Open in app

Sign in

Write

Sign in

Ver a versão em português.

Compass —Edición #5

Morphus Cybersecurity
morphusblog-es
7 min readMay 19, 2020

--

Guildma

En agosto de 2019, descubrimos una nueva variante de troyano brasileño Guildma, también conocido como Astaroth. Un caballo de Troya (troyano) término que hace alusión al cuento griego, es cualquier malware que engaña a los usuarios sobre su verdadera intención.

El descubrimiento que hicimos de esta variante incluyó una estrategia innovadora para mantenerse activo, utiliza Facebook y YouTube para obtener una nueva lista de sus servidores C2. Un servidor de comando y control (C&C o C2) es un dispositivo “maestro” que organiza dispositivos infectados con malware y, por lo tanto, ejecuta comandos y recibe informaciones de esos dispositivos.

La lista de servidores C2 era criptografiada y alojada en dos perfiles de Facebook y tres de YouTube, mantenidos y constantemente actualizados por ciberdelincuentes. Hemos notificado a Facebook y YouTube y se han eliminado dichos perfiles.

En ese momento, estábamos frente a la versión 142. En marzo de 2020, ESET publicó un estudio sobre la versión 152, destacando los cambios más notables y, recientemente, Cisco Talos divulgó un estudio detallado sobre dicho troyano.

En la versión 138, Guildma agregó la capacidad de recopilar datos de instituciones (principalmente bancos) fuera de Brasil. En la versión que analizamos (142) identificamos más de 100 bancos en América Latina, pero en la versión 145, estas instituciones fueron eliminadas, centrándose nuevamente solo en Brasil.

Guildma es un troyano tipo information stealer que, además de robar credenciales de instituciones financieras, tiene como objetivo el robo de datos personales, cuentas de e-mail, credenciales de diversos e-commerces y servicios de streaming, entre otros.

Aunque ya hay más de 10 versiones posteriores a la que encontramos en agosto de 2019, no hubo cambios sustanciales en la funcionalidad o distribución. En la versión 142 que descubrimos, la estrategia de distribuir servidores C&C fue a través de los perfiles de YouTube y Facebook. Actualmente, solo se usa YouTube, la misma técnica que usa otro troyano latinoamericano llamado Casbaneiro.

El vector de entrada suele ser un e-mail malicioso, es decir, un correo electrónico falso que se hace pasar por diferentes empresas con diferentes contextos. Al igual que otros malwares. Según Cisco Talos, Guildma también utilizó el tema COVID-19 como cebo para sus víctimas, forjándolo como un correo electrónico del Ministerio de Salud de Brasil.

Constatamos una vez más, que los servicios legítimos como los de Cloudflare, YouTube, Google, entre otros, son utilizados por actores maliciosos, una tendencia que solo tiende a aumentar.

Reforzamos el principio de mínimo privilegio y las campañas de concientización de seguridad. Además de la importancia de comprender verdaderamente la amenaza TTP (tácticas, técnicas y procedimientos).

Microsoft Patch Tuesday

Cada segundo martes de cada mes, Microsoft publica regularmente patches de software (correcciones de errores) para sus productos. Podrá seguir estas correcciones mensualmente a través de nuestro dashboard accesible aquí.

En el patch Tuesday de mayo, fueron corregidas 111 vulnerabilidades, de las cuales 16 son críticas. Según Microsoft, ninguna de estas fue revelada anteriormente o está siendo explotada. En este Patch Tuesday, hay un total de 28 vulnerabilidades con el potencial de ejecución remota de código (RCE), es decir, con la posibilidad de que un atacante ejecute un código malicioso en su propia máquina para atacar un software y/o un sistema Windows que se ejecuta en otra máquina.

Adobe

Adobe ha lanzado 36 patches de seguridad (correcciones) para los softwares Adobe Acrobat y Reader para Windows y macOS y para Adobe DNG Software Development Kit (SDK) para Windows y macOS. De las 36 fallas, 16 se clasifican como críticas, ya que permiten la ejecución de código arbitrario o el desvío de recursos de seguridad. Las actualizaciones de Acrobat y Reader se centran en 24 de 36 vulnerabilidades, las cuales, la mitad se consideran críticas.

Firefox

Mozilla lanzó actualizaciones de seguridad para resolver 11 vulnerabilidades, siendo tres de alta criticidad, en los navegadores web Firefox y Firefox ESR. Firefox ESR, del inglés Extended Support Release es una versión dirigida a instituciones como empresas y universidades que desean ofrecer un navegador personalizado y estandarizado en una amplia gama de dispositivos.

Las fallas afectan a las versiones anteriores a Mozilla Firefox 76.0 y versiones anteriores a Mozilla Firefox ESR 68.8. Un invasor podría aprovechar algunas de esas vulnerabilidades para tomar el control de un sistema afectado.

SAP

SAP de Alemania es una empresa de softwares de gestión de empresas, corrigió en mayo (en su Security Patch Day) 22 de vulnerabilidad en varios de sus productos. De esas vulnerabilidades, seis son críticas en varios de sus productos, con la excepción de una, son explotables de forma remota, no requieren la interacción del usuario y tienen una baja complejidad de ataque.

Palo Alto Networks

Palo Alto Networks es una empresa multinacional estadounidense de ciberseguridad con sede en Santa Clara, California, famosa por su firewall. Informó que corrigió más de 24 vulnerabilidades en PAN-OS. PAN-OS es un software que ronda en los productos de Palo Alto Networks®. Las versiones afectadas del PAN-OS y GlobalProtect App pueden consultarse en el Advisory en conjunto con todos los defectos lanzados.

Si utiliza los softwares anteriormente dichos, le recomendamos que aplique las correcciones lo antes posible.

¿Cuándo comienza realmente la Ley General de Protección de Datos Personales?

El 29 de abril de 2020, el presidente de la República emitió la medida provisoria №959/2020, donde abordó la prorrogación de la entrada de la Ley General de Protección de Datos Personales, LGPD, para el día 3 de mayo de 2021.

Paralelamente, hubo un proyecto de ley de núm. 1.179/2020 que fue inicialmente propuesto por el Senado Federal, donde uno de los temas tratados fue el aplazamiento de la LGPD, pero de manera diferente de lo que había propuesto la Medida Provisional.

La propuesta de los senadores era modificar el art. 65 de la LGPD en dos momentos diferentes: la primera sería que las sanciones contempladas en la Ley iniciarían en agosto de 2021 y los demás artículos, e incluso el inicio de la propia Ley en enero de 2021.

El proyecto de ley fue aprobado por el Senado el día 13 de abril y enviado a la cámara revisora y a la Cámara de Diputados para su análisis y posibles modificaciones.

El 14 de mayo de 2020, casi un mes después de la aprobación del Senado, la Cámara de Diputados la aprobó, pero nuevamente, hubo un cambio en lo que respecta al aplazamiento de la LGPD. Algunos artículos y enmiendas fueron modificados por la Cámara de Diputados, por lo que la PL1.179 regresará al senado para su rechazo o aprobación final. Después, se enviará para sanción presidencial o veto.

Si pensamos a nivel de riesgo estratégico, la demora, la falta de prioridad y de compromiso del gobierno, en relación con el tema que es extremadamente relevante, trae incertidumbre y, principalmente, la posibilidad de un impacto en la imagen de las empresas con una probable e inminente sanción administrativa y financiera.

Siga aquí las escenas de los próximos capítulos de MP959 X PL1179

Lgpd
Morphus
Cybersecurity
Guildma
Malware

--

--

Morphus Cybersecurity
morphusblog-es

Written by Morphus Cybersecurity

11 Followers
Editor for

Há 17 anos, tratando cibersegurança como ciência aplicada.

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams