| En febrero hubo tiempo suficiente para que pasaran muchas cosas, pero la expansión del COVID-19 se ha convertido en pandemia en marzo y quizá lo que sucedió hace un mes parezca ahora muy lejano. Aquí ofrecemos un resumen. |
| El pasado 20 de diciembre se hizo pública la noticia de que delincuentes informáticos habían robado los datos de las tarjetas de crédito que habían sido utilizadas en más de 700 tiendas de la marca WAWA. Y en febrero supimos que estos datos han sido puestos a la venta en Jocker’s Stash, uno de los mercados web fraudulentos más activos en Internet. Aquí, los ciberdelincuentes pueden comprar y vender los datos bancarios de millones de personas. Una vez que se había hecho pública la noticia de la intrusión en los servidores de ventas de WAWA la empresa afirmó no saber cuántos clientes se habían visto afectados, pero habían detectado que el malware llevaba activo en sus servidores nueve meses. |
| Algunos usuarios comenzaron a recibir a principios de febrero correos electrónicos de SPAM en los que los atacantes utilizaban el coronavirus para que el usuario pulsara en los enlaces de phishing o descargara malware. Los primeros correos maliciosos sobre el coronavirus han sido detectados por la compañía KnowBe4. En este mensaje, el atacante envía una falsa alerta de la agencia estadounidense de Centros para el Control y la prevención de Enfermedades (CDC). Facebook tuvo que parchear una vulnerabilidad crítica que permitía leer ficheros alojados en el sistema de archivos del usuario en la versión de escritorio de WhatsApp. A través de un mensaje especialmente manipulado, un atacante remoto podía aprovechar una vulnerabilidad de «cross-site scripting» que permitía acceder a ficheros alojados en la máquina de la víctima. La vulnerabilidad afectaba a las versiones de escritorio de WhatsApp de sistemas Windows y macOS anteriores a la v0.3.9309 que estuvieran emparejadas con versiones de WhatsApp para iPhone anteriores a la 2.20.10. |
| Investigadores de la empresa de seguridad Armis han encontrado cinco vulnerabilidades graves que afectan a decenas de millones de dispositivos que utilizan el protocolo CPD (Cisco Discovery Protocol) para descubrir otros dispositivos de la red aunque se encuentren en VLANs separadas. El protocolo, el cual pertenece a la capa de enlace de datos (capa 2 del modelo OSI), es empleado por dispositivos como routers, teléfonos VoIP o cámaras de seguridad. Entre los posibles riesgos de las vulnerabilidades se encuentran romper la segmentación de la red, filtración de información de dispositivos como los de cámaras y teléfonos VoIP o realizar un ataque de intermediario (más conocido como ‘Man in the Middle’) para ganar privilegios en dispositivos de la red. Descubierto un nuevo módulo del troyano Emotet que se conecta a redes wifi cercanas y trata de infectar los dispositivos conectados a ellas. En los últimos días, los investigadores de Binary Defense han detectado una muestra del troyano Emotet que incluye un módulo para buscar redes wifi cercanas al dispositivo infectado e infectar los dispositivos conectados a las mismas. Éste nuevo módulo no es tan nuevo como parece, ya que el binario del módulo descargado por la muestra analizada fue subido a VirusTotal por primera vez el 4 de junio de 2018. El motivo por el que este módulo ha sido detectado ahora es que no todas las muestras descargan los mismos módulos, y este es uno de los menos utilizados. |
| En febrero fue liberada la edición mensual del Patch Tuesday de Windows que resuelve 99 fallos de seguridad. Según la comunicación, 12 de esos 99 fallos han sido marcados como críticos, mientras que los 87 restantes han sido catalogados como importantes. Como siempre, Hispasec recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los últimos parches de seguridad lo antes posible. Google ha lanzado recientemente una actualización que corrige una vulnerabilidad crítica en la implementación Bluetooth de Android. Identificada con el CVE-2020-0022, dicha vulnerabilidad afecta principalmente a dispositivos con las versiones Oreo (8.0 y 8.1) y Pie (9.0) del sistema operativo. La versión 10 no es explotable, pero sí susceptible a un ataque por denegación de servicio. Se recomienda instalar, a la mayor brevedad posible, la última revisión de seguridad publicada por cada fabricante. En caso de no estar disponible aún y, como medida de mitigación, se sugiere desconectar el Bluetooth o, en su defecto, desactivar la visibilidad del dispositivo. |
| Como resultado de una investigación, Google ha eliminado más de 500 extensiones fraudulentas de Chrome Web Store que robaban datos de los usuarios entre otras actividades maliciosas. Una vez más ha quedado demostrado que ningún sistema es invulnerable, ni aunque detrás se encuentren empresas como Google. Por ello, desde Hispasec recomendamos ser precavidos y revisar los permisos solicitados por las extensiones antes de instalarlas en el navegador y, en caso de sospecha, buscar otra alternativa. Un grupo de cibercriminales ha conseguido infectar los dispositivos móviles de varios soldados israelíes utilizando aplicaciones de chat falsas. Para lograr instalar las aplicaciones maliciosas en los dispositivos móviles de los soldados, los atacantes se hicieron pasar por chicas jóvenes y atractivas, que les enviaban imágenes a las víctimas y les pedían que instalasen el malware. Estas aplicaciones aparentaban ser aplicaciones de chat similares a Snapchat, que supuestamente las chicas utilizarían para seguir enviando fotos intimas a los soldados. |
| La última actualización del navegador Google Chrome corrige varias vulnerabilidades, entre las que se encuentra tres vulnerabilidades marcadas como grave y una que está siendo explotada activamente. La vulnerabilidad explotada, con identificador CVE-2020-6418, ha sido descubierta por el investigador Clement Lecigne de Google el pasado día 18 de febrero. Aunque no han facilitado detalles sobre la misma, sí han aclarado que se debe a una confusión entre tipos en su motor Javascript V8. |
blog.hispasec.com 