Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities.jpg)
Boletín de Ciberseguridad, 15-21 de julio
Campaña contra el sector financiero de América Latina
IBM Security X-Force ha detectado una campaña de phishing por correo electrónico distribuyendo el malware BlotchyQuasar desde finales de abril al pasado mayo. El malware, desarrollado por un grupo identificado como Hive0129, está codificado para recopilar credenciales de múltiples sitios web y aplicaciones bancarias de América Latina.
Se trata de un troyano bancario desarrollado sobre el código base de QuasarRAT, que se encuentra en continuo desarrollo y que posee funcionalidades como la instalación de certificados y URL de configuración automática de proxy que pueden facilitar la suplantación de instituciones financieras. Además, instala herramientas de terceros como PuTTY, RDP, Chrome/Opera Portable, AnyDesk y otros stealers de credenciales.
La campaña consiste en el envío a las víctimas de un correo electrónico suplantando a agencias gubernamentales de América Latina, en el que se incluye un enlace a un documento y un PDF que comienza la cadena de infección. En cuanto al grupo, Hive0129, rastreado por X-Force desde 2019, se cree que su origen estaría en América del Sur, dirigido hacia entidades gubernamentales y privadas en Colombia, Ecuador, Chile y España.
NoEscape: nuevo ramsonware que amenaza con doble extorsión y filtración de datos
Recientemente se observó un nuevo ransomware que se cree que es el sucesor de Avaddon, el cual cerró sus operaciones en 2021.
Conocido como NoEscape, este nuevo ransomware comenzó a operar en junio de 2023, apuntando a empresas en ataques de doble extorsión. En los que amenazan con hacer públicos los datos a menos que se pague un rescate, que oscila entre cientos de miles y más de 10 millones de dólares.
NoEscape roba datos corporativos antes de cifrar los archivos y elimina procesos asociados con software de seguridad, aplicaciones de respaldo, servidores web y bases de datos. Además, Utiliza el cifrado Salsa20 y agrega una extensión única de 10 caracteres a los archivos cifrados. Asimismo, modifica el fondo de pantalla y muestra notas de rescate que proporcionan instrucciones para el pago de este en su sitio web en Tor.
Actualmente hay diez víctimas afectadas de diferentes países e industrias en su sitio de filtración de datos, lo que indica que no se centran en una industria y región específica.
Análisis del stealer BundleBot
Investigadores de Check Point Research han publicado un artículo en el que analizan un nuevo stealer/bot que abusa del paquete dotnet como archivo único.
Denominado BundleBot, se distingue por su cadena de infección, la cual es más sofisticada, aprovechando anuncios de Facebook y cuentas vulneradas para redirigir a las víctimas a sitios web que suplantan programas, herramientas de IA y juegos. Algunas de estas son Google AI, PDF Reader, Canva o Super Mario 3D World.
Una vez que la víctima accede y descarga el programa ilegítimo, comienza la primera etapa de infección, que consiste en un archivo RAR el cual contiene el paquete dotnet. En la segunda etapa se descarga un ZIP protegido con contraseña, que se extrae y ejecuta BundleBot, el cual explota el paquete dotnet. Como stealer, entre sus funcionalidades está la exfiltración de información del sistema a través de su C2, entre ella datos del equipo como nombre de usuario, versión del sistema operativo, IP, datos de navegadores web como cookies, credenciales o tarjetas de crédito, información de la cuenta de Facebook o capturas de pantalla.
Cabe destacar que debido al uso del paquete dotnet como archivo único, la infección en varias etapas y la ofuscación, BundleBot se caracteriza por ser difícilmente detectable.
Boletín de seguridad de Oracle
La compañía Oracle ha lanzado parches de seguridad para corregir fallos de seguridad que afectan a más de 130 productos utilizados en diversas industrias. En concreto, se ha abordado en este mes de julio hasta un total de 508 nuevos parches de seguridad, de los cuales 76 de ellos han sido considerados como críticos. Entre los productos parcheados se encuentran Oracle Financial Services Applications, con un total de 147 vulnerabilidades, de las cuales 115 podrían ser explotadas de forma remota.
Asimismo, Oracle Communications que, de los 77 fallos de seguridad recopilados, 57 también podrían ser aprovechados por parte de actores maliciosos de forma remota. Y Oracle Fusion Middleware con unas cifras similares de 60 actualizaciones de seguridad de las cuales 40 se han identificado como explotables de forma remota.
En último lugar, cabe señalar que MySQL también es uno de los productos destacados en afectación con un total de 21 vulnerabilidades. Desde Oracle se recomienda a los usuarios actualizar a la última versión para evitar posibles explotaciones por parte de actores maliciosos.
Foto: rawpixel.com / Freepik.
