Networks Unit 42 sobre amenazas en la nube ha revelado que el 66% de los depósitos de almacenamiento en la nube contienen datos sensibles que son vulnerables a ataques de ransomware. Estos ataques pueden ser llevados a cabo aprovechando los controles de seguridad y configuraciones por defecto de los proveedores de servicios en la nube.
En los últimos meses, se han observado dos métodos diferentes para ejecutar un ataque de ransomware utilizando únicamente características legítimas de seguridad en la nube. Brandon Evans, consultor de seguridad e instructor certificado por SANS, advierte sobre la gravedad del asunto. Halcyon divulgó una campaña de ataque que aprovechaba uno de los mecanismos de cifrado nativos de Amazon S3, SSE-C, para cifrar cada uno de los depósitos objetivo. Hace unos meses, el consultor de seguridad Chris Farris demostró cómo los atacantes podían realizar un ataque similar utilizando una característica de seguridad diferente de AWS, claves KMS con material de clave externo, utilizando scripts generados por ChatGPT. “Claramente, este tema está en la mente tanto de los actores de amenazas como de los investigadores”, señala Brandon.
Para abordar el ransomware en la nube, SANS recomienda a las organizaciones lo siguiente:
1. Comprender el poder y las limitaciones de los controles de seguridad en la nube: Utilizar la nube no hace que tus datos sean automáticamente seguros. “Los primeros servicios en la nube que la mayoría de la gente usa son soluciones de copia de seguridad de archivos como OneDrive, Dropbox, iCloud y otros”, explica Brandon. “Aunque estos servicios suelen tener capacidades de recuperación de archivos habilitadas por defecto, este no es el caso de Amazon S3, Azure Storage o Google Cloud Storage. Es fundamental que los profesionales de la seguridad comprendan cómo funcionan estos servicios y no asuman que la nube los salvará.”
2. Bloquear métodos de cifrado en la nube no admitidos: AWS S3 SSE-C, AWS KMS con material de clave externo y técnicas de cifrado similares pueden ser abusadas porque el atacante tiene control total sobre las claves. Las organizaciones pueden utilizar políticas de Gestión de Identidad y Acceso (IAM) para exigir el método de cifrado utilizado por S3, como SSE-KMS utilizando material de clave alojado en AWS.
3. Habilitar copias de seguridad, versionado de objetos y bloqueo de objetos: Estos son algunos de los controles de integridad y disponibilidad para el almacenamiento en la nube. Ninguno de ellos está habilitado por defecto para ninguno de los tres principales proveedores de servicios en la nube. Si se utilizan correctamente, pueden aumentar las posibilidades de que una organización recupere sus datos después de un ataque de ransomware.
4. Equilibrar la seguridad y el costo con políticas de ciclo de vida de datos: Estas características de seguridad cuestan dinero. “Los proveedores de servicios en la nube no van a alojar tus versiones de datos o copias de seguridad de forma gratuita. Al mismo tiempo, tu organización no te va a dar un cheque en blanco para la seguridad de los datos”, dice Brandon. Cada uno de los tres principales proveedores de servicios en la nube permite a los clientes definir una política de ciclo de vida. Estas políticas permiten a las organizaciones eliminar automáticamente objetos, versiones y copias de seguridad cuando ya no se consideran necesarias. Sin embargo, los atacantes también pueden aprovechar las políticas de ciclo de vida. Se utilizaron en la campaña de ataque mencionada anteriormente para instar al objetivo a pagar el rescate rápidamente.
Para aprender más, puedes ver el webcast de Brandon, “La nube no te salvará del ransomware: Aquí está lo que sí lo hará”, visitando https://www.sans.org/webcasts/cloud-wont-save-you-from-ransomware-heres-what-will/
¿Interesado en tácticas adicionales para mitigar ataques en los tres principales proveedores de servicios en la nube? Consulta el curso de Brandon, SEC510: Controles y mitigaciones de seguridad en la nube en SANS 2025 en Orlando o en línea este abril. Este curso también está disponible con Brandon más adelante en el año en Baltimore, MD en junio o Washington, DC en julio.
Compromiso de GitHub Action y filtración de secretos en repositorios
| Categoría | Seguridad en Aplicaciones |
|---|---|
| Nombre del tema | Compromiso de GitHub Action y filtración de secretos en repositorios |
| Brecha | Modificación maliciosa del código de una acción de GitHub utilizada en CI/CD |
| Criticidad | |
| Solución propuesta | Actualización a la versión más reciente de la acción comprometida y revisión de los workflows ejecutados |
| Beneficios esperados | Prevención de la exposición no autorizada de secretos sensibles y mejora de la seguridad en el desarrollo de software |
| Artículo original | The Hacker News |
En los últimos días, se ha descubierto un compromiso significativo en la acción de GitHub tj-actions/changed-files, utilizada en más de 23,000 repositorios. Esta acción es fundamental para rastrear y recuperar archivos y directorios modificados, y su compromiso ha generado una brecha de seguridad crítica en los flujos de trabajo de integración y entrega continua (CI/CD) que la utilizan.
El compromiso ha sido identificado como CVE-2025-30066, con una puntuación CVSS de 8.6, lo que refleja la gravedad del incidente. La brecha se produjo antes del 14 de marzo de 2025 y permitió a los atacantes modificar el código de la acción, actualizando retroactivamente varias etiquetas de versión para referenciar el commit malicioso. Este comportamiento compromete la seguridad de los secretos del CI/CD, ya que los logs de construcción de GitHub Actions podrían exponer estos secretos de manera no autorizada.
Entre los secretos comprometidos se incluyen claves de acceso de AWS, tokens de acceso personal de GitHub (PATs), tokens de npm y claves RSA privadas, entre otros. Afortunadamente, no hay evidencia de que los secretos filtrados hayan sido utilizados por una infraestructura controlada por los atacantes.
El código malicioso insertado ejecuta un script de Python alojado en un gist de GitHub, diseñado para volcar los secretos del proceso de trabajo del Runner Worker. Este gist ha sido retirado desde entonces. La acción comprometida afecta a miles de pipelines CI, lo que ha generado una gran preocupación en la comunidad de desarrolladores.
Los mantenedores del proyecto han indicado que los atacantes lograron comprometer un token de acceso personal de GitHub (PAT) utilizado por @tj-actions-bot, un bot con acceso privilegiado al repositorio comprometido. Tras el descubrimiento, se ha actualizado la contraseña de la cuenta, se ha mejorado la autenticación para usar una clave de acceso y se han ajustado los niveles de permisos para seguir el principio de privilegio mínimo. GitHub también ha revocado el PAT comprometido.
Los usuarios de la acción de GitHub tj-actions/changed-files deben actualizar a la versión más reciente (46.0.1) lo antes posible. Además, se recomienda revisar todos los workflows ejecutados entre el 14 y el 15 de marzo y buscar cualquier salida inesperada en la sección de archivos modificados.
Este incidente no es el primero en señalar problemas de seguridad en la acción tj-actions/changed-files. En enero de 2024, el investigador de seguridad Adnan Khan reveló una vulnerabilidad crítica (CVE-2023-49291, puntuación CVSS: 9.8) que podría permitir la ejecución de código arbitrario.
Este desarrollo subraya nuevamente la susceptibilidad del software de código abierto a los riesgos de la cadena de suministro, que pueden tener consecuencias graves para varios clientes aguas abajo. Como medida preventiva, se aconseja que los clientes que utilizan versiones hash-pinned de tj-actions/changed-files revisen las actualizaciones realizadas durante el período de explotación para asegurarse de que no han incorporado el hash comprometido.
El compromiso de la acción tj-actions/changed-files en GitHub pone de manifiesto la necesidad de estrategias robustas de seguridad en el desarrollo de software. La actualización de las acciones comprometidas y la revisión de los workflows son pasos cruciales para mitigar los efectos de este incidente. Este artículo proporciona una visión detallada del compromiso y las recomendaciones para proteger los secretos de CI/CD, asegurando la integridad de los pipelines y la seguridad de la información sensible.
La nueva amenaza de malware que se dirige a los usuarios de software pirata
| Categoría | Seguridad en Aplicaciones |
|---|---|
| Nombre del tema | La nueva amenaza de malware que se dirige a los usuarios de software pirata |
| Brecha | Uso de software pirata que carece de controles de seguridad adecuados |
| Criticidad | |
| Solución propuesta | Evitar la descarga de software pirata, utilizar software legítimo y mantener sistemas de seguridad actualizados |
| Beneficios esperados | Reducción del riesgo de infecciones por malware, protección de datos personales y financieros, y mejora de la integridad del sistema |
| Artículo original | The Hacker News |
En la era digital, la ciberseguridad se ha convertido en una preocupación creciente para individuos y organizaciones. Una de las amenazas más recientes que ha captado la atención de la comunidad de seguridad es MassJacker, un clipper malware que se dirige a los usuarios que descargan software pirata. Este artículo proporciona una visión detallada de cómo MassJacker opera, sus implicaciones y las medidas preventivas que pueden adoptarse.
MassJacker es un tipo de cryware diseñado para monitorear el contenido del portapapeles de la víctima y facilitar el robo de criptomonedas. El malware sustituye las direcciones de monederos de criptomonedas copiadas por el usuario con otras controladas por el atacante, redirigiendo los fondos al monedero del adversario en lugar del destino original.
El proceso de infección comienza en un sitio web llamado pesktop[.]com, que se presenta como un portal para obtener software pirata. Sin embargo, además de ofrecer software pirata, el sitio también intenta que los usuarios descarguen diversos tipos de malware. El primer ejecutable actúa como un conducto para ejecutar un script de PowerShell que despliega un malware botnet llamado Amadey, junto con dos otros binarios .NET, cada uno compilado para arquitecturas de 32 y 64 bits.
El binario, conocido como PackerE, se encarga de descargar una DLL cifrada, que a su vez carga un segundo archivo DLL que lanza la carga útil de MassJacker al inyectarla en un proceso legítimo de Windows llamado “InstalUtil.exe”. La DLL cifrada incorpora características que mejoran su capacidad de evasión y anti-análisis, incluyendo hooking Just-In-Time (JIT), mapeo de tokens de metadatos para ocultar llamadas de función y una máquina virtual personalizada para interpretar comandos en lugar de ejecutar código .NET regular.
MassJacker, por su parte, incluye sus propios chequeos anti-depuración y una configuración para recuperar todos los patrones de expresiones regulares para detectar direcciones de monederos de criptomonedas en el portapapeles. También contacta a un servidor remoto para descargar archivos que contienen la lista de monederos bajo el control del atacante.
“MassJacker crea un manejador de eventos que se ejecuta cada vez que la víctima copia cualquier cosa”, explicó el investigador de seguridad Ari Novick. “El manejador verifica las expresiones regulares, y si encuentra una coincidencia, reemplaza el contenido copiado con un monedero perteneciente al actor de la amenaza de la lista descargada.”
CyberArk identificó más de 778,531 direcciones únicas pertenecientes a los atacantes, con solo 423 de ellas conteniendo fondos que suman aproximadamente $95,300. Sin embargo, la cantidad total de activos digitales presentes en todos estos monederos antes de ser transferidos asciende a alrededor de $336,700. Además, se encontró criptomoneda valorada en aproximadamente $87,000 (600 SOL) estacionada en un único monedero, con más de 350 transacciones canalizando dinero hacia el monedero desde diferentes direcciones.
Aunque no se conoce exactamente quién está detrás de MassJacker, un examen más profundo del código fuente ha revelado superposiciones con otro malware conocido como MassLogger, que también ha utilizado hooking JIT en un intento de resistir los esfuerzos de análisis.
Para protegerse contra amenazas como MassJacker, es esencial que los usuarios eviten descargar software pirata y utilicen únicamente software legítimo y confiable. Además, mantener los sistemas de seguridad actualizados y implementar buenas prácticas de ciberseguridad puede ayudar a mitigar el riesgo de infección por malware.
En resumen, MassJacker representa una amenaza significativa para los usuarios de software pirata, destacando la importancia de adoptar medidas preventivas adecuadas para proteger los datos personales y financieros. La vigilancia constante y la educación sobre las amenazas emergentes son cruciales para mantener la seguridad en el entorno digital.
El auge del malware de ingeniería social: R77 y su impacto en la seguridad cibernética
| Categoría | Seguridad en Endpoint |
|---|---|
| Nombre del tema | El auge del malware de ingeniería social: R77 y su impacto en la seguridad cibernética |
| Brecha | Vulnerabilidad en la detección de rootkits y técnicas de ingeniería social |
| Criticidad | |
| Solución propuesta | Implementación de soluciones avanzadas de detección de amenazas y capacitación en seguridad para usuarios |
| Beneficios esperados | Mejora en la detección temprana de malware, reducción del impacto de ataques y aumento de la resiliencia organizacional |
| Artículo original | The Hacker News |
En los últimos meses, se ha observado una nueva campaña de malware que utiliza tácticas de ingeniería social para distribuir un rootkit de código abierto llamado r77. Esta actividad, denominada OBSCURE#BAT por Securonix, permite a los actores de amenazas establecer persistencia y evadir la detección en sistemas comprometidos. Aún se desconoce quién está detrás de esta campaña.
El rootkit tiene la capacidad de ocultar o enmascarar cualquier archivo, clave de registro o tarea que comience con un prefijo específico. Los investigadores de seguridad Den Iuzvyk y Tim Peck han señalado en un informe compartido con The Hacker News que este malware ha estado dirigido a usuarios haciéndose pasar por descargas de software legítimo o mediante estafas de ingeniería social con captchas falsos.
La campaña está diseñada principalmente para atacar a individuos de habla inglesa, particularmente en Estados Unidos, Canadá, Alemania y el Reino Unido. OBSCURE#BAT recibe su nombre debido a que el punto de partida del ataque es un script por lotes de Windows ofuscado que, a su vez, ejecuta comandos de PowerShell para activar un proceso en múltiples etapas que culmina en la despliegue del rootkit.
Se han identificado al menos dos rutas diferentes de acceso inicial para hacer que los usuarios ejecuten los scripts por lotes maliciosos: una que utiliza la estrategia infame de ClickFix dirigiendo a los usuarios a una página de verificación de CAPTCHA falsa de Cloudflare, y otro método que publicita el malware como herramientas legítimas como Tor Browser, software VoIP y clientes de mensajería.
Aunque no está claro cómo se atrae a los usuarios para que descarguen el software trampa, se sospecha que se utilizan enfoques probados como publicidad maliciosa o envenenamiento SEO.
Independientemente del método utilizado, la carga útil de la primera etapa es un archivo que contiene el script por lotes, que luego invoca comandos de PowerShell para soltar scripts adicionales, realizar modificaciones en el Registro de Windows y configurar tareas programadas para la persistencia.
El malware almacena scripts ofuscados en el Registro de Windows y asegura su ejecución mediante tareas programadas, permitiendo que se ejecute silenciosamente en segundo plano. Además, modifica las claves del registro del sistema para registrar un controlador falso (ACPIx86.sys), incrustándose aún más en el sistema.
Durante el transcurso del ataque se despliega una carga útil .NET que emplea una serie de trucos para evadir la detección. Esto incluye ofuscación de flujo de control, encriptación de cadenas y el uso de nombres de funciones que mezclan caracteres árabes, chinos y especiales. Otra carga útil cargada mediante PowerShell es un ejecutable que utiliza el parcheo de la Interfaz de Escaneo Antimalware (AMSI) para eludir las detecciones de antivirus.
La carga útil .NET es responsable de soltar un rootkit en modo sistema llamado “ACPIx86.sys” en la carpeta “C:\Windows\System32\Drivers", que luego se lanza como un servicio. También se despliega un rootkit en modo usuario conocido como r77 para establecer persistencia en el host y ocultar archivos, procesos y claves de registro que coincidan con el patrón ($nya-).
El malware monitorea periódicamente la actividad del portapapeles y el historial de comandos, guardándolos en archivos ocultos para su probable exfiltración.
OBSCURE#BAT demuestra una cadena de ataque altamente evasiva, utilizando técnicas de ofuscación, técnicas de sigilo y hooking de API para persistir en sistemas comprometidos mientras evade la detección. Desde la ejecución inicial del script por lotes ofuscado (install.bat) hasta la creación de tareas programadas y scripts almacenados en el registro, el malware asegura la persistencia incluso después de reinicios. Al inyectarse en procesos críticos del sistema como winlogon.exe, manipula el comportamiento del proceso para complicar aún más la detección.
Estos hallazgos se producen mientras Cofense detalla una campaña de suplantación de Microsoft Copilot que utiliza correos electrónicos de phishing para llevar a los usuarios a una página de destino falsa para el asistente de inteligencia artificial (IA) diseñada para recolectar credenciales de usuarios y códigos de autenticación de dos factores (2FA).
Microsoft revela la sofisticada campaña de phishing “Storm-1865” dirigida al sector hotelero
| Categoría | Seguridad en Aplicaciones |
|---|---|
| Nombre del tema | Microsoft revela la sofisticada campaña de phishing “Storm-1865” dirigida al sector hotelero |
| Brecha | Vulnerabilidad en la identificación de correos electrónicos maliciosos que parecen venir de Booking.com |
| Criticidad | |
| Solución propuesta | Implementación de soluciones de seguridad avanzadas como filtros de spam, autenticación multifactor y formación en ciberseguridad para empleados |
| Beneficios esperados | Reducción de riesgo de robo de credenciales y datos financieros, incremento de la concienciación sobre ciberamenazas y mejora de la postura de seguridad organizacional |
| Artículo original | The Hacker News |
Microsoft ha revelado detalles sobre una campaña de phishing en curso que ha estado atacando al sector hotelero suplantando a la agencia de viajes online Booking.com. Utilizando una técnica de ingeniería social llamada ClickFix, los atacantes logran que los usuarios ejecuten malware que roba credenciales bajo el pretexto de solucionar un error inexistente.
La actividad, según el equipo de inteligencia de amenazas de Microsoft, comenzó en diciembre de 2024 y tiene como objetivo final realizar fraudes financieros y robos. La campaña, conocida como Storm-1865, ha estado dirigida a individuos en organizaciones hoteleras en Norteamérica, Oceanía, Asia del Sur y Sudeste, y Europa del Norte, Sur, Este y Oeste.
El ataque comienza con el envío de un correo electrónico malicioso a un individuo seleccionado, en el que se le informa sobre una supuesta reseña negativa dejada por un huésped en Booking.com, solicitando su “retroalimentación”. El mensaje incluye un enlace o un archivo PDF adjunto que aparentemente dirige a los destinatarios al sitio de Booking.com.
Sin embargo, en realidad, al hacer clic en el enlace se lleva a la víctima a una página de verificación CAPTCHA falsa, que está superpuesta sobre un fondo diseñado para imitar la página legítima de Booking.com. El objetivo es proporcionar una falsa sensación de seguridad y aumentar la probabilidad de una infección exitosa.
“El CAPTCHA falso es donde la página web emplea la técnica de ingeniería social ClickFix para descargar la carga maliciosa”, dijo Microsoft. “Esta técnica instruye al usuario para que use un atajo de teclado para abrir una ventana de ejecución de Windows, luego pegar y lanzar un comando que la página web agrega al portapapeles”.
El comando utiliza el binario legítimo mshta.exe para descargar la siguiente etapa de la carga, que incluye diversas familias de malware como XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot y NetSupport RAT.
Microsoft indicó que previamente observó que Storm-1865 había estado atacando compradores que usan plataformas de comercio electrónico con mensajes de phishing que llevan a páginas web de pago fraudulentas. La incorporación de la técnica ClickFix, por lo tanto, ilustra una evolución táctica diseñada para eludir las medidas de seguridad convencionales contra el phishing y el malware.
“El actor de amenazas que Microsoft rastrea como Storm-1865 encapsula un conjunto de actividades que llevan a cabo campañas de phishing, lo que resulta en el robo de datos de pago y cargos fraudulentos”, añadió.
“Estas campañas han estado en curso con volumen creciente desde al menos principios de 2023 e involucran mensajes enviados a través de plataformas de proveedores, como agencias de viajes online y plataformas de comercio electrónico, y servicios de correo electrónico, como Gmail o iCloud Mail”.
Es importante señalar que la combinación de señuelos de Booking.com y ClickFix para propagar XWorm también ha sido documentada por Cofense, con la compañía señalando que “esta técnica se vio casi el doble de frecuentemente con XWorm RAT en comparación con cualquier otra familia de malware”.
Storm-1865 representa solo una de las muchas campañas que han adoptado ClickFix como vector para la distribución de malware. Tal es la efectividad de esta técnica que incluso grupos de estados-nación rusos e iraníes como APT28 y MuddyWater la han adoptado para atraer a sus víctimas.
“Notablemente, el método capitaliza el comportamiento humano: al presentar una ‘solución’ plausible a un problema percibido, los atacantes desplazan la carga de ejecución al usuario, eludiendo efectivamente muchas defensas automatizadas”, dijo Group-IB en un informe independiente publicado hoy.
Una de esas campañas documentadas por la compañía de ciberseguridad de Singapur involucra el uso de ClickFix para descargar un descargador llamado SMOKESABER, que luego sirve como conducto para Lumma Stealer. Otras campañas han aprovechado la publicidad maliciosa, el envenenamiento de SEO, problemas de GitHub y el spam en foros o sitios de redes sociales con enlaces a páginas de ClickFix.
“La técnica ClickFix marca una evolución en las estrategias adversarias de ingeniería social, aprovechando la confianza del usuario y la funcionalidad del navegador para la implementación de malware”, dijo Group-IB. “La rápida adopción de este método por parte de grupos cibercriminales y APT subraya su efectividad y baja barrera técnica”.
Algunas de las otras campañas de ClickFix que se han documentado en las últimas semanas son las siguientes:
- Uso de verificaciones CAPTCHA falsas para iniciar un proceso de ejecución de PowerShell en múltiples etapas, entregando finalmente infostealers como Lumma y Vidar
- Uso de desafíos Google reCAPTCHA falsos por un actor de amenazas apodado Blind Eagle para desplegar malware
- Uso de enlaces de confirmación de reservas falsos para redirigir a los usuarios a páginas de verificación CAPTCHA que llevan a Lumma Stealer
- Uso de sitios temáticos falsos de Windows para redirigir a los usuarios a páginas de verificación CAPTCHA que llevan a Lumma Stealer
Los diversos mecanismos de infección de Lumma Stealer se ejemplifican aún más con el descubrimiento de otra campaña que utiliza repositorios falsos de GitHub con contenido generado por inteligencia artificial (IA) para entregar el stealer a través de un cargador conocido como SmartLoader.
“Estos repositorios maliciosos están disfrazados de herramientas no maliciosas, incluidos trucos de juegos, software pirateado y utilidades de criptomonedas”, dijo Trend Micro en un análisis publicado a principios de esta semana. “La campaña atrae a las víctimas con promesas de funcionalidad gratuita o ilícita no autorizada, incitándolas a descargar archivos ZIP (por ejemplo, Release.zip, Software.zip)”.
La operación sirve para resaltar cómo los actores de amenazas están abusando de la confianza asociada con plataformas populares como GitHub para la propagación de malware.
Las conclusiones llegan cuando Trustwave detalló una campaña de phishing por correo electrónico que utiliza señuelos relacionados con facturas para distribuir una versión actualizada de otro malware stealer llamado StrelaStealer, que se evalúa que es operado por un solo actor de amenazas apodado Hive0145.
“Las muestras de StrelaStealer incluyen ofuscación multicapa personalizada y aplanamiento del flujo de código para complicar su análisis”, dijo la compañía. “Se ha informado que el actor de amenazas potencialmente desarrolló un crypter especializado llamado ‘Stellar loader’, específicamente para ser usado con StrelaStealer”.