Publicado el

España en la lista de los países afectador por las nuevas campañas de un malware bancario

Los investigadores de ciberseguridad han detectado nuevas campañas de phishing utilizando malware bancario, activas desde julio de 2023, con un incremento en su actividad hasta la fecha. Este análisis se ha realizado a través de cinco botnets diferentes, gestionados por varios grupos cibercriminales.

Las muestras del malware Medusa, analizadas por Simone Mattia y Federico Valentini de la firma de ciberseguridad Cleafy, se dirigen a usuarios en Canadá, Francia, Italia, España, Turquía, Reino Unido y Estados Unidos. Estas versiones presentan menos permisos y nuevas funcionalidades, como la superposición de pantalla completa y la desinstalación remota de aplicaciones.

Qué es un malware y cómo prevenirlo? MetaCompliance

Medusa, también conocido como TangleBot, es un malware sofisticado para Android, descubierto en julio de 2020 y enfocado en entidades financieras en Turquía. Utiliza técnicas avanzadas para el fraude mediante ataques de superposición para robar credenciales bancarias. En febrero de 2022, ThreatFabric descubrió campañas de Medusa que usaban métodos de entrega similares a los de FluBot, disfrazando el malware como aplicaciones de entrega de paquetes y utilidades.

El último análisis de Cleafy revela no solo mejoras en el malware, sino también el uso de aplicaciones dropper para difundir Medusa bajo la apariencia de actualizaciones falsas. Servicios legítimos como Telegram y X se utilizan para recuperar el servidor de comando y control (C2).

Una modificación notable es la reducción en el número de permisos solicitados, lo que disminuye las posibilidades de detección. Sin embargo, sigue requiriendo la API de servicios de accesibilidad de Android para habilitar otros permisos encubiertamente.

Otra innovación es la capacidad de establecer una superposición de pantalla negra en el dispositivo de la víctima, simulando un bloqueo o apagado mientras realiza actividades maliciosas.

Los clusters de botnets de Medusa utilizan principalmente phishing para propagar el malware, aunque las nuevas oleadas también lo hacen mediante aplicaciones dropper de fuentes no confiables.

Los investigadores han observado una expansión geográfica del malware hacia nuevas regiones como Italia y Francia, indicando un esfuerzo por diversificar el grupo de víctimas y ampliar la superficie de ataque.

Este desarrollo coincide con la revelación de Symantec sobre el uso de falsas actualizaciones del navegador Chrome para Android como señuelo para desplegar el troyano bancario Cerberus. Campañas similares distribuyen aplicaciones falsas de Telegram a través de sitios web fraudulentos, propagando otro malware para Android llamado SpyMax.

SpyMax es una herramienta de administración remota (RAT) que puede recopilar información personal del dispositivo infectado sin el consentimiento del usuario y enviarla a un actor remoto, permitiendo el control del dispositivo y comprometiendo la privacidad y los datos de la víctima. Una vez instalada, la aplicación solicita habilitar los servicios de accesibilidad para recopilar pulsaciones de teclas, ubicaciones precisas y la velocidad del dispositivo, exportando la información a un servidor C2 codificado.

Fuentes:

Medusa Reborn: A New Compact Variant Discovered: https://www.cleafy.com/cleafy-labs/medusa-reborn-a-new-compact-variant-discovered
ThreatFabric post: https://x.com/ThreatFabric/status/1285144962695340032
New Medusa Android Trojan Targets Banking Users Across 7 Countries: https://thehackernews.com/2024/06/new-medusa-android-trojan-targets.html
SpyMax – An Android RAT targets Telegram Users: https://labs.k7computing.com/index.php/spymax-an-android-rat-targets-telegram-users/
Koodous post: https://x.com/koodous_project/status/1806695569932365902

Publicado el

Hackers chinos y norcoreanos atacan la infraestructura global con ransomware

Entre 2021 y 2023, hackers con presuntos vínculos con China y Corea del Norte han lanzado ataques de ransomware contra sectores gubernamentales y de infraestructura crítica en todo el mundo, según ha publicado The Hacker news El ransomware es un tipo de software malicioso que bloquea el acceso a datos hasta que se pague un rescate.

Dos grupos principales están detrás de estos ataques. Uno de ellos es ChamelGang, asociado con China, y el otro está relacionado con actividades previas de hackers de China y Corea del Norte. Los ataques de ChamelGang han afectado a importantes instituciones como el Instituto de Ciencias Médicas de la India (AIIMS) y la presidencia de Brasil en 2022, así como a entidades gubernamentales y organizaciones de aviación en Asia en 2023.

Los expertos en ciberseguridad de SentinelOne y Recorded Future han señalado que estos hackers usan ransomware no solo para obtener dinero, sino también para causar disturbios y eliminar evidencias que puedan delatar su presencia. Destruyen artefactos y archivos importantes para ocultar sus huellas.

ChamelGang, conocido desde 2021, opera con varios objetivos, incluyendo la recopilación de inteligencia, el robo de datos, y ataques de denegación de servicio (DoS). Utilizan una variedad de herramientas avanzadas como BeaconLoader y Cobalt Strike, además de un tipo de ransomware llamado CatB, identificado en ataques en Brasil e India.

En 2023, estos hackers emplearon versiones actualizadas de sus herramientas para llevar a cabo reconocimientos y actividades maliciosas, como robar bases de datos importantes. También se ha observado que el malware personalizado de ChamelGang es compartido con otros grupos de hackers chinos, lo que indica una red de colaboración más amplia.

El segundo grupo de hackers ha utilizado herramientas como Jetico BestCrypt y Microsoft BitLocker para realizar ataques en América del Norte, América del Sur y Europa, afectando principalmente al sector manufacturero estadounidense. Las tácticas utilizadas son similares a las de los grupos chinos APT41 y los norcoreanos conocidos como Andariel.

A pesar de la complejidad de estos ataques, los expertos no descartan que también formen parte de un esquema cibercriminal más amplio, ya que los actores de estados-nación buscan beneficios financieros además de sus objetivos políticos y estratégicos. Los investigadores concluyen que el uso de ransomware por estos grupos de ciberespionaje confunde la línea entre cibercrimen y ciberespionaje, proporcionando ventajas estratégicas y operativas a los hackers.

Este tipo de actividades resalta la creciente amenaza de los ataques cibernéticos patrocinados por estados y la necesidad de mejorar las defensas cibernéticas para proteger infraestructuras críticas en todo el mundo.

Para más información puedes ver la noticia completa en: https://thehackernews.com/2024/06/chinese-and-n-korean-hackers-target.html Te animamos a compartir este boletín con tus colegas, familiares y amigos para promover entre todos una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en este área, no dudes en visitar nuestras webs donde encontrarás consejos, cursos, informes y mucho más contenido: https://csirtcv.gva.es/ y https://concienciat.gva.es/ así como seguir nuestras redes sociales: Facebook (CSIRT-CV) y X (antiguo Twitter) (@CSIRT-CV)

Publicado el

Vulnerabilidad de omisión de autenticación en varios modelos de router de ASUS

ASUS aborda una vulnerabilidad crítica de omisión de autenticación remota que afecta a varios modelos de router.

Análisis

Se trata de un problema de omisión de autenticación que un atacante remoto puede aprovechar para iniciar sesión en el dispositivo sin autenticación.

A esta vulnerabilidad se le ha asignado el siguiente código y puntuación base CVSS v3.1:

CVE-2024-3080: 9,8

Versiones Afectadas

El fallo afecta a los siguientes modelos

    • ZenWiFi XT8 3.0.0.4.388_24609 (inclusive) versiones anteriores.
    • ZenWiFi Versión RT-AX57 3.0.0.4.386_52294 (inclusive) versión anterior.
    • ZenWiFi Versión RT-AC86U 3.0.0.4.386_51915 (inclusive) versión anterior.
    • ZenWiFi Versión RT-AC68U 3.0.0.4.386_51668 (inclusive) versión anterior.

Recomendaciones

La empresa ha publicado la siguiente actualización de firmware para solucionar el problema:

    • Actualizar ZenWiFi XT8 a 3.0.0.4.388_24621 (inclusive) y versiones posteriores.
    • Actualización de ZenWiFi XT8 V2 a 3.0.0.4.388_24621 (inclusive) y versiones posteriores.
    • Actualizar RT-AX88U a 3.0.0.4.388_24209 (inclusive) y versiones posteriores.
    • Actualizar RT-AX58U a 3.0 .0.4.388_24762 (inclusive) y versiones posteriores.
    • Actualizar RT-AX57 a 3.0.0.4.386_52303 (inclusive) y versiones posteriores.
    • Actualizar RT-AC86U a 3.0.0.4.386_51925 (inclusive) y versiones posteriores.
    • Actualizar RT-AC68U a 3.0.0.4.386_51685 (inclusive) y versiones posteriores.

Referencias

Publicado el

Actualizaciones de seguridad de Microsoft (Junio 2024)

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 12 de junio, consta de 49 vulnerabilidades calificada una como crítica, que afecta a Windows Server Service, y el resto divididas entre severidades importantes, moderadas y bajas.

Análisis

La vulnerabilidad crítica afecta a Windows Server Service y consiste en una ejecución remota de código (CVE-2024-30080).

Los códigos CVE asignados a las vulnerabilidades no críticas reportadas pueden consultarse en las referencias.

Además, ZDI ha publicado un aviso en su web notificando una vulnerabilidad 0day de divulgación de información en la asignación de permisos de Microsoft Windows. Esta vulnerabilidad permite a atacantes locales revelar información confidencial o crear una condición de denegación de servicio en las instalaciones afectadas de Microsoft Windows. El comportamiento vulnerable se produce solo en determinadas configuraciones de hardware.

Versiones Afectadas

    • Azure Data
    • Science Virtual Machines,
    • Azure File Sync,
    • Azure Monitor,
    • Azure SDK,
    • Azure Storage Library,
    • Dynamics Business Central,
    • Microsoft Dynamics,
    • Microsoft Office,
    • Microsoft Office Outlook,
    • Microsoft Office SharePoint,
    • Microsoft Office Word,
    • Microsoft Streaming Service,
    • Microsoft WDAC OLE DB provider for SQL,
    • Microsoft Windows Speech,
    • Visual Studio,
    • Windows Cloud Files Mini Filter Driver,
    • Windows Container Manager Service,
    • Windows Cryptographic Services,
    • Windows DHCP Server,
    • Windows Distributed File System (DFS),
    • Windows Event Logging Service,
    • Windows Kernel,
    • Windows Kernel-Mode Drivers,
    • Windows Link Layer Topology Discovery Protocol,
    • Windows NT OS Kernel,
    • Windows Perception Service,
    • Windows Remote Access Connection Manager,
    • Windows Routing and Remote Access Service (RRAS),
    • Windows Server Service,
    • Windows Standards-Based Storage Management Service,
    • Windows Storage,
    • Windows Themes,
    • Windows Wi-Fi Driver,
    • Windows Win32 Kernel Subsystem,
    • Windows Win32K – GRFX,
      Winlogon.

Recomendaciones

    • Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Referencias