Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 21 - 27 septiembre
Necro infecta 11 millones de dispositivos Android a través de Google Play
El equipo de Kaspersky ha publicado una investigación en la que señala que el malware Necro habría infectado 11 millones de dispositivos de Android a través de dos aplicaciones alojadas en Google Play.
En concreto, la primera de las aplicaciones se trataría de Wuta Camera de Benqu, con más de 10 millones de descargas, es una herramienta de edición de fotografías cuyas versiones 6.3.2.148 hasta la 6.3.6.148 contendría software malicioso, mientras que la otra, WA message recover-wamr con 1 millón de descargas, hasta su última versión 1.2.0 estaría infectada. Cabe indicar que ambas aplicaciones legítimas fueron infectadas por un SDK publicitario y desde Google están investigando estos hechos tras el aviso de Kaspersky.
En cuanto a Necro, destaca por ser un loader que descarga payload maliciosos mediante esteganografía, además puede ejecutar archivos DEX, instalar aplicaciones, acceder al dispositivo de la víctima, contratar suscripciones de pago, así como abrir enlaces y ejecutar código JavaScript.
Denuncian a Mozilla por activar función en Firefox sin consentimiento
El grupo noyb ha presentado una denuncia contra Mozilla ante el organismo de protección de datos de Austria, alegando que la empresa rastrea el comportamiento en línea de los usuarios de Firefox sin su consentimiento mediante la función Privacy-Preserving Attribution (PPA). Esta función, activada automáticamente en la versión 128 del navegador, fue diseñada en colaboración con Meta y permite medir la efectividad de los anuncios sin que los sitios web recopilen datos personales.
Sin embargo, noyb sostiene que el rastreo ocurre dentro del propio Firefox, lo que vulnera el Reglamento General de Protección de Datos (RGPD) de la UE. Mozilla por su parte, afirma que esta función mejora la privacidad del usuario al permitir medir el rendimiento de los anuncios sin que los sitios web individuales recopilen datos personales y asegura que PPA no comparte información personal ni rastrea a los usuarios.
Aunque PPA se puede desactivar, la denuncia surge porque la función se activó por defecto sin consultar previamente a los usuarios.
Detectado el malware SnipBot, una nueva versión de RomCom
Investigadores de Unit 42 han observado una nueva versión de la familia de malware RomCom denominada SnipBot. Se trata de un troyano de acceso remoto desarrollado en C++ que ofrece al atacante la capacidad de ejecutar comandos y descargar diversos módulos en el sistema de la víctima, entre otras funcionalidades. RomCom se encuentra activo desde, al menos, 2022 y se ha utilizado en ataques de ransomware, así como para la extorsión y recopilación selectiva de credenciales.
En el caso de SnipBot, la cepa consta de varias etapas en las que la carga útil inicial es siempre un descargador ejecutable y el resto son ficheros EXE o DLL destinados a realizar tareas de descubrimiento, así como a extraer ficheros e información de la víctima y los sistemas infectados. El descargador contaría con un certificado de firma de código válido y legítimo, mientras que los módulos posteriores no estarían firmados.
En adición, SnipBot utiliza técnicas de ofuscación personalizadas y antianálisis para dificultar su detección y análisis.
Vulnerabilidad crítica TOCTOU detectada en productos NVIDIA
Investigadores de Wiz han detectado una vulnerabilidad crítica TOCTOU (Time-of-check Time-of-Use) en el Container Toolkit 1.16.1 de NVIDIA. El fallo, identificado como CVE-2024-0132 y con una puntuación CVSSv3 de 9, expone los entornos en la nube a ataques de divulgación de información, denegación de servicio, escalada de privilegios, ejecución de código y manipulación de datos cuando el Container se utiliza con la configuración predeterminada. Una imagen de contenedor creada específicamente podría permitir a un atacante escapar de los contenedores y tomar el control del sistema anfitrión subyacente.
Asimismo, los investigadores han señalado que la vulnerabilidad es especialmente peligrosa en entornos multiusuario y orquestados, en los cuales las GPU se comparten entre cargas de trabajo y podría comprometerse a distintos servicios.
✅ El fabricante ha indicado que los usuarios deberán actualizar a la versión 1.16.2 de Container Toolkit y NVIDIA GPU Operator para mitigar el fallo y reducir el riesgo de exposición.
UNC1860 opera como facilitador de acceso inicial en ciberoperaciones en Oriente Medio
Una investigación de Mandiant reveló que UNC1860, un grupo APT vinculado al Ministerio de Inteligencia y Seguridad de Irán, podría estar operando como proveedor de acceso inicial, facilitando intrusiones en redes de alto valor en Oriente Medio, como las gubernamentales y de telecomunicaciones. Desde su aparición en 2022, UNC1860 ha estado relacionado con ataques destructivos en Albania e Israel, utilizando ransomware y wipers.
El grupo emplea herramientas especializadas como TEMPLEPLAY y VIROGREEN para mantener acceso remoto y persistente en redes comprometidas. Además, comparte vínculos con APT34, otro grupo iraní. Sus ataques comienzan aprovechando vulnerabilidades en servidores, desplegando malware como STAYSHANTE y TEMPLEDOOR, y posteriormente realizan actividades de post-explotación.
UNC1860 cuenta con un arsenal variado de herramientas para el movimiento lateral, la recopilación de información y la evasión de defensas, lo que lo convierte en un activo clave para los intereses de Irán en la región.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
