Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 21 - 27 diciembre
Nueva campaña de ingeniería social para distribuir malware
Malware Bytes ha descubierto una nueva campaña de ingeniería social que se haría pasar por múltiples marcas de software. Los actores maliciosos emplearían páginas web que suplantan a software legítimo el cual, al ser descargado, muestra un fallo en el navegador indicando que este no permite la correcta visualización offline del documento descargado, instando a las víctimas a solucionarlo con “Fix it”.
Esta técnica ya ha sido empleada previamente en campañas conocidas como ClearFake y ClickFix, y se caracteriza por requerir la ejecución manual por parte del usuario de un comando de Power Shell que, en este caso, se copia en el portapapeles al hacer click en el botón “Fix it”. Después se insta a pulsar las teclas Windows y R para abrir el cuadro de diálogo del comando Ejecutar, pegar el comando copiado y ejecutarlo. Finalmente, el atacante lleva a cabo actividades de fingerprinting de la víctima y descarga una payload.
Parche incompleto en Apache Tomcat lleva al proveedor a publicar un nuevo fallo
Apache ha publicado una nueva actualización de seguridad para parchear un fallo en Apache Tomcat que podría permitir la ejecución de código remoto. Se trataría de CVE-2024-56337, detectado por Apache tras parchear de manera incompleta CVE-2024-50379, CVSSv3 9.8. Ambos CVE representan el mismo fallo, pero el proveedor decidió asignar un nuevo ID de CVE. CVE-2024-56337 se debe a que el parche de CVE-2024-50379 no es suficiente para asegurar los sistemas.
Ambos son fallos de condición de carrera, concretamente de tiempo de comprobación de tiempo de uso (TOCTOU) y afectan a los sistemas con la escritura de servlets activada por defecto, si estos se ejecutan en sistemas de archivos que no distinguen entre mayúsculas y minúsculas.
Detectadas versiones maliciosas de Rspack y Vant
Tres paquetes npm populares, @rspack/core, @rspack/cli y Vant, fueron comprometidos mediante tokens de cuenta npm robados, permitiendo la publicación de versiones maliciosas con criptomineros, en un nuevo ataque a la cadena de suministro. Según las investigaciones de Sonatype y Socket, los atacantes desplegaron el minero XMRig para extraer criptoactivos, utilizando scripts postinstalación para ejecutarse automáticamente.
Al parecer, el código malicioso estaba oculto en archivos de configuración y obtenía instrucciones de servidores C2. Además, realizaba reconocimiento a través de la API de geolocalización de ipinfo.io, recopilando datos de red. El binario XMRig se descargaba de GitHub y usaba parámetros para limitar el uso de CPU, equilibrando minería y evasión. Rspack, un empaquetador de JavaScript, y Vant, una biblioteca de UI para Vue.js, confirmaron el compromiso de sus cuentas npm y publicaron versiones limpias.
Rspack aconseja evitar la versión 1.1.7 y actualizar a la 1.1.8, mientras que Vant señala varias versiones afectadas, recomendando actualizar a v4.9.15 o superior.
Corregidas vulnerabilidades críticas en plugins de WordPress
Investigadores de PatchStack han identificado múltiples vulnerabilidades críticas en los plugins WPLMS y VibeBP, utilizados por el tema WPLMS de WordPress, un popular sistema de gestión de aprendizaje con más de 28 000 ventas. Entre los fallos destacan una carga arbitraria de archivos, identificado como CVE-2024-56046, CVSSv3 10.0., CVE-2024-56043, CVSSv3 9.8, un fallo de escalada de privilegios, y una vulnerabilidad de inyección SQL, CVE-2024-56042, CVSSv3 9.2.
Los fallos afectaban a formularios de registro y puntos finales de la API REST. En total, se reportaron 18 fallos, varios de ellos críticos, exponiendo sitios a la ejecución remota de código, control administrativo no autorizado y fuga de datos sensibles. Los desarrolladores han solucionado los problemas en WPLMS (versión 1.9.9.5.3) y VibeBP (versión 1.9.9.7.7), implementando validaciones más estrictas, limitando cargas de archivos y asegurando entradas.
El FBI atribuye a TraderTraitor el robo de más de 300 millones de dólares
El FBI y el Centro de Ciberdelincuencia del Departamento de Defensa y la Agencia Nacional de Policía de Japón han publicado un aviso en el que atribuyen el robo de más de 300 millones de dólares en criptomonedas al actor malicioso TraderTraitor. De acuerdo con las autoridades, este actor también habría sido denominado Jade Sleet, UNC4899 y Slow Pisces, y habría sido asociado con el gobierno de Corea del Norte.
Respecto al ataque que se le atribuye, se trata de un robo de criptoactivos ocurrido en mayo de 2024 que afectó a la empresa japonesa DMM Bitcoin. El ataque comenzó con el actor malicioso haciéndose pasar por un reclutador en LinkedIn que contactó con un trabajador de la empresa Ginco al que engañó para copiar un código Python malicioso en su GitHub. Este malware permitía a los atacantes infiltrarse en Ginco y moverse lateralmente a DMM.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
