Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 25 de noviembre - 1 de diciembre
Nueva variante del ransomware DJVU, Xaro
Investigadores de Cybereason han descubierto una variante de ransomware conocida como Xaro DJVU, que se distribuye como software descifrado. DJVU es una variante del ransomware STOP, que normalmente se hace pasar por servicios y aplicaciones legítimas y se distribuye a través de un patrón de ataque en el que los atacantes implementan malware adicional, principalmente stealers.
Finalmente, agregan la extensión .xaro a los archivos afectados, solicitando un rescate por un descifrador. En la última campaña observada por Cybereason, el ransomware se ha propagado como un archivo comprimido que se hace pasar por el software legítimo CutePDF, que realmente instala el malware PrivateLoader, el cual establece contacto con un servidor C2 e implementa múltiples familias de malware como RedLine Stealer, Vidar, Lumma Stealer, Amadey o SmokeLoader. El objetivo principal es la recopilación y exfiltración de información sensible para una doble extorsión
Descubren múltiples vulnerabilidades críticas en dispositivos NAS de Zyxel
Zyxel ha solucionado varias vulnerabilidades, entre ellas tres críticas que podrían permitir a un atacante no autenticado ejecutar comandos del sistema operativo en dispositivos de almacenamiento conectados a la red (NAS) vulnerables. Las vulnerabilidades han sido clasificadas como CVE-2023-35137, CVE-2023-35138, CVE-2023-37927, CVE-2023-27928, CVE-2023-4473 y CVE-2023-4474.
Los actores de amenazas podrían explotar las vulnerabilidades anteriores para obtener acceso no autorizado, ejecutar algunos comandos del sistema operativo, obtener información confidencial del sistema o tomar el control completo de los dispositivos NAS de Zyxel afectados.
Extensión maliciosa en Chrome que apunta a usuarios en Latinoamérica
Investigadores de Trend Micro descubrieron una extensión maliciosa de Google Chrome llamada ParaSiteSnatcher, la cual utiliza un marco modular con componentes altamente ofuscados para aprovechar la API de Chrome y realizar acciones maliciosas.
Según se indica, la extensión está diseñada para atacar a usuarios en Latinoamérica, especialmente en Brasil, extrayendo información confidencial relacionada con bancos y servicios de pago. La extensión se descarga a través de un descargador de VBScript, que posee tres variantes con niveles de ofuscación y complejidad distintos, y establece comunicación con un servidor C2 para recibir comandos y enviar datos robados.
Una vez instalada, ParaSiteSnatcher manipula sesiones web, monitorea transacciones PIX, roba cookies, obtiene datos bancarios, intercepta solicitudes POST y realiza un seguimiento de las interacciones del usuario en múltiples pestañas.
Asimismo, establece persistencia y manipula la interfaz de usuario del navegador. Trend Micro advierte además que la extensión también puede funcionar en navegadores basados en Chromium y posiblemente en Firefox y Safari, por lo que destacan la importancia de ser cauteloso al otorgar permisos a las extensiones de navegador.
General Electric y DARPA, víctimas de una brecha de seguridad
General Electric (GE) y la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA) han sido víctimas de una fuga de seguridad recientemente.
El actor amenaza que estaría detrás del ataque se denomina IntelBroker y ha publicado en un foro underground la venta de una base de datos de GE y DARPA, en la que se incluyen credenciales de acceso SSH y SVN, además de archivos militares y otros documentos de carácter sensible y confidencial.
Según Rosa Smothers, ex analista de amenazas cibernéticas de la CIA, GE y DARPA habrían estado colaborando en iniciativas de investigación de vanguardia en los últimos años, las cuales podrían ubicarlas como objetivos de ciberataques. Actualmente se continúa investigando para conocer el impacto del ataque.
Vulnerabilidades críticas en ownCloud
La solución de código abierto ownCloud dedicada a la compartición de archivos ha emitido un aviso de seguridad donde alerta sobre tres vulnerabilidades críticas.
En concreto, el primero de los fallos es el registrado como CVE-2023-49103, CVSSv3 de 10, podría ser aprovechado por actores maliciosos para exponer las contraseñas de administrador y las credenciales del servidor de correo.
En referencia a la segunda de las vulnerabilidades, CVSSv3 de 9.8, su explotación podría permitir acceder, modificar o eliminar cualquier archivo sin autenticación si se conoce el nombre de usuario, siempre y cuando no tuviera una clave de firma configurada.
En cuanto al último error de seguridad, clasificado con un CVSSv3 de 9.0, un atacante puede remitir una URL de redireccionamiento especialmente diseñada para omitir el código de validación. Debido a la criticidad de las vulnerabilidades se recomienda aplicar inmediatamente las correspondientes actualizaciones.
💬 Para recibir noticias y reflexiones de nuestros expertos en Ciberseguridad, suscríbete a CyberSecurityPulse, nuestro canal en Telegram: https://t.me/cybersecuritypulse
