Apple está instando a los usuarios que todavía ejecutan una versión obsoleta de iOS a actualizar sus iPhones para protegerlos contra ataques basados ​​en web llevados a cabo a través de potentes kits de exploits como Coruna y DarkSword.

Estos ataques emplean contenido web malicioso para atacar versiones obsoletas de iOS, lo que desencadena una cadena de infección que conduce al robo de datos confidenciales.

«Por ejemplo, si estás usando una versión anterior de iOS y haces clic en un enlace malicioso o visitas un sitio web comprometido, los datos de tu iPhone podrían correr el riesgo de ser robados», Apple dicho en un documento de soporte.

«Investigamos exhaustivamente estos problemas a medida que fueron encontrados y lanzamos actualizaciones de software lo más rápido posible para las versiones más recientes del sistema operativo para abordar las vulnerabilidades e interrumpir dichos ataques».

Los usuarios que ya tienen la última versión del software del iPhone no necesitan realizar ninguna acción. Esto incluye las versiones de iOS 15 a 26, que vienen con correcciones para las diversas fallas de seguridad utilizadas por los kits de exploits. Para otros, Apple recomienda el siguiente curso de acción:

«Mantener su software actualizado es lo más importante que puede hacer para mantener la seguridad de sus productos Apple, y los dispositivos con software actualizado no estaban en riesgo de sufrir estos ataques reportados», señaló Cupertino.

El aviso de Apple llega a raíz de informes recientes sobre dos exploits de iOS que han sido utilizados por múltiples actores de amenazas con diversas motivaciones para robar datos confidenciales de dispositivos comprometidos. Estos kits se entregan a través de un ataque de abrevadero a través de sitios web comprometidos.

iVerify dijo que los descubrimientos muestran que las vulnerabilidades de iOS, de las que alguna vez se abusó para atacar selectivamente a individuos en ataques de software espía móvil patrocinados por el estado, están siendo explotadas a gran escala por otros actores de amenazas.

«La relativa simplicidad de implementación del exploit, junto con su rápida adopción por parte de múltiples actores de amenazas en múltiples países, indica que estas poderosas herramientas ahora están disponibles en el mercado secundario para actores menos sofisticados», Spencer Parker, director de productos de iVerify, dichoy agregó que «la explotación móvil a nivel de estado-nación ahora está disponible para ataques masivos».

«Esto representa un nuevo nivel de escala, lo que hace que los ataques móviles generalizados sean una preocupación crítica e inevitable para todas las empresas. La evidencia confirma que estos exploits son fáciles de reutilizar y reimplementar, lo que hace muy probable que las implementaciones modificadas estén infectando activamente a los usuarios sin parches».

Un nuevo análisis de los asesinos de detección y respuesta de puntos finales (EDR) ha revelado que 54 de ellos aprovechan una técnica conocida como trae tu propio controlador vulnerable (BYOVD) al abusar de un total de 34 controladores vulnerables.

Los programas asesinos de EDR han sido una presencia común en las intrusiones de ransomware, ya que ofrecen una forma para que los afiliados neutralicen el software de seguridad antes de implementar malware de cifrado de archivos. Esto se hace en un intento de evadir la detección.

«Las bandas de ransomware, especialmente aquellas con programas de ransomware como servicio (RaaS), frecuentemente producen nuevas compilaciones de sus cifradores, y garantizar que cada nueva compilación pase desapercibida de manera confiable puede llevar mucho tiempo», dijo el investigador de ESET Jakub Souček. dicho en un informe compartido con The Hacker News.

«Más importante aún, los cifradores son inherentemente muy ruidosos (ya que inherentemente necesitan modificar una gran cantidad de archivos en un período corto); hacer que dicho malware no sea detectado es bastante desafiante».

Los asesinos de EDR actúan como un componente externo especializado que se ejecuta para desactivar los controles de seguridad antes de ejecutar los casilleros, manteniendo así estos últimos simples, estables y fáciles de reconstruir. Eso no quiere decir que no haya habido casos en los que los módulos de ransomware y terminación EDR se hayan fusionado en un solo binario. El ransomware Reynolds es un ejemplo de ello.

La mayoría de los asesinos de EDR dependen de conductores legítimos pero vulnerables para obtener privilegios elevados y lograr sus objetivos. Entre las casi 90 herramientas asesinas de EDR detectadas por la empresa de ciberseguridad eslovaca, más de la mitad utilizan la conocida táctica BYOVD simplemente porque es confiable.

«El objetivo de un Ataque BYOVD es obtener privilegios en modo kernel, a menudo llamado Anillo 0″, Bitdefender explica. «En este nivel, el código tiene acceso ilimitado a la memoria y al hardware del sistema. Dado que un atacante no puede cargar un controlador malicioso no firmado, ‘trae’ un controlador firmado por un proveedor de confianza (como un fabricante de hardware o una versión antigua de antivirus) que tiene una vulnerabilidad conocida».

Armados con el acceso al kernel, los actores de amenazas pueden finalizar procesos EDR, deshabilitar herramientas de seguridad, alterar las devoluciones de llamadas del kernel y socavar las protecciones de los endpoints. El resultado es un abuso del modelo de confianza del conductor de Microsoft para evadir las defensas, aprovechando el hecho de que el conductor vulnerable es legítimo y está firmado.

Los asesinos de EDR basados ​​en BYOVD son desarrollados principalmente por tres tipos de actores de amenazas:

• Grupos cerrados de ransomware como DeadLock y Warlock que no dependen de afiliados
• Los atacantes bifurcan y modifican el código de prueba de concepto existente (por ejemplo, SmilingKiller y TfSysMon-Killer)
• Los ciberdelincuentes comercializan este tipo de herramientas en mercados clandestinos como un servicio (por ejemplo, DemoKiller también conocido como БафометABYSSWORKER y CardSpaceKiller)

ESET dijo que también identificó herramientas basadas en scripts que utilizan comandos administrativos integrados como taskkill, net stop o sc delete para interferir con el funcionamiento normal de los procesos y servicios de los productos de seguridad. También se ha descubierto que determinadas variantes combinan secuencias de comandos con el modo seguro de Windows.

«Dado que el modo seguro carga sólo un subconjunto mínimo del sistema operativo y las soluciones de seguridad normalmente no están incluidas, el malware tiene una mayor probabilidad de desactivar la protección», señaló la compañía. «Al mismo tiempo, esta actividad es muy ruidosa, ya que requiere un reinicio, lo cual es arriesgado y poco confiable en entornos desconocidos. Por lo tanto, rara vez se ve en la naturaleza».

La tercera categoría de asesinos de EDR son los anti-rootkits, que incluyen utilidades legítimas como GMER, HRSword y PC Hunter, que ofrecen una interfaz de usuario intuitiva para finalizar procesos o servicios protegidos. Una cuarta clase emergente es un conjunto de asesinos de EDR sin conductor, como EDRSilencer y EDR-Freeze, que bloquean el tráfico saliente de las soluciones EDR y hacen que los programas entren en un estado similar al de «coma».

«Los atacantes no están poniendo mucho esfuerzo en hacer que sus cifrados no sean detectados», dijo ESET. «Más bien, todas las técnicas sofisticadas de evasión de defensa se han trasladado a los componentes del modo de usuario de los asesinos EDR. Esta tendencia es más visible en los asesinos EDR comerciales, que a menudo incorporan capacidades maduras de antianálisis y antidetección».

Para combatir el ransomware y los asesinos de EDR, bloquear la carga de los controladores comúnmente utilizados indebidamente es un mecanismo de defensa necesario. Sin embargo, dado que los asesinos de EDR se ejecutan solo en la última etapa y justo antes de iniciar el cifrador, una falla en esta etapa significa que el actor de la amenaza puede cambiar fácilmente a otra herramienta para realizar la misma tarea.

La implicación es que las organizaciones necesitan defensas en capas y estrategias de detección para monitorear, marcar, contener y remediar proactivamente la amenaza en cada etapa del ciclo de vida del ataque.

«Los asesinos de EDR perduran porque son baratos, consistentes y están desacoplados del cifrador: una opción perfecta tanto para los desarrolladores de cifrados, que no necesitan concentrarse en hacer que sus cifrados sean indetectables, como para los afiliados, que poseen una utilidad poderosa y fácil de usar para interrumpir las defensas antes del cifrado», dijo ESET.