[Resumen semanal] Nueva familia de ransomware para Android

Cerramos esta semana juntanto en un solo lugar las noticias más relevantes sobre ciberataques, vulnerabilidades y amenazas cibernéticas.

Malware | Malware multiplataforma ‘Kobalos’ apunta a supercomputadoras

La firma de ciberseguridad ESET publicó un informe que detalla lo que describió como una pieza de malware previamente indocumentada que se había observado apuntando a clústeres de computación de alto rendimiento (HPC).

Los investigadores han descrito a Kobalos como una «puerta trasera genérica» ​​que puede permitir a sus operadores realizar una amplia gama de tareas, incluido obtener acceso remoto al sistema de archivos del dispositivo comprometido, generar un shell y ejecutar comandos arbitrarios, y usar el dispositivo infectado como proxy. . Kobalos destaca por tener el código C&C dentro de sí mismo, lo que permite a sus operadores convertir cualquier servidor comprometido en un C&C.

Fuente: https://blog.nivel4.com/noticias/malware-multiplataforma-kobalos-apunta-a-supercomputadoras/


Ransonware | Nueva familia de ransomware para Android

Apodado Oscorp, el malware abusa de los servicios de accesibilidad en dispositivos Android para robar credenciales de usuario y contenido multimedia.

El malware recibe su nombre del título de la página de inicio de sesión de su servidor C2. El APK malicioso se propaga a través del dominio — supporttoapp [.] Com — que solicita permiso para habilitar el servicio de accesibilidad e inicia la comunicación con un servidor C2 para acciones adicionales.

Fuente: https://blog.nivel4.com/noticias/nueva-familia-de-ransomware-para-android/


Vulnerabilidad |Google revela un error grave en la biblioteca de cifrado Libgcrypt

Una vulnerabilidad «grave» en el software de cifrado Libgcrypt de GNU Privacy Guard (GnuPG) podría haber permitido a un atacante escribir datos arbitrarios en la máquina de destino, lo que podría conducir a la ejecución remota de código.

La falla, que afecta a la versión 1.9.0 de libgcrypt, fue descubierta el 28 de enero por Tavis Ormandy de Project Zero, una unidad de investigación de seguridad dentro de Google dedicada a encontrar errores de día cero en sistemas de hardware y software.

Fuente: https://blog.nivel4.com/noticias/google-revela-un-error-grave-en-la-biblioteca-de-cifrado-libgcrypt/


Vulnerabilidad |Defectos críticos de Cisco Enrutadores VPN abiertos hasta ataques RCE

Las vulnerabilidades existen en los enrutadores VPN RV160, RV160W, RV260, RV260P y RV260W de Cisco para pequeñas empresas.

Cisco está implementando soluciones para los agujeros críticos en su línea de enrutadores VPN para pequeñas empresas. Las fallas podrían ser explotadas por atacantes remotos no autenticados para ver o manipular los datos y realizar otras acciones no autorizadas en los enrutadores.

Las fallas afectan a los enrutadores de pequeñas empresas que ejecutan una versión de firmware anterior a la versión 1.0.01.02; se ha implementado una solución como parte de esta versión. Cisco ha descrito más instrucciones en su aviso de seguridad sobre cómo aplicar la actualización .

Fuente: https://threatpost.com/cisco-flaws-vpn-routers-rce/163662/


Malware |Nuevo malware ‘Hildegard’ se dirige a los sistemas Kubernetes

En una nueva campaña que comenzó en enero de 2021, pero que parece estar solo en sus primeras etapas, el grupo de piratería se ha dirigido a los entornos de Kubernetes con un malware llamado Hildegard , que es a la vez sigiloso y persistente.

El malware establece una conexión con su servidor de comando y control (C&C) a través de un shell inverso tmate y un canal de Internet Relay Chat (IRC), disfraza el proceso malicioso utilizando el proceso bioset Linux, oculta los procesos maliciosos mediante la inyección de bibliotecas y cifra los archivos maliciosos. carga útil para dificultar el análisis.

Fuente: https://www.securityweek.com/new-hildegard-malware-targets-kubernetes-systems


Phishing |Ataques de Microsoft Office 365 provocados por Google Firebase

Una campaña de phishing empeñada en robar las credenciales de inicio de sesión de Microsoft está utilizando Google Firebase para evitar las medidas de seguridad del correo electrónico en Microsoft Office 365, dijeron los investigadores de Armorblox.

«Este ataque por correo electrónico pasó por alto los controles de seguridad del correo electrónico nativo de Microsoft», señaló el investigador de Armorblox, Rajat Upadhyaya. «Microsoft asignó un nivel de confianza de correo no deseado (SCL) de ‘1’ a este correo electrónico, lo que significa que Microsoft no determinó el correo electrónico como sospechoso y lo entregó a los buzones de correo de los usuarios finales».

Fuente: https://threatpost.com/microsoft-office-365-attacks-google-firebase/163666/