Nueva campaña de phishing en América Latina: imita facturas y elude detecciones fuera de la región
El ataque usa un novedoso manejo de dominios y simula cuentas suspendidas, filtran datos de usuarios de Nosis en Argentina y encuentran una vulnerabilidad zero day en el Kernel de Linux.
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
5>12
abr
⚡ TL;DR
A pesar de que el ransomware, los zero days y exploits llenan la agenda del día a día en medios especializados en ciberseguridad, una amenaza arcaica sigue entre las más populares y casi siempre encabeza la lista de todo ranking: el phishing. Y abril vio nacer una nueva campaña en América Latina.
A pesar de que esta semana estuvo cargada -otra vez- de noticias fuertes, decidí tomar como apertura y tema principal esta nueva serie de ataques por dos motivos: primero, porque tiene una técnica de evasión muy interesante en la cual usa “dominios suspendidos”. Y segundo, porque poner el tema en agenda de manera temprana quizás ayude a esparcir la información para aumentar las defensas de la región ante el ataque. Por este motivo, hablé con varios researchers para desgranarlo y ver de qué se trata.
A nivel local, se conoció una nueva filtración de datos en Argentina, esta vez de Nosis, un servicio que ofrece “información estratégica de ciudadanos”, que incluye direcciones, documentos, teléfonos y otros datos como relaciones laborales. Se usa en ambientes profesionales y, vale decir, también en redacciones y medios de comunicación, con fines periodísticos. Lo que se filtró es una base de datos de usuarios que tienen cuenta en la aplicación.
Además, en el plano regional un grupo de atacantes conformado por exmiembros de grupos de ransomware estaría migrando de negocio hacia el data extortion y ya publicaron a una víctima de Uruguay en un foro de compraventa de datos. Me parece un caso interesante para seguir de cerca en un contexto en el que el ransomware no dejó de existir en la escena cibercriminal, pero sí sufrió un duro golpe tras las operaciones en contra de Black Cat y Lockbit.
El Salvador fue protagonista de una filtración de datos: un usuario subió a un foro un set de información con fotos y datos personales de 5 millones de salvadoreños (cerca de un 80% de la población). En Chile pasó lo mismo pero con 50 mil registros con datos personales.
En el plano global, apareció información sobre un zero day del kernel de Linux que alertó a toda la comunidad. También apareció una nueva técnica de abuso de GitHub para hacer que desarrolladores descarguen código fuente infectado, un grupo hacktivista se atribuyó un ciberataque al Ministerio de Justicia de Israel y Apple advirtió sobre un caso que hizo mucho ruido: el miércoles pasado, envió 92 notificaciones a usuarios en distintos países para alertar sobre ataques mercenarios con spyware.
Por último, el conocido equipo de fútbol europeo PSG reportó un hackeo a su sistema de venta de entradas. Y la perla de la semana fue que un analista encontró avisos maliciosos patrocinados por X: parece que Elon Musk está aprendiendo de Google.
Esta entrada fue escrita por un humano, no se usó inteligencia artificial para generar texto. Se usó Midjourney para generar la imagen de apertura.
Leer este correo te va a llevar 14 minutos.
El SSD externo Kingston XS1000 es una solución de respaldo de archivos que cuenta con velocidades de hasta 1.050MB/seg y altas capacidades de hasta 2TB, lo que proporciona una gran velocidad y espacio para almacenar los datos más valiosos. Viene con cable USB Type-C a Type-A para ofrecer una comodidad inigualable y una impresionante capacidad de almacenamiento.
🎣 Nueva campaña de phishing en Latinoamérica
Una nueva campaña de phishing que tiene como target a América Latina fue dada a conocer esta semana por Trustwave. Según explicaron, se trata de un email que contiene un .zip adjunto que, al ser extraído, revela un HTML que lleva a una “cuenta suspendida” que en realidad es un archivo malicioso que se hace pasar por una factura o un comprobante de pago.
Lo interesante de la campaña es que sólo apunta a Latinoamérica, en un intento de eludir detecciones de programas de antivirus, y las primeras detecciones aparecieron principalmente en México. Esto podría ser una primera etapa de despliegue en el continente.
Los dominios a los que apunta la URL en el HTML fueron creados hace un año, revela la empresa de seguridad, y descargan un archivo comprimido que contiene un payload malicioso: un script de powershell (las capturas del análisis son cortesía de Agustín Merlo).
Dark News contactó a Mario Micucci de ESET Latinoamérica para entender la cadena de infección del ataque. Explicó el especialista:
El usuario recibe un correo electrónico de phishing con un archivo ZIP adjunto.
Al abrir el archivo ZIP, se ejecuta un archivo HTML que descarga un malware (escrito en PoweShell -> lenguaje utilizado para hacer scripting y automatizar tareas en el sistema).
El malware se disfraza como una factura para engañar al usuario y que lo ejecute.
Una vez ejecutado, el malware realiza diversas acciones maliciosas, como:
Robar información personal y financiera.
Instalar otros programas maliciosos.
Tomar el control del dispositivo.
Complementó Micucci:
Si bien en el desarrollo del artículo no se especifica qué tipo de malware se está utilizando, por las características mencionadas podríamos estar hablando de las siguientes opciones: un RAT (Remote Access Trojan) -permite al atacante controlar el dispositivo infectado de forma remota-, un infostealer -roba información personal y financiera del dispositivo infectado- o un keylogger -registra las pulsaciones del teclado del usuario, lo que puede permitir al atacante obtener contraseñas y otra información confidencial-.
En cuanto a diferencias con otros ataques, complementó Micucci:
Uso de dominios geo-restringidos: Esta campaña utiliza dominios nuevos y restringidos geográficamente para evitar las medidas de seguridad. Esto hace que sea más difícil para los sistemas de detección de intrusiones (IDS) y los firewalls bloquear el ataque.
Archivos adjuntos comprimidos: El malware se oculta dentro de un archivo ZIP, lo que puede dificultar su detección por parte de los antivirus.
Código ofuscado: El código del malware está ofuscado, lo que dificulta su análisis y eliminación.
Nota: Tanto el uso de archivos adjuntos comprimidos, como la ofuscación de código, no hacen necesariamente a diferencias con respecto a otros ataques ya que esto en el ultimo tiempo es tendencia, pero si son puntos destacables en la campaña mencionada en el artículo.
El ataque tiene, también, similitudes con otras técnicas:
Ingeniería social: El ataque utiliza ingeniería social para engañar al usuario para que ejecute el malware.
Malware como servicio: El malware utilizado en este ataque puede ser parte de un servicio de malware como servicio (MaaS), lo que significa que los atacantes pueden alquilarlo sin necesidad de tener conocimientos técnicos avanzados.
La técnica de evasión está “bien pensada”, comentó a Dark News el investigador Teno:
Usando un dominio solo accesible desde el país-objetivo, un antimalware no puede verificar nada porque seguramente sus servidores no están en la región afectada. Es una buena estrategia, hasta el concatenado de la URL, porque después el segundo payload ya lo descarga de un Dropbox.
El researcher hizo pruebas desde distintas locaciones y detectó que en varios países de América Latina está activa la campaña, además de que usan Cloudflare para sectorizar el ataque, al prevenir que investigadores fuera de Latinoamérica puedan ingresar al sitio que tiene alojados los payloads.
Es uno de los puntos principales que destaca la investigación original de Trustwave: “Utilizar dominios de nueva creación y hacerlos accesibles sólo en determinados países es otra técnica de evasión, sobre todo si el dominio se comporta de forma diferente en función del país de destino”.
Trustwave encontró similitudes con una campaña explicada por Cisco Talos, “Horabot”, en junio de 2023. ESET complementó la información con una referencia a la Operación Pulpo Rojo, con la cual, aseguran, también hay similitudes.
Tiene que pasar tiempo para ver cómo se desenvuelve esta nueva campaña, en una región como América latina donde Grandoreiro y Mekotio son troyanos bancarios que podrían ser el payload de este ataque. En la investigación original de Trustwave se pueden encontrar los indicadores de compromiso (IOC).
🐧 Descubren el primer exploit nativo Spectre V2 contra el kernel de Linux
Investigadores encontraron el primer “exploit nativo de Spectre V2” para el kernel de Linux en procesadores Intel, que permitiría leer información sensible sobre la memoria. Spectre V2 es una variante nueva del ataque original Spectre, descubierto por un equipo de investigadores y dado a conocer en VUSec por parte de VU Amsterdam en 2018.
Se trata de una ejecución especulativa, una técnica para optimizar el rendimiento de un procesador donde se “adivinan” qué tareas siguientes se van a ejecutar para ganar tiempo. Aunque esto mejora la eficiencia en los procesos, cobra un peaje al introducir un riesgo de seguridad y dejar información privilegiada en el caché del CPU: es eso lo que puede explotar un atacante.
El exploit, llamado Native Branch History Injection (BHI) y registrado bajo el CVE-2024-2201, pone sobre la mesa la tensión entre performance y proteger al núcleo de un sistema, y había sido dado a conocer originalmente en marzo de 2022.
Teno -researcher, también citado más arriba-, dijo a Dark News:
Lo interesante de este nuevo exploit tiene que ver con las posibilidades de atacar directamente vCPUs en servidores que ejecuten máquinas virtuales, como lo demostraron con los Ahoi Attacks con sus ataques a las TEEs (Hardware-based Trusted Execution Environments) tanto en Intel como AMD. ¿Será posible en un futuro cercano lograr el santo grial de lograr un "break the sandbox" y afectar tanto hardware real como así el virtualizado?
En cuanto a qué hace el exploit, explicó:
BHI o Native Branch History Injection puede "leer" posiciones arbitrarias de memoria excluyendo todo tipo de mitigaciones a una velocidad de 3.5Kb/segundo y en definitiva le permite a un atacante influenciar al CPU a ejecutar y extraer información de áreas de memoria con datos sensibles.
El equipo de VUSec, que dio a conocer el exploit, publicó una demostración:
Telecom ofrece servicios de Firewall para Empresas y Pymes, orientados a resolver las principales necesidades de seguridad dentro de una red.
👷 Venden datos de usuarios de Nosis en Argentina y una cementera de Uruguay
Un usuario subió una base de datos de 370.424 registros que fue extraída de Nosis, un conocido sitio con información personal en Argentina. Hay nombres completos, direcciones y números de teléfono móvil.
Dark News comprobó en diálogo con el actor de amenazas que los registros son de usuarios de la plataforma y no de la base de datos de Nosis mismo, en tanto hay teléfonos celulares y Nosis registra números fijos, además de que hay muchos usuarios de administrador y cuentas que denotan uso empresarial:
Sin embargo, no todas las entradas del dump tiene todos los campos. En muchos usuarios falta número de teléfono, por ejemplo. El propio actor de amenazas especuló con que Nosis reforzó los sistemas de seguridad después de la publicación, debido a que encontró restricciones para seguir descargando registros.
Además, en Uruguay, Cementos del Plata, conglomerado que opera infraestructura y petroquímicos, apareció listado en un foro de compraventa de datos. Según el posteo, hay código fuente disponible de la empresa, junto a “otros datos sensibles”.
Detrás del ataque habría un grupo conformado por exoperadores de ransomware de otras bandas cibercriminales que tuvieron problemas con la ley durante los últimos meses (LockBit y Black Cat, por ejemplo). Según contó una fuente, estarían migrando de modelo de negocio, de ransomware a “data extortion”, esto es, una forma de operar en la que no media un cifrado de datos de la víctima, “lo que permite que los equipos estén más tiempo infiltrados sin levantar sospecha”.
Además, tendrían en su posesión datos de entidades de alto perfil en de Latinoamérica y el caso de la cementera sería el comienzo de una serie de ataques que ya se llevaron a cabo con éxito.
💸 Suben los precios de zero-days en el underground
Una investigación del broker de exploits Crowdfense reveló que el precio de las vulnerabilidades de día cero está subiendo. Lo que se están pagando, según el reporte (en dólares):
SMS/MMS Full Chain Zero Click: de 7 a 9 millones
Android Zero Click Full Chain: 5 millones
iOS Zero Click Full Chain: de 5 a 7 millones
iOS (RCE + SBX): 3,5 millones
Chrome (RCE + LPE): de 2 a 3 millones
Chrome (SBX): 400 mil
Chrome (RCE w/o SBX): 400 mil
Safari (RCE + LPE): de 2,5 a 3,5 mil
Safari (SBX): from 300 a 400 mil
Safari (RCE w/o SBX): 200 mil
Así como ahora ofrecen entre 5 y 7 millones de dólares por un zero day en iPhone, o 5 millones de dólares por Android, en 2019, Crowdfense ofrecía 3 millones de dólares por zero-days de Android e iOS.
Lo que más se paga son los zero clic SMS, de 7 a 9 millones, debido al enorme daño que se puede hacer por una cadena de ataque demostrada sobre el sistema de mensajes de texto que no demande que el usuario entre a un enlace (una suerte de god mode para hackers).
Según explican en el informe, el aumento de los precios es porque cada vez “es más difícil hackear a empresas como Google, Apple y Microsoft”. Sin embargo, Dark News consultó a un experto en vulnerabilidades que no está de acuerdo con esta idea:
No hay un vínculo 1 a 1 con que se pague más caro porque ahora los sistemas son más difíciles de explotar. De hecho, cada vez hay más CVEs registrados, y esto no es porque el software sea más inseguro, sino porque hay cada vez más software -y hardware-. Hay un crecimiento exponencial: es orgánico, hay más programas, más sistemas, más compañías que hacen sistemas, crece como el universo. Además, Apple, Google y Microsoft no son los únicos. Con lo cual, decir que los precios suben porque es más difícil hackear, es una burrada.
La referencia a esta discusión se puede leer en este enlace. Sea cual sea la explicación, los precios de los brokers están subiendo y se pueden consultar en la página de Crowdfense, entre otras “Exploit Acquisition Platforms”.
🐙 Abusan de la función de búsqueda de GitHub para engañar a developers
Atacantes comenzaron a abusar de la función de búsqueda de GitHub para depositar malware en las descargas más populares de los developers. Junto con otras técnicas, logran posicionar sus repositorios por encima de los legítimos.
Según publicó Checkmarx, los atacantes están infectando proyectos de Microsoft Visual Code (.csproj, .vcxproj) diseñado para descargar una porción de código malicioso.
Para esto usan hasta un sistema de ratings fake con estrellas, para posicionar más arriba los repositorios diseñados para robar información y vaciar wallets de criptomonedas. La técnica, explican, es la siguiente:
Para garantizar la máxima visibilidad, los atacantes emplean un par de técnicas inteligentes que colocan sistemáticamente sus repositorios maliciosos en los primeros puestos de los resultados de búsqueda de GitHub. Aprovechando las Acciones de GitHub, los atacantes actualizan automáticamente los repositorios con una frecuencia muy alta modificando un archivo, normalmente llamado “log”, con la fecha y hora actuales o algún pequeño cambio aleatorio. Esta actividad continua aumenta artificialmente la visibilidad de los repositorios, especialmente en los casos en que los usuarios filtran sus resultados por "actualizado más recientemente", lo que aumenta la probabilidad de que usuarios desprevenidos los encuentren y accedan a ellos.
Con este sistema de reseñas apócrifas, los atacantes trabajan para construir una imagen de popularidad y fiabilidad.
👾 Ranking de malware y vulnerabilidades de marzo: Check Point Research
Check Point Research publicó la lista del malware más detectado por su telemetría en marzo de este año.
“El mes pasado, investigadores revelaron que los hackers estaban utilizando archivos de disco duro virtual (VHD) para desplegar Remcos, un troyano de acceso remoto (RAT). Mientras tanto, Lockbit3 siguió siendo el grupo de ransomware más prevalente en marzo a pesar del desmantelamiento de las fuerzas de seguridad en febrero, aunque su frecuencia en los 200 ‘sitios de la vergüenza’ [DLS] de ransomware monitorizados por Check Point se redujo del 20% al 12%”, aseguraron analistas de la compañía.
Las principales familias de malware detectado, junto a la descripción de la empresa (las flechas indican variación respecto del período anterior):
↔ FakeUpdates - FakeUpdates (AKA SocGholish): escribe las payload en el disco antes de lanzarlas. FakeUpdates condujo a un mayor compromiso a través de muchos programas maliciosos adicionales, incluyendo GootLoader, Dridex, NetSupport, DoppelPaymer, y AZORult.
↔ Qbot - Conocido como Qakbot, es un malware multipropósito que apareció por primera vez en 2008. Fue diseñado para robar las credenciales del usuario, registrar las pulsaciones de teclado, robar cookies de los navegadores, espiar las actividades bancarias y desplegar malware adicional.
↔ Formbook - Infostealer dirigido al sistema operativo Windows, detectado por primera vez en 2016. Se comercializa como Malware as a Service (MaaS) en foros clandestinos de hacking por sus potentes técnicas de evasión y su precio relativamente bajo.
Las vulnerabilidades más explotadas:
↔ Web Servers Malicious URL Directory Traversal - Vulnerabilidad de directory traversal en diferentes servidores web. Una explotación exitosa permite a atacantes remotos no autenticados revelar o acceder a archivos arbitrarios en el servidor vulnerable.
↔ Inyección de comandos a través de HTTP (CVE-2021-43936, CVE-2022-24086) - Una explotación exitosa permitiría a un atacante ejecutar código arbitrario en la máquina objetivo.
↑ Ejecución remota de código en headers HTTP - Permiten al cliente y al servidor pasar información adicional con una petición HTTP.
Amenazas móviles más detectadas:
↔ Anubis - Troyano bancario diseñado para teléfonos móviles Android.
↔ AhMyth - Troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones Android que se pueden encontrar en tiendas de aplicaciones y en varios sitios web.
↑ Cerberus - Visto por primera vez in the wild en junio de 2019, Cerberus es un troyano de acceso remoto (RAT) con funciones específicas de superposición de pantalla bancaria para dispositivos Android.
El research, con información sobre industrias más atacadas y datos de ransomware, se puede leer en este enlace.
🔗 Más info
Google agrega aprobación “multi party” en Google Workspace
Un servidor de Azure filtró credenciales internas de Microsoft
Android trabaja en un “private space”: de qué se trata
Google ahora puede almacenar secretos militares y de Estado en la nube (EE.UU.)
Nueva campaña de malware en YouTube
Yubico arregla una vulnerabilidad en YubiKey Manager GUI (Windows)