Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 25 - 31 mayo
Check Point corrige una vulnerabilidad utilizada en ataques aprovechando VPN
El pasado lunes, en un advisory de seguridad publicado por Check Point, la empresa alertó de que actores de amenazas estarían dirigiendo sus ataques contra dispositivos Check Point Remote Access VPN para acceder a entornos corporativos. Posteriormente, el fabricante ha identificado que el problema venía de la explotación de una vulnerabilidad 0-day, la cual ha sido recientemente registrada como CVE-2024-24919, CVSSv3 de 7.5 según proveedor.
El aprovechamiento de este fallo de seguridad podría permitir a un atacante leer información en puertas de enlace conectadas a Internet con VPN de acceso remoto o acceso móvil habilitado. Desde Check Point han indicado que esta vulnerabilidad afecta a CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways y Quantum Spark Appliances, en las versiones del producto R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x y R81.20.
En base a ello, recomienda aplicar los correspondientes parches de seguridad para actualizar los activos afectados.
Bancos brasileños son objetivo del malware AllaSenha
Las instituciones bancarias brasileñas son el objetivo de una nueva campaña que distribuye una variante del troyano de acceso remoto (RAT) basado en Windows llamada AllaSenha. Un producto de seguridad de HarfangLab detectó una carga maliciosa entregada a un ordenador en Brasil a través de una cadena de infección compleja que involucra scripts de Python y un cargador desarrollado en Delphi.
El malware está específicamente dirigido a robar credenciales necesarias para acceder a cuentas bancarias brasileñas y utiliza la nube de Azure como infraestructura de comando y control (C2). Los objetivos de la campaña incluyen bancos como Banco do Brasil, Bradesco, Banco Safra, Caixa Econômica Federal, Itaú Unibanco, Sicoob y Sicredi. El vector de acceso inicial, aunque no ha sido confirmado definitivamente, apunta al uso de enlaces maliciosos en mensajes de phishing.
Troyano bancario Anatsa distribuyéndose en Google Play
El equipo de investigadores de Zscaler ha publicado los resultados de una investigación en los que señala que más de 90 aplicaciones maliciosas con más de 5,5 millones de descargas habrían estado siendo distribuidas a través de Google Play. Entre las mismas, los expertos destacan el incremento del troyano bancario Anatsa, el cual destaca por apuntar a más de 650 aplicaciones de instituciones financieras en Europa, EE. UU. y Asia con el objetivo de robar credenciales de sus víctimas.
En concreto, Zscaler señala que este software malicioso estaría distribuyéndose a través de dos aplicaciones llamadas “PDF Reader & File Manager” y “QR Reader & File Manager”, las cuales acumulan 70 000 descargas. Cabe destacar que, en estos momentos, las dos aplicaciones de Anatsa descubiertas por Zscaler han sido eliminadas de Google Play. Asimismo, cabe indicar que no se ha señalado el nombre de las restantes aplicaciones maliciosas identificadas.
Nueva vulnerabilidad 0-day activamente explotada en Chrome
Google ha emitido un nuevo aviso de seguridad en el que alerta a sus usuarios sobre la aparición de una nueva vulnerabilidad 0-day que afecta al navegador Chrome y que se ha confirmado que está siendo explotada activamente. En concreto, el fallo de seguridad ha sido registrado como CVE-2024-5274 y se trata de una confusión de tipos de alta gravedad en V8, el motor JavaScript de Chrome responsable de ejecutar el código JS, por lo que actores maliciosos podrían aprovechar dicha vulnerabilidad y provocar fallos, corrupción de datos y ejecución de código arbitrario.
Cabe indicar que, por el momento, desde Google no han compartido detalles técnicos sobre esta falla para proteger a los usuarios de posibles intentos de explotación. No obstante, el fabricante recomienda a sus usuarios actualizar Chrome en la versión 125.0.6422.112/.113 para Windows y Mac, mientras que los usuarios de Linux deberán esperar al lanzamiento de la versión 125.0.6422.112.
Análisis de la campaña de la APT LilacSquid
Los investigadores de Cisco Talos han publicado un análisis de una nueva campaña de ciberespionaje y robo de datos que han atribuido a una APT a la que han denominado LilacSquid. Este actor de amenaza dirige sus ataques a entidades del sector tecnológico en EE. UU., del sector energía en Europa y del sector farmacéutico en Asia.
Con respecto a sus ataques, LilacSquid ha sido observado empleando diversas herramientas y malware, incluyendo la herramienta de gestión remota MeshAgent. Asimismo, la APT ha empleado una variante de QuasarRAT que ha sido denominada PurpleInk, además de otros dos loaders de malware denominados InkBox e InkLoader.
Por otro lado, los objetivos del actor parecen estar orientados a obtener acceso y persistencia a los sistemas de las víctimas para así obtener información relevante para la APT, comprometiendo aplicaciones y credenciales RDP en el proceso.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
