Autor: Seguridad CSIRT-CV

Investigadores de Trustwave han observado que cibercriminales promueven descargas gratuitas de juegos y cracks de activación de software con fines maliciosos.

Los criminales están haciendo uso de  anuncios publicados en la red social Facebook de Meta, para infectar equipos con el malware SYS01. Estos anuncios, engañan a los usuarios para que descarguen contenido malicioso disfrazado como archivos legítimos. Además, para aumentar la credibilidad y las posibilidades de que un internauta caiga, suplantan páginas legítimas que coinciden con el archivo malicioso que se está descargando. Entre otros, se ha visto suplantaciones de juegos como Call of Duty: Modern Warfare III y cracks como Sora AI, Photoshop y Microsoft Office.

Impacto del malware

 

El principal objetivo del malware SYS01 es robar datos sensibles, incluyendo cookies del navegador, credenciales guardadas, historial de navegación y carteras de criptomonedas.

Además, este malware incluye una tarea que utiliza las cookies de Facebook que se encuentran en el dispositivo para robar información de la cuenta del sitio de redes sociales:

• • Extrae información del perfil personal, como el nombre, el email y la fecha de cumpleaños.
  • Recaba datos detallados de cuentas publicitarias, incluidos gastos y métodos de pago.
  • Datos que incluyen empresas, cuentas publicitarias y usuarios profesionales, agencias, lo que pone de manifiesto la profundidad del acceso a datos comerciales y financieros sensibles.
  • Detalles relativos a las páginas de Facebook, incluido el recuento de seguidores y sus funciones.

Estrategia de distribución

Los anuncios publicitarios en Facebook redirigen a los usuarios a páginas web alojadas en Google Sites o True Hosting, que se hacen pasar por páginas de descarga. Al intentar descargar estos archivos, el usuario recibe un archivo ZIP que contiene el malware SYS01. 

Conclusión

Para evitar caer víctima de estos engaños, se recomienda no descargar archivos de sitios poco confiables o que promocionan ofertas demasiado jugosas.

Antes de descargar cualquier archivo en internet se debe revisar la legitimidad de la página y en caso de duda es preferible no descargar y/o ejecutar el archivo.

Referencias

• • https://unaaldia.hispasec.com/2024/07/nueva-version-del-malware-sys01-que-usa-anuncios-de-facebook-para-robar-contrasenas.html
  • https://www.bleepingcomputer.com/news/security/facebook-ads-for-windows-themes-push-sys01-info-stealing-malware/
  • https://blog.morphisec.com/sys01stealer-facebook-info-stealer

Apple ha emitido una nueva ronda de notificaciones de amenazas a usuarios de iPhone de 98 países, advirtiéndoles de posibles ataques de spyware mercenario. Es la segunda campaña de alerta de este tipo que realiza la compañía este año, tras una notificación similar enviada a usuarios de 92 países en abril.

Desde 2021, Apple viene enviando regularmente estas notificaciones, que llegan a usuarios de más de 150 países, según un documento de soporte publicado en el sitio web de la compañía. Las últimas advertencias, emitidas el miércoles, no revelaron las identidades de los atacantes ni los países en los que los usuarios recibieron las notificaciones.

«Apple ha detectado que usted está siendo objeto de un ataque de spyware mercenario que está tratando de comprometer de forma remota el iPhone asociado con su ID de Apple -xxx-«, escribió la compañía en la advertencia a los clientes afectados.

«Es probable que este ataque se dirija específicamente a ti por ser quien eres o por lo que haces. Aunque nunca es posible alcanzar una certeza absoluta a la hora de detectar este tipo de ataques, Apple confía plenamente en esta advertencia; por favor, tómatela en serio», añadió Apple en el mensaje.

En conclusión, esta iniciativa, que la compañía lleva a cabo desde 2021, subraya su compromiso con la protección de la privacidad y seguridad de sus clientes.

Brian Hysell (Synopsys CyRC) ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante tomar el control de una cuenta de administrador.

Análisis

La falta de autenticación para una función crítica en Expedition de Palo Alto Networks podría dar lugar a una toma de control de la cuenta de administrador de Expedition por parte de atacantes con acceso de red.

Expedition es una herramienta que ayuda a migrar, ajustar y enriquecer la configuración. Palo Alto Networks indica que los secretos de configuración, las credenciales y otros datos importados en Expedition corren peligro debido a la vulnerabilidad reportada.

Se ha asignado el identificador CVE-2024-5910 con puntuación CVSSv4.0 de 9.3 para esta vulnerabilidad.

Versiones afectadas

Versiones anteriores a la 1.2.92.

Recomendaciones

Se recomienda actualizar a la versión 1.2.92 o superior.

Referencias

• • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-falta-autenticacion-en-expedition-de-palo-alto-networks
  • https://security.paloaltonetworks.com/CVE-2024-5910
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-5910

Los investigadores de Morphisec han identificado una vulnerabilidad importante, CVE-2024-38021, una vulnerabilidad de ejecución remota de código que no requiere interacción del usuario y que afecta a la mayoría de las aplicaciones de Microsoft Outlook.

Análisis
Microsoft ha evaluado esta vulnerabilidad con un nivel de gravedad «Importante». Su evaluación distingue entre remitentes de confianza y no de confianza, señalando que mientras que la vulnerabilidad no necesita interacción para los remitentes de confianza, requiere un clic de interacción del usuario para los remitentes no de confianza. Si se explota, CVE-2024-38021 puede dar lugar a exfiltración de datos, accesos no autorizados y otras actividades maliciosas.

Como se ha comentado, esta vulnerabilidad tiene cve-2024-38021 y su puntuación CVSS3.1 es 8.8.

Recomendaciones
Se recomienda que tanto Outlook como todas las aplicaciones del paquete Office 365 sean actualizadas a la última versión.

Referencias

• • https://blog.morphisec.com/cve-2024-38021-microsoft-outlook-moniker-rce-vulnerability
  • https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-38021
  • https://www.cve.org/CVERecord?id=CVE-2024-38021