Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 1-7 marzo
Los ataques Pass-the-Cookie pueden superar la seguridad MFA
Los ataques Pass-the-Cookie permiten a los atacantes eludir la autenticación multifactor (MFA) mediante el robo de cookies de sesión. Estas cookies, como ESTSAUTH en Microsoft, permiten a los usuarios permanecer autenticados sin necesidad de volver a ingresar sus credenciales. Si un atacante obtiene una cookie válida, puede reutilizarla para acceder a la cuenta de la víctima sin requerir credenciales ni MFA. El robo de cookies suele realizarse con herramientas como LummaC2, Redline o Racoon, propagadas a través de phishing o descargas fraudulentas.
Para mitigar estos ataques, se recomienda una combinación de controles detectivos, como el monitoreo de actividad inusual y análisis de comportamiento, junto con controles preventivos, como políticas de acceso condicional y restricciones de IP, entre otras.
44 nuevas vulnerabilidades en Android, algunas activamente explotadas
Google ha publicado el boletín mensual de seguridad de Android correspondiente al mes de marzo de 2025, en el que aborda un total de 44 vulnerabilidades, dos de las cuales habrían sido activamente explotadas. Entre los fallos puede destacarse CVE-2024-43093 (CVSSv3 de 7.8), vulnerabilidad de escalada de privilegios en el componente Framework que podría dar lugar a un acceso no autorizado a varios directorios.
Por otro lado, el fallo CVE-2024-50302 (CVSSv3 de 5.5) fue empleada en un exploit 0-day ideado por Cellebrite junto a los fallos CVE-2024-53104 (CVSSv3 de 7.8) y CVE-2024-53197 para acceder al teléfono Android de un activista, obtener privilegios elevados y, probablemente, desplegar el spyware NoviSpy.
Las tres vulnerabilidades residen en el kernel de Linux y fueron parcheadas a finales del año pasado. Asimismo, Google reconoció que tanto CVE-2024-43093 como CVE-2024-50302 han sido objeto de explotación, si bien esta habría sido limitada y dirigida de acuerdo con el proveedor.
La empresa ha lanzado dos niveles de parches de seguridad, 2025-03-01 y 2025-03-05, para mitigar las vulnerabilidades.
Detectada una campaña de ataques dirigida a AWS
Investigadores de Unit42 han detectado que actores maliciosos están desplegando nuevas campañas de phishing vinculadas al grupo de amenazas TGR-UNK-0011, de motivación desconocida y relacionado con JavaGhost. Estos estarían atacando entornos de Amazon Web Services (AWS), si bien sin explotar vulnerabilidades.
En su lugar, aprovechan configuraciones erróneas en los entornos de las víctimas que exponen sus claves de acceso a AWS para enviar mensajes de phishing. Una vez confirmado el acceso a la cuenta de AWS de la organización, los atacantes generan credenciales temporales y una URL de inicio de sesión para permitir el acceso a la consola. Posteriormente, el grupo utiliza Amazon Simple Email Service (SES) y WorkMail para establecer la infraestructura de phishing, creando nuevos usuarios y configurando nuevas credenciales SMTP para enviar mensajes de correo electrónico.
Asimismo, los actores de amenazas crean un nuevo rol IAM con una política de confianza adjunta, permitiéndoles acceder a la cuenta AWS de la organización desde otra cuenta AWS bajo su control.
Actores maliciosos explotan configuraciones erróneas en la nube para propagar malware
Un informe de Veriti Research revela que el 40% de las redes permiten acceso "any/any" a la nube, exponiendo vulnerabilidades críticas. Los atacantes aprovechan estos errores para distribuir malware como XWorm y Sliver C2, y utilizar plataformas en la nube como servidores de comando y control (C2). El estudio muestra que XWorm usa almacenamiento S3 de AWS para distribuir ejecutables maliciosos, mientras que Remcos emplea archivos RTF infectados hospedados en la nube.
Además, se ha observado que algunas APTs están utilizando Sliver C2 junto con malware basado en Rust para establecer puertas traseras y explotar vulnerabilidades 0-day. Los investigadores han alertado del incremento de la explotación de servicios en la nube como AWS, Azure y Alibaba Cloud, y recomiendan adoptar un enfoque de seguridad proactivo, restringiendo configuraciones inseguras y mejorando la monitorización de amenazas.
Dark Caracal refuerza su arsenal con Poco RAT en ataques a Latinoamérica
Investigadores de Positive Technologies han revelado una nueva campaña de Poco RAT, vinculada al grupo cibercriminal Dark Caracal, destinada a espiar a usuarios hispanohablantes en Latinoamérica. Esta operación se basa en correos de phishing con archivos PDF maliciosos que imitan documentos financieros legítimos y redirigen a las víctimas a descargar un archivo comprimido que contiene el malware.
Poco RAT, desarrollado con bibliotecas POCO C++, permite a los atacantes ejecutar comandos, capturar pantallas, manipular procesos y recopilar información del sistema, enviándola a servidores C2. Su diseño evita escrituras en disco y emplea canales cifrados para eludir la detección. Dark Caracal, que anteriormente utilizaba Bandook, ahora ha adoptado Poco RAT por su mayor sofisticación, dirigiendo sus ataques principalmente a Venezuela, Colombia y Chile. Además, el grupo es conocido por utilizar servicios legítimos como Google Drive y Dropbox, así como acortadores de URL, para enmascarar aún más sus cargas maliciosas.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
