Trojan Source: vulnerabilidad en compiladores de código fuente
El investigador de seguridad Investigadores de la Universidad de Cambridge han publicado un paper en el que detallan un nuevo método de ataque denominado “Trojan Source” que permite explotar un fallo presente en la mayoría de los compiladores de código fuente y entornos de desarrollo de software existentes. El método aprovecha las características de los estándares de codificación de texto como Unicode, realizando modificaciones que generan vulnerabilidades en el código fuente que pasarían desapercibidas para un humano y podrían ser implementadas en los principales leguajes de programación como C, C++, C#, JavaScript, Java, Rust, Go y Python.
Como resultado, un ataque de este tipo generaría un compromiso de la cadena de suministro de software. Además, la investigación advierte que las vulnerabilidades introducidas en el código fuente persisten en las funciones de copiar y pegar de la mayoría de los navegadores, editores y sistemas operativos modernos, lo que significa que cualquier desarrollador que copie código de una fuente no confiable en una base de código protegida podría introducir inadvertidamente vulnerabilidades “invisibles” en un sistema. Los investigadores ya han compartido estos hallazgos con 19 organizaciones involucradas, muchas de las cuales ya se encuentran desarrollando actualizaciones para abordar el problema en compiladores de código, intérpretes, editores de código y repositorios (p.ej: Rust lo ha catalogado con el identificador CVE-2021-42574). Asimismo, existen diferentes pruebas de concepto que simulan ataques en los lenguajes de programación descritos.
Descubre más: https://trojansource.codes/trojan-source.pdf
BlackMatter anuncia la clausura de operaciones ante la presión de las autoridades
Los actores amenaza relacionados con el ransomware BlackMatter han anunciado el cierre de operaciones debido a la presión de las autoridades locales. Investigadores de la plataforma VX-Underground han difundido una captura de pantalla del comunicado, publicado en el sitio web privado de RaaS (Ransomware-as-a- service) donde los operadores se comunican y ofrecen sus servicios a los afiliados.
La traducción del mensaje, originalmente escrito en ruso, afirma que la infraestructura de BlackMatter será clausurada en las próximas 48 horas, aunque abren la posibilidad de seguir facilitando a los afiliados los descifradores necesarios para continuar con sus operaciones de extorsión. Algunos medios apuntan que la motivación del grupo responde a la reciente publicación de unos informes de Microsoft y Gemini Advisory que relacionaban al grupo FIN7 (considerados los creadores de BlackMatter) con una empresa pública Bastion Secure, así como el aumento de arrestos de individuos pertenecientes a otros grupos de ransomware.
Toda la info: https://twitter.com/vxunderground/status/1455750066560544769
Reaparece el troyano bancario Mekotio con una campaña mejorada
Investigadores de Checkpoint han detectado una nueva campaña del troyano bancario Mekotio con más de cien ataques en las últimas semanas mediante correos electrónicos de phishing que contienen enlaces maliciosos o archivos zip adjuntos. Según los investigadores, esta nueva ola de ataques comenzó tras la operación llevada a cabo por la Guardia Civil española el pasado mes de julio que se saldó con el arresto de 16 personas involucradas en la distribución de este malware. No obstante, los indicios actuales señalan a Brasil como centro de mando de los operadores de Mekotio aunque manteniendo cierta colaboración desde España.
El objetivo principal de Mekotio es el robo de credenciales bancarias de usuarios hispanohablantes y su actual versión trae consigo novedades llamativas en su flujo de ataque ya que sus desarrolladores han logrado una mayor ocultación y sigilo a la hora de implementar sus técnicas. Aparte de contar con más capas de ofuscación, el zip adjunto en los correos de phishing contiene un script con capacidades de ubicación y análisis que permiten discriminar a las víctimas en función de su nacionalidad o incluso detectar si el malware se está ejecutando desde una máquina virtual, lo que permite al actor amenaza evadir la detección y, por tanto, desplegar con éxito el malware.
Campaña del actor amenaza Tortilla distribuyendo el ransomware Babuk
Investigadores de seguridad de Cisco Talos han identificado una campaña en activo que tiene por objetivo el despliegue del ransomware Babuk a través de la explotación de servidores Microsoft Exchange vulnerables a ProxyShell y PetitPotam. Esta campaña estaría dirigida por el actor amenaza conocido como Tortilla, un grupo que lleva en activo desde julio de 2021 y cuyo objetivo principal son organizaciones localizadas en Estados Unidos, así como Reino Unido, Alemania, Ucrania, Finlandia, Brasil, Honduras y Tailandia, en menor medida.
El proceso de infección comienza habitualmente con un downloader en formato DLL o EXE, el cual ejecutará un comando ofuscado de PowerShell y descargará el payload final del ransomware Babuk insertándolo en un nuevo proceso creado ad-hoc (AddInProcess32). Adicionalmente, los investigadores también han observado la presencia de la webshell China Chopper en múltiples sistemas infectados; así como el intento de explotación de otras vulnerabilidades en Atlassian, Apache Struts, Oracle WebLogic, o WordPress.
Más detalles: https://blog.talosintelligence.com/2021/11/babuk-exploits-exchange.html
The post Boletín semanal de ciberseguridad 30 octubre-5 noviembre appeared first on Think Big.