Signal Did NOT Get Hacked

Seytonic

21 Oct 202309:26

Summary

TLDREn este video, se exploran diversas amenazas cibernéticas, comenzando con un rumor sobre una vulnerabilidad crítica en Signal, que resultó ser falso. También se trata el spyware camuflado como una app de alertas de cohetes en Israel, una filtración de datos de Colonial Pipeline que no fue tan grave como se informó, y un exploit en WinRAR usado por hackers patrocinados por el estado para el espionaje cibernético. Finalmente, se aborda cómo grupos de hackers rusos y chinos han explotado vulnerabilidades para robar información y ejecutar ataques de phishing, todo dentro del contexto de la creciente amenaza de ciberseguridad global.

Takeaways

😀 Vulnerabilidad crítica en Signal permite que los hackers tomen control del teléfono solo enviando un enlace malicioso, pero los rumores sobre este exploit fueron desmentidos por el equipo de Signal.
😀 Aunque la vulnerabilidad en Signal resultó ser falsa, sigue siendo un objetivo lucrativo para los ciberdelincuentes, ya que se ofrecen millones por encontrar fallos de ejecución remota.
😀 Una aplicación de alerta de cohetes en Israel fue clonada por ciberdelincuentes para robar datos sensibles, incluyendo registros de llamadas, SMS y detalles de la cuenta de Google.
😀 La app falsa de alerta de cohetes tiene un funcionamiento legítimo, lo que hace que el spyware pase desapercibido, pero sus intenciones maliciosas son claras al robar datos y enviarlos a un servidor controlado por los atacantes.
😀 Un grupo de ciberdelincuentes, ‘Ransomed.vc’, reclamó haber hackeado el Colonial Pipeline, pero la compañía negó las afirmaciones y se descubrió que solo robaron algunos datos sin causar daños importantes.
😀 El robo de datos del Colonial Pipeline incluye información sobre contratos y empleados de una empresa consultora asociada, pero no pone en peligro la infraestructura del pipeline como el ataque anterior en 2021.
😀 Los hackers patrocinados por los estados ruso y chino han estado explotando una vulnerabilidad en WinRAR para espionaje cibernético internacional, aprovechando archivos comprimidos con un espacio al final del nombre del archivo.
😀 La vulnerabilidad de WinRAR, aunque corregida, sigue afectando a muchos usuarios porque el programa no se actualiza automáticamente, lo que permite que los atacantes ejecuten código malicioso al abrir archivos aparentemente inocentes.
😀 Los hackers rusos del grupo SANDWORM han utilizado esta vulnerabilidad para lanzar campañas de phishing, donde engañan a las víctimas para que abran archivos PDF infectados con un infostealer llamado ‘RHADAMANTHYS’.
😀 El grupo chino ISLANDDREAMS también ha explotado la vulnerabilidad de WinRAR, utilizando un archivo de factura falso en una campaña de phishing dirigida a una organización en Papúa Nueva Guinea, descargando malware en el sistema de la víctima.
😀 Los ciberdelincuentes continúan buscando vulnerabilidades en aplicaciones y software populares, con el objetivo de robar información sensible y utilizarla para futuros ataques o espionaje, como se demuestra en la reciente actividad de los grupos patrocinados por gobiernos.

Q & A

¿Qué vulnerabilidad crítica se discutió en relación con la aplicación Signal?
-La vulnerabilidad en Signal permitía a los atacantes tomar control del teléfono de una persona solo enviando un enlace malicioso. Se aprovechaba de la función 'Generar vistas previas de enlace' en Signal, la cual cargaba imágenes especialmente diseñadas con código malicioso que podía comprometer el dispositivo.
¿Cuál era la fuente de los rumores sobre la vulnerabilidad en Signal?
-Los rumores sobre la vulnerabilidad en Signal surgieron de una fuente anónima vinculada al gobierno de EE. UU. Sin embargo, Signal investigó el asunto y afirmó que no había evidencia de que la vulnerabilidad fuera real.
¿Qué grupo está ofreciendo una recompensa por encontrar una vulnerabilidad en Signal?
-El grupo ruso 'opzero' está ofreciendo una recompensa de 1.5 millones de dólares a quien encuentre una vulnerabilidad de ejecución remota de código en la aplicación Signal.
¿Cómo ha sido abusado el uso de aplicaciones de alerta de cohetes en Israel?
-Se ha identificado un caso en el que un grupo de cibercriminales creó una aplicación falsa de alerta de cohetes que recopilaba datos personales del dispositivo, como registros de llamadas y mensajes SMS, y los enviaba a un servidor controlado por los atacantes.
¿Qué hacían las aplicaciones falsas de alerta de cohetes en Israel además de alertar sobre cohetes?
-Además de alertar sobre cohetes, estas aplicaciones maliciosas robaban datos del dispositivo de la víctima, como el registro de llamadas, los SMS, contactos y hasta el número IMEI, sin que el usuario lo supiera.
¿Qué ocurrió con la reciente afirmación de los ciberdelincuentes sobre el hackeo de Colonial Pipeline?
-El grupo 'Ransomed.vc' afirmó haber hackeado Colonial Pipeline, pero rápidamente se descubrió que no habían tomado el control de los sistemas del pipeline ni habían cifrado datos, sino que solo robaron archivos de una empresa consultora asociada.
¿Qué método de ataque usaron los hackers respaldados por el estado ruso en relación con WinRAR?
-Los hackers rusos explotaron una vulnerabilidad en WinRAR que permitía ejecutar scripts maliciosos al abrir archivos comprimidos que contenían nombres de archivo con espacios al final. Esto permitía ejecutar scripts en segundo plano cuando se abrían archivos aparentemente inofensivos.
¿Qué software malicioso fue distribuido a través de la vulnerabilidad de WinRAR y qué hacía?
-El software malicioso distribuido a través de la vulnerabilidad de WinRAR se llama 'RHADAMANTHYS', un infostealer que roba credenciales de varios programas, incluyendo navegadores poco comunes como K-meleon o Pale Moon.
¿Cómo se distribuyó el malware de 'RHADAMANTHYS' en un ataque de phishing dirigido a Ucrania?
-El malware 'RHADAMANTHYS' fue distribuido a través de una campaña de phishing en la que se enviaron correos electrónicos falsos relacionados con una escuela de drones ucraniana, y se adjuntaron archivos ZIP que contenían un archivo PDF malicioso que activaba un script para descargar el infostealer.
¿Qué hizo el grupo chino ISLANDDREAMS durante su campaña de phishing?
-El grupo chino ISLANDDREAMS llevó a cabo una campaña de phishing enviando correos electrónicos con una factura falsa. Al abrir el archivo adjunto, se activaba un script Powershell que descargaba un archivo DLL malicioso, lo que permitía a los atacantes acceder de forma persistente al sistema de la víctima.