Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities.jpg)
Boletín de Ciberseguridad, 30 de septiembre - 6 de octubre
Apple parchea dos nuevas vulnerabilidades 0-day
Apple ha publicado una nueva actualización de seguridad para iPhone y iPad que parchea una vulnerabilidad 0-day activamente explotada en ataques. El fallo, denominado CVE-2023-42824, permite a los atacantes locales realizar una escalada de privilegios debido a un error en el XNU kernel.
Esta vulnerabilidad parece haber sido explotada activamente en versiones de iOS anteriores a la 16.6. En la misma actualización de seguridad, Apple ha parcheado otra 0-day, CVE-2023-5217 CVSS 8.8, vulnerabilidad que causaba un desbordamiento de búfer de montón en la codificación VP8 de la biblioteca de código abierto de códecs de vídeo libvpx. E
sta misma biblioteca ya habría sido parcheada por Google recientemente. Ambas vulnerabilidades han sido corregidas en las versiones iOS 17.0.3 e iPadOS 17.0.3. Con esta nueva actualización, Apple habría parcheado un total de 17 0-days explotadas activamente en ataques en 2023.
Microsoft corrige productos afectados por dos 0-days explotados activamente
La compañía Microsoft ha lanzado actualizaciones de seguridad para sus productos Edge, Teams y Skype con el objetivo de parchear dos vulnerabilidades 0-day que afectan a bibliotecas de código abierto utilizadas por los tres productos señalados.
En concreto, los fallos de seguridad son los registrados como CVE-2023-4863, CVSSv3 de 8.8, el cual se produce debido a una debilidad de desbordamiento de búfer en la biblioteca de códigos WebP (libwebp), y cuyo aprovechamiento podría derivar en la ejecución de código arbitrario. Asimismo, la vulnerabilidad CVE-2023-5217, CVSSv3 de 8.8, que también se produce por una debilidad de desbordamiento de búfer en la codificación VP8 de la biblioteca de códecs de video libvpx, y su aprovechamiento por parte de actores maliciosos podría provocar fallas en la aplicación o permitir la ejecución de código arbitrario.
Cabe indicar que ambas vulnerabilidades fueron catalogadas como explotadas activamente, por este motivo la compañía recomienda aplicar las correspondientes actualizaciones para prevenir una posible afectación.
Descubierta campaña contra empresas de pagos en línea y proveedores PoS
Recientemente fue detectada una campaña que se ha dirigido a empresas de pagos en línea en Asia Pacífico, América del Norte y América Latina durante más de un año. El equipo de investigación de BlackBerry ha rastreado esta actividad bajo el nombre Silent Skimmer y la atribuye a un actor amenaza de origen chino.
Según la investigación, las víctimas de esta campaña incluyen empresas en línea y proveedores de puntos de venta (PoS). Los atacantes explotan vulnerabilidades en aplicaciones web, especialmente aquellas alojadas en Internet Information Services (IIS), para comprometer la página de pago y capturar información financiera de las víctimas.
Asimismo, utilizan herramientas de código abierto y técnicas de escalada de privilegios, post-explotación y ejecución de código. Además, los servidores privados virtuales (VPS) utilizados para el C2 se eligen según la ubicación geográfica de las víctimas para evadir la detección.
La cadena de ataque culmina en la implementación de un troyano de acceso remoto basado en PowerShell, permitiendo el control remoto del host, que se conecta a un servidor remoto con utilidades adicionales.
Lazarus apunta contra empresa aeroespacial española utilizando nuevo malware
El equipo de investigadores de ESET ha publicado los resultados de una investigación en la que analizan la denominada operación Dreamjob, orquestada por el grupo malicioso norcoreano Lazarus, empleando un nuevo malware llamado LightlessCan.
En esta ocasión estos actores maliciosos habrían dirigido sus acciones contra una empresa aeroespacial española a través de LinkedIn. La metodología empleada consistía en engañar a los trabajadores de dicha compañía para participar en un proceso de selección de empleo falso que requería que la víctima descargarse un archivo malicioso.
En concreto, esa carga útil se trata del malware NickelLoader, el cual implementa dos puertas traseras, una variante de BlindingCan y una nueva denominada LightlessCan, la cual dispone de 43 comandos, aunque podría disponer de 25 más aún sin implementar.
Asimismo, destaca por disponer fuertes medidas de protección para impedir el acceso externo al equipo de la víctima por parte de investigadores de seguridad. En último lugar, cabe indicar que dichas acciones se alejan de un lucro económico al presentar objetivos de ciber espionaje.
Detectada campaña de troyano bancario contra usuarios en Latinoamérica
Investigadores de Kaspersky informaron acerca de una nueva campaña del troyano bancario Zanubis, que afecta a dispositivos Android, haciéndose pasar por una aplicación gubernamental peruana para engañar a los usuarios.
Según se indica, este troyano fue observado por primera vez en agosto de 2022 y su principal método de infección es disfrazarse de aplicaciones legítimas para luego obtener permisos de accesibilidad y tomar el control del dispositivo infectado.
Además, Zanubis ha estado dirigido principalmente a Latinoamérica y apunta a más de 40 bancos y entidades financieras. El malware, utiliza permisos de accesibilidad para mostrar pantallas falsas sobre aplicaciones específicas y robar credenciales, también recopila datos de contactos, aplicaciones y metadatos. Y una vez instalado, bloquea el dispositivo y registra pulsaciones de teclas o graba la pantalla.
En esta nueva campaña, Zanubis fue observado suplantando al ente encargado de la administración tributaria y aduanas del Perú.
Imagen de Kjpargeter en Freepik.
