Vulnerabilidad de Realtek Jungle SDK (CVE-2021-35394) incluso siendo explotada activamente en estado salvaje

FortiGuard Labs ha observado que los actores de amenazas continúan explotando una vulnerabilidad de inyección de comando arbitraria en Realtek Jungle SDK (CVE-2021-35394).
Por-que-es-importante-la-ciberseguridad image

La explotación exitosa de esta vulnerabilidad permite que un atacante remoto ejecute código arbitrario en dispositivos vulnerables, lo que compromete el sistema. Los dispositivos IoT basados ​​en Realtek Jungle SDK están disponibles a través de varios proveedores.

Esto es importante porque FortiGuard Labs aún detecta recuentos elevados (más de 6000 dispositivos por día) de CVE-2021-35394 explotados en la naturaleza, incluso después de que se lanzó un parche en agosto de 2021. Como tal, se recomienda que el parche sea aplicado tan pronto como sea posible. CISA agregó CVE-2021-35394 al catálogo de vulnerabilidades explotadas conocidas (KEV) el 10 de diciembre de 2021.

CVE-2021-35394 es una vulnerabilidad de inyección de comando arbitrario que afecta a UDPServer en Realtek Jungle SDK versión v2.0 hasta v3.4.14B. Los actores de amenazas pueden aprovechar la vulnerabilidad para ejecutar código arbitrario en dispositivos vulnerables, lo que lleva al compromiso del sistema. La vulnerabilidad tiene una puntuación base CVSS de 9,8.


Se informa que malware como RedGoBot, GooberBot, Mirai, Gafgyt y Mozi están asociados con CVE-2021-35394.

Continúa leyendo aquí

Fuente: FortiGuard

Los ataques en remoto a Samsung, Google y Vivo: el problema y la solución

Las vulnerabilidades descubiertas en el chipset Exynos permiten que los ciberdelincuentes hackeen en remoto los smartphones Samsung, Vivo y Google si conocen el número de teléfono de la víctima. ¿Cómo es posible y cómo protegerte?
samsung-exynos-vulnerabilities-featured image

Los smartphones, tablets e incluso coches con microprocesadores Samsung Exynos corren el riesgo de sufrir ataques en remoto. Los buscadores de bugs del Project Zero de Google afirman que los atacantes solo necesitan el número de teléfono de la víctima.

Esto se debe a la presencia de 18 vulnerabilidades en el procesador de radio de banda base Exynos, que se usa frecuentemente en Google, Vivo, Samsung y muchos otros smartphones. De estas vulnerabilidades, 4 son críticas y permiten al atacante ejecutar código en remoto en el dispositivo de la víctima sin que esta pueda hacer nada al respecto. 

Los investigadores de Project Zero descubrieron que los BRP de Exynos procesan incorrectamente señales de servicio que el usuario recibe desde redes móviles. En cuanto a la recepción de mensajes mal estructurados, el chip puede congelarse o, lo que es peor, ejecutar código cargado mediante mensaje malicioso. Se encontraron dieciocho errores de este tipo relacionados con la mala gestión de la señal del servicio, aunque para desalentar a los atacantes, no se describieron todos en detalle.


Dado que el BRP gestiona toda la comunicación con la red celular, el código malicioso se puede utilizar para todo un rango de propósitos de espionaje: desde rastrear la geolocalización de la víctima hasta escuchar a escondidas llamadas o robar los datos de la memoria del smartphone. A su vez, dado que es una caja negra, el BRP es virtualmente imposible de diagnosticar o desinfectar, excepto por reflashing.


Los chips afectados por las vulnerabilidades son Exynos 850, 980, 1080, 1280, 2200, Exynos Modem 5123, Exynos Modem 5300 y Exynos Auto T5123.

Continúa leyendo aquí

Fuente: Kaspersky

ChatGPT y GPT-4 de OpenAI utilizados como señuelo en correos electrónicos de phishing y estafas en Twitter para promover tokens falsos de OpenAI

ChatGPT y GPT-4 de OpenAI utilizados como señuelo en correos electrónicos de phishing y estafas en Twitter para promover tokens falsos de OpenAI.
openai-chatgpt-gpt-4-scam-blog image

El 15 de marzo, un día después del esperado lanzamiento de la versión 4 (GPT-4) del Transformador preentrenado generativo de OpenAI en su chatbot de inteligencia artificial, ChatGPT , y a través de API para desarrolladores, los estafadores comenzaron a enviar correos electrónicos de phishing y a tuitear enlaces de phishing a entusiastas de las criptomonedas sobre un token falso de OpenAI.
e12e1144-c174-48ce-ae3c-968a93b03a34 image

En el momento en que se publicó esta publicación de blog, OpenAI solo brinda acceso GPT-4 a los suscriptores y desarrolladores de ChatGPT Plus a través de su API. El efecto no deseado de este acceso limitado es que los estafadores tienen un gancho ideal para atraer a los usuarios desprevenidos a sus sitios de phishing.


El correo electrónico de phishing en sí solo contiene un bloque de texto: “No se pierda el airdrop del token OpenAI DEFI por tiempo limitado”. Incluye una imagen de un correo electrónico de OpenAI basado en una plantilla del aspecto que podría tener un correo electrónico legítimo de OpenAI. Sin embargo, el supuesto correo electrónico contiene una serie de errores gramaticales y ortográficos.


El correo electrónico de phishing afirma que GPT-4 “ahora solo está disponible para personas con el token OpenAI”. Esto se alinea con la elección de OpenAI de limitar el acceso a GPT-4, dando cierta legitimidad a la estafa en sí. Sin embargo, el correo electrónico también incluye una fecha incorrecta, alegando que el “lanzamiento aéreo de tokens” comenzará el miércoles 14 de marzo, cuando en realidad el miércoles fue el 15 de marzo.

Continúa leyendo aquí

Fuente: Tenable

Falso correo en nombre de la Registraduría Nacional de la República de Colombia contiene malware

Están circulando correos de phishing haciéndose pasar por el organismo público colombiano con el objetivo de infectar equipos con un troyano que espía y roba credenciales.

En los últimos años, hemos visto varias campañas de phishing dirigidas a Colombia y otros países de la región intentando distribuir malware. Es común que los nombres de los organismos públicos sean utilizados por los atacantes para intentar convencer a las personas y el nombre de la Registraduría Nacional de la República de Colombia ya lo han utilizado en otras campañas en el pasado. En febrero de 2021, por ejemplo, la entidad alertó que cibercriminales estaban enviando correos falsos para robar datos de sensibles de los ciudadanos colombianos. También las personas alertaron en ese momento a través de Twitter los intentos de phishing que recibieron.
phishing-colombia-1 image

Pero en marzo de 2023 detectamos que está circulando un falso comunicado con un diseño similar al de 2021. Como se puede observar en la Imagen 2 a continuación, los cibercriminales se hacen pasar por la Registraduría Nacional de la República de Colombia solicitando a los ciudadanos que reactiven su cédula de identidad con la excusa de que su cédula de identidad fue reportada como robada. El correo del remitente es reportescedulas@registraduria.gov.co, lo que indica que el cibercriminal está empleando la técnica de suplantación de correo electrónico más conocida como email spoofing. En este caso, suplantando el dominio legítimo de la entidad de gobierno. Los cibercriminales se valen de esta técnica porque es más difícil para las personas advertir que se trata de un correo falso y aumentan las probabilidades de que caigan en la trampa.


El correo contiene un enlace que redirige a un documento en formato PDF que brinda las instrucciones para supuestamente reactivar la cédula.

El malware que distribuye esta campaña de phishing fue desarrollado en .NET y posteriormente ofuscado. Probablemente para dificultar su análisis. Una vez que la víctima ingresa la contraseña para descomprimir el archivo se encontrará con un código malicioso del tipo dropper, el cual tiene como objetivo descargar otro programa malicioso en el equipo de la víctima.


Al analizar este código malicioso observamos un fragmento en el que se puede visualizar cómo este ejecutable malicioso (dropper) contiene instrucciones para la ejecución de una nueva pieza de malware “(“Rlfhzfjmvcundkn.Hwkhewhznlsbyuhzttpdpufe”), “Xhixejjn”); ”:
phishing-colombia-4-1024x238 image

Al realizar el análisis correspondiente observamos que la porción de código ejecutable iniciado por el usuario libera una .dll denominada “Rlfhzfjmvcundkn.dll”. La misma invoca e inyecta el payload final, que es el troyano de acceso remoto AsyncRAT bajo el nombre “zzzzasyncnuevodefaultCONAMERICANFACILSINNADA”.


Por otro lado, la muestra de AsyncRAT detectada en esta campaña guarda su configuración en una sección de sus recursos, llamada “SETTINGS”, cifrada con el algoritmo AES-256 y utiliza la siguiente clave “O4uDJWdbbCyDNdmQP8WozwkPi6q7ctPM“.

Continúa leyendo aquí

Fuente: WeLiveSecurity by ESET

CVE-2023-23397: El sonido de notificación que no desea escuchar

Durante la actualización de seguridad "Patch Tuesday" de marzo, se reveló que se estaba explotando una nueva vulnerabilidad de seguridad de Outlook. 
cve-2023-23397-blog-image image

Esta es una vulnerabilidad grave que tiene el potencial de comprometer dominios a través de la filtración de hashes NTLM. Este exploit es solo el último en una historia de vulnerabilidades relacionadas que datan de 2017, como CVE-2017-8572 y CVE-2017-11927, que han permitido a los atacantes filtrar las credenciales NTLMv2 de un usuario de Outlook. Armado con estas credenciales, un atacante puede usarlas para hacerse pasar por la víctima al autenticarse con hosts de Windows en la red, lo que podría otorgar acceso sin restricciones a servidores críticos según los privilegios de usuario de la víctima.

CVE-2023-23397 es una vulnerabilidad que permite a los atacantes filtrar hashes NTLMv2 de Outlook. Esto se puede lograr de forma remota mediante el envío de una invitación de calendario malicioso a una víctima. Potencialmente, cualquier entidad de Outlook que esté representada por el formato .msg, y que admita recordatorios, podría usarse para desencadenar la vulnerabilidad. El extremo de la API vulnerable real es PlayReminderSound dentro de Outlook, que usa PidLidReminderFileParameter para especificar un sonido de alerta personalizado para los recordatorios.

El problema surge cuando PidLidReminderFileParameter se establece en una ruta UNC que apunta a un servidor controlado por un atacante, algo que Outlook permitió antes de la actualización. Un atacante puede aprovechar esto enviando a la víctima una cita del calendario con una ubicación de sonido de recordatorio personalizada, lo que hace que el cliente de Outlook de la víctima intente autenticarse con el servidor controlado por el atacante para obtener el sonido del recordatorio, lo que se hace mediante la autenticación NTLM. Esto, a su vez, hará que la víctima filtre su hash NTLMv2 al atacante. Es probable que los atacantes también usen el parámetro API PidLidReminderOverride para forzar el uso del sonido de alerta. Esto activa efectivamente el uso del sonido, con este parámetro instruyendo a Outlook para que respete los valores especificados por PidLidReminderFileParameter. Sin este parámetro, Outlook puede ignorar el archivo de sonido personalizado que desencadena el ataque.
cve-2023-23397-1 image

Continúa leyendo aquí

Fuente: Trellix

Emotet reanuda las operaciones de spam, cambia a OneNote

Desde su regreso, Emotet ha aprovechado varias cadenas de infección distintas, lo que indica que están modificando su enfoque en función de su éxito percibido en la infección de nuevos sistemas.
image9 image

Después de su regreso inicial a las operaciones de spam, Emotet estaba aprovechando documentos de Microsoft Word muy acolchados en un intento de evadir la detección. Al aprovechar una gran cantidad de bytes intrascendentes en sus documentos, podrían aumentar el tamaño de los documentos para superar las restricciones de tamaño máximo de archivo que imponen las plataformas de análisis automatizado como sandboxes y motores de análisis antivirus.


Los correos electrónicos iniciales coincidían con lo que se ha observado comúnmente en Emotet en los últimos años. Por lo general, contenían un archivo ZIP adjunto que contenía un documento de Microsoft Word. A continuación se muestra un ejemplo de uno de esos correos electrónicos.
image5 image

Microsoft implementó recientemente nuevos mecanismos de seguridad para proteger los endpoints de las infecciones de malware basadas en macros, lo que resultó en que varios actores de amenazas se alejaran de las campañas de malspam basadas en documentos de Office. En muchos casos, estas campañas de distribución de malware cambiaron a la distribución de documentos de OneNote, probablemente como resultado de la disminución de infecciones y menores tasas de éxito. Emotet no es diferente: poco después de su regreso a las operaciones de spam el 16 de marzo de 2023, también comenzaron a distribuir archivos de OneNote.


En un ejemplo, el remitente pretendía ser del Servicio de Impuestos Internos (IRS) de EE. UU. y solicitó que el destinatario completara el formulario adjunto.
image7 image

Continúa leyendo aquí

Fuente: Talos by Cisco
Contáctenos

Central: +511 2259900 anexo 110

Equipo de Marketing: igrandez@bafing.com o al +51 969454618

Command Center y SOC: helpdesk@bafing.com o al +51 971500877



www.bafing.com

Facebook

Twitter

LinkedIn
LinkedIn Síguenos

Acerca de Bafing


Somos una empresa con más de 27 años de experiencia en el mercado de Tecnologías que ofrece soluciones muy especializadas en Ciberseguridad, eHealth y Smart Buildings.

El presente documento es una comunicación de carácter general hecha exclusivamente con propósitos informativos. Usted recibe este newsletter tras haberse suscrito al mismo. Si no desea continuar recibiéndolo, por favor escribir a bdigital@bafing.com
Bafing S.A.C. | Av. Del Parque Sur 560, San Borja, Lima, 15036 Perú
Cancelar suscripción pbisso@bafing.com
Aviso de datos de Constant Contact
Enviado por bdigital@bafing.com alimentado por
Mensaje de correo electrónico confiable de ConstantContact
Try email marketing for free today!