Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 3 - 9 de febrero
Greenbean: nuevo troyano bancario en Android
El equipo de investigadores de Cyble ha descubierto un nuevo troyano bancario para Android llamado Greenbean que se propaga a través de un sitio de phishing que promueve un sistema de criptomonedas. Este malware ha sido diseñado para atacar cinco aplicaciones relacionadas con la banca y las criptomonedas.
El nombre de la aplicación y la presencia de caracteres chinos y vietnamitas en el código indican que el objetivo principal son los usuarios de Android de esos países. Greenbean utiliza el servicio de Accesibilidad para recopilar las credenciales de las aplicaciones objetivo e incorpora la transmisión de vídeo a través de WebRTC. Por el momento, el sitio de phishing sigue en funcionamiento, lo que sugiere que el malware continúa activo.
Descubren fallo crítico en gestor de arranque Shim que afecta a Linux
Un investigador de seguridad de Microsoft ha revelado un nuevo fallo crítico en el gestor de arranque de Shim Linux que permite a los atacantes ejecutar código y tomar el control del sistema.
La vulnerabilidad ha sido clasificada como CVE-2023-40547 y reside en el código fuente httpboot.c de Shim, que se utiliza para arrancar una imagen de red a través de HTTP. El fallo fue reportado por primera vez el 24 de enero, pero Eclypsium ha ampliado detalles con un nuevo informe publicado el 2 de febrero para llamar la atención sobre esta vulnerabilidad crítica.
Publicado un análisis del código del ransomware Black Hunt
Los investigadores de Rapid7 Labs han publicado un análisis de una variante del ransomware Black Hunt, activo desde al menos 2022. El código analizado presenta importantes similitudes con el de LockBit, pudiendo haberse usado su código filtrado en Black Hunt; además, sus técnicas resultan parecidas a las de otro ransomware, REvil.
Entre las características que diferencian a Black Hunt de otros ransomware, destaca la comprobación inicial de la presencia de un archivo “Vaccine.txt” que, si es detectado, termina la ejecución del malware. Además, el ransomware deshabilita herramientas de seguridad de Windows, elimina las Shadow Copies y, finalmente, cambia la extensión de los archivos cifrados a “.Hunt2”.
Los investigadores destacan la importancia de monitorizar esta amenaza, que recientemente llevó a cabo un ataque contra más de 300 empresas en Paraguay.
Volt Typhoon amenaza a infraestructuras críticas
CISA, juntamente con otras agencias federales y centros de ciberseguridad de Australia, Canadá, Reino Unido y Nueva Zelanda, han emitido un informe detallando las acciones de la APT Volt Typhoon, respaldada por China, y que está dirigida a infraestructuras críticas.
El informe enfatiza que Volt Typhoon, tambien conocido como Vanguard Panda, BRONZE SILHOUETTE, Dev-0391, UNC3236, Voltzite e Insidious Taurus, tiene especial enfoque en las redes IT/OT (tecnología de la información/tecnología operativa) posicionándose previamente, realizando movimiento lateral y manteniendo sigilosa persistencia para luego ejecutar ciberataques disruptivos o destructivos contra infraestructura crítica en caso de generarse una crisis geopolítica o conflicto importante, siendo así una amenaza potencial.
En este sentido, el informe señala además que, Volt Typhoon, habría permanecido oculto en la infraestructura crítica de EE UU durante al menos cinco años, utilizando técnicas de ataque Living-off-the-Land (LotL), evadiendo así exitosamente la detección. Asimismo, se advierte que la obsolescencia de software en entornos IT/OT aumenta el riesgo y que la amenaza se extiende más allá de EE UU, con evidencia de ataques a infraestructuras en Australia, Reino Unido, Canadá y Nueva Zelanda. El informe incluye además recomendaciones para la detección y mitigación de esta amenaza.
Fallos de seguridad en Ivanti
Recientemente se alertaba sobre la explotación activa de la vulnerabilidad 0-day, CVE-2024-21893, que afecta a los dispositivos Ivanti Connect Secure e Ivanti Policy Secure. El equipo de investigaciones de Shadowserver identificó alrededor de 170 direcciones IP intentando atacar activos vulnerables de Ivanti.
Aunque se sospechaba que la PoC publicada por Rapid7 pudo haber exacerbado la situación, los ataques ya estaban en curso antes de esto. Ante esta preocupación, la CISA emitió una alerta recomendando desconectar los dispositivos no actualizados, mientras que Ivanti también publicó su propia advertencia.
Seguidamente, Ivanti emitió otro aviso de seguridad en el que alertaban acerca de una vulnerabilidad que afecta a las puertas de enlace Connect Secure, Policy Secure y ZTA. El fallo, registrado como CVE-2024-22024, se debe a una debilidad XXE en el componente SAML de las puertas de enlace, lo que permite a atacantes remotos acceder a recursos restringidos en dispositivos vulnerables.
En este nuevo aviso Ivanti informa que no tienen evidencia de que alguno de sus clientes haya sido afectado, pero recomiendan tomar medidas de seguridad de inmediato para corregir el fallo. Además, indican que los clientes que aplicaron el parche lanzado el 31 de enero o el 1 de febrero y realizaron un restablecimiento de fábrica de su dispositivo no necesitan hacerlo nuevamente para esta vulnerabilidad.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
