Mystic Stealer es una solución crimeware lanzada en abril de 2023 por algo menos de 200 dólares al mes. Este malware se encarga de robar datos a través de varios navegadores web y extensiones, dirigiéndose a monederos y flujos de criptodivisas, y utilizando técnicas para evitar ser detectado. Python creó el panel de control, que luego se implementó en el lenguaje de programación C. El panel está diseñado para proporcionar a los clientes del ladrón acceso a todos los registros de datos que recuperaron.
El virus fue modificado en mayo para incluir un cargador que recibe y distribuye cargas útiles de la siguiente fase desde un servidor de mando y control, lo que lo convierte en una amenaza más peligrosa. Los investigadores creen que este malware pretende robar más información centrándose en eludir el análisis y la detección de las defensas. Los delincuentes que lo roban ayudan a otros ciberdelincuentes a lanzar sus campañas proporcionándoles datos básicos, que luego se utilizan para lanzar campañas de ransomware y extorsión de datos.
(Fuente: TheHackerNews)
NSO Group es una conocida empresa israelí que desarrolla un programa espía de clic cero conocido como Pegasus. Este malware fue incluido en la lista negra del gobierno estadounidense en 2021. Fue desarrollado para que los atacantes pudieran vigilar a funcionarios gubernamentales, personal de embajadas, profesionales de los negocios y otros grupos de todo el mundo. Se impusieron restricciones al grupo por transferir tecnología estadounidense a finales de 2021. Sin embargo, nueve funcionarios del departamento descubrieron este programa espía en sus dispositivos móviles.
Se han presentado varias demandas contra NSO Group como consecuencia de este programa espía específico. Hanan Elatr, esposa de Jamal Khashoggi, el periodista fallecido del Washington Post, presentó una demanda por violación de la legislación estadounidense sobre piratería informática. Ella afirma que el grupo utilizó su software para vigilar la muerte de Jamal y ha puesto en peligro su seguridad financiera, su privacidad y su carrera. A finales de 2021, Apple presentó una demanda contra NSO por atacar a sus clientes con software malicioso. Además, en enero, el Tribunal Supremo de Estados Unidos autorizó a WhatsApp, una popular red de mensajería, a avanzar en su demanda contra NSO por implementar este software en su plataforma móvil.
A pesar de los problemas legales del NSO Group, han seguido intentando modificar y mejorar el programa espía Pegasus, y las empresas ya han visto este software en sus canales. Los inversores y contratistas de defensa estadounidenses consideran este software malicioso como un beneficio económico y están empezando a estudiar la compra de algunos de los activos del Grupo. Sin embargo, los expertos desaconsejan la compra de estos activos, ya que plantea posibles problemas de seguridad y conduce por un camino en el que podrían surgir más vulnerabilidades en el futuro.
(Fuente: DarkReading)
La empresa de hardware informático Asus ha publicado nueve actualizaciones de firmware para sus modelos de router WiFi. En una investigación reciente, Asus descubrió varias vulnerabilidades a las que podrían enfrentarse sus clientes, como asaltos de ejecución de código, fuga de información, dental-of-service y obtención de métodos de bypass de autenticación.
Dos vulnerabilidades destacaron entre el resto debido a un grado de seguridad CVSS de 9,8 y por ser problemas de corrupción de memoria. CVE-2018-1160 expone a los routers a ataques de ejecución de código por parte de atacantes no autorizados que intentan aprovecharse de esta vulnerabilidad para ejecutar ataques de código. La segunda vulnerabilidad es CVE-2022-26376, que es una vulnerabilidad de memoria en httpd de Asuswrt. Los actores de amenazas podrían formatear una petición HTTP estratégicamente, llevando a un ataque de corrupción de memoria. Asus aconseja a los clientes que actualicen al firmware más reciente o desactiven los routers infectados.
No es la primera vez que Asus sufre una vulnerabilidad de seguridad; los siguientes routers WiFi se han visto afectados en el pasado: Asus GT6, GT-AXE16000, GT-AX11000 PRO, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT-AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 y TUF-AX5400.
(Fuente: SecurityWeek)
Con la reciente toma de posesión de los chatbots de IA, muchas organizaciones están incorporando este software a sus proyectos cotidianos u operativos. En el transcurso de casi un año (de junio de 2022 a mayo de 2023), los ciberatacantes fueron capaces de comprometer más de 100.000 credenciales de cuentas en este bot de IA. ChatGBT está configurado para guardar toda la información de todas las conversaciones, lo que proporciona a los actores de amenazas una base de datos más grande con la que trabajar. La información violada fue identificada en la dark web este mes debido a un aumento en el número de registros de robo de información a la venta. Los tres ladrones maliciosos responsables son Raccoon (78.000 registros), Vidar (unos 13.000) y Redline (con aproximadamente 7.000).
Asia-Pacífico, Oriente Medio y África, Europa, Latinoamérica y Norteamérica son las regiones con más registros de cuentas vulnerados y a la venta. Esta nueva campaña se deriva de una campaña en curso en la que los atacantes utilizan contenido para adultos atractivo de una versión alterada de AsyncRAT, conocida como DCRat. Se ha afirmado que los usuarios comprometidos han descargado archivos utilizando una nueva versión de VBScript apodada GuLoader. Este nuevo spyware captura los scripts de los usuarios y los convierte en scripts PowerShell cifrados que luego se ejecutan en su aplicación web.
Los ladrones de información están aumentando entre todos los actores de amenazas, ya que se han vuelto más hábiles. Pueden hacerse fácilmente con las contraseñas y la información financiera de los usuarios recopilando información de sus navegadores de Internet y complementos de criptomoneda. La información obtenida se vende en la dark web con la esperanza de que otros delincuentes la utilicen para sus campañas. Los investigadores aconsejan a los usuarios que activen la autenticación de dos factores en sus cuentas con la esperanza de evitar que más cuentas se vean comprometidas.
(Fuente: TheHackerNews)
La Operación Triangulación se dirige a empleados de alto nivel que utilizan iPhones de Apple, con un mensaje malicioso que contiene una vulnerabilidad de ejecución remota de código. El código contiene una función que permite a los atacantes hacerse con el control de los dispositivos atacados. Sin embargo, si los usuarios no reinician su dispositivo, el programa espía se desinstala automáticamente al cabo de 30 días. Entonces, los atacantes deben instalar de nuevo el programa espía para infectar el dispositivo objetivo.
TriangleDB interactúa con su servidor de mando y control a través de la biblioteca Protbuf para la transmisión de datos. Los mensajes se cifran mediante algoritmos de cifrado simétricos y asimétricos como 3DES y RSA. Kaspersky, el primero en detectar este malware, descubrió 24 comandos relacionados con la interacción de archivos y procesos, volcados de llaveros, seguimiento de geolocalización y ejecución de módulos adicionales de ejecutables en formato de archivo objeto Mach. Este software malicioso examina atentamente las modificaciones de las carpetas en busca de actualizaciones recientes y detecta los archivos que deben ser exfiltrados. Kaspersky descubrió que quienquiera que esté detrás de la operación TriangleDB está ahora apuntando a Macbooks con una operación muy similar.
(Fuente: SecurityWeek)
