1. Principales Vulnerabilidades y Filtraciones de la semana

2. La Agencia Tributaria permite desgravarte estas tres ciberestafas en la Renta 2025

3. HoleLazarus ataca a seis empresas surcoreanas a través de Cross EX, fallos de Innorix y malware ThreatNeedle

4. Aprovechan una utilidad legítima de Microsoft para distribuir una carga maliciosa DLL

5. Balance de ciberataques de la semana

Principales Vulnerabilidades y Filtraciones de la semana

💥Ejecución RCE en Erlang/OTP SSH Server en múltiples productos de CISCO (Noticia)

CISCO ha publicado un aviso sobre una vulnerabilidad de severidad crítica, donde informan que varios de sus productos emplean Erlang/OTP y, por tanto, son vulnerables al fallo de Erlang/OTP del 16 de abril de 2025 que permite la ejecución no autorizada de código en remoto.

💥Falta de verificación de autorización en NetWeaver Visual Composer de SAP (Noticia)

SAP ha publicado una nota de seguridad para comunicar la existencia de una vulnerabilidad 0day de severidad crítica que podría permitir a un atacante, no autenticado, explotar la vulnerabilidad para obtener el control total de los sistemas SAP. Se tiene constancia de que dicha vulnerabilidad está siendo explotada de forma activa mediante ransomware.

💥Actualizaciones críticas en Oracle (Noticia)

Esta actualización resuelve 378 vulnerabilidades, algunas de las cuales son críticas. Esta actualización de parches críticos contiene 17 nuevos parches de seguridad para productos de bases de datos Oracle.

💥WooCommerce falsos parches de seguridad que secuestran webs (Noticia)

Una campaña de phishing a gran escala se dirige a los usuarios de WooCommerce con una falsa alerta de seguridad que les insta a descargar un «parche crítico» que añade una puerta trasera de Wordpress al sitio.

La Agencia Tributaria permite desgravarte estas tres ciberestafas en la Renta 2025

La Agencia Tributaria ha dado un paso sin precedentes al aceptar que ciertos fraudes digitales puedan ser considerados pérdidas patrimoniales y, ende, que algunas ciberestafas sean desgravables en la declaración del IRPF correspondiente al ejercicio 2025.

Esta medida de la Agencia Tributaria reconoce, por tanto, el impacto económico de estas ciberestafas y pueden proporcionar un cierto alivio fiscal a los contribuyentes afectados.

Cuando el contribuyente cae en este engaño y sufre un perjuicio económico, la Agencia Tributaria permite considerar esa pérdida como patrimonial, lo que puede traducirse en una rebaja significativa en la base imponible general del IRPF.

Noticia

HoleLazarus ataca a seis empresas surcoreanas a través de Cross EX, fallos de Innorix y malware ThreatNeedle

Los piratas de Lazarus atacan a seis empresas en un ataque de tipo watering. holeLazarus ataca a seis empresas surcoreanas a través de Cross EX, fallos de Innorix y malware ThreatNeedle. Al menos seis organizaciones de Corea del Sur han sido atacadas por el prolífico grupo Lazarus, vinculado a Corea del Norte, en el marco de una campaña bautizada como Operación SyncHole.

Según un informe de Kaspersky publicado hoy, los objetivos de la actividad eran los sectores de software, TI, finanzas, fabricación de semiconductores y telecomunicaciones de Corea del Sur. Los primeros indicios del ataque se detectaron en noviembre de 2024.

Según los investigadores de seguridad Sojun Ryu y Vasily Berdnikov, la campaña consistió en una «sofisticada combinación de una estrategia de watering hole y la explotación de vulnerabilidades en el software surcoreano». «También se utilizó una vulnerabilidad de un día en Innorix Agent para el movimiento lateral».

Se ha observado que los ataques allanan el camino a variantes de herramientas Lazarus conocidas, como ThreatNeedle, AGAMEMNON, wAgent, SIGNBT y COPPERHEDGE.

Lo que hace que estas intrusiones sean especialmente eficaces es la probable explotación de una vulnerabilidad de seguridad en Cross EX, un software legítimo que prevalece en Corea del Sur para permitir el uso de software de seguridad en la banca en línea y sitios web gubernamentales para apoyar anti-keylogging y firmas digitales basadas en certificados.

Noticia BC | Noticia THN | SecureList

Aprovechan una utilidad legítima de Microsoft para distribuir una carga maliciosa DLL

Aprovechan una utilidad legítima de Microsoft, mavinject.exe, para inyectar DLL maliciosas en sistemas desprevenidos.

Esta utilidad, destinada a inyectar DLL en entornos de virtualización de aplicaciones (App-V), se ha convertido en una herramienta de elección para los ciberatacantes debido a su naturaleza firmada por Microsoft, que la hace parecer benigna para los sistemas de seguridad. El mecanismo de explotación

mavinject.exe facilita la inyección de DLL en procesos en ejecución mediante el uso de varias API de Windows, como OpenProcess, VirtualAllocEx, WriteProcessMemory y CreateRemoteThread.

Noticia GBH | Paper

Balance de ciberataques de la semana

Martes 16 - Martes 22 de abril de 2025

⚠460 ciberataques en 42 países ⚠️

➡El actor de amenazas más activo la semana pasada fue NoName057(16), responsable de 90 ciberataques.

➡️ Polonia es el país más afectado con 72 ciberataques.

➡️El sector gubernamental, militar y de defensa es el más afectado, con un 28.9% de los incidentes y 119 ciberataques.

➡️Ciberataques críticos estimados en 24 (5.2% del total).

➡️Los datos comprometidos ascienden aproximadamente a 33.2 TB.

Datos de los amigos de Hackmanac

Ver historial de Publicaciones