Newsletter - 2025-3
Tabla de Contenidos
- Newsletter - 2025-3
- Paquete Malicioso en npm Infecta Sistemas con Quasar RAT: Una Amenaza para los Desarrolladores de Ethereum
- Vulnerabilidades Críticas Corregidas en Microsoft Dynamics 365 y Power Apps Web API
- Nuevo Plugin Malicioso de WordPress Permite Estafas Sofisticadas en Páginas de Pago
- Navegando los Riesgos de Seguridad y las Ganancias de Eficiencia del GenAI en el Sector Salud
- Servicio de Hacking Web ‘Araneida’ Vinculado a una Empresa de TI Turca
- Malware de Android ‘FireScam’ se Hace Pasar por Telegram Premium para Robar Datos y Controlar Dispositivos
- Actualice los Dominios Antiguos de .NET Antes del 7 de Enero de 2025 para Evitar Interrupciones en el Servicio
Paquete Malicioso en npm Infecta Sistemas con Quasar RAT: Una Amenaza para los Desarrolladores de Ethereum
| Categoría | Seguridad en Aplicaciones |
|---|---|
| Nombre del tema | Paquete Malicioso en npm Infecta Sistemas con Quasar RAT: Una Amenaza para los Desarrolladores de Ethereum |
| Brecha | Falta de verificación de autenticidad en paquetes de registros de software de código abierto |
| Criticidad | |
| Solución propuesta | Implementar medidas de verificación de seguridad en registros de software y mejorar la colaboración entre desarrolladores y plataformas para detectar paquetes maliciosos |
| Beneficios esperados | Reducción de la proliferación de malware en ecosistemas de software de código abierto y protección de desarrolladores contra troyanos de acceso remoto |
| Fuente | The Hacker News |
Investigadores en ciberseguridad han identificado un paquete malicioso en el registro de npm, denominado “ethereumvulncontracthandler”, que se hace pasar por una herramienta para detectar vulnerabilidades en contratos inteligentes de Ethereum. Este paquete instala un troyano de acceso remoto (RAT) llamado Quasar RAT, comprometiendo la seguridad de los desarrolladores.
Publicado el 18 de diciembre de 2024 por un usuario llamado “solidit-dev-416”, el paquete ha sido descargado 66 veces. Una vez instalado, recupera un script malicioso desde un servidor remoto para desplegar el RAT en sistemas Windows. El código está altamente ofuscado, utilizando técnicas como codificación en Base64, XOR y minificación para dificultar su detección. Además, el malware verifica si se ejecuta en entornos aislados antes de proceder.
Quasar RAT, un troyano de código abierto lanzado en 2014, permite ejecutar comandos remotos, recopilar datos sensibles y establecer persistencia mediante el Registro de Windows. Se comunica con un servidor de comando y control (C2), identificado como “captchacdn[.]com:7000”, lo que posibilita su uso como parte de una posible red de botnets.
Este incidente destaca la problemática creciente de los paquetes maliciosos en registros de software de código abierto. Además, se ha identificado el uso de estrellas falsas en GitHub para inflar artificialmente la popularidad de repositorios maliciosos. Mercados negros como Baddhi Shop facilitan esta actividad, aumentando el riesgo de proliferación de software malicioso.
La comunidad de desarrolladores debe mantenerse alerta, verificando la autenticidad de los paquetes antes de instalarlos y empleando herramientas de seguridad avanzadas. La colaboración entre investigadores, desarrolladores y plataformas de código abierto es crucial para mitigar estos riesgos y garantizar un ecosistema más seguro.
Vulnerabilidades Críticas Corregidas en Microsoft Dynamics 365 y Power Apps Web API
| Categoría | Seguridad en la Nube |
|---|---|
| Nombre del tema | Vulnerabilidades en Microsoft Dynamics 365 y Power Apps Web API |
| Brecha | Falta de controles de acceso adecuados en APIs que permiten el acceso no autorizado a datos sensibles |
| Criticidad | |
| Solución propuesta | Implementar controles de acceso estrictos y monitoreo continuo de las APIs para detectar y prevenir accesos no autorizados |
| Beneficios esperados | Protección de datos sensibles, reducción del riesgo de exposición de información personal y financiera, y mejora de la seguridad en la plataforma de Microsoft Dynamics 365 |
| Fuente | The Hacker News |
Recientemente, se han revelado tres vulnerabilidades de seguridad en Microsoft Dynamics 365 y Power Apps Web API que podrían haber permitido la exposición de datos sensibles. Estas fallas, descubiertas por la empresa de ciberseguridad Stratus Security, con sede en Melbourne, fueron corregidas en mayo de 2024.
Dos de las vulnerabilidades se encontraban en el filtro OData Web API de Power Platform. La primera se debía a la falta de controles de acceso adecuados, lo que permitía a actores malintencionados acceder a la tabla de contactos que contiene información sensible, como nombres completos, números de teléfono, direcciones, datos financieros y hashes de contraseñas. Un atacante podría explotar esta falla realizando búsquedas booleanas para extraer los hashes de contraseñas, adivinando cada carácter de manera secuencial hasta obtener el valor completo.
La segunda vulnerabilidad estaba relacionada con el uso de la cláusula “orderby” en la misma API, lo que permitía obtener datos de columnas específicas de la base de datos, como la dirección de correo electrónico principal del contacto.
La tercera vulnerabilidad se encontraba en la API FetchXML. Esta permitía a un atacante acceder a columnas restringidas de la tabla de contactos mediante una consulta “orderby”, eludiendo los controles de acceso existentes. A diferencia de las vulnerabilidades anteriores, esta no requería que la ordenación fuera en orden descendente, lo que añadía flexibilidad al ataque.
Un atacante que explotara estas vulnerabilidades podría compilar una lista de hashes de contraseñas y correos electrónicos, para luego descifrar las contraseñas o vender los datos obtenidos. Este incidente subraya la importancia de mantener una vigilancia constante en ciberseguridad, especialmente para grandes empresas que manejan volúmenes significativos de datos sensibles.
Nuevo Plugin Malicioso de WordPress Permite Estafas Sofisticadas en Páginas de Pago
| Categoría | Seguridad en Aplicaciones |
|---|---|
| Nombre del tema | Plugin malicioso “PhishWP” en WordPress para crear páginas de pago falsas |
| Brecha | Falta de detección de plugins maliciosos en sitios de WordPress que facilitan ataques de phishing |
| Criticidad | |
| Solución propuesta | Utilizar herramientas avanzadas de protección contra phishing, verificar la autenticidad de las páginas de pago, y mantener los sistemas actualizados |
| Beneficios esperados | Prevención de robo de datos financieros y personales, mejora de la seguridad de los sitios de WordPress, y protección de usuarios contra estafas de phishing |
| Fuente | infosecurity-magazine |
Investigadores de ciberseguridad han identificado un plugin malicioso para WordPress llamado PhishWP, utilizado por ciberdelincuentes para crear páginas de pago falsas que imitan servicios legítimos como Stripe. Este plugin permite el robo de datos financieros y personales sensibles de las víctimas.
PhishWP fue detectado en un foro de ciberdelincuencia ruso, donde se distribuye para facilitar la creación de interfaces de pago convincentes que capturan detalles de tarjetas de crédito, direcciones de facturación e incluso contraseñas de un solo uso (OTP). Una vez que la víctima ingresa su información, el plugin envía los datos robados directamente a los atacantes a través de Telegram, a menudo en tiempo real.
Los ciberdelincuentes implementan PhishWP comprometiendo sitios de WordPress existentes o creando otros fraudulentos. El diseño del plugin replica de manera precisa las pasarelas de pago confiables, lo que dificulta que los usuarios detecten el engaño.
Características destacadas de PhishWP:
Creación de páginas de pago personalizadas: Permite generar páginas de pago que imitan a procesadores legítimos.
Recolección de OTPs: Captura contraseñas de un solo uso para eludir medidas de seguridad adicionales.
Transmisión de datos a través de Telegram: Envía la información robada directamente a los atacantes.
Envío de correos electrónicos de confirmación falsos: Proporciona a las víctimas detalles de pedidos falsos para evitar sospechas.
Soporte multilingüe: Facilita campañas de phishing a nivel global.
Ofuscación del código: Oculta su propósito malicioso para evadir detección.
Operativa de PhishWP:
Un ataque típico implica la creación de un sitio de comercio electrónico falso que ofrece productos a precios muy bajos. Las víctimas, atraídas por las ofertas, ingresan sus datos de pago en la página de pago falsificada. PhishWP captura esta información y la envía al atacante, quien puede utilizarla para realizar transacciones no autorizadas o venderla en mercados clandestinos.
Recomendaciones de seguridad:
Para protegerse contra amenazas como PhishWP, se aconseja:
Utilizar herramientas avanzadas de protección contra phishing: Implementar soluciones que detecten y bloqueen URLs maliciosas en tiempo real.
Verificar la autenticidad de las páginas de pago: Asegurarse de que las pasarelas de pago sean legítimas antes de ingresar información sensible.
Mantener actualizados los sistemas de seguridad: Actualizar regularmente plugins y temas de WordPress para evitar vulnerabilidades.
Navegando los Riesgos de Seguridad y las Ganancias de Eficiencia del GenAI en el Sector Salud
| Categoría | Seguridad en Aplicaciones |
|---|---|
| Nombre del tema | Navegando los Riesgos de Seguridad y las Ganancias de Eficiencia del GenAI en el Sector Salud |
| Brecha | Riesgo de manipulación adversarial de modelos GenAI que pueden generar información incorrecta o sesgada |
| Criticidad | |
| Solución propuesta | Implementar evaluaciones periódicas de riesgos, control de acceso estricto, y entrenamiento en ciberseguridad para el personal |
| Beneficios esperados | Mejora en la toma de decisiones médicas y protección de datos sensibles |
| Fuente | Cyberdefensemagazine |
La inteligencia artificial generativa (GenAI) está revolucionando el sector salud, impulsando mejoras en la atención al paciente, el desarrollo de medicamentos y la optimización de procesos. Sin embargo, junto con sus beneficios, la adopción de GenAI introduce riesgos significativos en la ciberseguridad, lo que requiere un enfoque estratégico para gestionarlos.
El auge de las aplicaciones SaaS (Software como Servicio) ha facilitado que empleados adopten herramientas sin la autorización o supervisión de los equipos de TI, un fenómeno conocido como “shadow IT”. Este comportamiento incrementa la superficie de ataque, ya que cada nueva aplicación o cuenta asociada se convierte en un posible punto de entrada para los ciberdelincuentes. La falta de visibilidad sobre estas aplicaciones no autorizadas expone a las organizaciones a brechas de datos, accesos no autorizados y posibles sanciones por incumplimientos normativos.
Un ejemplo clave es la dependencia de aplicaciones GenAI para el análisis de datos de pacientes y la generación de información clínica. Aunque estas herramientas pueden mejorar la toma de decisiones médicas, el uso inadecuado o descontrolado puede poner en riesgo datos sensibles, incluyendo información personal y confidencial. Además, los modelos GenAI pueden ser manipulados mediante ataques adversariales, lo que plantea el riesgo de generar información incorrecta o sesgada.
Para mitigar estos desafíos, los expertos recomiendan la implementación de un enfoque estructurado, como la gestión de riesgos de identidad en SaaS (SIRM). Este enfoque permite a las organizaciones:
Visibilidad completa: Obtener una visión holística de todas las aplicaciones SaaS utilizadas en la organización, incluidas las no autorizadas. Evaluación de cumplimiento: Analizar si las herramientas empleadas cumplen con las políticas y normativas de seguridad de la empresa. Control de acceso: Aplicar políticas de seguridad que restrinjan el acceso a datos sensibles únicamente al personal autorizado. Gestión de aplicaciones no autorizadas: Detectar y bloquear el uso de herramientas que no cumplan con los estándares de seguridad. Además, la adopción de prácticas como el entrenamiento del personal en ciberseguridad, la evaluación periódica de riesgos y la colaboración entre equipos de TI y áreas clínicas resulta esencial. De este modo, las organizaciones pueden maximizar los beneficios de GenAI sin comprometer la seguridad de los datos ni la confianza de los pacientes.
En el sector salud, donde la privacidad de los datos es prioritaria, la combinación de tecnología avanzada como GenAI con estrategias de ciberseguridad robustas no solo garantiza la protección de la información, sino que también fortalece la confianza de los usuarios en los sistemas digitales. Al equilibrar las ganancias de eficiencia con una gestión de riesgos adecuada, el GenAI puede consolidarse como una herramienta clave para transformar el sector salud de manera segura.
Servicio de Hacking Web ‘Araneida’ Vinculado a una Empresa de TI Turca
| Categoría | Seguridad en Redes |
|---|---|
| Nombre del tema | Servicio de Hacking Web ‘Araneida’ Vinculado a una Empresa de TI Turca |
| Brecha | Dificultad en rastrear actividades maliciosas a su origen |
| Criticidad | |
| Solución propuesta | Fortalecer la detección de actividad maliciosa a través de monitoreo avanzado y análisis de patrones de tráfico |
| Beneficios esperados | Mejora en la seguridad de la red y prevención de ataques sofisticados |
| Fuente | Krebsonsecurity |
Investigadores en ciberseguridad han identificado un servicio de hacking web denominado ‘Araneida’, que utiliza una versión pirateada de Acunetix, un escáner comercial de vulnerabilidades ampliamente utilizado. Este servicio, vinculado a una empresa de tecnología en Turquía, permite a los ciberdelincuentes llevar a cabo ataques a sitios web, comprometiendo sistemas y extrayendo datos sensibles.
El descubrimiento fue realizado por expertos de la firma Silent Push, quienes investigaban una serie de actividades maliciosas provenientes de una dirección IP relacionada anteriormente con el grupo de hacking ruso FIN7. Durante su análisis, detectaron el panel de control HTML de Araneida, lo que les permitió rastrear múltiples servidores que alojaban este servicio. Este panel actúa como una interfaz para que los clientes realicen exploraciones ofensivas contra sitios web con el objetivo de identificar y explotar vulnerabilidades.
Araneida no solo proporciona herramientas avanzadas de escaneo, sino que también ofrece un sistema de proxies robusto, diseñado para camuflar los ataques. Los clientes de este servicio pueden seleccionar direcciones IP desde una amplia red de nodos de tráfico, lo que dificulta el rastreo de las actividades maliciosas hacia su origen real. Esto hace que los ataques sean más difíciles de detectar y mitigar por los administradores de sistemas y especialistas en ciberseguridad.
La investigación también reveló que Araneida es gestionado por una empresa turca de tecnología que parece operar con conocimiento de las actividades ilícitas. La conexión entre esta empresa y el servicio pone de manifiesto el papel de algunas organizaciones legítimas en la facilitación de actividades cibercriminales. Este hallazgo plantea preocupaciones significativas sobre el impacto de los servicios de hacking como Araneida en la seguridad global de la información.
El uso de una versión pirateada de Acunetix dentro de este servicio destaca cómo los atacantes reutilizan herramientas legítimas para fines maliciosos. Acunetix es conocido por su capacidad para analizar aplicaciones web y detectar vulnerabilidades críticas como inyecciones SQL y fallos de configuración en servidores. Al integrar este software en Araneida, los operadores están ofreciendo a los ciberdelincuentes un acceso automatizado a análisis de seguridad de nivel empresarial.
Además, los clientes de Araneida pueden pagar por el servicio mediante criptomonedas, lo que garantiza el anonimato de las transacciones y dificulta el rastreo de los flujos financieros hacia los operadores del servicio.
El caso de Araneida subraya la necesidad urgente de reforzar la regulación y la supervisión en el ámbito de las tecnologías de seguridad y las herramientas de escaneo. La colaboración internacional entre empresas de ciberseguridad y agencias gubernamentales será clave para frenar el uso de plataformas como esta y proteger a los usuarios de Internet.
Malware de Android ‘FireScam’ se Hace Pasar por Telegram Premium para Robar Datos y Controlar Dispositivos
| Categoría | Seguridad Móvil |
|---|---|
| Nombre del tema | Malware de Android ‘FireScam’ se Hace Pasar por Telegram Premium para Robar Datos y Controlar Dispositivos |
| Brecha | Robo de datos sensibles y control remoto de dispositivos Android |
| Criticidad | |
| Solución propuesta | Implementar medidas de seguridad móvil, educar a los usuarios sobre los riesgos del phishing, y usar soluciones antimalware avanzadas |
| Beneficios esperados | Protección de datos personales y prevención de acceso no autorizado |
| Fuente | Thehackernews |
Investigadores en ciberseguridad han identificado un nuevo malware para Android denominado FireScam, que se disfraza como una versión premium de la popular aplicación de mensajería Telegram. Este software malicioso tiene como objetivo robar datos sensibles y mantener un control remoto persistente sobre los dispositivos comprometidos.
El malware se distribuye a través de un sitio de phishing alojado en GitHub.io, que imita a RuStore, una tienda de aplicaciones popular en la Federación Rusa. El dominio malicioso, rustore-apk.github[.]io, ofrece un archivo APK llamado “GetAppsRu.apk”, que actúa como un dropper para el payload principal de FireScam. Una vez instalado, este dropper solicita permisos para escribir en el almacenamiento externo y para instalar, actualizar o eliminar aplicaciones arbitrarias en dispositivos Android con versiones 8 y superiores. Además, se aprovecha del permiso ENFORCE_UPDATE_OWNERSHIP para designarse a sí mismo como el propietario de las actualizaciones, impidiendo que otras Fuentes legítimas actualicen la aplicación sin la aprobación del usuario, lo que garantiza su persistencia en el dispositivo.
FireScam emplea diversas técnicas de ofuscación y anti-análisis para evadir la detección. Una vez activo, monitorea notificaciones entrantes, cambios en el estado de la pantalla, transacciones de comercio electrónico, contenido del portapapeles y actividad del usuario para recopilar información de interés. Al iniciarse, la falsa aplicación de Telegram Premium solicita permisos para acceder a listas de contactos, registros de llamadas y mensajes SMS. Posteriormente, muestra una página de inicio de sesión de Telegram a través de un WebView para engañar a los usuarios y obtener sus credenciales. Es importante destacar que el proceso de recolección de datos se inicia independientemente de si la víctima ingresa o no sus credenciales.
Además, el malware registra un servicio para recibir notificaciones de Firebase Cloud Messaging (FCM), lo que le permite recibir comandos remotos y mantener acceso encubierto al dispositivo. Simultáneamente, establece una conexión WebSocket con su servidor de comando y control (C2) para la exfiltración de datos y la ejecución de actividades adicionales.
La investigación también reveló que el dominio de phishing alojaba otro artefacto malicioso denominado CDEK, probablemente en referencia al servicio ruso de seguimiento de paquetes y entregas. Sin embargo, los analistas no pudieron obtener este artefacto para su análisis en el momento del informe.
Actualmente, se desconoce la identidad de los operadores detrás de FireScam y los métodos exactos utilizados para dirigir a los usuarios a los enlaces maliciosos. Es posible que empleen técnicas de phishing por SMS o malvertising para atraer a las víctimas. Al imitar plataformas legítimas como la tienda de aplicaciones RuStore, estos sitios web maliciosos explotan la confianza del usuario, engañándolos para que descarguen e instalen aplicaciones falsas. FireScam lleva a cabo actividades maliciosas, incluyendo la exfiltración de datos y la vigilancia, demostrando la efectividad de los métodos de distribución basados en phishing para infectar dispositivos y evadir la detección.
Actualice los Dominios Antiguos de .NET Antes del 7 de Enero de 2025 para Evitar Interrupciones en el Servicio
| Categoría | Seguridad en la Nube |
|---|---|
| Nombre del tema | Actualice los Dominios Antiguos de .NET Antes del 7 de Enero de 2025 para Evitar Interrupciones en el Servicio |
| Brecha | Posible adquisición de dominios por actores malintencionados |
| Criticidad | |
| Solución propuesta | Controlar dominios y actualizar referencias en bases de código |
| Beneficios esperados | Seguridad de la infraestructura en la nube y protección contra ataques potenciales |
| Fuente | Thehackernews |
Microsoft ha anunciado un cambio inesperado en la distribución de instaladores y archivos de .NET, instando a los desarrolladores a actualizar su infraestructura de producción y DevOps antes del 7 de enero de 2025. Aunque se espera que la mayoría de los usuarios no se vean directamente afectados, es crucial que todos verifiquen si están involucrados para evitar posibles tiempos de inactividad o interrupciones en sus servicios.
Este cambio se debe a que algunos binarios e instaladores de .NET se alojan en dominios de Azure Content Delivery Network (CDN) que terminan en .azureedge.net, específicamente dotnetcli.azureedge.net y dotnetbuilds.azureedge.net, los cuales están alojados en Edgio. Recientemente, Akamai adquirió ciertos activos de Edgio tras su bancarrota, y se ha programado el cese de la plataforma Edgio para el 15 de enero de 2025.
Ante la posibilidad de que los dominios .azureedge.net dejen de estar disponibles, Microsoft está migrando a Azure Front Door CDNs. Si los usuarios no toman medidas, Microsoft migrará automáticamente las cargas de trabajo antes del 7 de enero de 2025. Sin embargo, la migración automática no será posible para los endpoints con dominios *.vo.msecnd.net. Los usuarios que planeen migrar a Akamai u otro proveedor de CDN deben establecer la bandera de característica DoNotForceMigrateEdgioCDNProfiles antes del 7 de enero de 2025 para evitar la migración automática a Azure Front Door.
Es importante destacar que, a partir del 3 de enero de 2025, se detendrán todos los cambios de configuración en los perfiles de Azure CDN by Edgio. Esto significa que no se podrán actualizar las configuraciones de perfil de CDN, aunque los servicios seguirán operando hasta que se complete la migración o hasta el cierre de la plataforma Edgio el 15 de enero de 2025. Si se aplica la bandera DoNotForceMigrateEdgioCDNProfiles antes del 3 de enero, la configuración no se congelará para cambios.
Aunque depender de dominios *.azureedge.net y *.azurefd.net no es recomendable debido a riesgos de disponibilidad, los usuarios tienen la opción temporal de migrar a Azure Front Door mientras mantienen estos dominios. Para garantizar una mayor flexibilidad y evitar un único punto de falla, Microsoft aconseja adoptar un dominio personalizado lo antes posible.
Para evitar preocupaciones de seguridad relacionadas con la posible adquisición de azureedge.net por actores malintencionados, Microsoft ha tomado el control de este dominio. Sin embargo, no se ha proporcionado la opción de que los antiguos nombres de dominio resuelvan a los nuevos servidores.
Se recomienda a los usuarios escanear sus bases de código en busca de referencias a azureedge.net y actualizarlas de la siguiente manera:
Actualizar dotnetcli.azureedge.net a builds.dotnet.microsoft.com
Actualizar dotnetcli.blob.core.windows.net a builds.dotnet.microsoft.com
Este cambio es esencial para garantizar la continuidad del servicio y la seguridad de las aplicaciones que dependen de .NET. La falta de actualización podría resultar en interrupciones significativas y potenciales vulnerabilidades de seguridad. Por lo tanto, es imperativo que los desarrolladores y administradores de sistemas actúen con prontitud para cumplir con el plazo establecido y asegurar la integridad de sus operaciones.