Descubriendo ataques de ladrones atómicos (AMOS) y el aumento de la restauración de cookies muertas
Cyble Research and Intelligence Labs (CRIL) ha descubierto recientemente una serie de sitios web de phishing disfrazados de aplicaciones populares de Mac, que distribuyen Atomic Stealer (AMOS), un potente malware InfoStealer. A pesar de ser identificados, estos sitios engañosos permanecen activos y representan una amenaza importante para los usuarios desprevenidos. AMOS se destaca por su rápida evolución y actualizaciones frecuentes, lo que muestra la dedicación de los desarrolladores para mejorar sus capacidades maliciosas. Entre sus últimos avances se encuentra la capacidad de rejuvenecer las cookies caducadas de Google Chrome, lo que marca un desarrollo preocupante en el ámbito de InfoStealer.
Esta innovación en la funcionalidad de AMOS coincide con el descubrimiento de un código gratuito en un foro sobre delitos cibernéticos capaz de revivir cookies “muertas”, una técnica que se rumoreaba que se vendía por 500 dólares en octubre de 2023. Esta revelación ha catalizado una nueva tendencia entre los InfoStealers a adoptar esta función de reactivación de cookies. Por ejemplo, Xehook Stealer, lanzado el 20 de enero de 2024, incorporó rápidamente esta función en cuestión de días, destacando una rápida adaptación entre los actores de amenazas (TA). Además, los centros de comando y control (C&C) utilizados por las cargas útiles de AMOS se discutieron en un informe de principios de enero, lo que sugiere una red más amplia de campañas conectadas o TA que explotan esta técnica.
Lea el análisis detallado de Cyble sobre esto aquí.
Explotación activa de la vulnerabilidad RCE de Atlassian Confluence (CVE-2023-22527)
El 26 de enero de 2024, la red Global Sensor Intelligence (CGSI) de Cyble detectó intentos de escaneo dirigidos a una vulnerabilidad crítica en Atlassian Confluence, identificada como CVE-2023-22527. Esta vulnerabilidad, divulgada por Atlassian el 16 de enero de 2024, afecta a versiones obsoletas de Confluence Data Center y Server. Se trata de una inyección de lenguaje de navegación de gráficos de objetos (OGNL), calificada con una puntuación CVSS máxima de 10, lo que indica su grave impacto. Las vulnerabilidades de inyección de OGNL surgen cuando aplicaciones como Atlassian Confluence no validan y desinfectan adecuadamente la entrada del usuario antes de su incorporación a las expresiones OGNL, lo que permite a los actores de amenazas (TA) ejecutar código remoto en los sistemas afectados.
La red CGSI observó estos intentos de explotación en varios países, destacando el interés global de los atacantes en explotar esta vulnerabilidad. Además, los escáneres de Cyble ODIN han identificado más de 4.000 casos de Confluence expuestos a Internet en los últimos tres meses, con una concentración significativa en Estados Unidos, Alemania, China y Rusia. Esta vulnerabilidad, resultante de una falla de inyección de plantilla en versiones específicas de Confluence, permite a atacantes no autenticados lograr la ejecución remota de código. La investigación de ProjectDiscovery subraya aún más los matices técnicos de explotar esta vulnerabilidad, incluidos los métodos para superar el límite de 200 caracteres en las expresiones OGNL. Esta situación subraya la necesidad crítica de que las organizaciones aborden y protejan rápidamente sus sistemas contra tales vulnerabilidades para protegerlos contra el acceso no autorizado y posibles compromisos.
Lea los hallazgos detallados de CRIL aquí.
GhostSec continúa ampliando su apoyo a los hacktivistas y actores de amenazas cibernéticas
Cyble Research and Intelligence Labs (CRIL) ha dado la alarma sobre las crecientes actividades del grupo hacktivista GhostSec, en particular su reciente iniciativa destinada a mejorar el anonimato de los actores de amenazas y hacktivistas. El nuevo proyecto de GhostSec, denominado Low-Cost-Database, busca recaudar fondos para ayudar a activistas y hacktivistas a ocultar sus identidades, especialmente aquellos que operan bajo identidades falsas o buscan asilo por sus acciones, que justifican como una lucha por causas nobles. Esta iniciativa es importante porque el grupo afirma obtener bases de datos de colaboradores, en lugar de depender de las filtradas públicamente e incluso ha creado un identificador de Telegram para la coordinación.
El proyecto ha ganado fuerza rápidamente: el canal Telegram ha acumulado 2676 suscriptores y ofrece 28 conjuntos de datos a la venta, lo que ha impactado a organizaciones en varios países. Esta medida es parte de una tendencia más amplia de participación de GhostSec en el apoyo al hacktivismo y el anonimato en línea. Los proyectos anteriores incluyen NewBlood, destinado a educar a los recién llegados en habilidades de piratería informática, y WeFreeInternet, que proporcionó servicios VPN gratuitos a activistas iraníes, con planes de expandirse a otros países que enfrentan restricciones de Internet por parte de sus gobiernos.
El anonimato proporcionado por grupos como GhostSec plantea desafíos importantes para las agencias policiales y los profesionales de la ciberseguridad a la hora de atribuir y rastrear actividades de amenazas contemporáneas. Como los actores de amenazas pueden cambiar de identidad en cualquier momento, esto complica las evaluaciones de amenazas y deja a las organizaciones vulnerables a los ataques. El apoyo para ocultar identidades, como lo ofrecen los grupos hacktivistas bien financiados, exacerba estos desafíos, permitiendo potencialmente actividades maliciosas por parte de grupos patrocinados por el Estado y otros. Abordar el anonimato de los actores de amenazas requiere un esfuerzo internacional concertado tanto de las fuerzas del orden como de la comunidad de ciberseguridad para mitigar los riesgos de manera efectiva.
Lea el desglose detallado de Cyble de este actor de amenazas aquí.
Greenbean: el último troyano bancario para Android que aprovecha el servidor en tiempo real (SRS) simple para la comunicación C&C
Cyble ha presentado recientemente su análisis de “GreenBean”, un nuevo troyano bancario para Android que representa una amenaza importante para los usuarios de criptomonedas, pagos y aplicaciones bancarias. Este malware, difundido a través de un sitio de phishing que promueve un esquema de criptomonedas, se dirige específicamente a cinco aplicaciones, y sus actividades se centran principalmente en usuarios de Android en China y Vietnam. Esta especificidad regional se deduce de las convenciones de nomenclatura de la aplicación y de la presencia de caracteres chinos y vietnamitas dentro del código de destino.
GreenBean explota el servicio de Accesibilidad en dispositivos Android para recopilar credenciales de las aplicaciones específicas. Una característica distintiva de este malware es el uso de capacidades de transmisión de video facilitadas a través de la tecnología WebRTC. Esto permite a los atacantes no sólo recopilar datos sino también potencialmente observar y grabar la pantalla del dispositivo infectado, añadiendo una capa de sofisticación a sus capacidades de espionaje. Además, el malware emplea un proyecto de código abierto, Simple Realtime Server (SRS), para sus comunicaciones de comando y control (C&C). Esta elección de infraestructura C&C se destaca por su soporte de transmisión WebRTC, lo que indica la preferencia de los desarrolladores de malware por aprovechar tecnologías robustas y versátiles para administrar sus operaciones.
En el momento en que Cyble publicó sus hallazgos, el sitio de phishing utilizado para difundir GreenBean todavía estaba operativo, lo que indica que el malware sigue siendo una amenaza real. La actividad continua de este sitio de phishing subraya la importancia de la vigilancia constante y la necesidad de que los usuarios sean cautelosos con los esquemas de phishing, especialmente aquellos que promueven oportunidades de criptomonedas demasiado buenas para ser verdad. Este análisis de Cyble arroja luz sobre el panorama cambiante de los troyanos bancarios de Android y la creciente complejidad de las amenazas que enfrentan los usuarios en el espacio de las finanzas digitales.
Lea el análisis detallado de CRIL sobre esto aquí.
El proveedor de telecomunicaciones de Malasia, Aminia, afectado por un ciberataque proisraelí, su sitio web es inaccesible
El proveedor de telecomunicaciones de Malasia Aminia fue atacado recientemente por el grupo hacktivista proisraelí R00TK1T ISC Cyber Team, lo que marcó su primer ataque contra la empresa en medio de amenazas a la infraestructura de Internet de Malasia. El ataque resultó en la destrucción interna de los portales de facturación y de servicios WiFi administrados de Aminia, lo que podría indicar una violación de datos. Tras el ciberataque, el sitio web de Aminia se volvió inaccesible y mostraba un error de “Índice de /”, típico de las consecuencias de un ciberataque en el que se modifica la configuración del servidor o se eliminan archivos.
Las acciones de R00TK1T ISC Cyber Team incluyeron dejar un mensaje de advertencia en el portal comprometido y compartir capturas de pantalla que exponen información confidencial de los sistemas de Aminia. El grupo acusó a Malasia de apoyar amenazas cibernéticas relacionadas con el conflicto de Medio Oriente y amenazó con mayores exposiciones. Este ataque es parte de una amenaza más amplia dirigida a organizaciones de Malasia, como lo indican las amenazas explícitas del grupo realizadas el 26 de enero. Los hacktivistas también explotaron vulnerabilidades en el panel Controlled Access Point System Manager (CAPsMAN) fabricado por MicroTik, revelando una falla de seguridad crítica. (CVE-2023-41570). El incidente plantea importantes preocupaciones sobre la ciberseguridad de las redes de telecomunicaciones de Malasia y subraya la necesidad de mejorar los protocolos de seguridad y la vigilancia.
Lea la cobertura detallada de The Cyber Express aquí.
