Microsoft dice que el grupo de hackers ruso 'Midnight Blizzard' accedió recientemente a algunos de sus sistemas internos y repositorios de código fuente utilizando secretos de autenticación robados durante un ciberataque en enero.

En enero, Microsoft reveló que Midnight Blizzard (también conocido como NOBELIUM) había violado los servidores de correo electrónico corporativos después de realizar un ataque de difusión de contraseñas que permitió el acceso a una cuenta de inquilino de prueba heredada que no era de producción.

Una publicación deblog posterior reveló que esta cuenta de prueba no tenía habilitada la autenticación multifactor, lo que permitía a los actores de amenazas obtener acceso para violar los sistemas de Microsoft.

Esta cuenta de inquilino de prueba también tenía acceso a una aplicación OAuth con acceso elevado al entorno corporativo de Microsoft, lo que permitía a los actores de amenazas acceder y robar datos de los buzones corporativos, incluidos los miembros del equipo de liderazgo de Microsoft y los empleados de los departamentos de ciberseguridad y legal.

La compañía cree que los actores de amenazas violaron algunas de estas cuentas de correo electrónico para saber lo que Microsoft sabía sobre ellas.

Midnight Blizzard vuelve a hackear Microsoft

Hoy, Microsoft dice que Midnight Blizzard está utilizando los secretos encontrados en los datos robados para obtener acceso a algunos de los sistemas y repositorios de código fuente de la compañía en las últimas semanas.

"En las últimas semanas, hemos visto evidencia de que Midnight Blizzard está utilizando información inicialmente exfiltrada de nuestros sistemas de correo electrónico corporativo para obtener, o intentar obtener, acceso no autorizado", se lee en una nueva publicación de blog del Centro de Respuesta de Seguridad de Microsoft.

"Esto ha incluido el acceso a algunos de los repositorios de código fuente y sistemas internos de la compañía. Hasta la fecha, no hemos encontrado evidencia de que los sistemas orientados al cliente alojados por Microsoft se hayan visto comprometidos".

Si bien Microsoft no ha explicado con precisión qué incluyen estos "secretos", es probable que sean tokens de autenticación, claves API o credenciales.

Microsoft dice que han comenzado a contactar a los clientes cuyos secretos fueron expuestos a los actores de amenazas en correos electrónicos robados entre ellos y Microsoft.

"Es evidente que Midnight Blizzard está intentando usar secretos de diferentes tipos que ha encontrado. Algunos de estos secretos se compartieron entre los clientes y Microsoft por correo electrónico, y a medida que los descubrimos en nuestro correo electrónico exfiltrado, hemos estado y estamos contactando a estos clientes para ayudarlos a tomar medidas de mitigación", continuó Microsoft.

La compañía dice que Midnight Blizzard también está intensificando sus ataques de difusión de contraseñas contra sistemas específicos, observando un aumento de 10 veces en febrero en comparación con el volumen que vieron en enero de 2024.

Un spray de contraseñas es un tipo de ataque de fuerza bruta en el que los actores de amenazas recopilan una lista de posibles nombres de inicio de sesión y luego intentan iniciar sesión en todos ellos utilizando una larga lista de posibles contraseñas. Si una contraseña falla, repiten este proceso con otras contraseñas hasta que se agoten o vulneren con éxito la cuenta.

Por este motivo, las empresas deben configurar MFA en todas las cuentas para evitar el acceso, incluso si las credenciales se adivinan correctamente.

En una presentación enmendada del Formulario 8-K ante la SEC, Microsoft dice que han aumentado la seguridad en toda su organización para fortalecerla contra los actores de amenazas persistentes avanzadas.

"Hemos aumentado nuestras inversiones en seguridad, la coordinación y movilización entre empresas, y hemos mejorado nuestra capacidad para defendernos y asegurar y fortalecer nuestro entorno contra esta amenaza persistente avanzada", se lee en la presentación de 8-K.

"Continuamos coordinando con las fuerzas del orden federales con respecto a su investigación en curso del actor de amenazas y el incidente".

¿Quién es Midnight Blizzard?

Midnight Blizzard (también conocido como Nobelium, APT29 y Cozy Bear) es un grupo de piratas informáticos patrocinado por el estado vinculado al Servicio de Inteligencia Exterior de Rusia (SVR).

Los piratas informáticos ganaron prominencia después de llevar a cabo el ataque a la cadena de suministro de SolarWinds en 2020, que permitió a los actores de amenazas violar numerosas empresas, incluida Microsoft.

Microsoft confirmó más tarde que el ataque permitió a Midnight Blizzard robar el código fuente de un número limitado de componentes de Azure, Intune y Exchange.

En junio de 2021, el grupo de piratas informáticos volvió a violar una cuenta corporativa de Microsoft, lo que les permitió acceder a herramientas de atención al cliente.

Desde entonces, el grupo de hackers ha sido vinculado a un gran número de ataques de ciberespionaje contra la OTAN y los países de la UE, dirigidos a embajadas y agencias gubernamentales.

Además de llevar a cabo ataques de ciberespionaje y robo de datos, Nobelium es conocido por desarrollar malware personalizado para usar en sus ataques.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Meta ha ofrecido detalles sobre cómo pretende implementar la interoperabilidad en WhatsApp y Messenger con servicios de mensajería de terceros cuando la Ley de Mercados Digitales (DMA) entre en vigor en la Unión Europea.

"Esto permite a los usuarios de proveedores externos que opten por habilitar la interoperabilidad (interoperabilidad) enviar y recibir mensajes con usuarios optados por Messenger o WhatsApp, ambos designados por la Comisión Europea (CE) como obligados a proporcionar interoperabilidad de forma independiente a los servicios de mensajería de terceros", dijo Dick Brouwer de Meta.

La DMA, que entró oficialmente en vigor el 7 de marzo de 2024, exige a las empresas que ocupan puestos de guardián -Apple, Alphabet, Meta, Amazon, Microsoft y ByteDance- que tomen medidas drásticas contra las prácticas anticompetitivas de los actores tecnológicos, nivelen el campo de juego y les obliguen a abrir algunos de sus servicios a los competidores.

Como parte de sus esfuerzos para cumplir con las regulaciones históricas, el gigante de las redes sociales dijo que espera que los proveedores externos utilicen el Protocolo Signal, que se utiliza tanto en WhatsApp como en Messenger para el cifrado de extremo a extremo (E2EE).

Los terceros también están obligados a empaquetar las comunicaciones cifradas en estrofas de mensaje en lenguaje de marcado extensible (XML). En caso de que el mensaje contenga contenido multimedia, los clientes de Meta descargarán una versión encriptada de los servidores de mensajería de terceros mediante un servicio proxy de Meta.

La compañía también está proponiendo lo que se llama un modelo "plug-and-play" que permite a los proveedores externos conectarse a su infraestructura para lograr la interoperabilidad.

"Tomando el ejemplo de WhatsApp, los clientes de terceros se conectarán a los servidores de WhatsApp utilizando nuestro protocolo (basado en el Protocolo Extensible de Mensajería y Presencia – XMPP)", dijo Brouwer.

"El servidor de WhatsApp interactuará con un servidor de terceros a través de HTTP para facilitar una variedad de cosas, incluida la autenticación de usuarios de terceros y las notificaciones automáticas".

Además, los clientes de terceros tienen la obligación de ejecutar una API de alistamiento de WhatsApp cuando optan por su red, además de proporcionar una prueba criptográfica de su propiedad del identificador visible para el usuario de terceros cuando se conectan o un usuario de terceros se registra en WhatsApp o Messenger.

La arquitectura técnica también tiene disposiciones para que un proveedor externo agregue un proxy o un intermediario entre su cliente y el servidor de WhatsApp para proporcionar más información sobre los tipos de contenido que su cliente puede recibir del servidor de WhatsApp.

"El desafío aquí es que WhatsApp ya no tendría conexión directa con ambos clientes y, como resultado, perdería señales de nivel de conexión que son importantes para mantener a los usuarios a salvo del spam y las estafas como las huellas dactilares TCP", señaló Brouwer.

"Este enfoque también expone todos los metadatos del chat al servidor proxy, lo que aumenta la probabilidad de que estos datos se filtren accidental o intencionalmente".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cisco ha lanzado parches para abordar una falla de seguridad de alta gravedad que afecta a su software Secure Client y que podría ser explotada por un actor de amenazas para abrir una sesión VPN con la de un usuario objetivo.

La compañía de equipos de red describió la vulnerabilidad, rastreada como CVE-2024-20337 (puntuación CVSS: 8.2), como una que permite a un atacante remoto no autenticado realizar un ataque de inyección de alimentación de línea de retorno de carro (CRLF) contra un usuario.

Al surgir como resultado de una validación insuficiente de la entrada proporcionada por el usuario, un actor de amenazas podría aprovechar la falla para engañar a un usuario para que haga clic en un enlace especialmente diseñado mientras establece una sesión VPN.

"Un exploit exitoso podría permitir al atacante ejecutar código de script arbitrario en el navegador o acceder a información confidencial basada en el navegador, incluido un token SAML válido", dijo la compañía en un aviso.

"El atacante podría usar el token para establecer una sesión VPN de acceso remoto con los privilegios del usuario afectado. Los hosts y servicios individuales detrás de la cabecera de la VPN aún necesitarían credenciales adicionales para un acceso exitoso".

La vulnerabilidad afecta a Secure Client para Windows, Linux y macOS, y se ha solucionado en las siguientes versiones:

• Antes de 4.10.04065 (no vulnerable)
• 4.10.04065 y posteriores (corregido en 4.10.08025)
• 5.0 (migrar a una versión fija)
• 5.1 (corregido en 5.1.2.42)

Al investigador de seguridad de Amazon, Paulos Yibelo Mesfin, se le atribuye el descubrimiento y la notificación de la falla, y le dijo a The Hacker News que la deficiencia permite a los atacantes acceder a las redes internas locales cuando un objetivo visita un sitio web bajo su control.

Cisco también ha publicado correcciones para CVE-2024-20338 (puntuación CVSS: 7,3), otra falla de alta gravedad en Secure Client for Linux que podría permitir a un atacante local autenticado elevar los privilegios en un dispositivo afectado. Se ha resuelto en la versión 5.1.2.42.

"Un atacante podría explotar esta vulnerabilidad copiando un archivo de biblioteca malicioso a un directorio específico en el sistema de archivos y persuadiendo a un administrador para que reinicie un proceso específico", dijo. "Un exploit exitoso podría permitir al atacante ejecutar código arbitrario en un dispositivo afectado con privilegios de root".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cumpliendo con fidelidad la hoja de ruta marcada aquí llega Ubuntu 22.04.4 LTS, cuarta actualización de mantenimiento de la versión de de soporte extendido en curso y la penúltima que recibirá a lo largo de todo su ciclo de vida, aun cuando todavía tiene por delante años de recorrido. En concreto, hasta 2027 solo con su soporte de serie y hasta 2034 con la suscripción a Ubuntu Pro.

Sea como fuere, estamos a apenas un mes para que le llegue el relevo en la forma de Ubuntu 24.04 LTS, lo cual puede restarle algo de atractivo a la versión que nos ocupa. No debería, pues Ubuntu 22.04.4 LTS se presenta con un acumulado de estabilidad de casi dos años y, como es habitual en la distribución de Canonical, con novedades contantes y sonantes, más allá de recoger correcciones y parches de seguridad.

Las novedades de Ubuntu 22.04 LTS 'Jammy Jellyfish' son las que fueron, incluyendo componentes como GNOME 42, KDE Plasma 5.24 LTS, Xfce 4.16, MATE 1.26 o LXQt 0.17, amén del grueso de los paquetes que componen el sistema; pero hay otros que sí se renuevan, como el kernel Linux 6.5 o la pila gráfica de Mesa 23.2, traídos directamente desde la versión anterior de la distro, Ubuntu 23.10, a través del Hadware Enablement Stack.

Los usuarios que instalaron Ubuntu 22.04 o 22.04.1 tienen -o han tenido- la opción de mantenerse con los componentes base originales, mientras que quienes instalaron o actualizaron Ubuntu 22.04.2 o 22.04.3 han recibido sí o sí estas novedades. La cuestión que uno puede plantearse es ¿vale la pena actualizar o instalar Ubuntu 22.04 a estas alturas, cuando en apenas un mes aparece Ubuntu 24.04? Y la respuesta es... que allá cada cual con sus circunstancias.

En cualquier caso, Jammy Jellyfish aún recibirá una última actualización de mantenimiento (una nueva imagen de instalación actualizada, si se prefiere) hacia finales de este año, Ubuntu 22.04.5 LTS, la cual recogerá el kernel y la pila gráfica de Ubuntu 24.04 LTS. Pero claro, para ese entonces, la propia Ubuntu 24.04 LTS estará en condiciones de asumir a los usuarios de la distribución que saltan de LTS en LTS cuando la estabilidad se ha asentado.

Sin más, a continuación os dejamos con los enlaces para descargar Ubuntu 22.04.4 LTS... y familia, ojo, incluyendo Kubuntu, Xubuntu, Lubuntu, etc., cuyo mantenimiento oficial está más próximo a terminar, pero cuya disponibilidad sigue tal cual. Para más detalles acerca de este lanzamiento, la lista de cambios.

Descarga Ubuntu 22.04.4 LTS

• Ubuntu 22.04.4 LTS
• Kubuntu 22.04.4 LTS
• Xubuntu 22.04.4 LTS
• Ubuntu MATE 22.04.4 LTS
• Ubuntu Budgie 22.04.4 LTS
• Lubuntu 22.04.4 LTS
• Ubuntu Studio 22.04.4 LTS

Por último, el vídeo de presentación oficial de Ubuntu 22.04 LTS con las novedades más destacadas.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) reveló hoy que los atacantes que piratean los dispositivos VPN de Ivanti utilizando una de las múltiples vulnerabilidades explotadas activamente pueden mantener la persistencia de la raíz incluso después de realizar restablecimientos de fábrica.

Además, también pueden evadir la detección de la herramienta de comprobación de integridad (ICT) interna y externa de Ivanti en las pasarelas Ivanti Connect Secure y Policy Secure comprometidas mediante los exploits CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 y CVE-2024-21893.

Las clasificaciones de gravedad de las cuatro vulnerabilidades van de alta a crítica, y pueden explotarse para omitir la autenticación, inyectar comandos, falsificar solicitudes del lado del servidor y ejecutar comandos arbitrarios.

CISA descubrió que Ivanti ICT no detectó el compromiso mientras investigaba múltiples incidentes de piratería que involucraban dispositivos Ivanti pirateados. Esto sucedió porque los shells web que se encontraron en los sistemas no tenían discrepancias de archivos, según ICT de Ivanti.

Además, el análisis forense reveló que los atacantes cubrieron sus huellas sobrescribiendo archivos, pisoteando el tiempo y volviendo a montar la partición de tiempo de ejecución para restaurar el dispositivo comprometido a un "estado limpio".

Esto demuestra que los escaneos de TIC no siempre fueron fiables a la hora de detectar compromisos anteriores y pueden crear una falsa sensación de seguridad de que el dispositivo está libre de cualquier compromiso, según la CISA. Ivanti ha lanzado una herramienta externa actualizada de comprobación de integridad para resolver los problemas de su escáner anterior.

Además, la agencia de ciberseguridad de EE. UU. podría confirmar de forma independiente en un laboratorio de pruebas que se necesita más que las TIC de Ivanti para detectar el compromiso de manera adecuada, ya que los actores de amenazas podrían obtener persistencia a nivel de raíz entre los restablecimientos de fábrica.

"Durante múltiples compromisos de respuesta a incidentes asociados con esta actividad, CISA identificó que las TIC internas y externas anteriores de Ivanti no detectaron el compromiso", advirtió CISA el jueves.

"Además, CISA ha llevado a cabo una investigación independiente en un entorno de laboratorio que valida que las TIC de Ivanti no son suficientes para detectar el compromiso y que un actor de amenazas cibernéticas puede ser capaz de obtener persistencia a nivel de raíz a pesar de emitir restablecimientos de fábrica".

Sin embargo, CISA proporciona a las agencias federales orientación sobre cómo proceder después de descubrir signos de compromiso en los dispositivos VPN de Ivanti en sus redes.

CitarLas organizaciones autoras animan a los defensores de la red a (1) asumir que es probable que las credenciales de usuario y de cuenta de servicio almacenadas en los dispositivos VPN de Ivanti afectados estén comprometidas, (2) buscar actividad maliciosa en sus redes utilizando los métodos de detección e indicadores de compromiso (IOC) de este aviso, (3) ejecutar la ICT externa más reciente de Ivanti y (4) aplicar la guía de aplicación de parches disponible proporcionada por Ivanti a medida que las actualizaciones de versión estén disponibles. Si se detecta un posible riesgo, las organizaciones deben recopilar y analizar registros y artefactos en busca de actividad malintencionada y aplicar las recomendaciones de respuesta a incidentes de este documento informativo. — CISA

CISA: "Considerar el riesgo significativo"

Hoy, en respuesta al aviso de CISA, Ivanti dijo que los atacantes remotos que intenten obtener persistencia de root en un dispositivo Ivanti utilizando el método encontrado por CISA perderían la conexión con el dispositivo Ivanti Connect Secure.

"Ivanti y nuestros socios de seguridad no tienen conocimiento de ningún caso de persistencia exitosa de actores de amenazas después de la implementación de las actualizaciones de seguridad y los restablecimientos de fábrica (hardware) / nueva construcción (virtual) recomendados por Ivanti", dijo Ivanti.

A pesar de las garantías de la compañía, CISA instó hoy a todos los clientes de Ivanti a "considerar el riesgo significativo de acceso y persistencia de los adversarios en las pasarelas Ivanti Connect Secure e Ivanti Policy Secure al determinar si continuar operando estos dispositivos en un entorno empresarial" [énfasis de CISA].

En otras palabras, CISA advierte que es posible que aún no sea seguro usar dispositivos Ivanti Connect Secure e Ivanti Policy Secure previamente comprometidos, incluso después de limpiar y realizar un restablecimiento de fábrica.

El 1 de febrero, en respuesta a la "amenaza sustancial" y al aumento del riesgo de violaciones de seguridad planteadas por los dispositivos VPN de Ivanti pirateados, CISA ordenó a todas las agencias federales que desconectaran todas las instancias de Ivanti Connect Secure e Ivanti Policy Secure de sus redes en un plazo de 48 horas.

Las agencias recibieron el mandato de exportar configuraciones, restablecerlas de fábrica, reconstruirlas utilizando versiones de software parcheadas lanzadas por Ivanti, volver a importar las configuraciones respaldadas y revocar todos los certificados, claves y contraseñas conectados o expuestos para poder volver a poner en línea los dispositivos aislados.

A las agencias federales que encontraron productos Ivanti comprometidos en sus redes se les dijo que asumieran que todas las cuentas de dominio vinculadas estaban comprometidas y deshabilitaran los dispositivos unidos/registrados (en entornos de nube) o realizaran un doble restablecimiento de contraseña para todas las cuentas y revocaran los tickers de Kerberos y los tokens de nube (en configuraciones híbridas).

Los actores de los estados-nación han explotado algunas de las vulnerabilidades de seguridad mencionadas por CISA en el aviso de hoy como días cero antes de ser aprovechadas a mayor escala por una amplia gama de actores de amenazas para eliminar múltiples cepas de malware personalizadas.

Otro día cero de Connect Secure rastreado como CVE-2021-22893 fue utilizado por presuntos grupos de amenazas chinos en 2021 para violar docenas de organizaciones gubernamentales, de defensa y financieras en los Estados Unidos y Europa.

Actualización 29 de febrero a las 19:57 EST: Se ha revisado el artículo y el título para dejar claro que el aviso se refiere a los dispositivos VPN Ivanti Connect Secure e Ivanti Policy Secure.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Investigadores de ciberseguridad han descubierto una nueva variante de Linux de un troyano de acceso remoto (RAT) llamado BIFROSE (también conocido como Bifrost) que utiliza un dominio engañoso que imita a VMware.

"Esta última versión de Bifrost tiene como objetivo eludir las medidas de seguridad y comprometer los sistemas específicos", dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Anmol Maurya y Siddharth Sharma.

BIFROSE es una de las amenazas de larga data que ha estado activa desde 2004. Se ha puesto a la venta en foros clandestinos por hasta 10.000 dólares en el pasado, según un informe de Trend Micro en diciembre de 2015.

El malware ha sido utilizado por un grupo de piratas informáticos respaldado por el estado de China rastreado como BlackTech (también conocido como Circuit Panda, HUAPI, Manga Taurus, Palmerworm, PLEAD, Red Djinn y Temp.Overboard), que tiene un historial de atacar organizaciones en Japón, Taiwán y los EE. UU.

Se sospecha que el actor de amenazas compró el código fuente u obtuvo acceso a él alrededor de 2010, y reutilizó el malware para usarlo en sus propias campañas a través de puertas traseras personalizadas como KIVARS y XBOW.

Las variantes de Linux de BIFROSE (también conocido como ELF_BIFROSE) se han observado desde al menos 2020 con capacidades para iniciar shells remotos, descargar/cargar archivos y realizar operaciones de archivos.

"Los atacantes suelen distribuir Bifrost a través de archivos adjuntos de correo electrónico o sitios web maliciosos", dijeron los investigadores. "Una vez instalado en la computadora de la víctima, Bifrost permite al atacante recopilar información confidencial, como el nombre de host y la dirección IP de la víctima".

Lo que hace que la última variante sea digna de mención es que se comunica con un servidor de comando y control (C2) con el nombre "download.vmfare[.] com" en un intento de hacerse pasar por VMware. El dominio engañoso se resuelve poniéndose en contacto con un solucionador de DNS público con sede en Taiwán con la dirección IP 168.95.1[.] 1.

Unit 42 dijo que detectó un aumento en la actividad de Bifrost desde octubre de 2023, identificando no menos de 104 artefactos en su telemetría. Además, descubrió una versión Arm del malware, lo que sugiere que es probable que los actores de amenazas estén buscando expandir su superficie de ataque.


"Con nuevas variantes que emplean estrategias de dominio engañosas como el typosquatting, un aumento reciente en la actividad de Bifrost destaca la naturaleza peligrosa de este malware", dijeron los investigadores.

El desarrollo se produce cuando McAfee Labs detalló una nueva campaña de GuLoader que propaga el malware a través de archivos adjuntos SVG maliciosos en mensajes de correo electrónico. También se ha observado que el malware se distribuye a través de scripts VBS como parte de una entrega de carga útil de varias etapas.

"Este reciente aumento pone de manifiesto la evolución de sus tácticas para ampliar el alcance y la evasión", dijo Trustwave SpiderLabs en una publicación en X a principios de esta semana.


Los ataques de Bifrost y GuLoader coinciden con el lanzamiento de una nueva versión del RAT de Warzone, que recientemente tuvo a dos de sus operadores arrestados y su infraestructura desmantelada por el gobierno de los EE. UU.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha observado un novedoso kit de phishing que se hace pasar por las páginas de inicio de sesión de conocidos servicios de criptomonedas como parte de un grupo de ataque diseñado para atacar principalmente dispositivos móviles.

"Este kit permite a los atacantes crear copias de las páginas de inicio de sesión único (SSO), y luego usar una combinación de correo electrónico, SMS y phishing de voz para engañar al objetivo para que comparta nombres de usuario, contraseñas, URL de restablecimiento de contraseña e incluso identificaciones con foto de cientos de víctimas, principalmente en los Estados Unidos", dijo Lookout en un informe.

Los objetivos del kit de phishing incluyen empleados de la Comisión Federal de Comunicaciones (FCC), Binance, Coinbase y usuarios de criptomonedas de varias plataformas como Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown y Trezor. Más de 100 víctimas han sido víctimas de phishing con éxito hasta la fecha.

Las páginas de phishing están diseñadas de tal manera que la pantalla de inicio de sesión falsa se muestra solo después de que la víctima complete una prueba de CAPTCHA usando hCaptcha, evitando así que las herramientas de análisis automatizadas marquen los sitios.

En algunos casos, estas páginas se distribuyen a través de llamadas telefónicas y mensajes de texto no solicitados suplantando la identidad del equipo de atención al cliente de una empresa con el pretexto de proteger su cuenta después de un supuesto hackeo.

Una vez que el usuario ingresa sus credenciales, se le pide que proporcione un código de autenticación de dos factores (2FA) o se le pide que "espere" mientras afirma verificar la información proporcionada.

"Es probable que el atacante intente iniciar sesión con estas credenciales en tiempo real, y luego redirija a la víctima a la página apropiada dependiendo de la información adicional solicitada por el servicio MFA al que el atacante está tratando de acceder", dijo Lookout.

El kit de phishing también intenta dar una ilusión de credibilidad al permitir que el operador personalice la página de phishing en tiempo real proporcionando los dos últimos dígitos del número de teléfono real de la víctima y seleccionando si se le debe pedir a la víctima un token de seis o siete dígitos.

La contraseña de un solo uso (OTP) introducida por el usuario es capturada por el actor de amenazas, que la utiliza para iniciar sesión en el servicio en línea deseado utilizando el token proporcionado. En el siguiente paso, la víctima puede ser dirigida a cualquier página de la elección del atacante, incluida la página de inicio de sesión legítima de Okta o una página que muestre mensajes personalizados.

Lookout dijo que la campaña comparte similitudes con la de Scatter Spider, específicamente en su suplantación de Okta y el uso de dominios que han sido previamente identificados como afiliados al grupo.


"A pesar de que las URL y las páginas falsificadas se parecen a lo que Scatter Spider podría crear, hay capacidades significativamente diferentes y una infraestructura C2 dentro del kit de phishing", dijo la compañía. "Este tipo de imitación es común entre los grupos de actores de amenazas, especialmente cuando una serie de tácticas y procedimientos han tenido tanto éxito público".

Actualmente tampoco está claro si se trata del trabajo de un solo actor de amenazas o de una herramienta común utilizada por diferentes grupos.

"La combinación de URL de phishing de alta calidad, páginas de inicio de sesión que coinciden perfectamente con la apariencia de los sitios legítimos, un sentido de urgencia y una conexión constante a través de SMS y llamadas de voz es lo que ha dado a los actores de amenazas tanto éxito en el robo de datos de alta calidad", señaló Lookout.

El desarrollo se produce cuando Fortra reveló que las instituciones financieras en Canadá han estado bajo el objetivo de un nuevo grupo de phishing como servicio (PhaaS) llamado LabHost, superando a su rival Frappo en popularidad en 2023.

Los ataques de phishing de LabHost se llevan a cabo mediante una herramienta de gestión de campañas en tiempo real llamada LabRat que permite organizar un ataque de adversario en el medio (AiTM) y capturar credenciales y códigos 2FA.

También desarrollada por el actor de amenazas es una herramienta de spam por SMS denominada LabSend que proporciona un método automatizado para enviar enlaces a páginas de phishing de LabHost, lo que permite a sus clientes montar campañas de smishing a escala.

"Los servicios de LabHost permiten a los actores de amenazas apuntar a una variedad de instituciones financieras con características que van desde plantillas listas para usar, herramientas de gestión de campañas en tiempo real y señuelos de SMS", dijo la compañía.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha lanzado la actualización acumulativa opcional KB5034843 Preview para Windows 10 22H2 con una experiencia de uso compartido actualizada y otras ocho correcciones o cambios.

Al igual que con todas las nuevas actualizaciones de Windows 10, se trata principalmente de una versión de mantenimiento, y la mayoría de las correcciones de esta actualización están relacionadas con los servicios empresariales, como Azure, Escritorio remoto y Windows Hello para empresas.

Esta KB5034843 versión preliminar de actualización acumulativa es parte de la nueva "versión preliminar opcional no relacionada con la seguridad" de Microsoft que se publica el último martes de cada mes. Esta actualización permite a los administradores de Windows probar las próximas correcciones y características que se lanzarán en el próximo martes de parches obligatorio de marzo.

A diferencia de las actualizaciones acumulativas del martes de parches, las actualizaciones de vista previa no incluyen actualizaciones de seguridad.

Los usuarios de Windows pueden instalar esta actualización yendo a Configuración, haciendo clic en Windows Update y realizando manualmente una 'Búsqueda de actualizaciones'.

Como se trata de una actualización opcional, se le preguntará si desea instalarla haciendo clic en el enlace 'Descargar e instalar', como se muestra en la imagen a continuación.


Después de instalar esta actualización, Windows 10 22H2 se actualizará a la compilación 19045.4123.

Los usuarios de Windows 10 también pueden descargar e instalar manualmente la actualización de vista previa de KB5034843 desde el catálogo de Microsoft Update.

Novedades de Windows 10 KB5034843


Con esta actualización, Microsoft ha introducido nueve correcciones y cambios en Windows 10.

Las correcciones destacadas y las nuevas características de la actualización KB5034843 son:

• Con el uso compartido de Windows, ahora puede compartir directamente URL con aplicaciones como WhatsApp, Gmail, Facebook y LinkedIn. Compartir con X (antes Twitter) llegará pronto.
• Esta actualización afecta a los juegos que instales en una unidad secundaria. Ahora, permanecen instalados en la unidad.
• Esta actualización afecta a la aplicación Copia de seguridad de Windows. Ya no se mostrará en la interfaz de usuario en las regiones donde la aplicación no es compatible. Para obtener más información, consulte KB5032038.

Microsoft también ha corregido dos errores que afectaban a las sesiones de Azure Virtual Desktop.

Por último, Microsoft sigue advirtiendo sobre dos errores de larga data en los que Copilot puede hacer que los iconos cambien entre varios monitores, y Copilot no es compatible actualmente si la barra de tareas se encuentra verticalmente a la izquierda o a la derecha de la pantalla.

Las instrucciones para resolver este problema y una lista completa de correcciones se pueden encontrar en el boletín de soporte técnico de KB5034843.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Brave Software es la próxima compañía en saltar a la IA, anunciando que un nuevo asistente de IA que preserva la privacidad llamado "Leo" se está implementando en la versión de Android de su navegador a través de la última versión, la versión 1.63.

Leo puede realizar una amplia gama de tareas, como resumir páginas web o vídeos, responder preguntas sobre un contenido determinado, traducir páginas, escribir código, crear transcripciones a partir de clips de vídeo o audio y generar contenido escrito.

Invocar al asistente es tan simple como tocar el botón "estrella" cuando las funciones de IA están disponibles. Para el chat en la página, toca el menú de opciones "⋮" y selecciona "Leo" para comenzar.


El servicio se ofrece a través de dos niveles, uno gratuito y uno premium que cuesta $ 14.99 / mes, que tiene límites de tarifa más altos y la capacidad de usarlo en cinco dispositivos distintos en cualquiera de las plataformas compatibles (Windows, macOS, Linux, Android).

Brave dice que su asistente de IA se destaca por su capacidad para proporcionar respuestas relevantes y de alta calidad con menos errores, gracias al aprovechamiento de varios modelos avanzados de lenguaje grande (LLM) como Mixtral 8x7B, Claude Instant y Llama 2 13B, con Mixtral configurado como predeterminado por sus capacidades multilingües y rendimiento superior.

La llegada de las herramientas de IA a los dispositivos móviles está transformando la experiencia del usuario, ofreciendo una comodidad y eficiencia sin precedentes en movimiento.

Sin embargo, esta nueva tecnología trae consigo una mayor preocupación por la privacidad de los datos, ya que estas herramientas a menudo operan continuamente en segundo plano, monitoreando todas las interacciones de los usuarios con el contenido y los servicios.

Brave dice que Leo es fundamentalmente diferente en ese frente, incorporando fuertes salvaguardas que garantizan la privacidad al tiempo que permiten a los usuarios aprovechar el poder de las herramientas de IA.

Estas medidas se resumen de la siguiente manera:

• Los usuarios no tienen que iniciar sesión en una cuenta de Brave para usar Leo (nivel gratuito), por lo que no hay riesgo de creación de perfiles o desanonimización.
• Leo no graba los chats con los usuarios ni los utiliza para el entrenamiento/optimización del modelo.
• Todas las solicitudes de los usuarios se envían mediante proxy a través de un servidor de anonimización, por lo que los ID de usuario y las solicitudes se desacoplan.
• Las respuestas de Leo se borran de los servidores de Brave después de que se generan. Las respuestas que utilizan modelos antrópicos se eliminan después de 30 días.
• No se recopilan ni almacenan identificadores de usuario, como direcciones IP.
• Los usuarios de Leo Premium que necesitan suscribirse reciben tokens anónimos que validan el estado de su cuenta, que no están vinculados a sus datos de pago.

Leo se presentará a los usuarios del navegador Brave en Android a través de un lanzamiento gradual en la versión 1.63. Esto significa que es posible que no esté disponible de inmediato, incluso si ha actualizado a la última versión, pero Brave dice que debería aparecer para todos en unos días.

Brave Leo en iOS (iPhone) estará disponible en las próximas semanas, según el anuncio, por lo que la espera para los usuarios de Apple tampoco será larga.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de ciberseguridad han revelado una nueva técnica de ataque llamada Silver SAML que puede tener éxito incluso en los casos en los que se han aplicado mitigaciones contra los ataques Golden SAML.

Silver SAML "permite la explotación de SAML para lanzar ataques desde un proveedor de identidad como Entra ID contra aplicaciones configuradas para usarlo para la autenticación, como Salesforce", dijeron los investigadores de Semperis, Tomer Nahum y Eric Woodruff, en un informe compartido con The Hacker News.

Golden SAML (abreviatura de Security Assertion Markup Language) fue documentado por primera vez por CyberArk en 2017. El vector de ataque, en pocas palabras, implica el abuso del estándar de autenticación interoperable para suplantar casi cualquier identidad en una organización.

También es similar al ataque Golden Ticket en el sentido de que otorga a los atacantes la capacidad de obtener acceso no autorizado a cualquier servicio de una federación con privilegios y de permanecer persistentes en este entorno de manera sigilosa.

Golden SAML presenta a una federación las ventajas que ofrece Golden Ticket en un entorno Kerberos, desde obtener cualquier tipo de acceso hasta mantener sigilosamente la persistencia", señaló en ese momento el investigador de seguridad Shaked Reiner.

Los ataques en el mundo real que aprovechan el método han sido raros, y el primer uso registrado fue el compromiso de la infraestructura de SolarWinds para obtener acceso administrativo mediante la falsificación de tokens SAML utilizando certificados de firma de tokens SAML comprometidos.

Golden SAML también ha sido utilizado como arma por un actor de amenazas iraní con nombre en clave Peach Sandstorm en una intrusión de marzo de 2023 para acceder a los recursos en la nube de un objetivo sin nombre sin necesidad de contraseña, según reveló Microsoft en septiembre de 2023.


El enfoque más reciente es una versión de Golden SAML que funciona con un proveedor de identidades (IdP) como Microsoft Entra ID (anteriormente Azure Active Directory) y no requiere acceso a los Servicios de federación de Active Directory (AD FS). Se ha evaluado como una amenaza de gravedad moderada para las organizaciones.

"Dentro de Entra ID, Microsoft proporciona un certificado autofirmado para la firma de respuesta SAML", dijeron los investigadores. "Alternativamente, las organizaciones pueden optar por utilizar un certificado generado externamente, como los de Okta. Sin embargo, esa opción introduce un riesgo de seguridad".

"Cualquier atacante que obtenga la clave privada de un certificado generado externamente puede falsificar cualquier respuesta SAML que desee y firmar esa respuesta con la misma clave privada que tiene Entra ID. Con este tipo de respuesta SAML falsificada, el atacante puede acceder a la aplicación, como cualquier usuario".

Tras la divulgación responsable a Microsoft el 2 de enero de 2024, la compañía dijo que el problema no cumple con su estándar de servicio inmediato, pero señaló que tomará las medidas apropiadas según sea necesario para proteger a los clientes.

Si bien no hay evidencia de que Silver SAML haya sido explotado en la naturaleza, las organizaciones deben usar solo certificados autofirmados de Entra ID para fines de firma SAML. Semperis también ha puesto a disposición una prueba de concepto (PoC) denominada SilverSAMLForger para crear respuestas SAML personalizadas.

"Las organizaciones pueden monitorear los registros de auditoría de Entra ID para ver si hay cambios en PreferredTokenSigningKeyThumbprint en ApplicationManagement", dijeron los investigadores.

"Deberá correlacionar esos eventos con los eventos de credenciales de la entidad de servicio que se relacionan con la entidad de servicio. La rotación de certificados expirados es un proceso común, por lo que deberá determinar si los eventos de auditoría son legítimos. La implementación de procesos de control de cambios para documentar la rotación puede ayudar a minimizar la confusión durante los eventos de rotación".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los cazadores de amenazas han descubierto un nuevo malware para Linux llamado GTPDOOR que está diseñado para ser desplegado en redes de telecomunicaciones adyacentes a los intercambios de roaming GPRS (GRX)

El malware es novedoso en el hecho de que aprovecha el protocolo de túnel GPRS (GTP) para las comunicaciones de comando y control (C2).

El roaming GPRS permite a los suscriptores acceder a sus servicios GPRS mientras están fuera del alcance de su red móvil doméstica. Esto se facilita por medio de un GRX que transporta el tráfico itinerante utilizando GTP entre la red móvil terrestre pública (PLMN) visitada y la doméstica.

El investigador de seguridad haxrob, que descubrió dos artefactos GTPDOOR subidos a VirusTotal desde China e Italia, dijo que es probable que la puerta trasera esté vinculada a un conocido actor de amenazas rastreado como LightBasin (también conocido como UNC1945), que fue revelado previamente por CrowdStrike en octubre de 2021 en relación con una serie de ataques dirigidos al sector de las telecomunicaciones para robar información de suscriptores y metadatos de llamadas.


"Cuando se ejecuta, lo primero que hace GTPDOOR es pisotear el nombre del proceso, cambiando su nombre de proceso a '[syslog]', disfrazado de syslog invocado desde el kernel", dijo el investigador. "Suprime las señales de los niños y luego abre un zócalo sin procesar [que] permitirá que el implante reciba mensajes UDP que lleguen a las interfaces de red".

Dicho de otra manera, GTPDOOR permite que un actor de amenazas que ya ha establecido persistencia en la red de intercambio itinerante se ponga en contacto con un host comprometido mediante el envío de mensajes de solicitud de eco GTP-C con una carga maliciosa.

Este mensaje mágico de solicitud de eco GTP-C actúa como un conducto para transmitir un comando que se ejecutará en la máquina infectada y devolver los resultados al host remoto.

GTPDOOR "se puede sondear de forma encubierta desde una red externa para obtener una respuesta mediante el envío de un paquete TCP a cualquier número de puerto", señaló el investigador. "Si el implante está activo, se devuelve un paquete TCP vacío elaborado junto con información sobre si el puerto de destino estaba abierto o respondiendo en el host".

"Este implante parece estar diseñado para asentarse en hosts comprometidos que tocan directamente la red GRX: estos son los sistemas que se comunican con las redes de otros operadores de telecomunicaciones a través de GRX".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Epic Games dijo que no encontró evidencia de un ataque cibernético o robo de datos después de que el grupo de extorsión Mogilevich afirmara haber violado los servidores de la compañía.

"Estamos investigando, pero actualmente no hay evidencia de que estas afirmaciones sean legítimas", dijo Epic Games a BleepingComputer en un comunicado.

"Mogilievich no se ha puesto en contacto con Epic ni ha proporcionado ninguna prueba de la veracidad de estas acusaciones".

Epic Games le dijo a BleepingComputer que inmediatamente comenzaron a investigar el incidente después de ver una captura de pantalla de la página de la web oscura que promocionaba la violación e intentaron ponerse en contacto con el actor de amenazas.

Sin embargo, la compañía nos dijo que nunca recibieron una respuesta de Mogilevich, y que la única información que tenían era de un tuit que publiqué ayer.

Ayer, después de que la noticia de la supuesta violación se difundiera a través de Twitter, hablé con un representante del grupo de extorsión Mogilevich, preguntándole si compartirían pruebas del ataque.


Los actores de amenazas le dijeron a BleepingComputer que estaban vendiendo los datos robados por USD 15,000, pero que solo compartirían muestras con aquellos que mostraran "prueba de fondos", lo que significa que habían demostrado que tenían los activos de criptomonedas disponibles para realizar la compra.

Afirmaron que compartieron muestras de estos datos presuntamente robados con tres personas que mostraron pruebas de fondos.

¿Quién es Mogilevich?

Mogilevich es un grupo de extorsión relativamente nuevo que afirma haber violado numerosas organizaciones, incluido el Departamento de Asuntos Exteriores de Irlanda e Infinity USA.

Sin embargo, a diferencia de otros grupos de extorsión, Mogilevich no comparte muestras de datos robados y afirma que solo está vendiendo directamente a compradores comprobados.

Esta falta de pruebas ha llevado a muchos investigadores de seguridad con los que ha hablado BleepingComputer a creer que los actores de amenazas están intentando estafar a los compradores con datos falsos.

Los actores de amenazas también afirman ser una operación de ransomware como servicio, reclutando a otros piratas informáticos (afiliados) para que trabajen con ellos a cambio de un cifrado de ransomware que funcione y un panel de negociación. Cuando un afiliado lleva a cabo un ataque y se paga un rescate, el afiliado y los operadores dividen el pago en función de los porcentajes negociados.

Sin embargo, en este momento no se han encontrado muestras de ningún encriptador de ransomware que los vincule a ataques de cifrado.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Kali Linux ha lanzado la versión 2024.1, la primera versión de 2024, con cuatro nuevas herramientas, una actualización del tema y cambios en el escritorio.

Kali Linux es una distribución creada para que los profesionales de la ciberseguridad y los hackers éticos realicen pruebas de penetración, auditorías de seguridad e investigaciones contra las redes.

Como es típico de la primera versión del año, el equipo de Kali ha lanzado nuevos elementos visuales, incluidos fondos de pantalla y actualizaciones en el menú de inicio y la pantalla de inicio de sesión.

Cuatro nuevas herramientas en Kali Linux 2024.1

Al igual que con todos los lanzamientos, no sería divertido sin algunas herramientas nuevas con las que jugar.

A continuación se muestran las cuatro nuevas herramientas agregadas en Kali 2024.1:

• blue-hydra - Servicio de detección de dispositivos Bluetooth
• opentaxii - Implementación del servidor TAXII de EclecticIQ
• readpe: herramientas de línea de comandos para manipular archivos de Windows PE
• snort - Sistema flexible de detección de intrusos en la red

Además de las nuevas herramientas, Kali dice que actualizaron la versión del Kernel a la 6.6.

Actualización anual del tema

Como parte de la primera versión del año, el equipo de Kali agrega nuevos elementos visuales a la distro, y este año no es la excepción.

"Este año marca la presentación de nuestro nuevo tema, meticulosamente diseñado para mejorar la experiencia del usuario desde el momento en que se inicia", se lee en el anuncio de Kali.

"Con actualizaciones significativas en el menú de arranque, la pantalla de inicio de sesión y una variedad de fondos de escritorio cautivadores, tanto para nuestras ediciones regulares Kali como Kali Purple".


Esta versión de Kali también viene con dos nuevos fondos de pantalla sugeridos por @arszilla.

"Estas imágenes adicionales se crearon para complementar los colores de fondo de los esquemas de color Nórdico y Drácula", dice el equipo de Kali.

"Para acceder a estos fondos de pantalla, simplemente instale el paquete kali-community-wallpapers, que también ofrece muchos otros fondos impresionantes creados por nuestros colaboradores de la comunidad".

Nuevos cambios en el escritorio

Además de los cambios visuales, el equipo de Kali también ha añadido algunas características nuevas a los escritorios Xfce y Gnome.

Para los usuarios de Xfce que usan Xclip, ahora puede copiar fácilmente su dirección IP VPN en el portapapeles, lo que facilita la administración de sus conexiones VPN.


Para los usuarios de Gnome, el visor de imágenes del ojo del gnomo (eog) ha sido reemplazado por Loupe, y el último administrador de archivos Nautilus trae mejoras de velocidad.

Cómo obtener Kali Linux 2024.1

Para comenzar a usar Kali Linux 2024.1, puede actualizar su instalación existente, seleccionar una plataforma o descargar directamente imágenes ISO para nuevas instalaciones y distribuciones en vivo.

Para aquellos que actualizan desde una versión anterior, puede usar los siguientes comandos para actualizar a la versión más reciente.


Si ejecuta Kali en el Subsistema de Windows para Linux, actualice a WSL2 para obtener una mejor experiencia, incluida la capacidad de usar aplicaciones gráficas.

Puede comprobar la versión de WSL usada por Kali con el comando 'wsl -l -v' en un símbolo del sistema de Windows.

Una vez finalizada la actualización, puede comprobar si la actualización se ha realizado correctamente mediante el siguiente comando:



Puede ver el registro de cambios completo de Kali 2024.1 en el sitio web de Kali.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los usuarios mexicanos han sido objeto de señuelos de phishing con temática fiscal al menos desde noviembre de 2023 para distribuir un malware de Windows previamente indocumentado llamado TimbreStealer.

Cisco Talos, que descubrió la actividad, describió a los autores como hábiles y que el "actor de amenazas ha utilizado previamente tácticas, técnicas y procedimientos (TTP) similares para distribuir un troyano bancario conocido como Mispadu en septiembre de 2023.

Además de emplear sofisticadas técnicas de ofuscación para eludir la detección y garantizar la persistencia, la campaña de phishing hace uso de geofencing para identificar a los usuarios en México, devolviendo un archivo PDF en blanco inocuo en lugar del malicioso si los sitios de carga útil son contactados desde otras ubicaciones.

Algunas de las maniobras evasivas notables incluyen el aprovechamiento de cargadores personalizados y llamadas directas al sistema para eludir el monitoreo convencional de API, además de utilizar Heaven's Gate para ejecutar código de 64 bits dentro de un proceso de 32 bits, un enfoque que también fue adoptado recientemente por HijackLoader.

El malware viene con varios módulos integrados para la orquestación, el descifrado y la protección del binario principal, al tiempo que ejecuta una serie de comprobaciones para determinar si se está ejecutando un entorno sandbox, si el idioma del sistema no es ruso y si la zona horaria está dentro de una región de América Latina.

El módulo orquestador también busca archivos y claves de registro para verificar que la máquina no haya sido infectada previamente, antes de iniciar un componente de instalación de carga útil que muestra un archivo señuelo benigno al usuario, ya que en última instancia desencadena la ejecución de la carga útil principal de TimbreStealer.

La carga útil está diseñada para recopilar una amplia gama de datos, incluida la información de credenciales de diferentes carpetas, los metadatos del sistema y las URL a las que se accede, buscar archivos que coincidan con extensiones específicas y verificar la presencia de software de escritorio remoto.


Cisco Talos dijo que identificó superposiciones con una campaña de spam de Mispadu observada en septiembre de 2023, aunque las industrias objetivo de TimbreStealer son variadas y con un enfoque en los sectores de fabricación y transporte.

La revelación se produce en medio de la aparición de una nueva versión de otro ladrón de información llamado Atomic (también conocido como AMOS), que es capaz de recopilar datos de los sistemas macOS de Apple, como contraseñas de cuentas de usuario locales, credenciales de Mozilla Firefox y navegadores basados en Chromium, información de billeteras criptográficas y archivos de interés, utilizando una combinación inusual de código Python y Apple Script.

"La nueva variante cae y usa un script de Python para mantenerse encubierto", dijo el investigador de Bitdefender Andrei Lapusneanu, señalando que el bloque Apple Script para recopilar archivos confidenciales de la computadora de la víctima exhibe un "nivel significativamente alto de similitud" con la puerta trasera RustDoor.


También sigue la aparición de nuevas familias de malware ladrón como XSSLite, que se lanzó como parte de una competencia de desarrollo de malware organizada por el foro XSS, incluso cuando las cepas existentes como Agent Tesla y Pony (también conocidas como Fareit o Siplog) continuaron utilizándose para el robo de información y la posterior venta en mercados de registros de ladrones como Exodus.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En un nuevo aviso conjunto, las agencias de ciberseguridad e inteligencia de Estados Unidos y otros países están instando a los usuarios de Ubiquiti EdgeRouter a tomar medidas de protección, semanas después de que una botnet compuesta por enrutadores infectados fuera derribada por las fuerzas del orden como parte de una operación con el nombre en clave Dying Ember.

Se dice que la botnet, llamada MooBot, ha sido utilizada por un actor de amenazas vinculado a Rusia conocido como APT28 para facilitar las operaciones cibernéticas encubiertas y lanzar malware personalizado para su posterior explotación. Se sabe que APT28, afiliado a la Dirección Principal del Estado Mayor General de Rusia (GRU), está activo desde al menos 2007.

Los actores de APT28 han "utilizado EdgeRouters comprometidos a nivel mundial para recopilar credenciales, recopilar resúmenes de NTLMv2, proxy de tráfico de red y alojar páginas de destino de spear-phishing y herramientas personalizadas", dijeron las autoridades [PDF].

El uso de EdgeRouters por parte del adversario se remonta a 2022, y los ataques se dirigieron a los sectores aeroespacial y de defensa, educación, energía y servicios públicos, gobiernos, hostelería, fabricación, petróleo y gas, comercio minorista, tecnología y transporte en la República Checa, Italia, Lituania, Jordania, Montenegro, Polonia, Eslovaquia, Turquía, Ucrania, Emiratos Árabes Unidos y Estados Unidos.

Los ataques MooBot consisten en apuntar a enrutadores con credenciales predeterminadas o débiles para implementar troyanos OpenSSH, y APT28 adquiere este acceso para entregar scripts bash y otros binarios ELF para recopilar credenciales, tráfico de red proxy, alojar páginas de phishing y otras herramientas.

Esto incluye scripts de Python para cargar credenciales de cuentas pertenecientes a usuarios de correo web específicos, que se recopilan a través de scripts entre sitios y campañas de spear-phishing de navegador en el navegador (BitB).

APT28 también se ha relacionado con la explotación de CVE-2023-23397 (puntuación CVSS: 9,8), una falla de escalada de privilegios críticos ahora parcheada en Microsoft Outlook que podría permitir el robo de hashes de NT LAN Manager (NTLM) y montar un ataque de retransmisión sin requerir ninguna interacción del usuario.

Otra herramienta en su arsenal de malware es MASEPIE, una puerta trasera de Python capaz de ejecutar comandos arbitrarios en las máquinas de las víctimas utilizando Ubiquiti EdgeRouters comprometidos como infraestructura de comando y control (C2).

"Con el acceso root a los Ubiquiti EdgeRouters comprometidos, los actores de APT28 tienen acceso sin restricciones a los sistemas operativos basados en Linux para instalar herramientas y ofuscar su identidad mientras realizan campañas maliciosas", señalaron las agencias.

Se recomienda a las organizaciones que realicen un restablecimiento de fábrica de hardware de los enrutadores para vaciar los sistemas de archivos de archivos maliciosos, actualizar a la última versión de firmware, cambiar las credenciales predeterminadas e implementar reglas de firewall para evitar la exposición de los servicios de administración remota.

Las revelaciones son una señal de que los piratas informáticos de los estados-nación confían cada vez más en los enrutadores como plataforma de lanzamiento para los ataques, usándolos para crear botnets como VPNFilter, Cyclops Blink y KV-botnet y llevar a cabo sus actividades maliciosas.

El boletín llega un día después de que las naciones de los Cinco Ojos denunciaran a APT29, el grupo de amenazas afiliado al Servicio de Inteligencia Exterior de Rusia (SVR) y la entidad detrás de los ataques a SolarWinds, Microsoft y HPE, por emplear cuentas de servicio y cuentas inactivas para acceder a entornos de nube en organizaciones objetivo.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una campaña masiva de fraude publicitario llamada "SubdoMailing" está utilizando más de 8,000 dominios legítimos de Internet y 13,000 subdominios para enviar hasta cinco millones de correos electrónicos por día para generar ingresos a través de estafas y publicidad maliciosa.

La campaña se llama "SubdoMailing", ya que los actores de amenazas secuestran subdominios abandonados y dominios pertenecientes a empresas conocidas para enviar sus correos electrónicos maliciosos.

Como estos dominios pertenecen a empresas de confianza, obtienen la ventaja de poder eludir los filtros de spam y, en algunos casos, aprovechar las políticas de correo electrónico SPF y DKIM configuradas que indican a las pasarelas de correo electrónico seguras que los correos electrónicos son legítimos y no spam.

Algunas marcas notables que fueron víctimas de esta campaña de secuestro de dominios incluyen MSN, VMware, McAfee, The Economist, Cornell University, CBS, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, PWC, Pearson, Better Business Bureau, Unicef, ACLU, Symantec, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, Marvel y eBay.

Estas marcas de renombre dan involuntariamente legitimidad a los correos electrónicos fraudulentos y los ayudan a pasar a través de los filtros de seguridad.

Al hacer clic en los botones incrustados en los correos electrónicos, los usuarios pasan por una serie de redirecciones, lo que genera ingresos para los actores de amenazas a través de vistas de anuncios fraudulentos. En última instancia, el usuario llega a obsequios falsos, escaneos de seguridad, encuestas o estafas de afiliados.

Los investigadores de Guardio Labs, Nati Tal y Oleg Zaytsev, descubrieron la campaña de fraude publicitario e informaron que la operación ha estado en marcha desde 2022.


Secuestro de dominios para spam

La investigación de Guardio Labs comenzó con la detección de patrones inusuales en los metadatos del correo electrónico, lo que llevó al descubrimiento de una vasta operación de secuestro de subdominios.

Un estudio de caso de un correo electrónico falsamente autorizado por MSN muestra la variedad de tácticas utilizadas por los atacantes para hacer que sus correos electrónicos parezcan legítimos y evadir los bloqueos, incluido el abuso de las comprobaciones SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) y los protocolos DMARC (Domain-based Message Authentication, Reporting, and Conformance).

Estas políticas de correo electrónico se utilizan para demostrar a las pasarelas de correo electrónico seguras que el remitente de un correo electrónico es legítimo y no debe tratarse como spam.


La campaña SubdoMailing se dirige a dominios y subdominios de organizaciones de renombre, intentando secuestrarlos principalmente a través del secuestro de CNAME y la explotación de registros SPF.

En los ataques CNAME, los actores de amenazas buscan subdominios de marcas de renombre con registros CNAME que apuntan a dominios externos que ya no están registrados. A continuación, registran ellos mismos estos dominios a través del servicio NameCheap.


El segundo método consiste en examinar los registros SPF de los dominios de destino que utilizan la opción de configuración "include:" que apunta a dominios externos que ya no están registrados.

La opción de inclusión de SPF se utiliza para importar remitentes de correo electrónico permitidos desde el dominio externo, que ahora está bajo el control del actor de amenazas.

Los atacantes registran estos dominios y luego cambian sus registros SPF para autorizar sus propios servidores de correo electrónico maliciosos. Esto hace que los correos electrónicos del actor de amenazas parezcan provenir legítimamente de un dominio de buena reputación, como MSN.


La operación generalmente aprovecha los dominios secuestrados para enviar correos electrónicos de spam y phishing, alojar páginas de phishing o alojar contenido publicitario engañoso.


Guardio Labs atribuye la campaña a un actor de amenazas al que llaman "ResurrecAds", que escanea sistemáticamente la web en busca de dominios que puedan ser secuestrados, asegurando nuevos hosts y direcciones IP y realizando compras de dominios específicas.

El actor de amenazas actualiza constantemente una vasta red de dominios secuestrados y adquiridos, servidores SMTP y direcciones IP para mantener la escala y la complejidad de la operación.


Guardio Labs dice que SubdoMailing utiliza casi 22.000 direcciones IP únicas, mil de las cuales parecen ser proxies residenciales.

Actualmente, la campaña opera a través de servidores SMTP distribuidos globalmente y configurados para difundir correos electrónicos fraudulentos a través de una red masiva de 8.000 dominios y 13.000 subdominios.


El número de correos electrónicos que llegan a los objetivos supera los 5.000.000 diarios. Si bien el beneficio del atacante es imposible de apreciar, la escala de la operación y el volumen de los correos electrónicos fraudulentos son innegablemente masivos.

Guardio Labs ha creado un sitio de verificación de SubdoMailing que puede permitir a los propietarios de dominios detectar si se está abusando de su marca y tomar medidas para detenerlo o prevenirlo.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El gigante siderúrgico ThyssenKrupp confirma que los piratas informáticos violaron los sistemas de su división automotriz la semana pasada, lo que los obligó a cerrar los sistemas de TI como parte de su esfuerzo de respuesta y contención.

ThyssenKrupp AG es uno de los mayores productores de acero del mundo, emplea a más de 100.000 personas y tiene unos ingresos anuales de más de 44.400 millones de dólares (2022).

La empresa es un componente crucial de la cadena de suministro global de productos que utilizan acero como material en varios sectores, incluidos maquinaria, automoción, ascensores y escaleras mecánicas, ingeniería industrial, energía renovable y construcción.

En una declaración a BleepingComputer, ThyssenKrupp dice que sufrió un ataque cibernético la semana pasada, que afectó a su división de producción de carrocerías automotrices.

"Nuestra unidad de negocio ThyssenKrupp Automotive Body Solutions registró acceso no autorizado a su infraestructura de TI la semana pasada", declaró un portavoz de ThyssenKrupp.

"El equipo de seguridad de TI de Automotive Body Solutions reconoció el incidente en una etapa temprana y desde entonces ha trabajado con el equipo de seguridad de TI del Grupo ThyssenKrupp para contener la amenaza".

"Con este fin, se tomaron varias medidas de seguridad y ciertas aplicaciones y sistemas se desconectaron temporalmente".

ThyssenKrupp ha aclarado que ninguna otra unidad de negocio o segmento se ha visto afectado por el ciberataque, que estaba contenido en la división de automoción.

La firma también dijo que la situación está bajo control y que están trabajando para volver gradualmente a las operaciones normales.

El medio de comunicación alemán Saarbruecker Zeitung, que reveló por primera vez el ataque el viernes pasado, informa que la planta de ThyssenKrupp con sede en Saarland, que emplea a más de mil especialistas, se vio directamente afectada por el ataque.

La instalación está involucrada en la producción y el procesamiento de acero, así como en la investigación y el desarrollo, incluidas las colaboraciones con socios de la industria, instituciones de investigación y universidades.

BleepingComputer ha preguntado a ThyssenKrupp sobre la interrupción reportada en Saarland, y la compañía confirmó que la producción se cerró, pero aclaró que el suministro a los clientes aún no se había visto afectado.

Al desempeñar un papel tan destacado en la economía mundial, ThyssenKrupp se ha encontrado en el punto de mira de los hackers en múltiples ocasiones, incluso en 2022, 2020, 2016 y 2013, y la mayoría de los casos están dirigidos al espionaje y la interrupción operativa.

En el momento de escribir este artículo, ningún grupo importante de ransomware u otros actores de amenazas habían asumido la responsabilidad del ataque a ThyssenKrupp, por lo que se desconoce el tipo de infracción.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha revelado una falla de seguridad crítica en un popular complemento de WordPress llamado Ultimate Member que tiene más de 200,000 instalaciones activas.

La vulnerabilidad, rastreada como CVE-2024-1071, tiene una puntuación CVSS de 9,8 sobre un máximo de 10. Al investigador de seguridad Christiaan Swiers se le atribuye el descubrimiento y la notificación de la falla.

En un aviso publicado la semana pasada, la compañía de seguridad de WordPress Wordfence dijo que el complemento es "vulnerable a la inyección SQL a través del parámetro 'ordenación' en las versiones 2.1.3 a 2.8.2 debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente".

Como resultado, los atacantes no autenticados podrían aprovechar la falla para agregar consultas SQL adicionales a consultas ya existentes y extraer datos confidenciales de la base de datos.

Vale la pena señalar que el problema solo afecta a los usuarios que han marcado la opción "Habilitar tabla personalizada para usermeta" en la configuración del complemento.

Tras la divulgación responsable el 30 de enero de 2024, los desarrolladores del plugin han puesto a disposición una solución para la falla con el lanzamiento de la versión 2.8.3 el 19 de febrero.

Se recomienda a los usuarios que actualicen el complemento a la última versión lo antes posible para mitigar las posibles amenazas, especialmente a la luz del hecho de que Wordfence ya ha bloqueado un ataque que intentaba explotar la falla en las últimas 24 horas.

En julio de 2023, los actores de amenazas aprovecharon activamente otra deficiencia en el mismo complemento (CVE-2023-3460, puntuación CVSS: 9.8 ) para crear usuarios administradores deshonestos y tomar el control de sitios vulnerables.


El desarrollo se produce en medio de un aumento en una nueva campaña que aprovecha los sitios de WordPress comprometidos para inyectar directamente drenadores de criptomonedas como Angel Drainer o redirigir a los visitantes del sitio a sitios de phishing Web3 que contienen drenadores.

"Estos ataques aprovechan las tácticas de phishing y las inyecciones maliciosas para explotar la dependencia del ecosistema Web3 de las interacciones directas de la billetera, lo que presenta un riesgo significativo tanto para los propietarios de sitios web como para la seguridad de los activos de los usuarios", dijo el investigador de Sucuri, Denis Sinegubko.

También sigue el descubrimiento de un nuevo esquema de drenaje como servicio (DaaS) llamado CG (abreviatura de CryptoGrab) que ejecuta un programa de afiliados de 10,000 miembros compuesto por hablantes de ruso, inglés y chino.

Uno de los canales de Telegram controlados por los actores de amenazas "remite a los atacantes a un bot de Telegram que les permite ejecutar sus operaciones de fraude sin dependencias de terceros", dijo Cyfirma en un informe a fines del mes pasado.

"El bot permite a un usuario obtener un dominio de forma gratuita, clonar una plantilla existente para el nuevo dominio, establecer la dirección de la billetera a la que se supone que se deben enviar los fondos estafados y también proporciona protección de Cloudflare para ese nuevo dominio".

También se ha observado que el grupo de amenazas utiliza dos bots de telegramas personalizados llamados SiteCloner y CloudflarePage para clonar un sitio web legítimo existente y agregarle protección de Cloudflare, respectivamente. Estas páginas se distribuyen principalmente utilizando cuentas X (anteriormente Twitter) comprometidas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las entidades ucranianas con sede en Finlandia han sido atacadas como parte de una campaña maliciosa que distribuye un troyano comercial de acceso remoto conocido como Remcos RAT utilizando un cargador de malware llamado IDAT Loader.

El ataque se ha atribuido a un actor de amenazas rastreado por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) bajo el nombre de UAC-0184.

"El ataque, como parte del IDAT Loader, utilizó la esteganografía como técnica", dijo el investigador de Morfisec, Michael Dereviashkin, en un informe compartido con The Hacker News. "Si bien las técnicas esteganográficas, o 'Stego' son bien conocidas, es importante comprender su papel en la evasión de la defensa, para comprender mejor cómo defenderse contra tales tácticas".

IDAT Loader, que se superpone con otra familia de cargadores llamada Hijack Loader, se ha utilizado para servir cargas útiles adicionales como DanaBot, SystemBC y RedLine Stealer en los últimos meses. También ha sido utilizado por un actor de amenazas rastreado como TA544 para distribuir Remcos RAT y SystemBC a través de ataques de phishing.

La campaña de phishing, revelada por primera vez por el CERT-UA a principios de enero de 2024, consiste en el uso de señuelos de temática bélica como punto de partida para poner en marcha una cadena de infección que conduzca al despliegue de IDAT Loader, que, a su vez, utiliza un PNG esteganográfico incrustado para localizar y extraer Remcos RAT.

El desarrollo se produce cuando CERT-UA reveló que las fuerzas de defensa en el país han sido atacadas a través de la aplicación de mensajería instantánea Signal para distribuir un documento de Microsoft Excel con trampas explosivas que ejecuta COOKBOX, un malware basado en PowerShell que es capaz de cargar y ejecutar cmdlets. El CERT-UA ha atribuido la actividad a un clúster denominado UAC-0149.

También sigue el resurgimiento de las campañas de malware que propagan el malware PikaBot desde el 8 de febrero de 2024, utilizando una variante actualizada que parece estar actualmente en desarrollo activo.

"Esta versión del cargador PikaBot utiliza un nuevo método de desempaquetado y una gran ofuscación", dijo Elastic Security Labs. "El módulo principal ha agregado una nueva implementación de descifrado de cadenas, cambios en la funcionalidad de ofuscación y varias otras modificaciones".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

De unos días a esta parte el gigante de las búsquedas Google ha estado desplegando de manera paulatina la nueva versión de su navegador Chrome 122. Este es un programa que utilizan la mayoría de los usuarios en sus equipos de sobremesa y móviles, de ahí la importancia de las novedades que nos llegan.

Tal y como suele ser habitual en estos casos, nos encontramos con algunas interesantes mejoras, correcciones de seguridad y nuevas funciones para cubrir las necesidades de los usuarios. Podemos afirmar que una de los principales protagonistas que nos encontramos en esta nueva versión del popular navegador web es la tecnología IA que está en boca de todos últimamente.

Y es que la Inteligencia Artificial empieza a formar parte importante de todos aquellos que pasan mucho tiempo frente al ordenador. Cada vez disponemos de más aplicaciones y plataformas centradas en todo ello que nos ayudan a generar imágenes automáticas, todo tipo de textos, o incluso a programar, y ahora llega a Chrome. Esta es una actualización que poco a poco va llegando a todos los usuarios por los métodos tradicionales.


Para realizar esta comprobación en nuestro equipo no tenemos más que situarnos en el menú principal de Chrome y acceder al menú Ayuda / Información de Google Chrome.

La Inteligencia Artificial en Chrome 122

Sin duda la principal novedad que nos vamos a encontrar en esta nueva versión del navegador es la función centrada en la IA que la quería se pueden beneficiar a algunos usuarios. Denominada como Help Me Write o Ayúdame a escribir, en realidad nos encontramos con una nueva funcionalidad experimental IA que llega a Google Chrome. Como su propio nombre nos deja entrever, su tarea es ayudarnos a redactar contenidos en Internet de forma automática.

Eso sí, debemos tener presente que por el momento esta es una característica que está llegando a los usuarios poco a poco. Al tratarse de una función experimental, el gigante de las búsquedas en primer lugar la está lanzando para usuarios estadounidenses y además por el momento funciona en inglés. Cabe mencionar que a lo largo de las próximas semanas irá llegando al resto de regiones para que todos puedan beneficiarse de la IA en Chrome.


La característica utiliza los modelos de Gemini, la plataforma propiedad de Google, y nos ayudará a empezar a escribir un texto de forma automática o a perfeccionar algo que ya hayamos escrito. Evidentemente todo ello a través del propio navegador para que seamos más exhaustivos en nuestras búsquedas, y consultas aquí sean más efectivas.

La función como tal nos ayudará tanto en consultas, como en comentarios o reseñas que estemos llevando a cabo desde Chrome. Como no podía ser de otro modo, la nueva herramienta entenderá el contexto de la página web en la que nos encontramos para sugerirnos contenido relevante en tiempo real. Además el programa extrae detalles relevantes de la web para respaldar sus recomendaciones de textos automáticos.

Con el fin de activar esta función, nos situamos en la página de configuración del programa. Aquellos que la hayan recibido podrán activarla desde la sección IA experimental. Además para hacer uso de la misma no tenemos más que hacer clic con el botón derecho en un campo de texto y seleccionar la nueva opción Ayúdame a escribir del menú contextual.

Por otro lado también merece la pena destacar la llegada de la función Lectura en voz alta a la versión para Android. Esta es una nueva característica que llega a Chrome 122. Decir que nos permite escuchar en voz alta el texto de cualquier web que tengamos en pantalla.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las publicaciones que hacemos en redes sociales, por mucho que nos pueda parecer que solo llegan a nuestros conocidos o a personas que nos siguen, lo cierto es que también podrían ser utilizadas por Hacienda. La entidad, tal y como declaran usuarios afectados, parece que estaría monitorizando perfiles para detectar personas que tienen un alto nivel de vida.

En los últimos días se ha dado a conocer la historia del conocido odontólogo Iván Malagón, una que es posible que no esté muy alejada de la que otros emprendedores españoles hayan protagonizado. En un vídeo publicado en YouTube cuenta cómo Hacienda hizo una inspección sorpresa en su clínica odontológica que estuvo motivada por las publicaciones que había estado haciendo en Instagram.

Sin infracciones ni irregularidades

En otros casos en los que se han llevado a cabo inspecciones sorpresa de Hacienda, se sabe que las personas que habían sido objetivo de ellas habían cometido irregularidades. No son pocos los casos de famosos, actores y otros perfiles célebres, como futbolistas, que se han convertido en objetivo de la Agencia Tributaria en inspecciones motivadas por los fallos que pudieran haber cometido.


No obstante, este caso es distinto, ya que el factor que habría generado el interés de Hacienda por la inspección habría sido simplemente Instagram. Tal y como Malagón menciona, en el auto de la inspección se indicaban varios factores que habían motivado la inspección y todos nacían de un mismo lugar: su perfil en la red social.

¿Qué es lo que podría llamar la atención de Hacienda?

Por lo que cuenta el doctor en su vídeo, el cual puedes ver en esta noticia un poco más abajo, hay una serie de factores que Hacienda parece que utilizó a la hora de plantear el registro de su negocio. Se lo comunicaron en vivo y todo ello se basaba en fotografías que habían aparecido en su perfil de Instagram. Lo que menciona que le aseguraban es que la calidad de vida de la que hacía gala en sus publicaciones era superior a la que se podría esperar de un odontólogo.

Pero, tal y como Malagón comenta en su vídeo, los argumentos que estaba utilizando la inspección de Hacienda no encajaban con la realidad. Le increpaban haber aparecido en Instagram con un Ferrari que, tal y como menciona, había alquilado durante un día debido a su afición por los coches. También dice que sacaban a relucir la propiedad de un Aston Martin, el cual sí es cierto que tiene en su posesión y que comenta que compró en su 40º cumpleaños después de haberse pasado mucho tiempo soñando con tenerlo. Por último, le dijeron que sabían que tenía un buque de recreo, cuando según especifica, de lo único que tiene propiedad es de una barca de siete metros que le regalaron.


No obstante, el mostrar fotografías en Instagram de esas cosas lujosas, habría llevado, según lo que parece, a que Hacienda activara este tipo de protocolo para hacer una inspección. En el proceso precintaron los ordenadores que había en su clínica para revisarlos en busca de irregularidades. También cuenta que abrieron la caja fuerte de su negocio, en la cual no encontraron nada de valor.

Debido a lo ocurrido, Iván Malagón decidió abandonar España y mudarse a Andorra, donde ya contaba con empresas y vivienda. Tal y como menciona, "en España me he sentido perseguido por la Hacienda española". También dice que, más allá de las formas que ha tenido Hacienda de tratarle, ha valorado los impuestos que paga: "Mis gestores el año pasado me dijeron que había pagado el 63% de impuestos, así que hasta octubre había trabajado gratis".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

WineHQ ha lanzado una nueva versión de desarrollo de su software para ejecutar programas de Windows en otros sistemas operativos, en esta ocasión WINE 9.3. Ahora alojadas en GitLab, la nota de lanzamiento incluye un apartado de destacados, pero ninguno de ellos es tan llamativo como la actualización del motor Mono que tuvo lugar hace justo dos semanas. La importancia de Mono radica en que es lo que hace que se pueda ejecutar el software desarrollado en .NET.

La lista de destacados nos habla de mejoras en el soporte para el proxy de Internet, un nuevo controlador de dispositivos para el puntero HID, actualizaciones en la base de datos de la zona horaria y más correcciones de excepciones en las plataformas ARM, a lo que se le suma el punto habitual que detalla simplemente varias correcciones de errores (23). El total de cambios asciende a 299.

Bugs corregidos en WINE 9.3

• FDM (Free Download Manager) se bloquea con un fallo de página cuando se abre cualquier directorio FTP remoto.
• Basemark Web 3.0 Desktop Launcher se bloquea.
• Final Fantasy XI se bloquea tras aceptar el CLUF al utilizar Ashita; World of Warships se cuelga en la pantalla de inicio de sesión.
• Happy Foto Designer Fuente no encontrada «Fehler (Code 1) [Fuente no soportada: Roboto]».
• Gestor de productos IK: No se pueden descargar plugins.
• Western Digital SSD Dashboard muestra la pantalla en negro.
• cmd.exe analiza incorrectamente una línea con todos los espacios en blanco seguida de un paréntesis de cierre.
• python error fatal redirigiendo stdout a archivo.
• Solidworks 2008 se bloquea al iniciarse.
• Virtual Life 2 se bloquea.
• Autodesk Fusion360: El nuevo inicio de sesión SSO no abre el navegador web.
• Flutter SDK no puede encontrar el programa «aapt» (where.exe es un stub).
• Posiblemente incorrecto manejo de end_c en ARM64 process_unwind_codes.
• DPI_AWARENESS_CONTEXT_PER_MONITOR_AWARE_V2 no se maneja en GetAwarenessFromDpiAwarenessContext.
• Buscando a Nemo (Steam): desaparecen los bordes de las ventanas (escritorio virtual).
• cpython 3.12.0 se bloquea debido a CopyFile2 no implementado.
• Falta la implementación de GetAnycastIpAddressTable().
• scrrun: Dictionary does not allow storing at key Undefined.
• Microsoft Flight Simulator 2020 (steam) necesita la función no implementada GDI32.dll.D3DKMTEnumAdapters2.
• SplashTop RMM cliente para Atera se bloquea en la función no implementada shcore.dll.RegisterScaleChangeNotifications.
• [Sway] winewayland.drv: el cursor no funciona en Dead Island 2.
• Las fuentes de sonido LMMS 1.2.2 SF2 ya no funcionan en Wine 9.1.
• Múltiples aplicaciones no se inician después de492f9a.

WINE 9.3 ya se puede descargar y desde su página de descargas hay también información sobre cómo instalar esta y otras versiones en sistemas operativos Linux y otros como macOS e incluso Android.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El equipo de desarrollo del proyecto Asahi Linux dio a conocer hace poco que ha logrado la compatibilidad del soporte para OpenGL 4.6 y OpenGL ES 3.2 en los chips Apple M1 y M2.

Es importante señalar que los controladores de gráficos nativos para los chips M1 de Apple solo implementan la especificación OpenGL 4.1, lo que hace que la compatibilidad con OpenGL 4.6 sea un avance notable.

Con este anunció el proyecto ha superado la implementación de Apple al ser compatible con OpenGL ES 3.1 y OpenGL 4.6, ya que Apple cambió su enfoque a su API de gráficos patentada «Metal», alejándose del soporte OpenGL

CitarLos drivers que cumplen con 4.6/3.2 deben pasar más de 100.000 pruebas para garantizar la corrección. La lista oficial de controladores compatibles ahora incluye OpenGL 4.6 y ES 3.2 .

Si bien el proveedor aún no admite estándares gráficos como el OpenGL moderno, nosotros sí lo hacemos. Para este Día de San Valentín, queremos profesar nuestro amor por los estándares abiertos interoperables. Queremos liberar a los usuarios y desarrolladores del bloqueo, permitiendo que las aplicaciones se ejecuten en cualquier lugar que deseen sin puertos especiales.

Entre las características que se destacan del salto de OpenGL 4.1 a OpenGL 4.6, se mencionan las siguientes:

• Compatibilidad con aplicaciones modernas: La actualización promete una mayor compatibilidad con cargas de trabajo modernas de OpenGL, como Blender, Ryujinx y Citra, gracias a los controladores conformes a las últimas versiones.
• Conformidad con estándares: Los nuevos controladores han pasado más de 100,000 pruebas para garantizar la corrección y la conformidad con los estándares. Ahora están en la lista oficial de controladores conformes para OpenGL 4.6 y ES 3.2.
• Robustez y seguridad: Se enfatiza la importancia de la robustez y la seguridad en los controladores de gráficos, especialmente en entornos donde se manejan shaders no confiables, como los navegadores web.
• Optimización de rendimiento: A pesar de las nuevas características y la robustez agregada, se busca minimizar el impacto en el rendimiento, con estrategias como el uso eficiente de instrucciones y preámbulos para cálculos repetitivos.
• Compatibilidad con Mipmapping: Se detalla un problema específico relacionado con mipmapping y se propone un enfoque de solución que equilibra la eficiencia y la conformidad con los estándares.

Además, el consorcio Khronos ha reconocido la total compatibilidad del controlador abierto Asahi para la GPU AGX, presente en los chips Apple M1 y M2, con las especificaciones OpenGL 4.6 y OpenGL ES 3.2. Este controlador ha superado con éxito todas las pruebas del CTS (Kronos Conformance Test Suite) y está incluido en la lista de controladores certificados. La prueba se realizó en dispositivos Apple M1, M1 Pro/Max/Ultra, M2 y M2 Pro/Max en un entorno con la distribución Asahi Linux Fedora Remix, Mesa 24.0.0 y No tienes permitido ver los links. Registrarse o Entrar a mi cuenta X Server (X11_GLX).

Es importante mencionar que los controladores propietarios originales de Apple para los chips M1 y M2 aún no están incluidos en la lista de controladores certificados por Khronos. Obtener este certificado permite al controlador abierto Asahi declarar oficialmente su compatibilidad con los estándares gráficos y utilizar las marcas comerciales asociadas de Khronos.

Dado que la GPU M1 carece de algunas capacidades de hardware necesarias para implementar OpenGL ES 3.2 y OpenGL 4.2, se han implementado funcionalidades faltantes utilizando funciones existentes. Por ejemplo, se han implementado sombreadores de geometría, teselación y retroalimentación de transformación mediante sombreadores informáticos, entre otros métodos.

Finalmente se menciona que en el futuro, el desarrollo de controladores abiertos para la GPU Apple AGX se enfocará en brindar soporte para la API de gráficos Vulkan. La implementación de Vulkan utilizará parte del código estándar ya probado que se utiliza en los controladores para OpenGL, lo que representa un paso adelante en el ecosistema de controladores abiertos para las GPU de Apple AGX.

Los paquetes de controladores listos para usar ya están disponibles en los repositorios de Fedora y se pueden utilizar en una versión especializada de Fedora llamada Asahi Remix 39, diseñada para su instalación en sistemas con chips Apple ARM.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

a banda de ransomware LockBit recibió más de 125 millones de dólares en pagos de rescate en los últimos 18 meses, según el análisis de cientos de billeteras de criptomonedas asociadas con la operación.

Tras el desmantelamiento de LockBit en la Operación Cronos, la Agencia Nacional contra el Crimen (NCA) del Reino Unido, con el apoyo de la empresa de análisis de blockchain Chainalysis, identificó más de 500 direcciones de criptomonedas activas.

El dinero de LockBit
Después de hackear la infraestructura de LockBit, las fuerzas del orden obtuvieron 30,000 direcciones de Bitcoin utilizadas para administrar las ganancias del grupo por pagos de rescate.

Más de 500 de estas direcciones están activas en la cadena de bloques y recibieron más de USD 125 millones (al valor actual de Bitcoin) entre julio de 2022 y febrero de 2024.

La investigación descubrió que más de 2,200 BTC, más de USD 110 millones al tipo de cambio actual, permanecieron sin gastar cuando LockBit se interrumpió.

Un comunicado de prensa de la NCA señala hoy que "estos fondos representan una combinación de pagos de víctimas y LockBit" y que una parte significativa de este dinero representa la tarifa del 20% que los afiliados pagaron a los desarrolladores de ransomware.

Esto significa que la cifra total de los rescates que las víctimas pagaron para evitar una fuga de datos es "mucho, mucho más alta", explica la NCA.

(Como destacó la agencia, el actor de amenazas no siempre eliminó los datos robados, o todos ellos, incluso si la víctima pagó el rescate)

La agencia de aplicación de la ley dice que las cantidades descubiertas en la investigación indican que los totales reales de los rescates son de cientos de millones.

Vale la pena destacar que las impresionantes cantidades son representativas solo de 18 meses de actividad cibercriminal de LockBit.

"Dado que los ataques confirmados por LockBit durante sus 4 años de operación suman más de 2.000, esto sugiere que su impacto a nivel mundial es de miles de millones de dólares".


A mediados de junio de 2023, la Agencia de Defensa Cibernética de Estados Unidos (CISA, por sus siglas en inglés) dijo que LockBit era responsable de 1.700 ataques de ransomware en Estados Unidos desde 2020 y que la banda extorsionó a las víctimas por 91 millones de dólares.

La NCA también dijo que hacerse cargo de la infraestructura de LockBit llevó al descubrimiento de 85 cuentas de intercambio de criptomonedas, ahora restringidas por Binance, con cientos de miles de dólares en criptoactivos.

Casi cuatro años en el juego

LockBit surgió en septiembre de 2019 (como ABCD) y se centró en organizaciones de alto perfil como Boeing, UK Royal Mail, Continental, Bangkok Airways y Accenture.

Se convirtió en el grupo de ransomware más activo, siendo responsable de la mayoría de los ataques de este tipo en 2023, alternando entre múltiples malware de cifrado de archivos a lo largo de los años (LockBit 2.0, LockBit 3.0, LockBit Green) y uno nuevo en proceso.

En el momento de su interrupción, el grupo LockBit también era el más antiguo en la escena del ransomware, y probablemente uno de los más grandes con cerca de 200 afiliados.

Las fuerzas del orden de 10 países colaboraron para tomar el control de la infraestructura del actor de amenazas, coordinar la interrupción, recopilar información de los servidores, realizar arrestos e imponer sanciones.

Aunque la infraestructura de los piratas informáticos está controlada por las fuerzas del orden, los líderes del grupo y la mayoría de los afiliados aún no han sido identificados.

El Departamento de Estado de EE.UU. ofrece hasta 15 millones de dólares en recompensas a cualquiera que pueda proporcionar información sobre los miembros de la banda de ransomware LockBit y sus socios.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Google está retirando la aplicación independiente Pay en los Estados Unidos. Los usuarios tienen hasta el 4 de junio para transferir el saldo a cuentas bancarias.

Google Pay es una billetera móvil segura que permite a los usuarios enviar dinero a empresas o amigos, realizar compras en línea, pagar facturas y ganar recompensas que se traducen en reembolsos o descuentos.

La aplicación tiene más de mil millones de descargas en Google Play y es utilizada por personas en 180 países en varias plataformas (Android, Windows, macOS, iOS, ChromeOS).

El gigante tecnológico anunció que el cambio afecta solo a la versión estadounidense de la aplicación independiente Google Pay. El servicio permanecerá disponible con todas sus funciones habituales, incluida la búsqueda de ofertas y la obtención de recompensas de devolución de efectivo, hasta el 4 de junio de 2024.

Sin embargo, después de esa fecha, los pagos peer-to-peer a través de la aplicación ya no serán compatibles con el mercado estadounidense.

Los usuarios que no transfieran fondos fuera de la aplicación cuando se retire aún pueden hacerlo a través del sitio web de Google Pay.

Los usuarios de EE. UU. pueden encontrar instrucciones detalladas sobre cómo sacar su dinero de Google Pay en esta guía. Además, hay más detalles disponibles sobre el proceso de puesta de sol en la página de soporte actualizada.

Google recomienda a los usuarios estadounidenses que se cambien a la aplicación Wallet, que según la compañía se usa cinco veces más que Pay en los EE. UU.

Wallet está diseñado como una solución más completa que permite a los usuarios almacenar tarjetas de pago, así como otros artículos digitales como tarjetas de tránsito, licencias de conducir, identificaciones estatales y más.

El enfoque de Google Wallet se extiende más allá de los pagos para incluir una gama más amplia de funcionalidades de billetera digital, y la firma de tecnología siente que se adapta mejor a las necesidades del grupo demográfico de EE. UU.

Refiriéndose a los usuarios que confían en Google Pay para enviar dinero desde Estados Unidos a India o Singapur a través de Wise, una plataforma financiera para transferencias de pagos transfronterizos, Google dice que la función ya no estará disponible a partir del 4 de junio.
Para estas transacciones, la compañía recomienda realizar las transferencias utilizando la cuenta Wise.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

NVIDIA ejerce un fuerte dominio en el sector de la computación de propósito general sobre la unidad de procesamiento de gráficos (GPGPU) con CUDA, una tecnología privativa del gigante verde que ha dejado a OpenCL prácticamente en la marginalidad, lo que ha obligado a AMD a tener que soportar CUDA para poder competir. Tras diversos intentos con HIP y ROCm que requerían de cierta mano por parte de los usuarios, ahora le llega el turno a ZLUDA, un desarrollo más veterano de lo que aparenta, pero cuyos resultados iniciales son prometedores tanto a nivel de rendimiento como por el hecho de no requerir la modificación de los programas al menos sobre el papel.

ZLUDA se dejó ver en el año 2020 como una tecnología que permitiría ejecutar CUDA sobre gráficas de Intel con la ayuda de oneAPI. ZLUDA acabó descontinuado sin que las razones trascendieran, pero al parecer lo que se estaba cocinando era un cambio de bando debido a que el desarrollador principal, Andrzej Janik, fue contratado por AMD como fichaje procedente de Intel, algo en lo que influyó el hecho de que esta última rechazara el proyecto y por lo tanto el financiarlo. A partir de ahí el enfoque pasó de Intel a AMD, por lo que el soporte de OneAPI fue sustituido por la Interfaz Heterogénea de Portabilidad (HIP) y ROCm.

Con la financiación encubierta de AMD, ZLUDA, que todavía se encuentra en fase alfa y oficialmente soporta Linux y Windows, ha encontrado aparentemente el camino para lograr sus objetivos, y frente a la solución con la que pretende competir es de código abierto al estar publicado bajo las licencias MIT y Apache 2. Sí, ambas licencias son permisivas, pero eso es mejor que la condición de privativa de CUDA.


Como consecuencia de su estado actual, ZLUDA tiene pinta de requerir cierta mano para ponerlo en funcionamiento y presenta ciertas limitaciones: no todos los programas hechos con CUDA son compatibles por ahora, solo ha sido dirigido a la versión 5 de ROCm y solo ha sido probado oficialmente sobre gráficas RDNA 2. Sin embargo, en Phoronix han probado también con gráficas RDNA 3, con la RX 7900 XTX mostrando unos resultados bastante prometedores.

Las pruebas de rendimiento de Phoronix han sido realizadas con Blender 4, la última versión mayor de la conocida solución de modelado y renderización de gráficos tridimensionales. Aquí y según el citado medio, en backend que forma la combinación de ZLUDA y CUDA "fue un poco más rápida que el backend nativo Radeon HIP". En ocasiones anteriores se pudo ver que HIP era incapaz de competir con CUDA, pero también es cierto que RDNA 3 no estaba en la competición y ha pasado bastante tiempo desde entonces, por lo que HIP ha podido mejorar.

Otra prueba de rendimiento que se puede recoger es la realizada por el propio Andrzej Janik con Geekbench 5.5 y con la que comparó los desempeños de ZLUDA y OpenCL. Aquí los resultados han sido dispares, pero por lo general van de lo similar a una ventaja clara en favor de ZLUDA.


Sin embargo y pese a los prometedores resultados, hay cosas que huelen regular en torno a ZLUDA, ya que el proyecto ha recibido financiación de AMD, pero oficialmente no forma parte de la compañía. Esto deja en el aire la posibilidad de que ZLUDA acabe descontinuado una vez más debido a posibles presiones por parte de NVIDIA, que tiende a defender con bastante beligerancia su propiedad intelectual.

Otro punto que ZLUDA tiene en su contra es ROCm, que si bien es de código abierto, su implementación tiende a ser más complicada que la de CUDA y además soporta oficialmente un catálogo bastante limitado de sistemas operativos Linux.

Veremos qué futuro le depara a ZLUDA, pero sus prometedores resultados iniciales pueden terminar frustrados por ciertas nubes que se ven en el horizonte.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El uso de la línea de comandos sigue estando muy vigente en Linux, así que vamos a aprovechar la ocasión para presentar a Warp, una aplicación de terminal construida con Rust y que se apoya en la inteligencia artificial para minimizar las búsquedas a través de Google por parte del usuario.

Warp nació como un proyecto que inicialmente soportaba macOS y que ha llegado hace muy poco a Linux. El soporte para Windows está proyectado, pero este todavía se encuentra en desarrollo. La aplicación se vende como una evolución dentro de segmento, con un uso y un completado de los comandos más rápidos gracias a que permite insertar, copiar y seleccionar como si se estuviera trabajando con un IDE; soporta edición con las combinaciones de teclas predeterminadas o con Vim; además de que acepta completados inteligentes sin plugins.

Gracias a que hace uso de inteligencia artificial, Warp es capaz de sugerir el comando correcto o dar respuesta a preguntas relacionadas con la programación. Las consultas realizadas por los usuarios se mantienen en privado y no son utilizadas para entrenar modelos públicos de inteligencia artificial. Esto le da a la aplicación un presunto punto a nivel de privacidad.

Otra característica interesante de Warp es que da la posibilidad de organizar comandos difíciles de recordar en la terminal para que puedan ser encontrados y ejecutados sin cambiar de contexto. De esta manera, esta terminal gráfica abre la puerta a acelerar la productividad del usuario mediante la reducción de las distracciones y de la cantidad de veces que tiene que cambiar el foco para hallar las soluciones que busca.

Centrándonos en la versión para Linux, está oficialmente disponible en formato Deb para Debian y Ubuntu, RPM para Fedora y Red Hat Enterprise Linux, .pkg.tar.zst para Arch Linux y en AppImage como paquete universal.


"Al igual que en Mac, Warp para Linux está construido completamente en Rust y toda la representación de gráficos se realiza directamente en la GPU. Es rápido, incluso hemos implementado algunas optimizaciones de rendimiento adicionales que nos complace incorporar pronto a la aplicación Mac."

"Y al igual que en Mac, Warp para Linux soporta zsh, Bash y Fish de out of the box. Es compatible con su configuración de shell existente" y "también incluye todas las características que hacen de la terminal un lugar mucho más feliz y productivo: Modern Editing, Warp AI y Warp Drive".

El portar Warp a Linux ha conllevado algunos desafíos para los responsables, como el cambiar la API Metal por un conjunto de API a nivel de GPU que funciona en Linux, el soportar la renderización del texto en todas la plataformas y garantizar que el código tuviera las abstracciones correctas para soportar características específicas de las plataformas soportadas. Con este trabajo se ha logrado que las versiones para Linux y macOS compartan, según los responsables, el 98% de la base de código.

Para construir la versión de Warp para Linux se han empleado algunas bibliotecas de Rust publicadas como código abierto y que proporcionan un soporte multiplataforma: wgpu, winit y cosmic-text. Los encargados explican que "estas bibliotecas también nos facilitarán la expansión rápida de Warp a la web y a Windows, y hemos actualizado algunas correcciones de errores y mejoras de rendimiento que realizamos durante el proceso de desarrollo".

Aunque utiliza algunas bibliotecas y tecnologías publicadas como código abierto, Warp es una aplicación privativa y encima de pago a través de tres planes: uno gratis (Free) que soporta hasta cinco miembros, el plan Team que cuesta doce dólares por miembro al mes y Enterprise, que requiere de contactar con Wrap para negociar el precio.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El gigante de la salud UnitedHealth Group confirmó que su subsidiaria Optum, que se vio obligada a cerrar los sistemas de TI y varios servicios después de un ataque cibernético por parte de piratas informáticos de "estado-nación" en la plataforma Change Healthcare.

United Health Group (UHG) es una compañía de seguros de salud con presencia en los 50 estados de EE. UU. La organización es la empresa de atención médica más grande del mundo por ingresos ($ 324.2 mil millones en 2022), empleando a 440,000 personas en todo el mundo.

Su subsidiaria, Optum Solutions, opera la plataforma Change Healthcare, que es la plataforma de intercambio de pagos más grande entre médicos, farmacias, proveedores de atención médica y pacientes en el sistema de salud de EE. UU.


Optum sufre un ciberataque masivo


Change Healthcare comenzó a advertir a los clientes el miércoles que algunos de sus servicios habían dejado de estar disponibles, y luego afirmó que un incidente de ciberseguridad lo causó.

Una presentación 8-K presentada por UnitedHealth Group ante la SEC ayer confirmó que un ataque cibernético por parte de presuntos piratas informáticos de "estado-nación" estuvo detrás de la interrupción de los servicios de Change Healthcare de Optum.

"El 21 de febrero de 2024, UnitedHealth Group (la "Compañía") identificó que un presunto actor de amenazas de seguridad cibernética asociado a un estado-nación había obtenido acceso a algunos de los sistemas de tecnología de la información de Change Healthcare", se lee en la presentación.

"Inmediatamente después de la detección de esta amenaza externa, la compañía aisló de manera proactiva los sistemas afectados de otros sistemas de conexión con el fin de proteger a nuestros socios y pacientes, para contener, evaluar y remediar el incidente".

"La compañía está trabajando diligentemente para restaurar esos sistemas y reanudar las operaciones normales lo antes posible, pero no puede estimar la duración o el alcance de la interrupción en este momento".

Optum proporciona actualizaciones periódicas sobre el estado de sus servicios en este portal, que dice que la interrupción está afectando actualmente a los servicios y plataformas de 119 Change Healthcare y Optum.

Change Healthcare tiene una amplia presencia en los sistemas de atención médica de EE. UU., utilizados por hospitales, clínicas y farmacias de todo el país para sistemas de registros médicos electrónicos (EHR), procesamiento de pagos, coordinación de atención y análisis de datos.

Los empleados de las clínicas de atención médica, las compañías de facturación médica y las farmacias han informado de problemas a gran escala debido a la interrupción, incluida la imposibilidad de facturar o enviar reclamaciones por medicamentos recetados o servicios de atención médica.

La interrupción del procesamiento de pagos en las farmacias ha sido particularmente notable, ya que la mayoría de las farmacias locales y de las tiendas de todo el país no pueden procesar ningún reclamo de seguro ni aceptar tarjetas de descuento para recetas.

En respuesta a la situación, la Asociación Americana de Hospitales (AHA, por sus siglas en inglés) emitió ayer una advertencia recomendando que todas las organizaciones sanitarias que confían en las soluciones de Optum desconecten sus sistemas inmediatamente para proteger los datos de sus socios y pacientes.

"Recomendamos que todas las organizaciones de atención médica que se vieron afectadas o están potencialmente expuestas por este incidente consideren la desconexión de Optum hasta que se considere seguro volver a conectarse a Optum", advirtió la Asociación Estadounidense de Hospitales.

BleepingComputer se ha enterado de que los proveedores de atención médica han comenzado a desconectar todas las conexiones a Optum, Change Healthcare y UHG para evitar la posible propagación del ataque a sus propios sistemas.

La Universidad de Columbia anunció que el sistema de salud presbiteriano de Nueva York, que incluye los hospitales Weill Cornell y Columbia, aconseja a los socios que se desconecten de los servicios de UGH.


La Universidad de Columbia dijo que también ha bloqueado todas las conexiones de correo electrónico con los dominios de UnitedHealth Group y aconseja que ningún empleado visite esos dominios hasta que se les diga que son seguros.

"Además, para minimizar el riesgo que este evento de seguridad cibernética externo presenta para nuestro entorno informático, hemos tomado la precaución extraordinaria de bloquear el correo electrónico de los siguientes dominios: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y No tienes permitido ver los links. Registrarse o Entrar a mi cuenta".

El proveedor de atención médica del ejército de EE. UU. para el personal en servicio activo, Tricare, también se ha visto afectado, anunciando que la interrupción de Optum ha obligado a todas las farmacias militares de EE. UU. en todo el mundo a surtir recetas manualmente.

Si bien no está claro qué tipo de ataque está detrás de las interrupciones de Change Healthcare y Optum, a pesar de que afirman que es un actor de "estado-nación", tiene todos los signos de un ataque de ransomware.

Si una banda de ransomware llevó a cabo este ciberataque, es probable que los datos de los pacientes y de la empresa hubieran sido robados en el ataque.

Estos datos robados se utilizarán como palanca, donde los actores de amenazas amenazarán con filtrar los datos si no se paga un rescate.

La investigación sobre el incidente está en curso y aún no se han revelado detalles oficiales sobre el alcance del ciberataque.

Actualización 2/23 (1) - Hemos recibido información de que el incidente también afecta a Availity, la cámara de compensación de Therabill, que ha pausado el procesamiento de reclamaciones y el asesoramiento de remesas como resultado.

Según un correo electrónico distribuido por la organización, Change Healthcare notificó a Availity, quien luego cesó las conexiones con Change Healthcare, Optum y United Healthcare como medida de precaución.

Según se informa, el equipo de seguridad de Therabill no ha detectado ningún compromiso de los datos de sus miembros y está monitoreando activamente la situación para garantizar la protección de datos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha comenzado a probar la compatibilidad con Wi-Fi 7 en Windows 11, que ofrece velocidades de varios gigabits y un rendimiento, latencia y confiabilidad mejorados en comparación con las generaciones anteriores de Wi-Fi.

Presentado el mes pasado, Wi-Fi 7 trae avances notables, particularmente con canales superanchos de 320 MHz exclusivos para el espectro de 6 GHz, que cuentan con el doble de rendimiento en comparación con Wi-Fi 6, lo que facilita velocidades multigigabit para dispositivos habilitados para Wi-Fi.

Además, la compatibilidad con la operación de enlaces múltiples (MLO) mejora la distribución del tráfico entre los enlaces, lo que mejora el rendimiento y aumenta la fiabilidad.

La técnica avanzada de modulación 4K QAM (Quadrature Amplitude Modulation) recientemente adoptada también ofrece un aumento del 20% en las velocidades de transmisión en comparación con la QAM 1024 de Wi-Fi 6, lo que mejora la eficiencia general de la transferencia de datos.

"Wi-Fi 7, también conocido como IEEE 802.11be Extremely High Throughput (EHT), es una tecnología revolucionaria que ofrece una velocidad, confiabilidad y eficiencia sin precedentes para sus dispositivos inalámbricos", dijo Microsoft hoy.

"Con Wi-Fi 7, puedes disfrutar de velocidades multigigabit en tu PC con Windows y experimentar velocidades hasta 4 veces más rápidas que Wi-Fi 6 y Wi-Fi 6E, y casi 6 veces más rápidas que Wi-Fi 5".


Los usuarios necesitarán un punto de acceso y una computadora compatible con Wi-Fi 7 para aprovechar el aumento de rendimiento, los cuales ya han sido introducidos en el mercado por varios proveedores.

También es importante tener en cuenta que el rendimiento de los sistemas Wi-Fi 7 puede variar según el fabricante y las capacidades de hardware del dispositivo.

La compatibilidad con Wi-Fi 7 se está probando en la compilación 26063 de Windows 11 Insider Preview, publicada hoy en Canary Channel.

Los usuarios de Windows Insider en el canal de desarrollo no recibirán esta compilación hoy, ya que Redmond está probando actualmente la canalización de mantenimiento para Windows 11 24H2, la próxima versión de características.

En enero, Microsoft dijo que el soporte para la especificación USB4 versión 2.0 también llegará a Windows 11, con mayores velocidades de transferencia USB de hasta 80 Gbps a través de cables USB tipo C.

La compañía también ha comenzado a probar una nueva función controvertida que abre automáticamente el asistente Copilot impulsado por IA después de que Windows 11 se inicie en sistemas con pantallas de 27 pulgadas y anchos de píxeles de al menos 1920 píxeles.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha lanzado un marco de automatización de acceso abierto llamado PyRIT (abreviatura de Python Risk Identification Tool) para identificar de forma proactiva los riesgos en los sistemas de inteligencia artificial (IA) generativa.

La herramienta de red teaming está diseñada para "permitir que todas las organizaciones del mundo innoven de manera responsable con los últimos avances en inteligencia artificial", dijo Ram Shankar Siva Kumar, líder del equipo rojo de IA en Microsoft.

La compañía dijo que PyRIT podría usarse para evaluar la solidez de los puntos finales de los modelos de lenguaje grandes (LLM) contra diferentes categorías de daño, como la fabricación (por ejemplo, alucinación), el uso indebido (por ejemplo, sesgo) y el contenido prohibido (por ejemplo, acoso).

También se puede utilizar para identificar daños a la seguridad que van desde la generación de malware hasta el jailbreak, así como daños a la privacidad como el robo de identidad.

PyRIT viene con cinco interfaces: objetivo, conjuntos de datos, motor de puntuación, la capacidad de admitir múltiples estrategias de ataque e incorporar un componente de memoria que puede tomar la forma de JSON o una base de datos para almacenar las interacciones intermedias de entrada y salida.

El motor de puntuación también ofrece dos opciones diferentes para puntuar los resultados del sistema de IA de destino, lo que permite a los miembros del equipo rojo utilizar un clasificador de aprendizaje automático clásico o aprovechar un punto final de LLM para la autoevaluación.

"El objetivo es permitir a los investigadores tener una línea de base de qué tan bien está funcionando su modelo y todo el proceso de inferencia frente a diferentes categorías de daño y poder comparar esa línea de base con futuras iteraciones de su modelo", dijo Microsoft.


"Esto les permite tener datos empíricos sobre qué tan bien está funcionando su modelo hoy en día y detectar cualquier degradación del rendimiento en función de mejoras futuras".

Dicho esto, el gigante tecnológico se cuida de enfatizar que PyRIT no es un reemplazo para el equipo rojo manual de sistemas de IA generativa y que complementa la experiencia de dominio existente de un equipo rojo.

En otras palabras, la herramienta está destinada a resaltar los "puntos calientes" de riesgo mediante la generación de avisos que podrían usarse para evaluar el sistema de IA y señalar áreas que requieren más investigación.

Microsoft reconoció además que el equipo rojo de los sistemas de IA generativa requiere sondear simultáneamente tanto la seguridad como los riesgos responsables de la IA y que el ejercicio es más probabilístico, al tiempo que señala las grandes diferencias en las arquitecturas de los sistemas de IA generativa.

"El sondeo manual, aunque requiere mucho tiempo, a menudo es necesario para identificar posibles puntos ciegos", dijo Siva Kumar. "La automatización es necesaria para el escalado, pero no reemplaza el palpado manual".

El desarrollo se produce cuando Protect AI reveló múltiples vulnerabilidades críticas en plataformas populares de la cadena de suministro de IA, como ClearML, Hugging Face, MLflow y Triton Inference Server, que podrían resultar en la ejecución de código arbitrario y la divulgación de información confidencial.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Han surgido detalles sobre una falla de seguridad de alta gravedad ahora parcheada en la aplicación Atajos de Apple que podría permitir que un acceso directo acceda a información confidencial en el dispositivo sin el consentimiento de los usuarios.

La vulnerabilidad, rastreada como CVE-2024-23204 (puntuación CVSS: 7.5), fue abordada por Apple el 22 de enero de 2024, con el lanzamiento de iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 y watchOS 10.3.

"Un acceso directo puede ser capaz de usar datos confidenciales con ciertas acciones sin preguntar al usuario", dijo el fabricante del iPhone en un aviso, afirmando que se solucionó con "comprobaciones de permisos adicionales".

Apple Shortcuts es una aplicación de scripting que permite a los usuarios crear flujos de trabajo personalizados (también conocidos como macros) para ejecutar tareas específicas en sus dispositivos. Viene instalado de forma predeterminada en los sistemas operativos iOS, iPadOS, macOS y watchOS.

El investigador de seguridad de Bitdefender, Jubaer Alnazi Jabin, quien descubrió e informó sobre el error de Atajos, dijo que podría usarse como arma para crear un atajo malicioso de modo que pueda eludir las políticas de Transparencia, Consentimiento y Control (TCC).


TCC es un marco de seguridad de Apple diseñado para proteger los datos de los usuarios del acceso no autorizado sin solicitar los permisos adecuados en primer lugar.

Específicamente, la falla tiene su origen en una acción de acceso directo llamada "Expandir URL", que es capaz de expandir y limpiar las URL que se han acortado utilizando un servicio de acortamiento de URL como No tienes permitido ver los links. Registrarse o Entrar a mi cuenta o No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, al mismo tiempo que elimina los parámetros de seguimiento UTM.

"Al aprovechar esta funcionalidad, se hizo posible transmitir los datos codificados en Base64 de una foto a un sitio web malicioso", explicó Alnazi Jabin.

"El método consiste en seleccionar cualquier dato confidencial (fotos, contactos, archivos y datos del portapapeles) dentro de Atajos, importarlo, convertirlo utilizando la opción de codificación base64 y, en última instancia, reenviarlo al servidor malicioso".

A continuación, los datos exfiltrados se capturan y se guardan como una imagen en el extremo del atacante mediante una aplicación Flask, lo que allana el camino para la explotación posterior.

"Los atajos se pueden exportar y compartir entre los usuarios, una práctica común en la comunidad de atajos", dijo el investigador. "Este mecanismo de intercambio amplía el alcance potencial de la vulnerabilidad, ya que los usuarios, sin saberlo, importan accesos directos que podrían explotar CVE-2024-23204".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los desarrolladores de ransomware LockBit estaban construyendo en secreto una nueva versión de su malware de cifrado de archivos, denominado LockBit-NG-Dev, que probablemente se convertirá en LockBit 4.0, cuando las fuerzas del orden desmantelaron la infraestructura del ciberdelincuente a principios de esta semana.

Como resultado de la colaboración con la Agencia Nacional contra el Crimen del Reino Unido, la empresa de ciberseguridad Trend Micro analizó una muestra del último desarrollo de LockBit que puede funcionar en múltiples sistemas operativos.

LockBit de última generación

Mientras que el malware LockBit anterior está construido en C/C++, el ejemplo más reciente es un trabajo en progreso escrito en .NET que parece estar compilado con CoreRT y empaquetado con MPRESS.

Trend Micro dice que el malware incluye un archivo de configuración en formato JSON que describe los parámetros de ejecución, como el rango de fechas de ejecución, los detalles de la nota de rescate, los ID únicos, la clave pública RSA y otras banderas operativas.


Aunque la firma de seguridad dice que el nuevo encriptador carece de algunas características presentes en iteraciones anteriores (por ejemplo, la capacidad de autopropagarse en redes violadas, imprimir notas de rescate en las impresoras de la víctima), parece estar en sus etapas finales de desarrollo, ya ofreciendo la mayor parte de la funcionalidad esperada.

Admite tres modos de cifrado (mediante AES+RSA), a saber, "rápido", "intermitente" y "completo", tiene exclusión personalizada de archivos o directorios y puede aleatorizar la nomenclatura de los archivos para complicar los esfuerzos de restauración.


Las opciones adicionales incluyen un mecanismo de autoeliminación que sobrescribe el contenido del archivo propio de LockBit con bytes nulos.

Trend Micro ha publicado un análisis profundamente técnico del malware, que revela los parámetros de configuración completos de LockBit-NG-Dev.

El descubrimiento del nuevo encriptador LockBit es otro golpe que las fuerzas del orden asestaron a los operadores de LockBit a través de la Operación Cronos. Incluso si los servidores de respaldo todavía están controlados por la banda, restaurar el negocio de los ciberdelincuentes debería ser un desafío difícil cuando los investigadores de seguridad conocen el código fuente del malware de cifrado.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Comisión Federal de Comercio de Estados Unidos (FTC, por sus siglas en inglés) ordenará a Avast pagar 16,5 millones de dólares y prohibirá a la compañía vender los datos de navegación web de los usuarios o licenciarlos con fines publicitarios.

La demanda dice que Avast violó los derechos de millones de consumidores al recopilar, almacenar y vender sus datos de navegación sin su conocimiento y consentimiento, al tiempo que los engañó de que los productos utilizados para recopilar sus datos bloquearían el seguimiento en línea.

"Si bien las demandas de privacidad de la FTC se enfrentan rutinariamente a las empresas que tergiversan sus prácticas de datos, la decisión de Avast de comercializar expresamente sus productos para salvaguardar los registros de navegación de las personas y proteger los datos del rastreo solo para luego vender esos registros es especialmente irritante", dijo la presidenta de la FTC, Lina M. Khan.

Además, el volumen de datos que Avast publicó es asombroso: la denuncia alega que para 2020 Jumpshot había acumulado "más de ocho petabytes de información de navegación que se remontan a 2014".

Más específicamente, la FTC dice que la empresa Avast Limited, con sede en el Reino Unido, recopiló información de navegación web de los consumidores sin su conocimiento o consentimiento utilizando extensiones de navegador y software antivirus de Avast desde al menos 2014.

Las fuentes de datos de Avast incluían identificadores únicos para cada navegador web y una combinación de información sobre cada sitio web visitado, marcas de tiempo, tipo de dispositivo y navegador, así como la ciudad, el estado y el país de los usuarios. Al describir sus prácticas de intercambio de datos, la compañía también afirmó falsamente que solo transferiría la información personal de los usuarios de forma agregada y anónima.

La FTC también dijo que Avast almacenó esta información indefinidamente y la vendió a más de 100 terceros entre 2014 y 2020 a través de su subsidiaria Jumpshot.

Por ejemplo, Jumpshot llegó a un acuerdo con la empresa de publicidad Omnicom, que le permitió acceder al 50% de los datos de los clientes de Jumpshot de seis países: Estados Unidos, Reino Unido, México, Australia, Canadá y Alemania, como se alega en la denuncia.

Avast también supuestamente engañó a los usuarios al prometer proteger su privacidad bloqueando el seguimiento de terceros. Sin embargo, no les informó de que se venderían sus datos de navegación detallados y reidentificables.

Las prácticas de recolección de datos de la compañía quedaron expuestas en diciembre de 2019 después de que Mozilla retirara cuatro de las extensiones de navegador de la compañía (es decir, Avast Online Security, Avast SafePrice, AVG Online Security y AVG SafePrice) de su repositorio de complementos de Firefox después de recibir informes de que estaban rastreando la navegación web de los usuarios.

Un mes después, una investigación conjunta de Motherboard y PCMag descubrió que la subsidiaria Jumpshot de Avast estaba vendiendo los datos de navegación recopilados de los clientes a terceros, incluido el corredor de datos Omnicom mencionado en la demanda de la FTC.


Además de ser condenado a pagar 16,5 millones de dólares, Avast tendrá prohibido licenciar o vender cualquier dato de navegación recopilado utilizando productos de la marca Avast a terceros con fines publicitarios.

La empresa tendrá que obtener el consentimiento de todos los clientes antes de vender o licenciar los datos de navegación obtenidos de productos que no sean de Avast. La FTC también exigirá a Avast que elimine todos los datos de navegación web compartidos con Jumpshot y cualquier producto o algoritmo desarrollado por Jumpshot que utilice dichos datos.

Además, Avast tendrá que notificar a los usuarios cuyos datos de navegación se hayan vendido a terceros sin su consentimiento sobre las acciones de la FTC contra la empresa.

"Avast prometió a los usuarios que sus productos protegerían la privacidad de sus datos de navegación, pero entregó lo contrario. Las tácticas de vigilancia de Avast comprometieron la privacidad de los consumidores e infringieron la ley", dijo Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC.

Un portavoz de Avast le dijo a BleepingComputer que la compañía ya ha llegado a un acuerdo con la FTC para resolver la investigación sobre los datos compartidos con la subsidiaria Jumpshot que se cerró en enero de 2020.

"Estamos comprometidos con nuestra misión de proteger y empoderar la vida digital de las personas", dijo el portavoz.

"Si bien no estamos de acuerdo con la acusación y la caracterización de los hechos por parte de la FTC, nos complace resolver este asunto y esperamos continuar sirviendo a nuestros millones de clientes en todo el mundo".

Actualización 22 de febrero, 11:57 EST: Se ha añadido la declaración de Avast.
Fuente:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Apple ha anunciado un nuevo protocolo criptográfico post-cuántico llamado PQ3 que, según dijo, se integrará en iMessage para proteger la plataforma de mensajería contra futuros ataques derivados de la amenaza de una computadora cuántica práctica.

"Con un cifrado resistente al compromiso y amplias defensas incluso contra ataques cuánticos altamente sofisticados, PQ3 es el primer protocolo de mensajería en alcanzar lo que llamamos seguridad de nivel 3, proporcionando protecciones de protocolo que superan a las de todas las demás aplicaciones de mensajería ampliamente implementadas", dijo Apple.

El fabricante del iPhone describió el protocolo como "innovador", "de última generación" y con las "propiedades de seguridad más sólidas" de cualquier protocolo criptográfico implementado a escala.

PQ3 es la última barandilla de seguridad erigida por Apple en iMessage después de que cambiara de RSA a criptografía de curva elíptica (ECC), y protegiendo las claves de cifrado en dispositivos con Secure Enclave en 2019.

Si bien los algoritmos actuales que sustentan la criptografía de clave pública (o criptografía asimétrica) se basan en problemas matemáticos que son fáciles de hacer en una dirección pero difíciles a la inversa, un posible avance futuro en la computación cuántica significa que los problemas matemáticos clásicos considerados computacionalmente intensivos pueden resolverse de manera trivial, amenazando efectivamente las comunicaciones cifradas de extremo a extremo (E2EE).

El riesgo se ve agravado por el hecho de que los actores de amenazas podrían llevar a cabo lo que se conoce como un ataque de cosecha ahora, descifrado después (HNDL), en el que los mensajes cifrados se roban hoy con la esperanza de decodificarlos en un momento posterior por medio de una computadora cuántica una vez que se convierta en realidad.

En julio de 2022, el Instituto Nacional de Estándares y Tecnología (NIST) del Departamento de Comercio de EE. UU. eligió a Kyber como algoritmo criptográfico poscuántico para el cifrado general. Durante el último año, Amazon Web Services (AWS), Cloudflare, Google y Signal han anunciado el soporte para el cifrado resistente a la cuántica en sus productos.


Apple es el último en unirse al carro de la criptografía poscuántica (PQC) con PQ3, que combina Kyber y ECC y tiene como objetivo alcanzar el nivel 3 de seguridad. Por el contrario, Signal, que introdujo su propio protocolo PQXDH, ofrece seguridad de nivel 2, que establece una clave PQC para el cifrado.

Esto se refiere a un enfoque en el que PQC se "utiliza para asegurar tanto el establecimiento inicial de la clave como el intercambio de mensajes en curso, con la capacidad de restaurar rápida y automáticamente la seguridad criptográfica de una conversación, incluso si una clave determinada se ve comprometida".

El protocolo, según Apple, también está diseñado para mitigar el impacto de los compromisos de claves al limitar la cantidad de mensajes pasados y futuros que se pueden descifrar con una sola clave comprometida. En concreto, su esquema de rotación de claves garantiza que las claves se roten cada 50 mensajes como máximo y al menos una vez cada siete días.

Se espera que el soporte para PQ3 comience a implementarse con la disponibilidad general de iOS 17.4, iPadOS 17.4, macOS 14.4 y watchOS 10.4 el próximo mes.

La actualización de seguridad de iMessage de Cupertino sigue a la sorpresiva decisión del gigante tecnológico de llevar Rich Communication Services (RCS) a su aplicación Mensajes a finales de este año, marcando un cambio muy necesario del estándar de SMS no seguro.

También dijo que trabajará para mejorar la seguridad y el cifrado de los mensajes RCS. Vale la pena señalar que, si bien RCS no implementa E2EE de forma predeterminada, la aplicación Mensajes de Google para Android utiliza el protocolo Signal para proteger las conversaciones RCS.

Si bien la adopción de protecciones avanzadas siempre es un paso bienvenido, queda por ver si esto se expande más allá de iMessage para incluir mensajes RCS.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una herramienta de mapeo de red de código abierto llamada SSH-Snake ha sido reutilizada por los actores de amenazas para llevar a cabo actividades maliciosas.

"SSH-Snake es un gusano automodificable que aprovecha las credenciales SSH descubiertas en un sistema comprometido para comenzar a propagarse por toda la red", dijo el investigador de Sysdig, Miguel Hernández.

"El gusano busca automáticamente a través de ubicaciones de credenciales conocidas y archivos de historial de shell para determinar su próximo movimiento".

SSH-Snake se lanzó por primera vez en GitHub a principios de enero de 2024, y su desarrollador lo describe como una "poderosa herramienta" para llevar a cabo el recorrido automático de la red utilizando claves privadas SSH descubiertas en los sistemas.

Al hacerlo, crea un mapa completo de una red y sus dependencias, lo que ayuda a determinar hasta qué punto una red puede verse comprometida utilizando SSH y claves privadas SSH a partir de un host en particular. También admite la resolución de dominios que tienen varias direcciones IPv4.

"Es completamente autorreplicante y autopropagable, y completamente sin archivos", según la descripción del proyecto. "En muchos sentidos, SSH-Snake es en realidad un gusano: se replica a sí mismo y se propaga de un sistema a otro tan lejos como puede".

Sysdig dijo que el script de shell no solo facilita el movimiento lateral, sino que también proporciona sigilo y flexibilidad adicionales que otros gusanos SSH típicos.

La compañía de seguridad en la nube dijo que observó que los actores de amenazas desplegaban SSH-Snake en ataques del mundo real para recopilar credenciales, las direcciones IP de los objetivos y el historial de comandos bash tras el descubrimiento de un servidor de comando y control (C2) que alojaba los datos.

"El uso de claves SSH es una práctica recomendada que SSH-Snake trata de aprovechar para propagarse", dijo Hernández. "Es más inteligente y confiable, lo que permitirá a los actores de amenazas llegar más lejos en una red una vez que se afiancen".

Cuando se le contactó para hacer comentarios, Joshua Rogers, el desarrollador de SSH-Snake, dijo a The Hacker News que la herramienta ofrece a los propietarios legítimos del sistema una forma de identificar las debilidades en su infraestructura antes de que lo hagan los atacantes, instando a las empresas a usar SSH-Snake para "descubrir las rutas de ataque que existen y solucionarlas".

"Parece que comúnmente se cree que el terrorismo cibernético 'simplemente sucede' de repente en los sistemas, lo que solo requiere un enfoque reactivo de la seguridad", dijo Rogers. "En cambio, en mi experiencia, los sistemas deben diseñarse y mantenerse con medidas de seguridad integrales".

"Si un ciberterrorista es capaz de ejecutar SSH-Snake en su infraestructura y acceder a miles de servidores, se debe poner el foco en las personas que están a cargo de la infraestructura, con el objetivo de revitalizar la infraestructura de tal manera que el compromiso de un solo host no pueda replicarse en miles de otros".

Rogers también llamó la atención sobre las "operaciones negligentes" de las empresas que diseñan e implementan infraestructuras inseguras, que pueden ser fácilmente tomadas por un simple script de shell.

"Si los sistemas se diseñaran y mantuvieran de manera sensata y los propietarios de los sistemas y las empresas realmente se preocuparan por la seguridad, se minimizarían las consecuencias de la ejecución de un script de este tipo, así como si las acciones tomadas por SSH-Snake fueran realizadas manualmente por un atacante", agregó Rogers.

"En lugar de leer las políticas de privacidad y realizar la entrada de datos, los equipos de seguridad de las empresas preocupadas por que este tipo de script se apodere de toda su infraestructura deberían realizar una rearquitectura total de sus sistemas por parte de especialistas en seguridad capacitados, no aquellos que crearon la arquitectura en primer lugar".

La revelación se produce cuando Aqua descubrió una nueva campaña de botnets llamada Lucifer que explota las configuraciones incorrectas y las fallas existentes en Apache Hadoop y Apache Druid para acorralarlos en una red para minar criptomonedas y organizar ataques de denegación de servicio distribuido (DDoS).

El malware híbrido de cryptojacking fue documentado por primera vez por la Unidad 42 de Palo Alto Networks en junio de 2020, llamando la atención sobre su capacidad para explotar fallas de seguridad conocidas para comprometer los puntos finales de Windows.


En el último mes se han detectado hasta 3.000 ataques distintos dirigidos a la pila de big data de Apache, dijo la firma de seguridad en la nube. Esto también incluye aquellos que seleccionan instancias susceptibles de Apache Flink para implementar mineros y rootkits.

"El atacante implementa el ataque explotando las configuraciones erróneas y las vulnerabilidades existentes en esos servicios", dijo el investigador de seguridad Nitzan Yaakov.

"Las soluciones de código abierto de Apache son ampliamente utilizadas por muchos usuarios y colaboradores. Los atacantes pueden ver este uso extensivo como una oportunidad para tener recursos inagotables para implementar sus ataques contra ellos".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de seguridad descubrieron una nueva campaña que se dirige a los servidores Redis en hosts Linux utilizando una pieza de malware llamada 'Migo' para minar criptomonedas.

Redis (Remote Dictionary Server) es un almacén de estructura de datos en memoria que se utiliza como base de datos, caché y agente de mensajes conocido por su alto rendimiento, que atiende miles de solicitudes por segundo para aplicaciones en tiempo real en sectores como los juegos, la tecnología, los servicios financieros y la sanidad.

Los piratas informáticos siempre están buscando servidores Redis expuestos y potencialmente vulnerables para secuestrar recursos, robar datos y otros fines maliciosos.

Lo interesante de la nueva cepa de malware es el uso de comandos que debilitan el sistema y desactivan las funciones de seguridad de Redis, lo que permite que las actividades de cryptojacking continúen durante períodos prolongados.

La campaña de Migo fue detectada por los analistas del proveedor forense en la nube Cado Security, quienes observaron en sus honeypots que los atacantes usaban comandos CLI para desactivar las configuraciones de protección y explotar el servidor.

Desactivar los escudos de Redis

Al poner en peligro los servidores Redis expuestos, los atacantes desactivan las funciones de seguridad críticas para permitir la recepción de comandos posteriores y hacer que las réplicas se puedan escribir.

Cado dice que notaron que los atacantes deshabilitaron las siguientes opciones de configuración a través de la CLI de Redis.

set protected-mode: deshabilitar esto permite el acceso externo al servidor de Redis, lo que facilita que un atacante ejecute comandos maliciosos de forma remota.

replica-read-only: desactivar esta opción permite a los atacantes escribir directamente en las réplicas y propagar cargas maliciosas o modificaciones de datos en una configuración de Redis distribuida.

aof-rewrite-incremental-fsync: deshabilitarlo puede provocar una carga de E/S más pesada durante las reescrituras de archivos de solo anexión (AOF), lo que podría ayudar a los atacantes a pasar desapercibidos por las herramientas de detección que distraen con patrones de E/S inusuales.

rdb-save-incremental-fsync: desactivarlo puede provocar una degradación del rendimiento durante el guardado de instantáneas de RDB, lo que podría permitir a los atacantes provocar una denegación de servicio (DoS) o manipular el comportamiento de persistencia en su beneficio.


A continuación, los atacantes configuran un trabajo cron que descarga un script de Pastebin, que recupera la carga útil principal de Migo (/tmp/.migo) de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta para ejecutarla como una tarea en segundo plano.

Se trata de un binario ELD empaquetado en UPX compilado en Go, con ofuscación en tiempo de compilación para dificultar el análisis.

Cado dice que la función principal de Migo es obtener, instalar y lanzar un minero XMRig (Monero) modificado en el punto final comprometido directamente desde la CDN de GitHub.

El malware establece la persistencia para el minero mediante la creación de un servicio systemd y el temporizador asociado, asegurando que se ejecute continuamente, minando criptomonedas en la cuenta del atacante.


Cado informa que Migo emplea un rootkit en modo de usuario para ocultar sus procesos y archivos, lo que complica la detección y eliminación.

El malware modifica '/etc/ld.so.preload' para interceptar y alterar el comportamiento de las herramientas del sistema que enumeran procesos y archivos, ocultando efectivamente su presencia.

El ataque concluye con Migo configurando reglas de firewall para bloquear el tráfico saliente a ciertas IP y ejecutando comandos para deshabilitar SELinux, buscar y potencialmente deshabilitar agentes de monitoreo de proveedores de nube y eliminar mineros o cargas útiles de la competencia.

También manipula /etc/hosts para evitar la comunicación con los proveedores de servicios en la nube, ocultando aún más su actividad.

La cadena de ataque de Migo muestra que el actor de amenazas detrás de ella tiene un sólido conocimiento del entorno y las operaciones de Redis.

Aunque la amenaza de cryptojacking no es demasiado grave porque no provoca interrupciones ni corrupción de datos, el actor de amenazas podría utilizar el acceso para entregar cargas útiles más peligrosas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un equipo de investigadores académicos muestra que un nuevo conjunto de ataques llamado 'VoltSchemer' puede inyectar comandos de voz para manipular el asistente de voz de un teléfono inteligente a través del campo magnético emitido por un cargador inalámbrico estándar.

VoltSchemer también se puede usar para causar daños físicos al dispositivo móvil y para calentar artículos cerca del cargador a una temperatura superior a 536 °F (280 °C).

Un documento técnico firmado por investigadores de la Universidad de Florida y CertiK describe a VoltSchemer como un ataque que aprovecha la interferencia electromagnética para manipular el comportamiento del cargador.

Para demostrar el ataque, los investigadores llevaron a cabo pruebas en nueve de los cargadores inalámbricos más vendidos disponibles en todo el mundo, destacando las brechas en la seguridad de estos productos.


¿Qué hace posible estos ataques?

Los sistemas de carga inalámbrica suelen utilizar campos electromagnéticos para transferir energía entre dos objetos, basándose en el principio de la inducción electromagnética.

La estación de carga contiene una bobina transmisora, por donde fluye la corriente alterna para crear un campo magnético oscilante, y el teléfono inteligente contiene una bobina receptora que captura la energía del campo magnético y la convierte en energía eléctrica para cargar la batería.


Los atacantes pueden manipular el voltaje suministrado en la entrada de un cargador y ajustar con precisión las fluctuaciones de voltaje (ruido) para crear una señal de interferencia que puede alterar las características de los campos magnéticos generados.

La manipulación del voltaje puede ser introducida por un dispositivo de interposición, sin necesidad de modificación física de la estación de carga o infección de software del dispositivo del teléfono inteligente.

Los investigadores dicen que esta señal de ruido puede interferir con el intercambio regular de datos entre la estación de carga y el teléfono inteligente, que utilizan microcontroladores que administran el proceso de carga, para distorsionar la señal de energía y corromper los datos transmitidos con alta precisión.

En esencia, VoltSchemer se aprovecha de las fallas de seguridad en el diseño de hardware de los sistemas de carga inalámbrica y los protocolos que rigen su comunicación.

Esto abre el camino a al menos tres vectores de ataque potenciales para los ataques de VoltSchemer, incluido el sobrecalentamiento/sobrecarga, la elusión de los estándares de seguridad de Qi y la inyección de comandos de voz en el teléfono inteligente que se carga.


Engañar a los asistentes de voz y freír los teléfonos

Los teléfonos inteligentes están diseñados para dejar de cargarse una vez que la batería está llena para evitar la sobrecarga, que se comunica con la estación de carga para reducir o cortar el suministro de energía.

La señal de ruido introducida por VoltSchemer puede interferir con esta comunicación, manteniendo la entrega de energía al máximo y haciendo que el teléfono inteligente en la plataforma de carga se sobrecargue y se sobrecaliente, lo que introduce un peligro significativo para la seguridad.


Los investigadores describen sus experimentos con un dispositivo Samsung Galaxy S8 de la siguiente manera:

Al inyectar paquetes CE para aumentar la potencia, la temperatura aumentó rápidamente. Poco después, el teléfono intentó detener la transferencia de energía transmitiendo paquetes EPT debido al sobrecalentamiento, pero la interferencia de voltaje introducida por nuestro manipulador de voltaje corrompió estos, haciendo que el cargador no respondiera.

Engañado por paquetes falsos CE y RP, el cargador siguió transfiriendo energía, elevando aún más la temperatura. El teléfono activó aún más medidas de protección: cerró aplicaciones y limitó la interacción del usuario a 126 F◦ e inició el apagado de emergencia a 170 F (76,7 C). Aún así, la transferencia de energía continuó, manteniendo una temperatura peligrosamente alta, estabilizándose en 178 °F (81 °C).


El segundo tipo de ataque VoltSchemer puede eludir los mecanismos de seguridad estándar de Qi para iniciar la transferencia de energía a elementos cercanos no compatibles. Algunos ejemplos podrían incluir llaveros de automóvil, memorias USB, chips RFID o NFC utilizados en tarjetas de pago y control de acceso, unidades SSD en computadoras portátiles y otros artículos muy cerca de la plataforma de carga.


Al experimentar con clips que sostenían documentos, los investigadores lograron calentarlos a 536 °F (280 °C), que es más que suficiente para prender fuego a los papeles.

Los artículos electrónicos no están diseñados para soportar este nivel de calor y podrían dañarse en un ataque de este tipo con VoltSchemer.


En el caso de un llavero de coche, el ataque provocó que la batería explotara y destruyera el dispositivo. Con las unidades de almacenamiento USB, la transferencia de voltaje provocaba la pérdida de datos, al igual que en el caso de las unidades SSD.

Un tercer tipo de ataque que los investigadores probaron fue entregar comandos de voz inaudibles a los asistentes en iOS (Siri) y Android (Google Assistant).

Los investigadores han demostrado que es posible inyectar una serie de comandos de voz a través de señales de ruido transmitidas a través del alcance de la estación de carga, logrando el inicio de llamadas, navegando por un sitio web o lanzando una aplicación.

Sin embargo, este ataque viene con limitaciones que podrían hacerlo poco práctico en un escenario de la vida real. Un atacante primero tendría que grabar los comandos de activación del objetivo y luego agregar señales de voz de salida al adaptador de corriente. que tienen la información más importante en una banda de frecuencia por debajo de 10kHz.

"[...] cuando se agrega una señal de voz al voltaje de salida del adaptador de corriente, puede modular la señal de potencia en la bobina TX con atenuación y distorsiones limitadas", explican los investigadores, y agregan que un estudio reciente mostró que a través de acoplamientos magnéticos, "un campo magnético modulado por AM puede causar sonido inducido por el magnetismo (MIS) en los circuitos de micrófono de los teléfonos inteligentes modernos".

Los dispositivos de interposición que introducen las fluctuaciones maliciosas de voltaje pueden ser cualquier cosa disfrazada como un accesorio legítimo, distribuido a través de varios medios, como obsequios promocionales, ventas de segunda mano o como reemplazos de productos supuestamente retirados del mercado.


Si bien la entrega de un voltaje más alto al dispositivo móvil en la plataforma de carga o a los elementos cercanos mediante un cargador inalámbrico es un escenario factible, la manipulación de los asistentes telefónicos con VoltSchemer establece una barrera más alta en términos de las habilidades y la motivación del atacante.

Estos descubrimientos ponen de relieve las brechas de seguridad en las estaciones de carga y los estándares modernos, y exigen mejores diseños que sean más resistentes a las interferencias electromagnéticas.

Los investigadores revelaron sus hallazgos a los proveedores de las estaciones de carga probadas y discutieron contramedidas que podrían eliminar el riesgo de un ataque de VoltSchemer.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El actor de amenazas vinculado a China conocido como Mustang Panda se ha dirigido a varios países asiáticos utilizando una variante de la puerta trasera PlugX (también conocida como Korplug) denominada DOPLUGS.

"La pieza de malware PlugX personalizada es diferente al tipo general de malware PlugX que contiene un módulo de comando de puerta trasera completo, y que el primero solo se usa para descargar el segundo", dijeron los investigadores de Trend Micro Sunny Lu y Pierre Lee en un nuevo artículo técnico.

Los objetivos de los DOPLUGS se han localizado principalmente en Taiwán y Vietnam, y en menor medida en Hong Kong, India, Japón, Malasia, Mongolia e incluso China.

PlugX es una herramienta básica de Mustang Panda, que también se rastrea como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 y TEMP. Maleficio. Se sabe que está activo desde al menos 2012, aunque salió a la luz por primera vez en 2017.

El oficio del actor de amenazas consiste en llevar a cabo campañas de spear-phishing bien forjadas que están diseñadas para implementar malware personalizado. También tiene un historial de implementación de sus propias variantes personalizadas de PlugX como RedDelta, Thor, Hodur y DOPLUGS (distribuidas a través de una campaña llamada SmugX) desde 2018.

Las cadenas de compromiso aprovechan un conjunto de tácticas distintas, utilizando mensajes de phishing como conducto para entregar una carga útil de primera etapa que, mientras muestra un documento señuelo al destinatario, desempaqueta de forma encubierta un ejecutable legítimo y firmado que es vulnerable a la carga lateral de DLL para cargar lateralmente una biblioteca de vínculos dinámicos (DLL), que, a su vez, descifra y ejecuta PlugX.

Posteriormente, el malware PlugX recupera el troyano de acceso remoto (RAT) Poison Ivy o Cobalt Strike Beacon para establecer una conexión con un servidor controlado por Mustang Panda.

En diciembre de 2023, Lab52 descubrió una campaña de Mustang Panda dirigida a entidades políticas, diplomáticas y gubernamentales taiwanesas con DOPLUGS, pero con una diferencia notable.

"La DLL maliciosa está escrita en el lenguaje de programación Nim", dijo Lab52. "Esta nueva variante utiliza su propia implementación del algoritmo RC4 para descifrar PlugX, a diferencia de las versiones anteriores que utilizan la biblioteca Cryptsp.dll de Windows".

DOPLUGS, documentado por primera vez por Secureworks en septiembre de 2022, es un descargador con cuatro comandos de puerta trasera, uno de los cuales está orquestado para descargar el tipo general del malware PlugX.

Trend Micro dijo que también identificó muestras de DOPLUGS integradas con un módulo conocido como KillSomeOne, un complemento que es responsable de la distribución de malware, la recopilación de información y el robo de documentos a través de unidades USB.

Esta variante viene equipada con un componente de inicio adicional que ejecuta el ejecutable legítimo para realizar la carga lateral de DLL, además de admitir la funcionalidad para ejecutar comandos y descargar el malware de la siguiente etapa desde un servidor controlado por actores.

Vale la pena señalar que una variante personalizada de PlugX, incluido el módulo KillSomeOne diseñado para propagarse a través de USB, fue descubierta ya en enero de 2020 por Avira como parte de los ataques dirigidos contra Hong Kong y Vietnam.

"Esto demuestra que Earth Preta ha estado refinando sus herramientas desde hace algún tiempo, agregando constantemente nuevas funcionalidades y características", dijeron los investigadores. "El grupo sigue siendo muy activo, sobre todo en Europa y Asia".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los anunciantes de Facebook en Vietnam son el objetivo de un ladrón de información previamente desconocido denominado VietCredCare al menos desde agosto de 2022.

El malware es "notable por su capacidad para filtrar automáticamente las cookies de sesión de Facebook y las credenciales robadas de dispositivos comprometidos, y evaluar si estas cuentas administran perfiles comerciales y si mantienen un saldo positivo de crédito publicitario de Meta", dijo Group-IB, con sede en Singapur, en un nuevo informe compartido con The Hacker News.

El objetivo final del esquema de distribución de malware a gran escala es facilitar la toma de control de las cuentas corporativas de Facebook al dirigirse a las personas vietnamitas que administran los perfiles de Facebook de empresas y organizaciones destacadas.

Las cuentas de Facebook que han sido incautadas con éxito son utilizadas por los actores de amenazas detrás de la operación para publicar contenido político o para propagar phishing y estafas de afiliados para obtener ganancias financieras.

VietCredCare se ofrece a otros aspirantes a ciberdelincuentes bajo el modelo de ladrón como servicio y se anuncia en Facebook, YouTube y Telegram. Se considera que está gestionado por personas de habla vietnamita.

Los clientes tienen la opción de comprar acceso a una botnet administrada por los desarrolladores del malware o obtener acceso al código fuente para su reventa o uso personal. También se les proporciona un bot de Telegram a medida para gestionar la exfiltración y la entrega de credenciales desde un dispositivo infectado.

El. El malware basado en NET se distribuye a través de enlaces a sitios falsos en publicaciones de redes sociales y plataformas de mensajería instantánea, haciéndose pasar por software legítimo como Microsoft Office o Acrobat Reader para engañar a los visitantes para que los instalen.


Uno de sus principales puntos de venta es su capacidad para extraer credenciales, cookies e ID de sesión de navegadores web como Google Chrome, Microsoft Edge y Cốc Cốc, lo que indica su enfoque vietnamita.

También puede recuperar la dirección IP de una víctima, verificar si Facebook es un perfil comercial y evaluar si la cuenta en cuestión está administrando actualmente algún anuncio, al mismo tiempo que toma medidas para evadir la detección deshabilitando la interfaz de escaneo antimalware de Windows (AMSI) y agregándose a la lista de exclusión de Windows Defender Antivirus.

"La funcionalidad principal de VietCredCare para filtrar las credenciales de Facebook pone a las organizaciones tanto en el sector público como en el privado en riesgo de daños financieros y de reputación si sus cuentas confidenciales se ven comprometidas", dijo Vesta Matveeva, jefa del Departamento de Investigación de Delitos de Alta Tecnología de APAC.

Las credenciales pertenecientes a varias agencias gubernamentales, universidades, plataformas de comercio electrónico, bancos y empresas vietnamitas han sido desviadas a través del malware ladrón.

VietCredCare es también la última incorporación a una larga lista de malware ladrón, como Ducktail y NodeStealer, que se ha originado en el ecosistema cibercriminal vietnamita con la intención de atacar cuentas de Facebook.

Dicho esto, Group-IB le dijo a The Hacker News que no hay evidencia en esta etapa que sugiera conexiones entre VietCredCare y las otras cepas.

"Con Ducktail, las funciones son diferentes, y aunque hay algunas similitudes con NodeStealer, observamos que este último usa un servidor [de comando y control] en lugar de Telegram, además de que su elección de víctimas es diferente", dijo la compañía.

"El modelo de negocio de ladrón como servicio permite a los actores de amenazas con poca o ninguna habilidad técnica entrar en el campo de la ciberdelincuencia, lo que da lugar a que más víctimas inocentes sufran daños".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las quejas han surtido efecto y, tras conocerse que la nueva versión de Visual Studio Code dejaba sin soporte a «distribuciones Linux viejas», los responsables del proyecto lo han reconsiderado y el ampliarán el soporte durante un año más para dar tiempo a que todo el mundo pueda dar el salto o considerar otras opciones.

Nos hicimos eco de la noticia hace un par de semanas y como contamos entonces el lanzamiento mensual del editor de código multiplataforma de Microsoft aparecía con un cambio importante en sus requisitos que afectaba directamente a la compilación de la aplicación en Linux. En concreto, la nueva versión tomaba como requisito versiones más recientes de glibc con la consecuencia de dejar atrás todo lo que dependiera de ellas.

Así, distribuciones como Debian 9, Red Hat Enterprise Linux 7 y Ubuntu 16.04 LTS se quedaban sin soporte de Visual Studio Code 1.86; distribuciones con un buen número de años a sus espaldas, lo cual puede generar dudas sobre quién se queja de algo así. Y la respuesta es, principalmente, desarrolladores que todavía utilizan estas versiones en servidores, aunque de todo habrá un poco.

Sea como fuere, la actualización llegó y los usuarios afectados se quedaron con dos palmos de narices, o con dos posibles opciones, que en realidad son tres: actualizar el sistema o seguir utilizando una versión desactualizada de VSCode. También existía la posibilidad de adoptar una alternativa, que las hay, pero... No va a ser necesario.

A una petición de apaño temporal, el desarrollador de Visual Studio Code Isidor Nikolic respondía en positivo, asegurando que mantendrán el soporte del editor por un año más en todos los sistemas afectados. ¿Cómo lo harán, o mejor dicho, cómo lo han hecho? Lanzando una nueva actualización con dicho cambio ya implementado.

«Esperamos que esto proporcione el tiempo necesario para que vosotros y vuestras empresas migren a distribuciones de Linux más nuevas. El código VS mostrará el cuadro de diálogo y el banner apropiados que está conectando a un sistema operativo que no es compatible con el código VS», explica Nikolic.

A todo esto, VSCode 1.86 ha sido un lanzamiento con novedades bastante interesantes, según se recoge en las notas de lanzamiento oficiales.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta