ccastrol 
Ransomware Quantum y Blackcat Utilizan emotet como vector de entrada
El equipo de investigadores de AdvIntel ha publicado los resultados de una investigación en la que informan que los operadores de ransomware Quantum y BlackCat han adoptado entre sus TTPs el uso de Emotet como dropper en sus operaciones. En concreto, Emotet surgi+o en el 2014 clasificado como un troyano bancario, sin embargo, su evolución termino por convertirlo en una botnet que los operadores del ransomware Conti utilizaron en sus operaciones hasta junio del 2022, momento en que fue disuelto. Actualmente, la metodología adoptada por Quantum y BlackCat para utilizar Emotet, es instalando una baliza Cobalt Strike que despliega un payload que les permite tomar control de las redes y ejecutar operaciones de ransomware. Según los expertos, Emotet ha incrementado su actividad desde inicios de año distribuyéndose mediante archivos .ink, y se estima que hay mas de 1.2 millones de equipos infectados. Este incrmeneto también ha sido corroborado por otros equipos de investigadores como ESET o AGARI.
Vulnerabilidades críticas en entornos de sistemas de control industrial
La agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha emitido un total de ocho avisos de seguridad alertando sobre vulnerabilidades en sistemas de control industrial (ICS pos sus siglas en ingles), entre los que destaca los faloos críticos que afectan a productos Dataprobe iBoot-PDU. Cabe indicar que las unidades de distribución de energía (PDU), son utilizadas para administrar de forma remota la alimentación de energía de sistemas comúnmente utilizados en infraestructura crítica. Los investigadores descubrieron un total de 7
vulnerabilidades en el producto de la compañía Dataprobe, entre las que destacan la CVE-2022-3183 y CVE-2022-3184 que disponen de un CVSS de 9.8.
En concreto, estos fallos de seguridad podrían permitir a actores maliciosos el acceso a usuarios no autenticados y ejecutar código de forma remota en los sistemas afectados.
David Weiss, CEO de Dataprobe, ha indicado que los problemas de seguridad han sido parcheados en la versión 1.42.06162022 y que otros son solucionados mediante la configuración adecuada como deshabilitar SNMP, telnet y HTTP.
https://claroty.com/team82/research/jumping-nat-to-shut-down-electric-devices
Vulnerabilidad antigua en Python afecta a miles de repositorios
Investigadores de Trellix han hecho públicos los detalles de explotación de una vulnerabilidad en el lenguaje de programación Python que se ha pasado por alto durante 15 años.
El error podría afectar a más de 350.000 repositorios de código abierto y podría conducir a la ejecución de código.
El reporte explica que redescubrieron la vulnerabilidad mientras se revisaban otros errores no relacionados, concluyendo que se trataba del CVE-2007-4559, ya documentado en un informe inicial en agosto del 2007, y que ha permanecido sin parchear hasta hoy en día. Únicamente, durante este año 2022, desde el seguimiento de errores de este lenguaje (Python Bug Tracker), se aportó una actualización de la documentación que sólo advertía a los desarrolladores sobre el riesgo.
Por su parte Trellix señala que el error persiste aportando videos explicativos sobre su explotación. La vulnerabilidad se ubica en las funciones extract y extractall del módulo tarfile, que permitiría a un atacante sobrescribir archivos arbitrarios agregando la secuencia «..» a los nombres de archivo en un fichero TAR.
Adicionalmente Trellix ha anunciado parches para algo más de 11.000 proyectos, si bien, por el momento, la Python Software Foundation no se ha pronunciado sobre la vulnerabilidad, por lo que se recomienda extremar las precauciones al tratarse de un error que representa un claro riesgo para la cadena de suministro de software.
https://www.trellix.com/en-us/about/newsroom/stories/research/tarfile-exploiting-the-world.html
Malware Chromeloader aumenta su actividad y potencia sus capacidades
Investigadores de Microsoft y VMware han reportado una campaña maliciosa por parte del malware Chromeloader, extensión maliciosa para el navegador Chrome, destinada a infectar los dispositivos de sus víctimas con múltiples programas dañinos.
Durante el primer trimestre de 2022, Chromeloader destacó en forma de adware para convertirse posteriormente en un stealer especializado en sustraer datos almacenados en los navegadores de los usuarios objetivo.
Sin embargo, según Microsoft, actualmente existe una campaña en curso atribuida al actor amenaza rastreado como DEV-0796, el cual hace uso de este software malicioso para lanzar payloads mucho más potentes y dirigidos. En concreto se ha detectado la implementación de Chromeloader en archivos ISO que se distribuyen a través de anuncios maliciosos y comentarios de videos de YouTube.
Asimismo, tal y como también detalla VMware en su reporte, existen al menos 10 variantes de este malware camuflado bajo utilidades destinadas a la gestión de subtítulos para películas, reproductores de música y, más preocupante, una variante de Chromeloader que implementa el ransomware Enigma en un archivo HTML.
https://blogs.vmware.com/security/2022/09/the-evolution-of-the-chromeloader-malware.html
LAS VULNERABILIDADES CRÍTICAS DEL BIOS AFECTAN A LOS MODELOS LENOVO
Lenovo lanzó recientemente un nuevo aviso de seguridad que contiene 4 nuevas vulnerabilidades relacionadas con el BIOS. Los atacantes pueden explotar estas vulnerabilidades para permitir la escalada de privilegios, la denegación de servicio o la divulgación de información.
Rastreado como CVE-2022-40137 y que afecta a los modelos Lenovo Desktop, Desktop AIO, Smart Edge, Smart Office, ThinkStation y ThinkSystem, el primero de las vulnerabilidades afecta la función WMI SMI Handler y podría ser abusado por un atacante con acceso local y elevado. privilegios para ejecutar código arbitrario.
Registrados como CVE-2022-40134, CVE-2022-40135 y CVE-2022-40136, las tres vulnerabilidades se relacionan con otra fuga de información que Lenovo describió como conducentes a una escalada de privilegios para leer la memoria SMM en los sistemas afectados.
Las vulnerabilidades existen en SMI Set BIOS Password SMI Handler, Smart USB Protection SMI Handler y SMI Handler utilizados paraconfigurar los ajustes de la plataforma a través de WMI en algunos modelos de Lenovo.
Lenovo solucionó cuatro vulnerabilidades esta vez, CVE-2022-40137 tiene la mayor gravedad.
Las amenazas UEFI (BIOS) pueden ser extremadamente sigilosas y peligrosas. Se ejecutan temprano en el proceso de arranque, antes de transferir el control al sistema operativo, lo que significa que pueden eludir casi todas las medidas de seguridad y mitigaciones más altas en la pila que podrían evitar que se ejecuten las cargas útiles de su sistema operativo.
MODELOS LENOVO DESKTOP, DESKTOP AIO, SMART EDGE, SMART OFFICE, THINKSTATION Y THINKSYSTEM
Microsoft advierte sobre una campaña de fraude de clics a gran escala dirigida a los jugadores
Recientemente Microsoft dijo que está rastreando una campaña de fraude de clics a gran escala en curso dirigida a los jugadores por medio de extensiones de navegador implementadas sigilosamente en sistemas comprometidos.
«Los atacantes monetizan los clics generados por un webkit de nodo de navegador o una extensión de navegador maliciosa instalada en secreto en los dispositivos», dijo Microsoft Security Intelligence en una secuencia de tuits durante el fin de semana. La división de ciberseguridad del gigante tecnológico está rastreando el grupo de amenazas en desarrollo bajo el nombre DEV-0796.
Las cadenas de archivos adjuntos montadas por el adversario comienzan con un archivo ISO que se descarga en la máquina de la víctima al hacer clic en un anuncio o comentario malicioso en YouTube. El archivo ISO, cuando se abre, está diseñado para instalar un nodo-webkit de navegador (también conocido como NW.js ) o una extensión de navegador no autorizada
Vale la pena señalar que el archivo ISO se hace pasar por hacks y trucos para el juego de disparos en primera persona Krunker. Los trucos son programas que ayudan a los jugadores a obtener una ventaja adicional más allá de las capacidades disponibles durante el juego.
En los ataques también se utilizan archivos DMG, que son archivos de imagen de disco de Apple que se utilizan principalmente para distribuir software en macOS, lo que indica que los atacantes tienen como objetivo varios sistemas operativos.
Los hallazgos llegan cuando Kaspersky reveló detalles de otra campaña que atrae a los jugadores que buscan trucos en YouTube para que descarguen malware auto propagante capaz de instalar criptomineros y otros ladrones de información.
«El malware y el software no deseado distribuido como programas de trampa se destacan como una amenaza particular para la seguridad de los jugadores, especialmente para aquellos que están interesados en series de juegos populares»,dijo la firma rusa de ciberseguridad en un informe reciente.
Los juegos mencionados en los videos son APB Reloaded, CrossFire, DayZ, Farming Simulator, Farthest Frontier, FIFA 22, Final Fantasy XIV, Forza, Lego Star Wars, Sniper Elite y Spider-Man, entre otros.
Específicamente, esto se logra mediante un ladrón de contraseñas de código abierto basado en C# que es capaz de extraer cookies de los navegadores, que luego utilizan los operadores para obtener acceso no autorizado a la cuenta de YouTube de la víctima y cargar un video con un enlace a la archivo malicioso.
Email de Phishing es utilizado para esparcir el RAT Konni
Los equipos de investigación de FortiGuard han descubierto un email de phishing que demostró ser mucho más grave de lo que inicialmente supusieron. Este correo escrito en ruso intenta engañar a las víctimas para que ellos mismos desplieguen malware en sus sistema. Para lograr este objetivo, los cibercriminales utilizan la Herramienta de Acceso Remoto, o RAT según sus siglas en ingles. El
grupo detrás de esta operación está asociado al conocido APT 37, el cual ha sido identificado como ferviente partidario del gobierno de Corea del Norte.
El correo de Phishing
El correo en cuestión es bastante sencillo y directo debido a que tiene la finalidad de aparentar ser oficial. Para lograr esto, suplanta la identidad de una dirección de correo electrónico perteneciente al Consulado General Ruso en la ciudad de Shenyang, China. El destinatario de este correo falsificado es otra dirección de correo del gobierno ruso.
Interesantemente, el asunto del correo se traduce como “Re: Embajada Rusa en Japón”. Esta técnica ha sido observada con anterioridad y su objetivo es el de incrementar la credibilidad del correo.
El cuerpo del correo solicita a la víctima que revise el detalle adjunto y ejecute una petición para la transferencia de fondos entre el remitente y el receptor. El archivo adjunto en cuestión es un comprimido llamado “Donbass.zip”. Es curioso porque, a pesar de que el correo está redactado en ruso, el archivo está escrito con caracteres del alfabeto inglés y hace referencia a una zona Ucraniana.
Los ficheros sospechosos son: Donbass.zip: que contiene: _Pyongyang in talks with Moscow on access to Donbass.pptx y Donbass.ppam
Este tipo de ataques afecta a los sistemas que utilizan Windows como sistema operativo y tiene el potencial de desplegar diferentes tipos de payloads a través del uso del RAT Konni.
Asimismo, debido a la naturaleza de este ataque se puede pensar que esta modalidad podría replicarse e intentar infectar dispositivos pertenecientes a organismos gubernamentales de otros países o incluso entidades privadas que tengan contratos de servicios con dichas entidades gubernamentales.
Malware Criptográfico y NFT-001
Un token no fungible (NFT) es un registro en una cadena de bloques asociado con un activo digital o físico, generalmente un archivo digital como una foto, un video o un audio. La propiedad de un NFT se registra en la cadena de bloques y se puede vender y comercializar. Los NFT se diferencian de las criptomonedas , que en su mayoría son fungibles , en que los NFT son únicos e insustituibles. El mercado de NFT está en auge, con un volumen de negociación que se disparó en más del 20 000 %
entre 2020 y 2021. Los ciberdelincuentes se han apresurado a explotar esta tendencia, que el equipo de Morphisec Threat Labs examinó previamente en un libro blanco . El equipo de Threat Labs ahora tiene una nueva investigación sobre el malware criptográfico y NFT NFT-001, que apareció por primera vez en noviembre de 2020.
La secuencia de ataque NFT-001 generalmente incluye los siguientes pasos:
- Los atacantes se dirigen a usuarios en comunidades criptográficas y NFT en Discord y otros foros
- La víctima recibe un mensaje de phishing privado relacionado con una NFT u oportunidad financiera. El mensaje incluye un enlace a un sitio web falso y una aplicación maliciosa que promete una experiencia de usuario mejorada.
- El malware descargado descomprime un troyano de acceso remoto (RAT) que se utiliza para robar datos de navegación, instalar un registrador de teclas y otras funcionalidades de vigilancia.
- Luego, el atacante usa los datos para el robo de identidad y para robar la billetera de la víctima y otras posesiones.
DETALLES TÉCNICOS DEL NUEVO NFT-001
Morphisec Labs ha rastreado varias oleadas de malware NFT que entregan Remcos RAT desde que apareció por primera vez. En junio de 2022, encontramos un cambio en el cifrado utilizado para entregar Remcos RAT . El cifrado de Babadeda ahora se ha descartado para un nuevo descargador por etapas.
La entrega de malware no ha cambiado mucho. Envía al usuario un mensaje privado instándolo a descargar una aplicación relacionada que supuestamente otorga al usuario acceso a las funciones más nuevas. Si el usuario hace clic en el hipervínculo del mensaje, lo dirige a un sitio web señuelo que imita al original. Allí, se solicita al usuario que descargue el «instalador» malicioso que infecta la máquina de la víctima con Remcos RAT.
EL NUEVO DESCARGADOR POR ETAPAS
El actor de amenazas mantiene los «instaladores» de la primera etapa con una baja tasa de detección.
La ejecución comienza realizando una omisión del Control de cuentas de usuario (UAC). Secuestra el controlador predeterminado para el protocolo ms-settings y lo configura para ejecutar un comando de Powershell que agrega la carpeta C:\ a la lista de exclusión de Windows Defender.
Alerta de amenaza
Las comunidades de criptomonedas y NFT están a la vanguardia de la innovación financiera y son un objetivo lucrativo para los atacantes.
Este nuevo descargador por etapas para NFT-001 es más evasivo que la versión anterior, lo que aumenta su capacidad para escabullirse de las soluciones tradicionales de ciberseguridad.
https://blog.morphisec.com/nft-malware-new-evasion
