Pequeño resumen Infosec La Dirección de Señales de Australia (ASD) advirtió el viernes pasado que los atacantes están instalando un implante llamado «BADCANDY» en dispositivos Cisco IOS XE sin parches y pueden detectar la eliminación de sus productos y reinstalar su malware.
El aviso de la ASD dice que actores desconocidos buscan dispositivos Cisco susceptibles a CVE-2023-20198, un error de 2018 clasificado 10.0 en la escala CVSS que permite a los atacantes explotar la función de interfaz de usuario web en el software IOS XE de Cisco y tomar el control de un sistema. El defecto es uno de los favoritos de la famosa pandilla Salt Typhoon.
Reiniciar un dispositivo infectado elimina BADCANDY, dice el ASD, pero advierte que «el reinicio no revertirá las acciones adicionales tomadas por el actor de la amenaza y no remediará la vulnerabilidad inicial explotada para obtener acceso».
Peor aún, reiniciar puede alertar a los atacantes de que necesitan piratear más.
«ASD cree que los actores son capaces de detectar cuándo se retira el implante BADCANDY y están volviendo a explotar los dispositivos», afirma el aviso. «Esto resalta aún más la necesidad de aplicar parches contra CVE-2023-20198 para evitar la reexplotación». -Simon Sharwood
Ejecutivo de contratista de defensa admite haber vendido herramientas cibernéticas a Rusia
Un ex ejecutivo de un contratista de defensa se declaró culpable de vender hazañas secretas a una empresa rusa que hace negocios con el Kremlin.
Peter Williams, un ciudadano australiano que trabaja en Washington, DC como gerente general de la filial cibernética del contratista de defensa L3Harris, Trenchant, admitió la semana pasada dos cargos de robo de secretos comerciales después de haber sido arrestado y acusado una semana antes.
Según el Departamento de Justicia, Williams vendió software centrado en la seguridad nacional a un intermediario ruso anónimo de herramientas cibernéticas que incluía al menos ocho «componentes de ciberexplotación sensibles y protegidos» que estaban destinados exclusivamente a la venta al gobierno de Estados Unidos y a unos pocos aliados selectos.
Williams fue lo suficientemente arrogante como para celebrar contratos escritos con su cómplice ruso, quien prometió hasta 4 millones de dólares en criptomonedas por los secretos robados, además de apoyo continuo para el uso ruso de los exploits apropiados indebidamente. Los documentos judiciales sugieren que recibió pagos de alrededor de 1,3 millones de dólares por sus crímenes, suficiente para comprar una serie de costosos relojes, bolsos, joyas y ropa, así como una casa en Washington, DC, todo lo cual acordó entregar al gobierno de Estados Unidos.
Cada uno de los cargos que enfrenta Williams conlleva una sentencia máxima de diez años. Los documentos judiciales sugieren que el Departamento de Justicia quiere que Williams pase 11 años y tres meses en prisión.
El Departamento de Justicia citó la cooperación de Williams una vez que fue capturado como el motivo de la sentencia recomendada, a pesar de que pasó meses trabajando junto a investigadores internos de Trenchant que investigaban el robo y continuaron vendiendo secretos a los rusos después de que la compañía supiera que alguien se estaba escapando con software relacionado con la seguridad nacional.
El estado-nación probablemente esté detrás del ataque a la cadena de suministro en Omnissa
Palo Alto Networks advierte sobre una nueva cepa peligrosa de malware de Windows que sospecha que está siendo utilizada por un actor de estado-nación para crear un canal de comando y control dentro de la suite de publicación de aplicaciones y administración de terminales Workspace ONE de Omnissa (anteriormente VMware).
Apodado Airstalk por el nombre anterior del software (AirWatch API para MDM), Palo Alto dijo que los atacantes están usando la API para filtrar cookies, historiales de navegación y marcadores de Chrome, así como para tomar capturas de pantalla en vivo de los dispositivos infectados.
Palo Alto encontró variantes Powershell y .NET del malware y dice que ambas pueden evadir la detección, pero la versión .NET es más sofisticada.
Palo Alto no detalló cómo los autores del malware distribuyen su código maligno. Al momento de escribir este artículo, los avisos de seguridad de Omnissa no mencionan un parche para este problema.
Google decide que Chrome siempre debería advertirte sobre HTTP
Con el estancamiento de la adopción de HTTPS en alrededor del 95 por ciento, Google ha decidido que el navegador más popular del mundo siempre debería advertir a las personas cuando los sitios requieran conexiones HTTP inseguras.
A partir del próximo octubre con Chrome 154 (sí, tienes un año para prepararte para esto), la configuración Usar siempre conexiones seguras de Chrome estará activada de forma predeterminada, lo que significa que la primera vez que un usuario visita una página HTTP antigua, incluso como un salto rápido entre conexiones seguras, el navegador les advertirá y les preguntará si quieren continuar.
«Hoy en día, muchas conexiones HTTP de texto sin formato son completamente invisibles para los usuarios, ya que los sitios HTTP pueden redirigir inmediatamente a sitios HTTPS», dijo Google en su actualización. «Las navegaciones HTTP siguen siendo algo habitual para la mayoría de los usuarios de Chrome».
Google admite que esto agregará un poco de fricción a los usuarios de Chrome, pero la compañía siente que es por una buena causa.
Por supuesto, debido a que esta es una configuración predeterminada, no es necesario aceptar el nuevo Chrome normal cuando llegue dentro de un año; simplemente desactívelo si prefiere navegar peligrosamente.
No, LastPass no comprueba si estás muerto
Si eres usuario del administrador de contraseñas LastPass y recibes un correo electrónico pidiéndote que confirmes que no estás muerto, no caigas en esta nueva campaña de phishing.
LastPass ha advertido a los usuarios sobre el phishing que aparece en forma de mensaje que informa a los usuarios que alguien de su familia ha enviado un certificado de defunción para obtener acceso a su cuenta. El correo electrónico solicita a los usuarios que envíen una prueba de vida en forma de un inicio de sesión que, naturalmente, dirige a los usuarios a un dominio de phishing en lugar de a una URL real de LastPass.
LastPass dijo que el grupo detrás de estos correos electrónicos parece estar buscando credenciales de cuentas de criptomonedas almacenadas en las bóvedas de sus usuarios, y no es la primera vez que el mismo grupo se dirige a los usuarios de LastPass. El sitio de phishing inicial detrás de la campaña ha caído, dijo la compañía, pero eso generalmente no es suficiente para finalizar una campaña, así que esté atento a un mensaje de «¿Estás muerto?». mensaje – y borrarlo.
Asegure sus chats de WhatsApp con una clave de acceso
La aplicación de chat cifrado de Meta, WhatsApp, se utiliza para muchas comunicaciones confidenciales que merecen ser preservadas y, por lo tanto, el servicio de chat de Zuck ofrece cifrado de archivos de respaldo almacenados en la nube, protegidos por una contraseña o clave de cifrado para almacenar esos secretos.
Ahora, Meta permitirá a los usuarios proteger las copias de seguridad con una clave biométrica.
«Las claves de acceso le permitirán utilizar su huella digital, su rostro o su código de bloqueo de pantalla para cifrar sus copias de seguridad de chat en lugar de tener que memorizar una contraseña o una engorrosa clave de cifrado de 64 dígitos», señaló el equipo de WhatsApp en una publicación de blog la semana pasada.
La nueva función se implementará gradualmente para los usuarios durante las próximas «semanas y meses», dijo WhatsApp. Para cambiar de una contraseña a una clave, abra WhatsApp y navegue hasta Configuración > Chats > Copia de seguridad del chat > Copia de seguridad cifrada de extremo a extremo y siga las instrucciones en pantalla. ®
