Author: Seguridad CSIRT-CV

Investigadors de Trustwave han observat que cibercriminals promouen descàrregues gratuïtes de jocs i cracks d’activació de programari amb finalitats maliciosos.

Els criminals estan fent ús d’anuncis publicats en la xarxa social Facebook de Meta, per a infectar equips amb el malware SYS01. Estos anuncis, enganyen els usuaris perquè descarreguen contingut maliciós disfressat com a arxius legítims. A més, per a augmentar la credibilitat i les possibilitats que un internauta caiga, suplanten pàgines legítimes que coincidixen amb l’arxiu maliciós que s’està descarregant. Entre altres, s’ha vist suplantacions de jocs com Call of Duty: Modern Warfare III i cracks com Sora AI, Photoshop i Microsoft Office.

Impacte del malware

El principal objectiu del malware SYS01 és robar dades sensibles, incloent-hi cookies del navegador, credencials guardades, historial de navegació i carteres de criptomonedes.

A més, este malware inclou una tasca que utilitza les cookies de Facebook que es troben en el dispositiu per a robar informació del compte del lloc de xarxes socials:

• • Extrau informació del perfil personal, com el nom, l’email i la data d’aniversari.
  • Recapta dades detallades de comptes publicitaris, inclosos gastos i mètodes de pagament.
  • Dades que inclouen empreses, comptes publicitaris i usuaris professionals, agències, la qual cosa posa de manifest la profunditat de l’accés a dades comercials i financeres sensibles.
  • Detalls relatius a les pàgines de Facebook, inclòs el recompte de seguidors i les seues funcions.

 

Estratègia de distribució

Els anuncis publicitaris en Facebook redirigixen als usuaris a pàgines web allotjades en Google Sites o True Hosting, que es fan passar per pàgines de descàrrega. En intentar descarregar estos arxius, l’usuari rep un arxiu ZIP que conté el malware SYS01. 

Conclusió

Per a evitar caure víctima d’estos enganys, es recomana no descarregar arxius de llocs poc de confiança o que promocionen ofertes massa sucoses.

Abans de descarregar qualsevol arxiu en internet s’ha de revisar la legitimitat de la pàgina i en cas de dubte és preferible no descarregar i/o executar l’arxiu.

Referències

• • https://unaaldia.hispasec.com/2024/07/nueva-version-del-malware-sys01-que-usa-anuncios-de-facebook-para-robar-contrasenas.html
  • https://www.bleepingcomputer.com/news/security/facebook-ads-for-windows-themes-push-sys01-info-stealing-malware/
  • https://blog.morphisec.com/sys01stealer-facebook-info-stealer

Apple ha emitido una nueva ronda de notificaciones de amenazas a usuarios de iPhone de 98 países, advirtiéndoles de posibles ataques de spyware mercenario. Es la segunda campaña de alerta de este tipo que realiza la compañía este año, tras una notificación similar enviada a usuarios de 92 países en abril.

Desde 2021, Apple viene enviando regularmente estas notificaciones, que llegan a usuarios de más de 150 países, según un documento de soporte publicado en el sitio web de la compañía. Las últimas advertencias, emitidas el miércoles, no revelaron las identidades de los atacantes ni los países en los que los usuarios recibieron las notificaciones.

“Apple ha detectado que usted está siendo objeto de un ataque de spyware mercenario que está tratando de comprometer de forma remota el iPhone asociado con su ID de Apple -xxx-“, escribió la compañía en la advertencia a los clientes afectados.

“Es probable que este ataque se dirija específicamente a ti por ser quien eres o por lo que haces. Aunque nunca es posible alcanzar una certeza absoluta a la hora de detectar este tipo de ataques, Apple confía plenamente en esta advertencia; por favor, tómatela en serio”, añadió Apple en el mensaje.

En conclusión, esta iniciativa, que la compañía lleva a cabo desde 2021, subraya su compromiso con la protección de la privacidad y seguridad de sus clientes.

Los investigadores de Morphisec han identificado una vulnerabilidad importante, CVE-2024-38021, una vulnerabilidad de ejecución remota de código que no requiere interacción del usuario y que afecta a la mayoría de las aplicaciones de Microsoft Outlook.

Análisis
Microsoft ha evaluado esta vulnerabilidad con un nivel de gravedad “Importante”. Su evaluación distingue entre remitentes de confianza y no de confianza, señalando que mientras que la vulnerabilidad no necesita interacción para los remitentes de confianza, requiere un clic de interacción del usuario para los remitentes no de confianza. Si se explota, CVE-2024-38021 puede dar lugar a exfiltración de datos, accesos no autorizados y otras actividades maliciosas.

Como se ha comentado, esta vulnerabilidad tiene cve-2024-38021 y su puntuación CVSS3.1 es 8.8.

Recomendaciones
Se recomienda que tanto Outlook como todas las aplicaciones del paquete Office 365 sean actualizadas a la última versión.

Referencias

• • https://blog.morphisec.com/cve-2024-38021-microsoft-outlook-moniker-rce-vulnerability
  • https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-38021
  • https://www.cve.org/CVERecord?id=CVE-2024-38021

Un grupo de hackers están tratando de explotar una vulnerabilidad en el plugin Modern Events Calendar WordPress que está presente en más de 150.000 sitios web para cargar archivos arbitrarios en un sitio vulnerable y ejecutar código de forma remota.

El plugin está desarrollado por Webnus y se utiliza para organizar y gestionar eventos presenciales, virtuales o híbridos.

Análisis
Wordfence afirma que el problema de seguridad se debe a una falta de validación del tipo de archivo en la función que se utiliza para subir y configurar las imágenes destacadas de los eventos.

Las versiones hasta la 7.11.0 inclusive no tienen comprobaciones del tipo de extensión de los archivos de imagen subidos, permitiendo subir cualquier tipo de archivo, incluidos los arriesgados archivos .PHP.
Una vez subidos, se puede acceder a estos archivos y ejecutarlos, lo que permite la ejecución remota de código en el servidor y, potencialmente, el control total del sitio web.

Se le ha asignado el identificador CVE-2024-5441 y se ha categorizado como alta con un CVSS v3.1 de 8.8.

Versiones afectadas
Versiones anteriores e incluyendo la 7.11.0.

Recomendaciones
Actualizar a la versión 7.12.0

Referencias
https://www.bleepingcomputer.com/news/security/hackers-target-wordpress-calendar-plugin-used-by-150-000-sites/