Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Vulnerabilidad de SimpleHelp explotada para desplegar TaskWeaver Loader


Se ha detectado que una vulnerabilidad crítica de omisión de autenticación en el software de monitoreo y gestión remota SimpleHelp (RMM) está siendo explotada activamente. Esta falla permite a los atacantes desplegar malware avanzado, específicamente el cargador TaskWeaver y la herramienta de robo de información Djinn Stealer



Una vulnerabilidad crítica de omisión de autenticación en el software de Monitoreo y Gestión Remota (RMM) de SimpleHelp está siendo explotada activamente.

Esto permite que los atacantes desplieguen malware avanzado, incluyendo un cargador recientemente identificado, TaskWeaver, y una herramienta de robo de información, Djinn Stealer.

Investigadores de seguridad del Adversary Pursuit Group (APG) de Blackpoint confirmaron que la cadena de intrusión comienza con la explotación de CVE-2026-48558.

Este fallo afecta al proceso de autenticación OpenID Connect (OIDC), permitiendo a los atacantes saltarse la autenticación mediante el envío de tokens de identidad falsificados que carecen de una validación de firma adecuada.

Explotación del fallo de omisión de autenticación de SimpleHelp

Como resultado, los actores de amenazas pueden obtener acceso no autorizado de nivel técnico a servidores de SimpleHelp expuestos. Una vez dentro, los atacantes aprovechan el entorno de confianza de RMM para ejecutar acciones maliciosas que parecen legítimas.

En los ataques observados, los adversarios utilizaron las capacidades integradas de SimpleHelp para transferir archivos y ejecutar comandos remotamente en los sistemas gestionados, aumentando significativamente el radio de impacto.

A log entry showing the malicious authentication through the OIDC bypass (source : blackpointcyber )
Una entrada de registro que muestra la autenticación maliciosa a través de la omisión de OIDC (fuente: Blackpointcyber)

El payload inicial desplegado es TaskWeaver, un cargador basado en Node.js fuertemente ofuscado y disfrazado de un archivo inofensivo llamado jquery.js.

A pesar de su nombre, el archivo no está relacionado con la biblioteca legítima jQuery. Se ejecuta a través de node.exe y actúa como un mecanismo de entrega flexible en lugar de un payload de malware tradicional.

TaskWeaver establece una comunicación cifrada con la infraestructura controlada por el atacante y recupera dinámicamente payloads adicionales.

Utiliza una combinación de cifrado AES-256-GCM y RSA-2048 para asegurar su tráfico de comando y control (C2), lo que dificulta su detección y análisis.

En lugar de incrustar comandos fijos, TaskWeaver opera como un cargador modular que puede ejecutar payloads de JavaScript arbitrarios, permitiendo efectivamente a los atacantes adaptar sus operaciones en tiempo real.

Node.js runtime being dropped, then used to download and run TaskWeaver (source : blackpointcyber )
Entorno de ejecución de Node.js siendo descargado, y luego utilizado para bajar y ejecutar TaskWeaver (fuente: Blackpointcyber)

El payload de segunda etapa identificado en esta campaña es Djinn Stealer, un ladrón de información multiplataforma dirigido a sistemas Windows, macOS y Linux.

Djinn está diseñado para recolectar una amplia gama de datos sensibles, incluyendo: credenciales de servicios en la nube (AWS, Azure, Google Cloud), tokens de control de fuentes y de desarrollador (GitHub, configuraciones de Git).

Credenciales de registros de paquetes (npm, PyPI, Maven), secretos de infraestructura y claves SSH, datos del navegador y tokens de sesión, billeteras de criptomonedas y credenciales de herramientas de desarrollo de IA.

Notablemente, el robo de tokens de asistentes de IA presenta un riesgo significativo. Estos tokens a menudo otorgan acceso a repositorios, bases de datos y entornos de nube.

Djinn Stealer collection rules for AI development tools (source : blackpointcyber )
Reglas de recolección de Djinn Stealer para herramientas de desarrollo de IA (fuente: Blackpointcyber)

Los atacantes pueden heredar los mismos permisos otorgados a las herramientas de IA, extendiendo la vulnerabilidad mucho más allá del sistema inicialmente infectado. El ataque demuestra cómo una sola omisión de autenticación puede desencadenar una brecha a gran escala.

Al abusar de una plataforma RMM de confianza, los atacantes obtienen acceso centralizado a múltiples endpoints y entornos de clientes, particularmente en escenarios de proveedores de servicios gestionados (MSP).

Los indicadores de compromiso (IoCs) asociados con esta campaña incluyen la ejecución sospechosa de Node.js (node.exe ejecutando jquery.js), conexiones a dominios trycloudflare y comunicación C2 con dominios similares como variantes de dev-tunnels.

Djinn Stealer también genera archivos de reconocimiento, como env.json y processList.txt, durante su ejecución.

Indicadores de Compromiso (IoCs)

CategoríaIndicadorValor
ArchivoTaskWeaverjquery.js

TaskWeaver SHA-25600cc86d1144020c24c8fbb3a8dc6b908926497ebd23be3bf854360f93d1c8f4c

Djinn Stealerupload

Djinn Stealer SHA-256*f4a72600a3735c2a4d843875ea61bbb6f935a1af51a81f2fbc992ce11ba94afc
RedStaging del cargador*.trycloudflare[.]com

TaskWeaver C2a[.]dev-tunnels[.]com

TaskWeaver URIPOST /api/<base64url>.<base64url>.<base64url>

Exfiltración Djinn Stealer96[.]126[.]130[.]126:58942

User-Agenttelemetry-client/1.0
Host y ComportamientoEjecuciónnode.exe <ruta>\jquery.js

Artefactos de reconocimientoprocessList.txt, linux-process-env.json, env.json, telemetry.json, user-dirs.txt

Nota: Las direcciones IP y los dominios han sido "desactivados" intencionalmente (por ejemplo, [.]) para evitar la resolución accidental o el hipervínculo. Actívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.

Tras los informes de explotación activa, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha añadido el CVE-2026-48558 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), enfatizando la urgencia de la remediación.

Blackpoint APG recomienda parchear inmediatamente SimpleHelp, restringir la exposición a internet, aplicar una autenticación fuerte y rotar las credenciales potencialmente expuestas.

Tú y tu organización deberían tratar cualquier credencial accesible desde sistemas comprometidos como totalmente comprometida. Esta campaña resalta una tendencia creciente en los ciberataques donde el acceso inicial es solo el primer paso.

El objetivo real es robar credenciales y tokens que permitan un acceso persistente y posterior en plataformas de nube, tuberías de desarrollo e infraestructura empresarial.



Fuentes:
https://cybersecuritynews.com/simplehelp-authentication-bypass-vulnerability-exploited/



0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.