Con especial atención a las aplicaciones móviles y los dispositivos conectados no gestionados, este resumen de amenazas a la ciberseguridad de VMX Labs ha sido elaborado por investigadores de ciberseguridad y científicos de datos de Verimatrix. Incluye enlaces a avisos de amenazas destacadas del último mes, información sobre vulnerabilidades y parches, y enlaces a informes de inteligencia recientes.

Información sobre amenazas

  • Asalto publicitario Bluetooth es un ataque de denegación de servicio que utiliza sólo un Flipper Zero para enviar ventanas emergentes de alerta de dispositivos Bluetooth falsos a los iPhones de forma continua.. Puede ser utilizado en un escenario de ataque altamente dirigido a detener a alguien de usar su iPhone hasta que él / ella se da cuenta de apagar completamente el Bluetooth.
  • EvilBamboo es una amenaza persistente avanzada (APT) con base en China que suele utilizar tres spywares para Android en sus operaciones: BADBAZAAR, BADSIGNAL y BADSOLAR. Existen pruebas fehacientes de que esta amenaza también puede distribuir aplicaciones iOS maliciosas a sus objetivos a través de la App Store de Apple.
  • Los malvados mods de Telegram son cada vez más utilizados por los ciberdelincuentes para distribuir malware. En el último incidente, los investigadores encontraron spyware en un mod de Telegramdistribuido a través de Google Play Store, que roba los mensajes de las víctimas, los archivos adjuntos en esos mensajes y los contactos.
  • La tríada del smishing es un actor de amenazas de habla china especializado en smishing. En su última campaña utilizan exclusivamente iMessage para robar información personal identificable (IPI) y credenciales de pago de usuarios de iPhone en Estados Unidos. Esto se debe probablemente a la mayor confianza que la gente tiene en el servicio iMessage en comparación con el correo electrónico o los mensajes de texto SMS.
  • Tribu Transparente es una amenaza persistente avanzada (APT) con base en Pakistán que espía CapraRAT para atacar a figuras políticas y militares de la región. de la región. El reciente descubrimiento de dos aplicaciones troyanizadas que se hacían pasar por aplicaciones de YouTube y una por una aplicación de persona de canal de YouTube indica que el actor de la amenaza empezó a atraer a sus objetivos con temas de YouTube.
  • El ataque WiKI-Eve es un novedoso ataque de canal lateral para escuchar las pulsaciones de teclas en la pantalla de un smartphonepor ejemplo, para robar un código mientras la víctima lo introduce en una aplicación de pago móvil. Se basa en una característica moderna de Wi-Fi, la transmisión de texto claro de información de retroalimentación de formación de haces (BFI), entre el smartphone y el punto de acceso para optimizar la eficiencia de transmisión de la señal. En el ataque WiKI-Eve, BFI es monitorizada por otro dispositivo Wi-Fi, y extrae la posición de la antena del smartphone a partir de la BFI en texto claro, que finalmente es procesada y traducida a valores numéricos.
  • Xenomorph El malware bancario para Android se expande a Estados Unidos. Se ha observado que más de 30 aplicaciones bancarias estadounidenses y varias aplicaciones de monederos de criptomonedas se han añadido a la lista de objetivos de la última campaña. Sus principales capacidades de ataque son las superposiciones y un sistema avanzado de transferencia automatizada (ATS) habilitado por el abuso del servicio de accesibilidad.
  • Zanubis Malware bancario para Android ataca a más de 40 bancos y aplicaciones de servicios financieros en Perú. Abusa del servicio de accesibilidad de Android para iniciar el keylogging o la grabación de pantalla para robar las credenciales de los usuarios.

Vulnerabilidades y parches

  • Las actualizaciones de seguridad de Android de septiembre (2023-09-01 y 2023-09-05) parchean 32 vulnerabilidades, incluida una de día cero (CVE-2023-35674) explotada activamente en la naturaleza. El nivel de parche de seguridad 2023-09-05 o posterior soluciona todos estos problemas.
  • BLASTPASSLos investigadores de Citizen Lab han desvelado una cadena de exploits sin necesidad de hacer clic para desplegar el infame spyware Pegasus de NSO Group en iPhones actualizados (iOS 16.6). Apple parcheó los exploits activos CVE-2023-41064 y CVE-2023-41061 en la versión iOS 16.6.1. Aunque el soporte para iOS 15 finalizó hace un año, Apple lanzó la versión versión iOS 15.7.9 para proteger contra esta amenaza.
  • Un fallo crítico (CVE-2023-4863) en la biblioteca WebP, que se cree que está siendo explotada activamente. Se parcheó en una versión de emergencia (versión 1.3.2). Google intentó aumentar la puntuación de gravedad de esta vulnerabilidad de 8,8 a un máximo de 10,0 más tarde. Las aplicaciones móviles creadas con la biblioteca libwebp (por ejemplo, Flutter framework) deberían considerar una actualización de seguridad.
  • El Grupo de Análisis de Amenazas (TAG) de Google y el Citizen Lab descubrieron una cadena de exploits de día cero dirigida a iPhones para desplegar el infame spyware Predator. Todos los problemas (CVE-2023-41991, CVE-2023-41992 y CVE-2023-41993) fueron solucionados por Apple en las versiones iOS 17.0.1 e iOS 16.7.

Informes de inteligencia