Cibercriminals usen API de DocuSign per a llançar campanya massiva de pesca per correu electrònic amb factures falses

Segons ha informat l’empresa de ciberseguretat Wallarm, un grup de cibercriminals ha començat a explotar l’API de DocuSign en una sofisticada campanya de pesca per correu electrònic que envia factures falses a usuaris corporatius. Este mètode, publicat pel mitjà especialitzat en ciberseguretat Bleeping Computer, permet que les estafes passen desapercebudes per a les ferramentes de detecció tradicionals, ja que els correus electrònics fraudulents provenen directament de DocuSign i semblen sol·licituds de firma legítimes, sense enllaços o arxius adjunts maliciosos. El perill residix en l’autenticitat de la sol·licitud en si.

La campanya observada es basa en la creació de comptes legítims i de pagament en DocuSign, la qual cosa permet als atacants personalitzar plantilles de documents i enviar correus a múltiples destinataris directament des de la plataforma, utilitzant l’API d’”Envelopes: create API”. Els missatges imiten sol·licituds de firmes electròniques de marques conegudes, i les factures falses estan dissenyades amb detalls que inclouen preus i càrrecs específics, la qual cosa reforça la seua autenticitat.

 Si un usuari firma electrònicament estos documents, els atacants poden enviar la factura a departaments de finances i sol·licitar pagaments fraudulents, enganyant les organitzacions perquè transferisquen fons a comptes controlats pels delinqüents. Wallarm alerta que este mètode podria ser replicat en altres plataformes de firma electrònica que també permeten l’accés mitjançant API, la qual cosa amplia el risc d’esta mena d’atacs.

Per a protegir-se, els experts recomanen que les organitzacions verifiquen acuradament l’adreça de correu del remitent i els comptes associats per a verificar la seua legitimitat, a més d’establir controls interns que involucren diversos membres en l’aprovació de transaccions financeres i aprovació de compres. També suggerixen que els treballadors TIC reben formació per a identificar les tàctiques de pesca per correu electrònic més avançades, fins i tot quan les sol·licituds semblen procedir de fonts fiables com DocuSign, per a protegir les seues organitzacions.

Referències

    • https://blog.segu-info.com.ar/2024/11/ataques-de-phishing-mediante-abuso-de.html
    • https://lab.wallarm.com/attackers-abuse-docusign-api-to-send-authentic-looking-invoices-at-scale/

Actualitzacions de seguretat de Microsoft de novembre de 2024

Les actualitzacions de seguretat de Microsoft per al Patch Tuesday de novembre de 2024 han abordat 89 vulnerabilitats, incloses dues zero-day explotades activament.

Anàlisi

Les actualitzacions de seguretat del Patch Tuesday de Microsoft per a novembre de 2024 han solucionat 89 vulnerabilitats en Windows i Components de Windows; Office i Components d’Office; Azure; .NET i Visual Studio; LightGBM; Exchange Server; SQL Server; TorchGeo; Hyper-V; i Windows VMSwitch.

Quatre d’aquestes vulnerabilitats estan qualificades com a Crítiques, 84 com a Importants i una com a Moderada en gravetat. Microsoft ha solucionat un total de 949 vulnerabilitats enguany.

Dues de les vulnerabilitats, rastrejades com a CVE-2024-43451 i CVE-2024-49039, estan llistades com a explotades al moment del seu llançament.

A continuació es detallen les descripcions d’aquestes dues vulnerabilitats:

    • CVE-2024-43451: Una vulnerabilitat de suplantació de divulgació de hash NTLM en MSHTML permet que els atacants extrauen el hash NTLMv2 d’un usuari a través dels components d’Internet Explorer en el control WebBrowser. Encara que cal interacció de l’usuari, els atacants poden explotar-la per suplantar la víctima. Es recomana aplicar el pedaç immediatament.
  •  
    • CVE-2024-49039: Una falla d’escalada de privilegis en el Programador de Tasques de Windows permet escapar d’AppContainer, la qual cosa permet als usuaris amb pocs privilegis executar codi amb integritat mitjana. Descoberta per diversos investigadors, està sent explotada activament, especialment en diferents regions, cosa que ressalta el seu possible impacte.

Recomanacions

Instal·lar l’actualització de seguretat corresponent. A la pàgina de Microsoft es detallen els productes afectats, així com els diferents mètodes per dur a terme aquestes actualitzacions.

Referèncias

Vulnerabilitat en Android

Google ha advertit que una fallada de seguretat que afecta el seu sistema operatiu Android ha sigut explotada activament.

Anàlisi

La vulnerabilitat, identificada com a CVE-2024-43093, ha sigut descrita com una fallada d’escalada de privilegis en el component Android Framework que podria resultar en accés no autoritzat als directoris “Android/data”, “Android/obb” i “Android/sandbox” i els seus subdirectoris.

Google també ha assenyalat que CVE-2024-43047, un error de seguretat ara apedaçat en els chipsets de Qualcomm, ha sigut explotat activament. Es tracta d’una vulnerabilitat d’ús posterior a l’alliberament en el servici del processador de senyal digital (DSP), l’explotació exitosa del qual podria provocar la corrupció de la memòria.

L’avís no oferix detalls sobre l’activitat d’explotació dirigida a la fallada ni sobre quan podria haver començat, encara que és possible que haja sigut aprofitada com a part d’atacs de programari espia altament específics dirigits a membres de la societat civil.

Actualment tampoc se sap si les dos vulnerabilitats de seguretat van ser dissenyades juntes com una cadena d’explotació per a elevar privilegis i aconseguir l’execució de codi.

CVE-2024-43093 és la segona fallada del marc d’Android explotada activament després de CVE-2024-32896, que va ser apedaçada per Google al juny i al setembre de 2024. Si bé originalment es va resoldre només per a dispositius Píxel, la companyia va confirmar més tard que la fallada afecta l’ecosistema Android més ampli.

Recomanacions

Es recomana actualitzar el dispositiu a l’última versió.

Referències

Vulnerabilitats corregides per Google i Mozilla

Google i Mozilla van anunciar dimarts actualitzacions de seguretat per als seus navegadors web Chrome i Firefox.

Anàlisi

Google ha llançat una actualització (Chrome 130) per al seu navegador Chrome, que inclou pedaços per a dos vulnerabilitats crítiques.
Una d’estes, identificada com CVE-2024-10487, ha sigut descrita com un problema crític d’escriptura fora de límits en Dawn, la implementació multiplataforma de l’estàndard WebGPU i pot ser utilitzada per cibercriminals com una descàrrega automàtica. Això significa que el dispositiu d’una víctima podria veure’s compromés amb només visitar un lloc web o un anunci maliciós.

L’equip d’Enginyeria i Arquitectura de Seguretat (SEAR) d’Apple va informar del problema a Google fa a penes una setmana. També s’utilitzen diferents implementacions de l’API de gràfics WebGPU en Firefox i Safari, però no és clar si estos navegadors també es veuen afectats per CVE-2024-10487.

Si bé no hi ha informació sobre per a què es pot explotar CVE-2024-10487, en general, l’explotació de problemes d’escriptura fora dels límits pot provocar l’execució de codi arbitrari. Google no ha esmentat res sobre l’explotació en la pràctica.

La segona vulnerabilitat apedaçada amb el llançament de Chrome 130 és CVE-2024-10488, un error d’ús després de l’alliberament d’alta gravetat en WebRTC. La vulnerabilitat és un problema d’ús posterior a l’alliberament que residix en WebRTC i podria provocar l’execució de codi arbitrari o causar un bloqueig. Podria usar-se per a possibles robatoris de dades o bloquejos del sistema.

Per la seua part, Mozilla va llançar Firefox 132 i Thunderbird 132. Les últimes versions del navegador i del client de correu electrònic corregixen les mateixes 11 vulnerabilitats, incloses dos d’alta gravetat.

Una d’estes, identificada com CVE-2024-10458, s’ha descrit com una fuga de permisos que pot ocórrer des d’un lloc web de confiança a un lloc web que no ho és. El segon problema, CVE-2024-10459, és un ús posterior a l’alliberament que pot provocar un bloqueig explotable.

A les vulnerabilitats restants s’han assignat qualificacions de gravetat “mitjana” i “baixa” i la seua explotació pot conduir a suplantació d’identitat, atacs XSS, fugues d’informació, condicions de denegació de servici (DoS) i execució de codi arbitrari.

Recursos afectats

    • Google Chrome en versions anteriors a Chrome 130.
    • Mozilla Firefox en versions anteriors a Firefox 132.
    • MozillaThunderbird en versions anteriors a Thunderbird 132.

Recomanacions

Els dos fabricants han publicat versions actualitzades dels productes, per la qual cosa es recomana actualitzar-los a les versions més recents (Chrome 130, Firefox 132 i Thunderbird 132).

Referències