Con especial atención a las aplicaciones móviles y los dispositivos conectados no gestionados, este resumen de amenazas a la ciberseguridad de VMX Labs ha sido elaborado por investigadores de ciberseguridad y científicos de datos de Verimatrix. Incluye enlaces a avisos de amenazas destacadas del último mes, información sobre vulnerabilidades y parches, y enlaces a informes de inteligencia recientes.

Información sobre amenazas

  • Autospill es un nuevo ataque en Android que roba las credenciales de inicio de sesión mientras un gestor de contraseñas rellena automáticamente las credenciales guardadas en la página de inicio de sesión cargada en WebView. WebView es un navegador web integrado en aplicaciones nativas para mostrar páginas web. Garantiza una experiencia de usuario fluida. La mayoría de los gestores de contraseñas de Android son vulnerables a este ataque. Todos los gestores de contraseñas bajo prueba son vulnerables cuando Javascript está habilitado en WebView.
  • BLUFFS (Bluetooth Forward and Future Secrecy Attacks and Defenses) rompe el secreto hacia delante de las sesiones Bluetooth. Se compone de seis ataques diferentes que explotan fallos arquitectónicos independientes del modelo de hardware y de la versión de software. Están afectados varios modelos de smartphones iPhone, Pixel, Mi y Galaxy.
  • Camaleón El troyano bancario Android (ABT) tiene una nueva variante que añade Italia y el Reino Unido a sus objetivos existentes de Australia y Polonia. Esta variante mejorada ha modificado las instrucciones de usuario para eludir manualmente la contramedida de ajustes restringidos de Android 13 y conceder permisos al servicio de accesibilidad para que se pueda abusar de ellos. También implementa un enfoque alternativo para detectar la aplicación en primer plano, que desencadena el ataque de superposición en ausencia de permisos del servicio de Accesibilidad. Chameleon ABT es una amenaza activa que evoluciona con defensas mejoradas.
  • Falso modo de bloqueo investigación demuestra una prueba de concepto técnica de manipulación posterior a la explotación. Permite al malware engañar a las víctimas haciéndoles creer que sus iPhones están en modo de bloqueo.
  • Los agentes maliciosos de ChatGPT pueden exfiltrar datos sensibles en conversaciones a servidores de terceros sin el consentimiento del usuario. OpenAI ya ha implementado una para la aplicación web ChatGPTLas aplicaciones para iOS (y probablemente Android) aún no están parcheadas.
  • Operación Triangulación reveló el último exploit utilizado en la cadena de ataque que espiaba los iPhones de los investigadores de seguridad de Kaspersky. Se trata de una característica de hardware no documentada que proporciona acceso directo a la memoria caché. Aún se desconoce cómo los atacantes descubrieron esta característica.
  • Tríada Smishing grupo es un actor de amenazas de habla china especializado en smishing. En su última campaña, se hacen pasar por la Autoridad Federal de Identidad y Ciudadanía de los Emiratos Árabes Unidos para robar información personal identificable (IPI) y datos de tarjetas de crédito de residentes en los EAU y extranjeros que viven o visitan el país.
  • SpyLoan, una familia de aplicaciones de préstamos maliciosas, ha aumentado en 2023. Estas apps explotan a personas necesitadas con préstamos a alto interés y las espían para chantajearlas y cobrar los fondos. Se trata de un esquema de usurero digital que se dirige a un público más amplio mediante el uso de la tecnología. Dado que es posible acceder a información confidencial de los usuarios a través de aplicaciones móviles, siempre hay aplicaciones implicadas en esta estafa. Algunas de estas aplicaciones incluso se hacen pasar por marcas conocidas de empresas de servicios financieros.
  • Xamalicious es un adware para Android que se ha descargado más de 327.000 veces desde Play Store. Abusa del servicio de Accesibilidad de Android para hacer clic en anuncios y descargar apps sin contenido para el usuario. Está hecho con el framework Xamarin, que aporta otro nivel de ofuscación.

Vulnerabilidades y parches

  • Actualizaciones de seguridad de Android de diciembre (2023-12-01 y 2023-12-05) parchean más de 90 vulnerabilidades, incluidos tres días cero (CVE-2023-33063, CVE-2023-33107 y CVE-2023-33106) explotados activamente. El nivel de parche de seguridad 2023-12-05 o posterior soluciona todos estos problemas.
  • CISA añade cuatro vulnerabilidades a su catálogo de vulnerabilidades explotadas conocidas (CVE-2023-33106, CVE-2023-33107, CVE-2023-33063 y CVE-2022-22071) después de que Qualcomm anunciara información detallada en boletín público de diciembre de 2023. Los parches de los tres primeros zero-days se publicaron para los fabricantes de equipos originales en octubre del año pasado, y la última vulnerabilidad se publicó en mayo de 2022.
  • Las pilas Bluetooth de Android, Linux, MacOS e iOS son vulnerables al ataque de inyección de clave no autenticada en determinadas condiciones. La vulnerabilidad subyacente (CVE-2023-45866) se corrigió en Android parche de seguridad nivel 2023-12-05 y en iOS 17.2 de iOS.
  • 5ghoul es una colección de vulnerabilidades del firmware del módem 5G, de las cuales varias afectan a los módems 5G de Qualcomm y MediaTek. Estas conducen a ataques de denegación de servicio (DoS) y de caída de conexión. 626 modelos de teléfonos inteligentes son vulnerables, y aún no se han divulgado todas las vulnerabilidades.
  • En la versión 16.7.3 de iOS, Apple ha retrocedido las correcciones de dos días cero activamente explotados(CVE-2023-42916 y CVE-2023-42917) a dispositivos más antiguos.

Informes de inteligencia