Nueva modalidad de amenaza “Adversario en el medio (AitM)”

Microsoft reveló que las instituciones bancarias y de servicios financieros se han convertido en objetivo activo de un nuevo ataque conocido como phishing adversary-in-the-middle (AitM), una modalidad de BEC (Compromiso de correo corporativo).

A medida que la cantidad de casos denunciados supera los 21000 y las pérdidas se disparan en $2700 millones, la Oficina Federal de Investigaciones (FBI) revela un aumento drástico en el fraude por correo electrónico comercial. Las agencias federales encargadas de hacer cumplir la ley se han dado cuenta de una estrategia desconocida empleada por los actores de amenazas, que les permite eludir las alertas de "viaje imposible", comúnmente utilizadas para detectar y prevenir intentos de inicio de sesión anormales y otras acciones de cuentas dudosas, lo que facilita la monetización de CaaS, en este caso, las empresas como Trustifi detienen las amenazas avanzadas que se dirigen al correo electrónico de su empresa con seguridad de correo electrónico impulsada por IA.


El ritmo de la actividad ciberdelincuente relacionada con el compromiso del correo electrónico empresarial se está acelerando rápidamente, al adoptar plataformas como BulletProftLink, los atacantes han hecho un cambio radical, ya que es la opción preferida para dirigir campañas de correo electrónico malicioso a escala industrial.

Se observa el uso de servicios multiherramienta como BulletProftLink, donde puede acceder a plantillas, alojamiento y herramientas automatizadas para mejorar sus operaciones BEC.Con este Crime-as-a-Service (CaaS), los adversarios acceden a las credenciales de las víctimas y sus correspondientes direcciones IP, después de ejecutar el esquema BEC, los actores de amenazas contratan servicios IP residenciales para obtener las direcciones correspondientes a la ubicación de la víctima.A través de la creación de proxies IP residenciales, pueden ocultar su verdadero origen, brindando a los ciberdelincuentes un mayor anonimato

Microsoft ha observado con mayor frecuencia el despliegue de esta táctica en Asia y una nación de Europa del Este donde los actores de amenazas han estado involucrados activamente, al identificar un posible compromiso de una cuenta de usuario, la detección de "viaje imposible" se utiliza como indicador.


La escala de estos ataques aumenta a medida que los actores de amenazas aprovechan los servicios IP/proxy que también utilizan los especialistas en marketing y otras personas orientadas a la investigación.

Los actores de amenazas facilitan las campañas de phishing y la adquisición de credenciales comprometidas mediante la utilización de plataformas de phishing como servicio, tales como:


  • Apoderado malvado
  • Páginas desnudas
  • Cafeína

Anualmente, las organizaciones sufren pérdidas financieras de cientos de millones de dólares debido al éxito de los ataques BEC. Los objetivos son:


  • Ejecutivos.
  • Altos dirigentes.
  • Gerentes de finanzas.
  • Personal de recursos humanos

Continúa leyendo aquí

Fuente: Centro Nacional de Seguridad Digital

DoubleFinger: el loader que roba criptomonedas

Te explicamos cómo el malware DoubleFinger descarga GreetingGhoul, un ladrón con la mira puesta en los monederos de criptomonedas.
doublefinger-crypto-stealer-featured image

Las criptomonedas están sometidas a todo tipo de estrategias criminales, desde las estafas de minería de Bitcoin corrientes hasta el robo de grandes cantidades por valor de cientos de millones de dólares.


Para los propietarios de criptomonedas, los peligros acechan literalmente a cada paso. De hecho, hace poco hablamos sobre los monederos de criptomonedas falsos, que no solo se parecen, sino que además funcionan como los auténticos, pero acaban robando todo tu dinero. 
doublefinger-crypto-stealer-01 image

DoubleFinger ejecuta una shellcode que descarga un archivo en formato PNG desde la plataforma de intercambio de imágenes Imgur.com. Pero en realidad no es una imagen: el archivo contiene varios componentes de DoubleFinger en forma cifrada que se utilizan en las etapas posteriores del ataque. Estos incluyen un loader listo para usar en la segunda etapa del ataque, un archivo java.exe legítimo y otro archivo PNG que se implementará más tarde, en la cuarta etapa.

DoubleFinger se dedica a hacer aquello para lo que realmente se ha diseñado: cargar y descifrar otro archivo PNG, pero este con la carga útil final. Se trata del ladrón de criptomonedas GreetingGhoul, que se instala en el sistema y está programado en el Planificador de tareas para ejecutarse diariamente en un momento determinado.

Una vez que el loader DoubleFinger ha hecho su trabajo, GreetingGhoul entra directamente en juego. Este malware contiene dos componentes complementarios:


  1. Uno que detecta aplicaciones de monederos de criptomonedas en el sistema y roba datos de interés para los atacantes (claves privadas y frases semilla);
  2. Uno que se superpone a la interfaz de las aplicaciones de criptomonedas e intercepta los datos que introduce el usuario.


Como resultado, los ciberdelincuentes que están detrás de DoubleFinger pueden tomar el control de los monederos de criptomonedas de las víctimas y retirar todos sus fondos.

Continúa leyendo aquí

Fuente: Kaspersky

CVE-2023-20887: Inyección de comandos de VMware Aria Operations for Networks

VMware emite un aviso para abordar tres fallas en su solución VMware Aria Operations for Networks, incluida una falla crítica de inyección de comandos asignada a una puntuación CVSSv3 de 9.8.
Blog-Research-CEA-Medium-Max-Quality_27 image

El 7 de junio, VMware publicó un aviso (VMSA-2023-0012.1) para abordar tres vulnerabilidades en VMware Aria Operations for Networks, anteriormente conocido como vRealize Network Insight (vRNI), una solución para crear una infraestructura de red segura en entornos híbridos y multinube. Dos de las vulnerabilidades descritas en este documento informativo se consideran críticas.

CVE-2023-20887 es una vulnerabilidad de inyección de comandos en VMware Aria Operations for Networks que se puede aprovechar para lograr la ejecución remota de código (RCE). Como se describe en la entrada de blog de Summoning Team, esta vulnerabilidad existe debido a una cadena de dos problemas. El primer problema es la falla de inyección de comandos, pero para llegar al código vulnerable, se debe realizar una solicitud a un punto final que debe denegarse debido al conjunto de reglas nginx. Sin embargo, el blog señala que la regla se puede omitir con una solicitud especialmente diseñada. Al encadenar estos dos problemas juntos en una solicitud diseñada, permitiría que un atacante no autenticado lograra RCE.

CVE-2023-20888 es una vulnerabilidad de deserialización en VMware Aria Operations for Networks. Un atacante autenticado con credenciales para un rol de "miembro" válido podría usar una solicitud diseñada para realizar un ataque de deserialización que daría lugar a RCE.

CVE-2023-20889 es una vulnerabilidad de divulgación de información en VMware Aria Operations for Networks. Un atacante autenticado con acceso a la red podría realizar un ataque de inyección de comandos que daría lugar a la divulgación de datos.

Se ha publicado una prueba de concepto (PoC) para CVE-2023-20887 en GitHub y también se incluyó en la entrada de blog de Summoning Team. En el momento en que se publicó esta publicación de blog el 14 de junio, no había ningún código PoC disponible para los otros dos CVE.


VMware lanzó versiones fijas de VMware Aria Operations for Networks para solucionar estos defectos. Las versiones corregidas y las instrucciones de aplicación de revisiones se pueden encontrar en KB92684 y se incluyen en la tabla siguiente.

Continúa leyendo aquí

Fuente: Tenable

5 scripts para comenzar a escanear vulnerabilidades con Nmap

Conoce algunos scripts básicos para comenzar con el escaneo de vulnerabilidades con Nmap y detectar fallos de seguridad en un sistema.
Lenguajes-populares-para-el-desarrollo-de-la-web-300x196 image

Nmap es una herramienta de código abierto creada en 1998 que es muy reconocida en el mundo de seguridad informática por su funcionalidad de escaneo de redes, puertos y servicios que ha ido mejorando con el correr de los años. Es de gran utilidad para identificar los dispositivos conectados a una red y obtener información de los mismos, como pueden ser aplicaciones instaladas, puertos y servicios abiertos y posibles vulnerabilidades de seguridad.
1-scripts-nmap-escanear-768x912 image

Script Auth


La herramienta detecta el ingreso de usuarios anónimos. Del mismo modo, se muestra el listado usuarios con permisos de súper usuario (acceso root) en MySQL que no poseen contraseña.
2-scripts-nmap-escanear-768x636 image

Script Default


En segunda instancia ejecutamos la herramienta con la configuración por defecto para hacer un escaneo con los scripts predeterminados.


Se muestra información de la llave (o key) para su conexión. También se muestra información recolectada del puerto 80, tal como nombre de equipo y versión de sistema operativo.
3-scripts-nmap-escanear-768x662 image

Script Safe


Se podría utilizar para ejecutar secuencias de comandos que son menos intrusivas para la víctima, de manera que será menos probable que provoquen la interrupción de algunas aplicaciones.

4-scripts-nmap-escanear-768x742 image

Script Vuln


Otro de los tantos scripts interesantes en Nmap es vuln, el cual permite identificar alguna de las vulnerabilidades más conocidas en el sistema. 
5-scripts-nmap-escanear-768x726 image

Script All


Uno de los menos recomendados tal vez para utilizar debido al “ruido” que generaría en los archivos de logs, es el script all.


El mismo ejecuta todos los scripts disponibles, por lo que los archivos de registro de actividades comenzarían a llenarse rápidamente, alertando al administrador del equipo.

Continúa leyendo aquí

Fuente: WeLiveSecurity by ESET

Dos vulnerabilidades de ejecución remota de código reveladas en Microsoft Excel

Cisco Talos descubrió recientemente dos vulnerabilidades en el software de administración de hojas de cálculo Microsoft Excel que podrían permitir que un actor malicioso ejecute código arbitrario en la máquina objetivo.

Microsoft reveló estos problemas y los parcheó como parte del lanzamiento de seguridad mensual de junio para la compañía.

Una de las vulnerabilidades, TALOS-2023-1730 (CVE-2023-32029), existe en la función FreePhisxdb de Excel. Un atacante podría aprovechar esta vulnerabilidad si engaña al usuario objetivo para que abra un archivo especialmente diseñado. Luego, pueden manipular el montón para obtener la capacidad de ejecutar código arbitrario.

TALOS-2023-1734 (CVE-2023-33133) funciona de manera similar, pero en este caso, provoca una lectura fuera de los límites que se convierte en una escritura fuera de los límites, lo que a su vez, podría provocar daños en la memoria y, finalmente, la ejecución de código arbitrario.

Microsoft señaló que aunque estas vulnerabilidades se enumeran como "ejecución remota de código", el ataque en sí se lleva a cabo localmente. Ambas vulnerabilidades tienen una puntuación de gravedad CVSS de 7,8 sobre 10 y se consideran "menos probables" de ser explotadas, según Microsoft.


Cisco Talos trabajó con Microsoft para garantizar que estos problemas se resuelvan y que haya una actualización disponible para los clientes afectados, todo en cumplimiento de la política de divulgación de vulnerabilidades de Cisco.


Se recomienda a los usuarios que actualicen estos productos afectados lo antes posible: Microsoft Office Excel 2019 Plus, versión 16.0.16130.20218. Talos probó y confirmó que esta versión de Excel podría ser explotada por estas vulnerabilidades.


Las siguientes reglas de Snort detectarán intentos de explotación contra estas vulnerabilidades: 61503, 61504, 61574 y 61575. Es posible que se publiquen reglas adicionales en el futuro y las reglas actuales están sujetas a cambios, a la espera de información adicional sobre la vulnerabilidad.

Continúa leyendo aquí

Fuente: Talos by Cisco

Ransomware Medusa ataca a la Comisión Nacional de Valores de Argentina

El organismo argentino que se ocupa de regular el mercado de capitales fue víctima de un ataque del ransomware Medusa y aseguran que lograron controlarlo. El ransomware Medusa presenta una actividad importante en 2023 y se cobró varias víctimas en América Latina.
20Q2-CNR-MedusaLocker image

En un comunicado publicado el 11 de junio en el Portal del Estado Argentino, confirman que la Comisión Nacional de Valores (CNV) fue víctima de un ataque de ransomware por parte del grupo Medusa que derivó en el cifrado de los archivos en los equipos infectados y en el robo de información. Según la publicación, la entidad logró aislar y controlar el ataque que dejó fuera de servicio sus plataformas online.


Según explica la CNV los datos robados por los cibercriminales son de carácter público. “La información tomada por los atacantes es la información de carácter público que los regulados cargan en la Autopista de Información Financiera, que es la principal vía de comunicación que la CNV mantiene con sus regulados”, aseguran en el comunicado.


Por su parte, el grupo de ransomware Medusa publicó en su sitio de la dark web detalles del incidente y presionan a la CNV para que pague un rescate de 500 mil dólares en Bitcoin y de esta manera evitar la divulgación de más de 1.5 terabytes de información robada (documentos, bases de datos, etc.) y entregar un descifrador para recuperar los archivos cifrados. El plazo que da el grupo es hasta el próximo domingo 18 de junio. El grupo adoptó una estrategia similar a la del ransomware LockBit en cuanto a incluir para cada una de las víctimas la posibilidad de pagar para extender por 24 horas la posibilidad de descargar la información robada, y también las opciones de pagar para eliminar los datos robados.
medusa-ransomware-comision-nacional-valores-argentina-1024x691 image

Medusa es un grupo de ransomware cuya actividad se hizo más notoria en 2023 con el lanzamiento de su sitio en la Red Onion, donde al igual que muchos otros grupos de ransomware, publica los nombres de sus víctimas para extorsionarlas y amenazarlas con publicar información robada si no pagan.

Es importante mencionar que en lo que va de 2023 el grupo afectó a empresas y organismos en distintas partes del mundo y en diversas industrias, desde organismos gubernamentales, empresas de tecnología y construcción, pasando por plataformas educativas, instituciones deportivas y universidades, entre muchas otras más.

Continúa leyendo aquí

Fuente: WeLiveSecurity by ESET
Contáctanos

Central: +511 2259900 anexo 110

Equipo de Marketing: igrandez@bafing.com o al +51 969454618

Command Center y SOC: helpdesk@bafing.com o al +51 971500877



www.bafing.com

Facebook

Twitter

LinkedIn
LinkedIn Síguenos

Acerca de Bafing

Somos una empresa con más de 29 años de experiencia en el mercado de Tecnologías que ofrece soluciones muy especializadas en Ciberseguridad, eHealth y Smart Buildings.

El presente documento es una comunicación de carácter general hecha exclusivamente con propósitos informativos. Usted recibe este newsletter tras haberse suscrito al mismo. Si no desea continuar recibiéndolo, por favor escribir a bdigital@bafing.com
Bafing S.A.C. | Av. Del Parque Sur 560, Lima, 15036 Perú
Cancelar suscripción pbisso@bafing.com
Aviso de datos de Constant Contact
Enviado por bdigital@bafing.com alimentado por
Mensaje de correo electrónico confiable de ConstantContact
Try email marketing for free today!