Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 3-9 agosto
Vulnerabilidad 0-day explotada activamente en el kernel de Android
Google ha lanzado parches de seguridad en Android para corregir hasta un total de 46 vulnerabilidades, de entre las cuales destaca un 0-day explotado activamente. En concreto, dicho fallo de seguridad ha sido registrado como CVE-2024-36971, CVSSv3 de 7.8, y es de uso posterior a la liberación (UAF) en la gestión de rutas de red del núcleo de Linux y cabe indicar que, para ser explotada, se requiere privilegios de ejecución del sistema.
Según investigadores de Google, dicha vulnerabilidad estaría siendo explotada de forma limitada y dirigida con el objetivo de realizar una ejecución de código arbitrario sin interacción del usuario en dispositivos vulnerables. En último lugar, destaca que Google aún no ha brindado detalles sobre cómo se está explotando la falla, ni tampoco qué actor de amenazas estaría detrás de los ataques ocurridos.
Fallo en Windows Smart App Control y SmartScreen explotado desde 2018
Investigadores de Elastic Security Labs han descubierto un fallo de diseño en las aplicaciones Windows Smart App Control y SmartScreen, el cual estaría siendo explotado desde, al menos, el año 2018. Esta vulnerabilidad permite a los atacantes lanzar programas mediante el manejo de archivos LNK (técnica denominada LNK stomping) sin ser detectado por los controles de seguridad diseñados para bloquear aplicaciones sospechosas.
Para ello, un actor malicioso puede crear ficheros LNK con rutas de destino o estructuras internas no estándar. Cuando el usuario accede al enlace o fichero en cuestión, el Explorador de Windows busca e identifica el nombre .exe coincidente, corrigiendo la ruta completa para utilizar el formato canónico correcto. Sin embargo, esto también elimina la etiqueta MotW (Mark of the Web) utilizada para las comprobaciones de seguridad, actualizando el archivo en el disco e iniciando el ejecutable.
PromptWare: nueva técnica de ataque contra IA generativa
Los investigadores Stav Cohen, Ron Bitton y Ben Nassi han publicado un artículo en el que detallan como las aplicaciones impulsadas por inteligencia artificial generativa (Gen-AI) son vulnerables a PromptWares. En concreto, en los ataques PromptWare la Gen-AI es manipulada mediante las entradas del usuario para conseguir jailbreaks y conseguir que, en vez de servir a la aplicación en la que está integrada, pase a atacarla.
Los investigadores comparan la implementación de PromptWare con un malware polimórfico zero-click que no requiere interacción con el usuario y que dirige sus acciones contra las arquitecturas de planificación y ejecución del modelo de inteligencia artificial. Asimismo, en el artículo se detallan dos posibles formas de implementación de PromptWare, diferenciando entre cuando el atacante conoce la lógica de la aplicación atacada y cuando no lo hace, demostrado en ambos casos las capacidades maliciosas de esta nueva técnica.
Campaña suplantando a Google que distribuye malware Latrodectus y ACR Stealer
El equipo de investigadores de Cyble ha publicado una investigación en la que informan sobre una campaña que suplanta la página oficial del Centro de seguridad de Google con el objetivo de distribuir malware como Latrodectus y ACR Stealer. En concreto, el actor tras estos hechos trata de engañar a sus víctimas para descargar un archivo que simula ser Google Authenticator.
Sin embargo, una vez que se ejecuta el archivo da comienzo la infección de dos tipos de malware. Por una parte, ACR Stealer que utiliza una técnica conocida como Dead Drop Resolver (DDR) para evitar ser detectado y se encarga de extraer información del equipo, así como permite facilitar la comunicación con su servidor de comando y control (C&C). Por otra parte, se despliega Latrodectus, un descargador que se caracteriza por disponer de varias funciones de evasión, así como de disponer de un cifrado actualizado y nuevos comandos de acción que ponen de relieve el desarrollo de esta herramienta.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
