Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Deporte
Ciudades Inteligentes
Boletín de Ciberseguridad, 10 - 16 de febrero
Campaña de secuestro de cuentas de Microsoft Azure
Proofpoint ha publicado un análisis acerca de una nueva campaña en la que un grupo de ciberdelincuentes distribuye correos electrónicos de phishing a empleados para obtener acceso a sus cuentas de Microsoft Azure y Office 365.
A través de esos correos, redirigen a las víctimas a un falso inicio de sesión de Microsoft. En cuanto a las actividades post-explotación, utilizan una cadena de agente de usuario específica para acceder a varias aplicaciones de Microsoft 365, como Exchange Online, My Signins, My Apps y My Profile, además de emplear proxies o servicios de alojamiento de datos para ocultar su infraestructura operativa.
Cabe destacar que se dirigen especialmente contra empleados que tienen más privilegios dentro de sus organizaciones, como directores, gerentes y ejecutivos. Proofpoint recomienda varias medidas como monitorear el uso de la cadena de agente de usuario y los dominios de origen, restablecer las contraseñas vulneradas, usar herramientas de seguridad para detectar eventos o aplicar mitigaciones estándar contra el phishing.
Microsoft parchea dos 0-day explotadas activamente
Microsoft ha lanzado nuevas actualizaciones en el contexto del Patch Tuesday de febrero parcheando un total de 73 vulnerabilidades, 30 de las cuales permitirían a un atacante ejecutar código remoto. Entre los fallos corregidos, destacan dos 0-day activamente explotadas: CVE-2024-21351 y CVE-2024-21412, ambas de severidad alta según Microsoft. La primera de estas permitiría a un actor amenaza sobrepasar los controles de seguridad de Windows SmartScreen.
Sin embargo, para poder ser explotada, un atacante autorizado tendría que previamente convencer al usuario de que abriese un archivo malicioso. Microsoft no ha detallado cómo o por qué actor amenaza ha sido explotada esta vulnerabilidad. Por otro lado, CVE-2024-21412 afecta a Internet Shortcut File y permitiría a un atacante no autenticado enviar un archivo al usuario que le permita sobrepasar los controles de seguridad de Mark of the Web (MoTW).
Asimismo, de acuerdo con Trend Micro este fallo ha sido explotado por el actor amenaza Water Hydra para desplegar el Troyano de Acceso Remoto (RAT) DarkMe.
El ransomware JKwerlo dirige sus ataques a usuarios españoles y franceses
Los investigadores de Cyble Research & Intelligence Labs (CRIL) han descubierto un nuevo ransomware escrito en Go al que han denominado JKwerlo y cuyos ataques van dirigidos a usuarios hispanohablantes y francófonos.
El acceso inicial parece obtenerse mediante emails de phishing de carácter supuestamente legal con archivos HTML adjuntos y con archivos ZIP incorporados que, o bien despliegan directamente la carga útil del ransomware, como ocurre con los emails en español, o bien inician una serie de eventos que finalizan con el despliegue de este, caso observado en los emails en francés.
En la campaña en francés, se observó el uso de scripts PowerShell para descargar y ejecutar otros archivos de Dropbox, ejecutando finalmente otro script de PowerShell que despliega JKwerlo. Asimismo, este ransomware usa PsExec y Rubeus para moverse lateralmente por la red, eliminando Resmon.exe y Tasmgr.exe en el proceso con el objetivo de no ser monitorizado.
#MonikerLink bug, una vulnerabilidad RCE en Outlook
Un investigador de Check Point ha descubierto un fallo de seguridad en Outlook que permite el acceso remoto a recursos y la ejecución de código mediante el uso de un enlace malicioso. El problema se debe al uso de una API insegura (MkParseDisplayName) que trata el enlace como un Moniker Link, una forma de buscar objetos COM en Windows, el cual puede invocar aplicaciones como Word o Excel como servidores COM y explotar sus vulnerabilidades.
Cabe destacar que el fallo no solo se da en Outlook, sino también en otros programas que utilicen la API, tratándose de un riesgo similar a Log4Shell. La vulnerabilidad, que cuenta con un PoC, se ha identificado como CVE-2024-21413, CVSS de 9.8 y afecta a las últimas versiones de Windows y Office.
El troyano GoldPickaxe para iOS roba datos biométricos
El grupo de ciberseguridad Group-IB ha descubierto un nuevo troyano para iOS llamado GoldPickaxe.iOS, diseñado para robar datos de reconocimiento facial, documentos de identidad e interceptar SMS. Se ha atribuido esta amenaza al grupo GoldFactory. El troyano ha estado activo desde mediados de 2023 en Asia, principalmente en Tailandia y Vietnam.
El método de ataque es hacerse pasar por bancos locales y organizaciones gubernamentales. El actor amenaza utiliza servicios basados en IA para crear deepfakes, lo que permite el acceso no autorizado a las cuentas bancarias de las víctimas. Se ha utilizado Mobile Device Management (MDM) para manipular dispositivos Apple y se han distribuido enlaces maliciosos a través de mensajería para atraer a las víctimas a aplicaciones fraudulentas.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
