Imagine esto: las mismas herramientas en las que confías para protegerte en línea (tu autenticación de dos factores, el sistema tecnológico de tu auto, incluso tu software de seguridad) se convirtieron en aliados silenciosos de los piratas informáticos. Suena como una escena de suspense, ¿verdad? Sin embargo, en 2024, esto no es ficción; es la nueva realidad cibernética. Los atacantes de hoy se han vuelto tan sofisticados que están usando nuestras herramientas de confianza como rutas secretas, eludiendo las defensas sin dejar rastro.

Para los bancos, esto es especialmente alarmante. El malware actual no solo roba códigos, sino que ataca la confianza en la que se basa la banca digital. Estas amenazas son más avanzadas e inteligentes que nunca y, a menudo, van un paso por delante de las defensas.

Y no acaba ahí. Los sistemas críticos que alimentan nuestras ciudades también están en riesgo. Los piratas informáticos se esconden en las mismas herramientas que hacen funcionar estos servicios esenciales, lo que hace que sea más difícil detectarlos y detenerlos. Es un juego de escondite de alto riesgo, en el que cada movimiento aumenta el riesgo.

A medida que estas amenazas crecen, profundicemos en los problemas de seguridad, vulnerabilidades y tendencias cibernéticas más urgentes de esta semana.

Amenaza de la semana

El FBI investiga ataques cibernéticos globales vinculados con China: El FBI solicita urgentemente la asistencia pública en una investigación global sobre sofisticados ataques cibernéticos dirigidos contra empresas y agencias gubernamentales. Grupos de piratas informáticos patrocinados por el estado chino, identificados como APT31, APT41 y Volt Typhoon, han violado dispositivos periféricos y redes informáticas en todo el mundo.

Estos actores de amenazas aprovechan las vulnerabilidades de día cero en los dispositivos de infraestructura de borde de proveedores como Sophos y han implementado malware personalizado para mantener un acceso remoto persistente y reutilizar los dispositivos comprometidos como servidores proxy ocultos. Esta táctica les permite realizar operaciones de vigilancia, espionaje y, potencialmente, sabotaje sin ser detectados.

Consejos para las organizaciones:

  • Actualización y parcheo de sistemas: aplique de inmediato las últimas actualizaciones de seguridad a todos los dispositivos periféricos y firewalls, en particular los de Sophos, para mitigar vulnerabilidades conocidas como CVE-2020-12271, CVE-2020-15069, CVE-2020-29574, CVE-2022-1040 y CVE-2022-3236.
  • Supervise el malware conocido: implemente soluciones de seguridad avanzadas capaces de detectar malware como Asnarök, Gh0st RAT y Pygmy Goat. Analice periódicamente su red en busca de señales de estas amenazas.
  • Mejorar la seguridad de la red: implementar sistemas de detección y prevención de intrusiones para monitorear actividad de red inusual, incluido tráfico ICMP inesperado que podría indicar comunicaciones de puerta trasera.

Noticias principales

  • El troyano bancario para Android ToxicPanda ataca a Europa: Se ha observado que un nuevo troyano bancario para Android llamado ToxicPanda ataca a más de una docena de bancos en Europa y América Latina. Se llama así por sus raíces chinas y sus similitudes con otro malware centrado en Android llamado TgToxic. ToxicPanda viene con capacidades de troyano de acceso remoto (RAT), lo que permite a los atacantes realizar ataques de apropiación de cuentas y realizar fraudes en el dispositivo (ODF). Además de obtener acceso a permisos confidenciales, puede interceptar contraseñas de un solo uso recibidas por el dispositivo a través de SMS o las generadas por aplicaciones de autenticación, lo que permite a los cibercriminales eludir la autenticación multifactor. Es probable que los actores de amenazas detrás de ToxicPanda hablen chino.
  • El ataque VEILDrive explota los servicios de Microsoft: se ha observado que una campaña de amenazas en curso denominada VEILDrive se aprovecha de los servicios legítimos de Microsoft, incluidos Teams, SharePoint, Quick Assist y OneDrive, como parte de su modus operandi. Al hacerlo, permite a los actores de la amenaza evadir la detección. Hasta ahora, se ha detectado que el ataque tenía como objetivo una entidad de infraestructura crítica sin identificar en los EE. UU. Actualmente, no se sabe quién está detrás de la campaña.
  • Empresas de criptomonedas en la mira de una nueva puerta trasera para macOS: el actor de amenazas norcoreano conocido como BlueNoroff ha atacado a empresas relacionadas con criptomonedas con un malware de varias etapas capaz de infectar dispositivos macOS de Apple. A diferencia de otras campañas recientes vinculadas a Corea del Norte, la última iniciativa utiliza correos electrónicos que propagan noticias falsas sobre las tendencias de las criptomonedas para infectar a los objetivos con una puerta trasera que puede ejecutar comandos emitidos por el atacante. El desarrollo se produce cuando el grupo APT37 respaldado por el estado norcoreano ha sido vinculado a una nueva campaña de phishing que distribuye el malware RokRAT .
  • Hosts de Windows atacados por la instancia Linux de QEMU: una nueva campaña de malware con el nombre en código CRON#TRAP está infectando sistemas Windows con una instancia virtual Linux que contiene una puerta trasera capaz de establecer acceso remoto a los hosts comprometidos. Esto permite que los actores de amenazas no identificados mantengan una presencia sigilosa en la máquina de la víctima.
  • El malware AndroxGh0st se integra con la botnet Mozi: los actores de amenazas detrás del malware AndroxGh0st ahora están explotando un conjunto más amplio de fallas de seguridad que afectan a varias aplicaciones que tienen conexión a Internet, además de implementar el malware de la botnet Mozi. Si bien Mozi sufrió una pronunciada disminución en su actividad el año pasado, la nueva integración ha planteado la posibilidad de una posible alianza operativa, lo que le permitiría propagarse a más dispositivos que nunca.

Los CVE de tendencia reciente incluyen: CVE-2024-39719, CVE-2024-39720, CVE-2024-39721, CVE-2024-39722 , CVE-2024-43093 , CVE-2024-10443, CVE-2024-50387, CVE-2024-50388, CVE-2024-50389 , CVE-2024-20418 , CVE-2024-5910 , CVE-2024-42509, CVE-2024-47460 , CVE-2024-33661, CVE-2024-33662 . Cada una de estas vulnerabilidades representa un riesgo de seguridad significativo, lo que resalta la importancia de las actualizaciones y el monitoreo regulares para proteger los datos y los sistemas.

La vuelta al mundo cibernético

  • Los fallos sin parchear permiten el hackeo de los coches Mazda: Varias vulnerabilidades de seguridad identificadas en la unidad de infoentretenimiento Mazda Connect Connectivity Master Unit (CMU) (desde CVE-2024-8355 hasta CVE-2024-8360), que se utiliza en varios modelos entre 2014 y 2021, podrían permitir la ejecución de código arbitrario con permisos elevados. Aún más preocupante, podrían ser objeto de abuso para obtener un compromiso persistente mediante la instalación de una versión de firmware maliciosa y obtener acceso directo a las redes de área del controlador conectadas (CAN buses) del vehículo. Los fallos siguen sin parchear, probablemente porque todos requieren que un atacante inserte físicamente un USB malicioso en la consola central. «Un atacante físicamente presente podría explotar estas vulnerabilidades conectando un dispositivo USB especialmente diseñado, como un iPod o un dispositivo de almacenamiento masivo, al sistema de destino», dijo el investigador de seguridad Dmitry Janushkevich . «La explotación exitosa de algunas de estas vulnerabilidades da como resultado la ejecución de código arbitrario con privilegios de root».
  • Alemania redacta una ley para proteger a los investigadores que denuncien fallos de seguridad: El Ministerio Federal de Justicia de Alemania ha redactado una ley para brindar protección legal a los investigadores que descubran y denuncien de manera responsable vulnerabilidades de seguridad a los proveedores. «Quienes quieran cerrar brechas de seguridad informática merecen un reconocimiento, no una carta del fiscal», dijo el ministerio. «Con este proyecto de ley, eliminaremos el riesgo de responsabilidad penal para las personas que asuman esta importante tarea». El proyecto de ley también propone una pena de tres meses a cinco años de prisión para los casos graves de espionaje malicioso de datos e interceptación de datos que incluyan actos motivados por el lucro, aquellos que resulten en daños financieros sustanciales o comprometan la infraestructura crítica.
  • Se han descubierto más de 30 vulnerabilidades en IBM Security Verify Access: Se han descubierto casi tres docenas de vulnerabilidades en IBM Security Verify Access (ISVA) que, si se explotan con éxito, podrían permitir a los atacantes escalar privilegios, acceder a información confidencial y comprometer toda la infraestructura de autenticación. Las vulnerabilidades se descubrieron en octubre de 2022 y el investigador de seguridad Pierre Barre las comunicó a IBM a principios de 2023. La mayoría de los problemas se solucionaron finalmente a finales de junio de 2024.
  • El actor de skimmer silencioso regresa: las organizaciones que alojan o crean infraestructura de pago y pasarelas están siendo atacadas como parte de una nueva campaña montada por los mismos actores de amenazas detrás de la campaña de skimming de tarjetas de crédito Silent Skimmer . Apodada CL-CRI-0941, la actividad se caracteriza por el compromiso de servidores web para obtener acceso a entornos de víctimas y recopilar información de pago. «El actor de amenazas obtuvo un punto de apoyo inicial en los servidores explotando un par de vulnerabilidades de interfaz de usuario (UI) de Telerik de un día», dijo Palo Alto Networks Unit 42. Las fallas incluyen CVE-2017-11317 y CVE-2019-18935 . Algunas de las otras herramientas utilizadas en los ataques son shells inversos para acceso remoto, utilidades de tunelización y proxy como Fuso y FRP, GodPotato para escalada de privilegios y RingQ para recuperar y ejecutar el script de Python responsable de recolectar la información de pago en un archivo .CSV.
  • Seúl acusa a hacktivistas pro-Kremlin de atacar a Corea del Sur: Mientras Corea del Norte se une a Rusia en la actual guerra ruso-ucraniana, los ataques DDoS contra Corea del Sur han aumentado, según informó la Oficina del Presidente. «Sus ataques son principalmente ataques dirigidos a particulares y ataques distribuidos de denegación de servicio (DDoS) dirigidos a páginas de inicio de agencias gubernamentales», según un comunicado . «El acceso a los sitios web de algunas organizaciones se ha retrasado o desconectado temporalmente, pero aparte de eso, no ha habido daños significativos».
  • Canadá prevé ataques patrocinados por el Estado indio en medio de disputas diplomáticas: Canadá ha identificado a India como una amenaza cibernética emergente a raíz de las crecientes tensiones geopolíticas entre los dos países por el asesinato de un separatista sij en suelo canadiense. «Es muy probable que India utilice su programa cibernético para promover sus imperativos de seguridad nacional, incluido el espionaje, el contraterrorismo y los esfuerzos del país por promover su estatus global y contrarrestar las narrativas contra India y el gobierno indio», dijo el Centro Canadiense para la Seguridad Cibernética . «Evaluamos que el programa cibernético de India probablemente aproveche a los proveedores cibernéticos comerciales para mejorar sus operaciones».
  • La nueva función de iOS de Apple reinicia los iPhones después de 4 días de inactividad: Apple ha presentado una nueva función de seguridad en iOS 18.1 que reinicia automáticamente los iPhones que no se han desbloqueado durante un período de cuatro días, según 404 Media . El código recién agregado , llamado «reinicio por inactividad», activa el reinicio para revertir el teléfono a un estado más seguro llamado «Antes del primer desbloqueo» (también conocido como BFU ) que obliga a los usuarios a ingresar el código de acceso o PIN para acceder al dispositivo. La nueva función aparentemente ha frustrado los esfuerzos de las fuerzas del orden por ingresar a los dispositivos como parte de investigaciones criminales. Apple aún no ha comentado formalmente sobre la función.

Consejo de la semana

Refuerza la seguridad con una lista blanca de aplicaciones más inteligente : bloquea tu sistema Windows como un profesional usando herramientas integradas como tu primera línea de defensa. Comienza con Microsoft Defender Application Control y AppLocker para controlar qué aplicaciones se pueden ejecutar; piensa en ello como un portero que solo permite el ingreso de aplicaciones confiables a tu club. Vigila lo que sucede con Sysinternals Process Explorer (es como una cámara de seguridad para tus programas en ejecución) y usa el Centro de seguridad de Windows para proteger tus navegadores y carpetas. Para versiones anteriores de Windows, las Políticas de restricción de software ( SRP ) harán el trabajo. Recuerda configurar alertas para saber cuándo sucede algo sospechoso.

No confíes en ninguna aplicación hasta que demuestre su valía: comprueba las firmas digitales (como la tarjeta de identificación de una aplicación) y usa PowerShell de forma segura solicitando solo scripts firmados. Mantén las aplicaciones riesgosas en un entorno aislado (como Windows Sandbox o VMware): es como una zona de cuarentena donde las aplicaciones no pueden dañar tu sistema principal. Vigila tu red con Windows Firewall y GlassWire para detectar cualquier aplicación que realice conexiones sospechosas. Cuando llegue el momento de realizar actualizaciones, pruébalas primero en un espacio seguro utilizando las herramientas de administración de Windows Update. Mantén registros de todo utilizando Windows Event Forwarding y Sysmon , y revísalos periódicamente para detectar cualquier problema. La clave es superponer estas herramientas: si una falla, las demás detectarán la amenaza.

Conclusión

A medida que nos enfrentamos a esta nueva ola de amenazas cibernéticas, resulta evidente que la línea entre la seguridad y el riesgo es cada vez más difícil de ver. En nuestro mundo conectado, todos los sistemas, dispositivos y herramientas pueden protegernos o usarse en nuestra contra. Mantenerse seguro ahora significa más que solo mejores defensas; significa estar al tanto de nuevas tácticas que cambian todos los días. Desde la banca hasta los sistemas que mantienen en funcionamiento nuestras ciudades, ningún área es inmune a estos riesgos.

De cara al futuro, la mejor manera de protegernos es estar alerta, seguir aprendiendo y estar siempre preparados para la próxima amenaza.

Fuente y redacción: thehackernews.com

Compartir