Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 19 - 25 octubre
GitLab soluciona vulnerabilidades que desencadenan ataques XSS y DoS
GitLab ha lanzado actualizaciones de seguridad críticas para sus versiones Community Edition (CE) y Enterprise Edition (EE) que abordan una vulnerabilidad de inyección de HTML de alta gravedad. Esta vulnerabilidad, identificada como CVE-2024-8312, con una puntuación CVSSv3 de 8.7 según el fabricante, afecta a las versiones de GitLab CE/EE desde la 15.10 y permite a los atacantes ejecutar ataques XSS al inyectar HTML en el campo de búsqueda global dentro de una vista diff, lo que representa un riesgo elevado para la confidencialidad e integridad de los sistemas afectados.
GitLab insta a los usuarios con instalaciones autogestionadas a actualizar a las versiones parcheadas 17.5.1, 17.4.3 y 17.3.6. Además, las actualizaciones también solucionan una vulnerabilidad de denegación de servicio (DoS) de gravedad media, rastreada como CVE-2024-6826, con un CVSSv3 de 6.5 según GitLab, explotable a través de la importación de archivos XML manipulados y que afecta a las versiones desde la 11.2. Asimismo, se han realizado mejoras en herramientas adicionales como los gráficos de timón y la pila de análisis.
NotLockBit: ransomware que apunta contra sistemas macOS
El equipo de investigadores de SentinelOne ha publicado una investigación en la que indican haber identificado un nuevo ransomware al cual se ha denominado NotLockBit y apunta contra dispositivos que utilizan macOS.
En concreto, dicho nombre viene a raíz de que esta nueva familia de malware suplanta a LockBit mostrando en el fondo de escritorio un banner de LockBit 2.0. En cuanto a características de NotLockBit, este se distribuye como un binario x86_64, lo que sugiere que solo funciona en dispositivos macOS con Intel y Apple Silicon que ejecutan el software de emulación Rosetta. Asimismo, utiliza un cifrado asimétrico RSA, por lo que el actor malicioso detrás de NoLockBit garantiza que la clave maestra no se pueda descifrar sin la clave privada en poder del atacante.
En cuanto a la exfiltración, esta se realiza a un bucket de AWS controlado por el atacante, utilizando credenciales de AWS codificadas. Desde SentinelOne señalan que pese a que actualmente dichas cuentas de AWS han sido eliminadas, consideran que debido a la complejidad de la amenaza, esta seguiría en desarrollo.
Vulnerabilidad 0-day activamente explotada en Samsung
Google ha advertido de la existencia de una vulnerabilidad 0-day en los procesadores móviles de Samsung, la cual habría sido aprovechada como parte de una cadena EoP de exploits para la ejecución arbitraria de código. El fallo, identificado como CVE-2024-44068 con puntuación CVSSv3 de 8.1 y parcheado como parte del conjunto de correcciones de seguridad de Samsung del mes de octubre, se corresponde con un error use-after-free que un atacante podría aprovechar para escalar privilegios en dispositivos vulnerables.
La vulnerabilidad afecta a los procesadores Exynos 9820, 9825, 980, 990, 850 y W920 de Samsung y se debe a un problema en un controlador, el cual proporciona aceleración de hardware para funciones multimedia. Por su parte, el exploit activa el error indicado y, posteriormente, utiliza un comando de firmware para copiar datos en las páginas virtuales de E/S, dando lugar a un ataque de duplicación del espacio del kernel (KSMA) y rompiendo las protecciones de aislamiento del kernel de Android.
Detectado un aumento en las campañas de spam de tipo callback phishing
Entre julio y septiembre, los investigadores de Trustwave detectaron un aumento en las campañas de spam del 140%. En estas campañas, los actores maliciosos estarían empleando una técnica de spam en dos fases, comenzando por correos electrónicos de phishing y, posteriormente, pasando a llamadas telefónicas.
En concreto los atacantes empleaban una técnica denominada callback phishing o Telephone-Oriented Attack Delivery (TOAD), de tal manera que los emails enviados a las víctimas, los cuales contenían señuelos como una factura o un aviso de cancelación de cuenta, tenían como objetivo que estas llamasen al número de teléfono del atacante indicado en el mensaje.
Finalmente, durante la llamada los atacantes solicitaban a la víctima su información de identificación personal o les hacían acceder a páginas web que descargaban malware y que permitían al atacante robar más información e incluso obtener acceso remoto a los dispositivos de las víctimas.
Nuevo análisis del troyano bancario Grandoreiro
El equipo de investigación de Kaspersky ha publicado un análisis sobre Grandoreiro, el conocido troyano bancario que ha estado operando desde al menos 2016 y forma parte de Tetrade, una clasificación que agrupa a cuatro grandes familias de troyanos bancarios (Astaroth, Javali, Melcoz y Grandoreiro), creadas, desarrolladas y propagadas por actores maliciosos brasileños. Grandoreiro facilita fraudes bancarios mediante el equipo de la víctima, eludiendo las medidas de seguridad.
A pesar de las detenciones en España, Brasil y Argentina en 2021 y 2024, la banda sigue activa, expandiendo su infraestructura y mejorando sus técnicas para evitar ser detectada. En 2024, Grandoreiro atacó a 1700 bancos y 276 carteras de criptomonedas en 45 países. Este malware ha implementado nuevas tácticas, como el uso de 3 DGAs, cifrado de texto y seguimiento del ratón, para evadir soluciones antifraude.
Las campañas recientes se basan en phishing, malvertising y archivos ZIP maliciosos. Además, el grupo ha fragmentado su base de código, generando versiones locales dirigidas a México y otros países.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
