El Departamento de Estado de EE.UU. ofrece recompensas de hasta 10 millones de dólares por información que pueda conducir a la identificación o localización de los líderes de la banda de ransomware ALPHV/Blackcat.

También hay disponible una recompensa adicional de 5 millones de dólares por consejos sobre las personas que intentan participar en los ataques de ransomware ALPHV, lo que probablemente disuadirá a los afiliados y a los corredores de acceso inicial.

El FBI vinculó a esta banda de ransomware con más de 60 brechas en todo el mundo durante sus primeros cuatro meses de actividad entre noviembre de 2021 y marzo de 2022.

ALPHV también ha recaudado al menos 300 millones de dólares en pagos de rescate de más de 1.000 víctimas hasta septiembre de 2023, según el FBI.

"El Departamento de Estado de EE.UU. ofrece una recompensa de hasta 10.000.000 de dólares por información que conduzca a la identificación o localización de cualquier persona que ocupe una posición de liderazgo clave en el grupo de Crimen Organizado Transnacional detrás de la variante de ransomware ALPHV/Blackcat", dijo el Departamento de Estado.

"Además, se ofrece una oferta de recompensa de hasta 5.000.000 de dólares por información que conduzca al arresto y/o condena en cualquier país de cualquier persona que conspire para participar o intente participar en actividades de ransomware ALPHV/Blackcat".

Estas recompensas se otorgan a través del Programa de Recompensas contra el Crimen Organizado Transnacional de los Estados Unidos (TOCRP, por sus siglas en inglés), con más de $135 millones pagados por consejos útiles desde 1986.

El Departamento de Estado ha establecido un servidor Tor SecureDrop dedicado que se puede utilizar para enviar pistas sobre ALPHV y otros actores de amenazas buscados.


Ransomware y oleoductos

ALPHV apareció en noviembre de 2021 y se cree que es un cambio de marca de las operaciones de ransomware DarkSide y BlackMatter.

La operación se cerró en mayo de 2021 después de que las extensas investigaciones de las fuerzas del orden llevaran a la incautación de su infraestructura tras el ataque a Colonial Pipeline.

La pandilla resurgió bajo la marca BlackMatter, cerró nuevamente en noviembre de 2021 y regresó como ALPHV/BlackCat en febrero de 2022.

El FBI interrumpió la operación de ALPHV en diciembre después de violar los servidores del grupo y cerrar temporalmente sus sitios de negociación y filtración de Tor después de crear una herramienta de descifrado después de meses de monitorear sus actividades.

La banda de ransomware agregó recientemente Trans-Northern Pipelines de Canadá a su nuevo sitio web de filtraciones, y la compañía ahora investiga las afirmaciones de ALPHV después de confirmar una violación de la red en noviembre de 2023.

En enero, el gobierno de Estados Unidos también anunció recompensas de hasta 10 millones de dólares por información sobre los líderes de la banda de ransomware Hive.

El Departamento de Estado anunció previamente recompensas de hasta 15 millones de dólares por pistas sobre miembros y afiliados de las operaciones de ransomware Hive, Clop, Conti [1, 2], REvil (Sodinokibi) y Darkside.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un script malicioso de Python conocido como SNS Sender se anuncia como una forma para que los actores de amenazas envíen mensajes de smishing masivos abusando de Amazon Web Services (AWS) Simple Notification Service (SNS).

Los mensajes de phishing por SMS están diseñados para propagar enlaces maliciosos que están diseñados para capturar la información de identificación personal (PII) y los detalles de las tarjetas de pago de las víctimas, dijo SentinelOne en un nuevo informe, atribuyéndolo a un actor de amenazas llamado ARDUINO_DAS.

"Las estafas de smishing a menudo toman la apariencia de un mensaje del Servicio Postal de los Estados Unidos (USPS) con respecto a la entrega de un paquete perdido", dijo el investigador de seguridad Alex Delamotte.

SNS Sender es también la primera herramienta observada en la naturaleza que aprovecha AWS SNS para realizar ataques de spam por SMS. SentinelOne dijo que identificó vínculos entre ARDUINO_DAS y más de 150 kits de phishing puestos a la venta.

El malware requiere una lista de enlaces de phishing almacenados en un archivo llamado links.txt en su directorio de trabajo, además de una lista de claves de acceso de AWS, los números de teléfono a los que dirigirse, el ID del remitente (también conocido como nombre para mostrar) y el contenido del mensaje.

La inclusión obligatoria de la identificación del remitente para enviar los mensajes de texto fraudulentos es digna de mención porque la compatibilidad con las identificaciones del remitente varía de un país a otro. Esto sugiere que es probable que el autor de SNS Sender sea de un país donde el ID de remitente es una práctica convencional.

"Por ejemplo, los operadores en los Estados Unidos no admiten ID de remitente en absoluto, pero los operadores en India requieren que los remitentes usen ID de remitente", dice Amazon en su documentación.

Hay pruebas que sugieren que esta operación puede haber estado activa desde al menos julio de 2022, a juzgar por los registros bancarios que contienen referencias a ARDUINO_DAS que se han compartido en foros de tarjetas como Crax Pro.

La gran mayoría de los kits de phishing tienen una temática de USPS, y las campañas dirigen a los usuarios a páginas falsas de seguimiento de paquetes que solicitan a los usuarios que introduzcan su información personal y de su tarjeta de crédito/débito, como demuestra el investigador de seguridad @JCyberSec_ en X (antes Twitter) a principios de septiembre de 2022.

"¿Crees que el actor que los implementa sabe que todos los kits tienen una puerta trasera oculta que envía los registros a otro lugar?", señaló además el investigador.

En todo caso, el desarrollo representa los intentos continuos de los actores de amenazas de productos básicos de explotar los entornos en la nube para campañas de smishing. En abril de 2023, Permiso reveló un clúster de actividad que aprovechó las claves de acceso de AWS previamente expuestas para infiltrarse en los servidores de AWS y enviar mensajes SMS mediante SNS.

Los hallazgos también siguen al descubrimiento de un nuevo cuentagotas con nombre en código TicTacToe que probablemente se venda como un servicio a los actores de amenazas y se ha observado que se utiliza para propagar una amplia variedad de ladrones de información y troyanos de acceso remoto (RAT) dirigidos a usuarios de Windows a lo largo de 2023.

Fortinet FortiGuard Labs, que arrojó luz sobre el malware, dijo que se despliega por medio de una cadena de infección de cuatro etapas que comienza con un archivo ISO incrustado en los mensajes de correo electrónico.

Otro ejemplo relevante de actores de amenazas que innovan continuamente sus tácticas se refiere al uso de redes publicitarias para organizar campañas de spam efectivas y desplegar malware como DarkGate.

"El actor de amenazas hizo proxy de enlaces a través de una red publicitaria para evadir la detección y capturar análisis sobre sus víctimas", dijo HP Wolf Security. "Las campañas se iniciaron a través de archivos adjuntos PDF maliciosos que se hacían pasar por mensajes de error de OneDrive, lo que condujo al malware".

La división de seguridad de la información del fabricante de PC también destacó el uso indebido de plataformas legítimas como Discord para organizar y distribuir malware, una tendencia que se ha vuelto cada vez más común en los últimos años, lo que llevó a la compañía a cambiar a enlaces de archivos temporales a fines del año pasado.

"Discord es conocido por su infraestructura robusta y confiable, y es ampliamente confiable", dijo Intel 471. "Las organizaciones a menudo permiten incluir a Discord en la lista, lo que significa que los enlaces y las conexiones a él no están restringidos. Esto hace que su popularidad entre los actores de amenazas no sea sorprendente dada su reputación y uso generalizado".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Google ha anunciado que está abriendo Magika, una herramienta impulsada por inteligencia artificial (IA) para identificar tipos de archivos, para ayudar a los defensores a detectar con precisión los tipos de archivos binarios y textuales.

"Magika supera a los métodos convencionales de identificación de archivos, proporcionando un aumento general de la precisión del 30% y hasta un 95% más de precisión en contenido tradicionalmente difícil de identificar, pero potencialmente problemático, como VBA, JavaScript y Powershell", dijo la compañía.

El software utiliza un "modelo de aprendizaje profundo personalizado y altamente optimizado" que permite la identificación precisa de tipos de archivos en milisegundos. Magika implementa funciones de inferencia utilizando Open Neural Network Exchange (ONNX).

Google dijo que utiliza internamente Magika a escala para ayudar a mejorar la seguridad de los usuarios al enrutar los archivos de Gmail, Drive y Navegación segura a los escáneres de políticas de seguridad y contenido adecuados.

En noviembre de 2023, el gigante tecnológico presentó RETVec (abreviatura de Resilient and Efficient Text Vectorizer), un modelo de procesamiento de texto multilingüe para detectar contenido potencialmente dañino como spam y correos electrónicos maliciosos en Gmail.

En medio de un debate en curso sobre los riesgos de la tecnología en rápido desarrollo y su abuso por parte de actores de estados-nación asociados con Rusia, China, Irán y Corea del Norte para impulsar sus esfuerzos de piratería, Google dijo que implementar IA a escala puede fortalecer la seguridad digital e "inclinar la balanza de ciberseguridad de atacantes a defensores".


También hizo hincapié en la necesidad de un enfoque normativo equilibrado para el uso y la adopción de la IA con el fin de evitar un futuro en el que los atacantes puedan innovar, pero los defensores se vean limitados debido a las opciones de gobernanza de la IA.

"La IA permite a los profesionales y defensores de la seguridad escalar su trabajo en la detección de amenazas, el análisis de malware, la detección de vulnerabilidades, la corrección de vulnerabilidades y la respuesta a incidentes", señalaron Phil Venables y Royal Hansen del gigante tecnológico. "La IA ofrece la mejor oportunidad para revertir el dilema del defensor e inclinar la balanza del ciberespacio para dar a los defensores una ventaja decisiva sobre los atacantes".

También se han planteado preocupaciones sobre el uso por parte de los modelos de IA generativa de datos extraídos de la web con fines de entrenamiento, que también pueden incluir datos personales.

"Si no sabe para qué se va a utilizar su modelo, ¿cómo puede asegurarse de que su uso posterior respetará la protección de datos y los derechos y libertades de las personas?", señaló el mes pasado la Oficina del Comisionado de Información (ICO) del Reino Unido.

Además, una nueva investigación ha demostrado que los grandes modelos de lenguaje pueden funcionar como "agentes durmientes" que pueden ser aparentemente inocuos, pero que pueden programarse para participar en comportamientos engañosos o maliciosos cuando se cumplen criterios específicos o se proporcionan instrucciones especiales.

"Tal comportamiento de puerta trasera se puede hacer persistente para que no se elimine mediante técnicas estándar de capacitación en seguridad, incluido el ajuste fino supervisado, el aprendizaje por refuerzo y el entrenamiento de adversarios (provocar un comportamiento inseguro y luego el entrenamiento para eliminarlo), dijeron en el estudio los investigadores de la startup de IA Anthropic.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Varias empresas que operan en el sector de las criptomonedas son el objetivo de una campaña de malware en curso que involucra una puerta trasera de Apple macOS recién descubierta con nombre en código RustDoor.

RustDoor fue documentado por primera vez por Bitdefender la semana pasada, describiéndolo como un malware basado en Rust capaz de recolectar y cargar archivos, así como recopilar información sobre las máquinas infectadas. Se distribuye haciéndose pasar por una actualización de Visual Studio.

Si bien la evidencia anterior descubrió al menos tres variantes diferentes de la puerta trasera, el mecanismo de propagación inicial exacto seguía siendo desconocido.

Dicho esto, la firma rumana de ciberseguridad dijo posteriormente a The Hacker News que el malware se utilizó como parte de un ataque dirigido en lugar de una campaña de distribución de escopeta, señalando que encontró artefactos adicionales que son responsables de descargar y ejecutar RustDoor.

"Algunos de estos descargadores de primera etapa afirman ser archivos PDF con ofertas de trabajo, pero en realidad, son scripts que descargan y ejecutan el malware al mismo tiempo que descargan y abren un archivo PDF inocuo que se anuncia a sí mismo como un acuerdo de confidencialidad", dijo Bogdan Botezatu, director de investigación e informes de amenazas de Bitdefender.

Desde entonces, han salido a la luz otras tres muestras maliciosas que actúan como cargas útiles de primera etapa, cada una de las cuales pretende ser una oferta de trabajo. Estos archivos ZIP son anteriores a los binarios anteriores de RustDoor por casi un mes.

El nuevo componente de la cadena de ataque, es decir, los archivos de almacenamiento ("Jobinfo.app.zip" o "Jobinfo.zip"), contiene un script de shell básico que es responsable de obtener el implante de un sitio web llamado turkishfurniture[.] blog. También está diseñado para obtener una vista previa de un archivo PDF señuelo inofensivo ("job.pdf") alojado en el mismo sitio como distracción.


Bitdefender dijo que también detectó cuatro nuevos binarios basados en Golang que se comunican con un dominio controlado por actores ("sarkerrentacars[.] com"), cuyo propósito es "recopilar información sobre la máquina de la víctima y sus conexiones de red utilizando las utilidades system_profiler y networksetup, que forman parte del sistema operativo macOS.

Además, los binarios son capaces de extraer detalles sobre el disco a través de "diskutil list", así como recuperar una amplia lista de parámetros del kernel y valores de configuración utilizando el comando "sysctl -a".

Una investigación más detallada de la infraestructura de comando y control (C2) también ha revelado un punto final con fugas ("/client/bots") que permite obtener detalles sobre las víctimas actualmente infectadas, incluidas las marcas de tiempo en las que se registró el host infectado y se observó la última actividad.

"Sabemos que hay al menos tres empresas víctimas hasta ahora", dijo Botezatu. "Los atacantes parecen apuntar al personal de ingeniería sénior, y esto explica por qué el malware se disfraza como una actualización de Visual Studio. No sabemos si hay otras empresas comprometidas en este momento, pero todavía estamos investigando esto".

"Parece que las víctimas están geográficamente vinculadas: dos de las víctimas están en Hong Kong, mientras que la otra está en Lagos, Nigeria".

El desarrollo se produce cuando el Servicio Nacional de Inteligencia (NIS) de Corea del Sur reveló que una organización de TI afiliada a la Oficina No. 39 del Partido de los Trabajadores de Corea del Norte está generando ingresos ilícitos mediante la venta de miles de sitios web de juegos de azar con malware a otros ciberdelincuentes para robar datos confidenciales de jugadores desprevenidos.

La compañía detrás del esquema de malware como servicio (MaaS) es Gyeongheung (también escrito Gyonghung), una entidad de 15 miembros con sede en Dandong que supuestamente recibió $ 5,000 de una organización criminal surcoreana no identificada a cambio de crear un solo sitio web y $ 3,000 por mes para mantener el sitio web, informó la agencia de noticias Yonhap.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves una falla de seguridad ahora parcheada que afecta al software Cisco Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD) a su catálogo de vulnerabilidades explotadas conocidas (KEV), luego de informes de que probablemente esté siendo explotado en ataques de ransomware Akira.

La vulnerabilidad en cuestión es CVE-2020-3259 (puntuación CVSS: 7,5), un problema de divulgación de información de alta gravedad que podría permitir a un atacante recuperar el contenido de la memoria de un dispositivo afectado. Cisco lo parcheó como parte de las actualizaciones lanzadas en mayo de 2020.

A finales del mes pasado, la empresa de ciberseguridad Truesec dijo que había encontrado pruebas que sugerían que los actores del ransomware Akira la habían convertido en un arma para comprometer múltiples dispositivos VPN SSL Cisco Anyconnect susceptibles durante el último año.

"No existe un código de explotación disponible públicamente para [...] CVE-2020-3259, lo que significa que un actor de amenazas, como Akira, que explota esa vulnerabilidad tendría que comprar o producir código de explotación por sí mismo, lo que requiere una visión profunda de la vulnerabilidad", dijo el investigador de seguridad Heresh Zaremand.

Según la Unidad 42 de Palo Alto Networks, Akira es uno de los 25 grupos con sitios de fuga de datos recientemente establecidos en 2023, y el grupo de ransomware se ha cobrado públicamente casi 200 víctimas. Observado por primera vez en marzo de 2023, se cree que el grupo comparte conexiones con el notorio sindicato Conti basándose en el hecho de que ha enviado las ganancias del rescate a direcciones de billetera afiliadas a Conti.

Solo en el cuarto trimestre de 2023, el grupo de delitos electrónicos enumeró 49 víctimas en su portal de fuga de datos, lo que lo coloca detrás de LockBit (275), Play (110), ALPHV/BlackCat (102), NoEscape (76), 8Base (75) y Black Basta (72).

Las agencias del Poder Ejecutivo Civil Federal (FCEB, por sus siglas en inglés) deben remediar las vulnerabilidades identificadas antes del 7 de marzo de 2024 para proteger sus redes contra posibles amenazas.

CVE-2020-3259 está lejos de ser la única falla que se explota para distribuir ransomware. A principios de este mes, Arctic Wolf Labs reveló el abuso de CVE-2023-22527, una deficiencia recientemente descubierta en Atlassian Confluence Data Center y Confluence Server, para implementar el ransomware C3RB3R, así como mineros de criptomonedas y troyanos de acceso remoto.

El desarrollo se produce cuando el Departamento de Estado de EE. UU. anunció recompensas de hasta 10 millones de dólares por información que pueda conducir a la identificación o ubicación de miembros clave de la banda de ransomware BlackCat, además de ofrecer hasta 5 millones de dólares por información que conduzca al arresto o condena de sus afiliados.

El esquema de ransomware como servicio (RaaS), al igual que Hive, comprometió a más de 1,000 víctimas en todo el mundo, obteniendo al menos USD 300 millones en ganancias ilícitas desde su aparición a fines de 2021. Se interrumpió en diciembre de 2023 tras una operación coordinada internacionalmente.

El panorama del ransomware se ha convertido en un mercado lucrativo, que atrae la atención de los ciberdelincuentes que buscan ganancias financieras rápidas, lo que ha llevado al surgimiento de nuevos jugadores como Alpha (que no debe confundirse con ALPHV) y Wing.

La Oficina de Rendición de Cuentas del Gobierno de EE. UU. (GAO), en un informe publicado a finales de enero de 2024, pidió una mayor supervisión de las prácticas recomendadas para abordar el ransomware, específicamente para organizaciones de los sectores críticos de fabricación, energía, atención médica y salud pública, y sistemas de transporte.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft afirma haber solucionado los problemas de conexión de metadatos de Windows que continúan afectando a los clientes, causando problemas a los usuarios que intentan administrar sus impresoras y otro hardware.

Cuando se agrega nuevo hardware a una computadora con Windows, el sistema operativo se conecta a un sitio web operado por Microsoft llamado Windows Metadata and Internet Services (WMIS) para descargar paquetes de metadatos asociados con el hardware en particular.

"Cuando el sistema operativo detecta un nuevo dispositivo, consulta a un servicio en línea llamado Windows Metadata and Internet Services (WMIS) para obtener un paquete de metadatos para el dispositivo", se lee en una descripción del sitio WMIS.

"Si un paquete de metadatos de dispositivo está disponible, el cliente de recuperación de metadatos de dispositivo (DMRC) que se ejecuta en el equipo local descarga el paquete de WMIS e instala el paquete en el equipo local".

Estos paquetes de metadatos contienen información sobre el hardware, como el nombre del modelo, la descripción, el proveedor OEM, varias propiedades y acciones, y las categorías de hardware asociadas al dispositivo.

Esta información se utiliza en varios cuadros de diálogo de ventana, como la página de configuración de dispositivos e impresoras.

Servicios de metadatos de Windows no disponibles

Sin embargo, desde noviembre, Windows no ha podido conectarse al servicio de metadatos ubicado en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, que redirige a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Al visitar la URL desde un navegador, el sitio muestra un error que indica "502 Bad Gateway", lo que indica que algo anda mal con el sitio.

Como informó BornCity en diciembre, esto provocó que aparecieran eventos ocasionales de error de conexión del identificador de evento 201 y errores repetidos del identificador de evento 131 para 'DeviceSetupManager' en los registros del Visor de eventos de Windows, con una descripción de "Error en la puesta en escena de metadatos, resultado = 0x80070490".


Un administrador que se ocupa de estos errores le dijo a BleepingComputer que la incapacidad de conectarse a los servicios de metadatos de Windows está causando problemas en su organización.

Estos problemas incluyen retrasos de 4 a 5 minutos al solucionar problemas de la impresora o agregar y eliminar colas de impresión, lo que generalmente lleva a que se presenten tickets de soporte sobre los problemas.

Para una organización grande con miles de dispositivos Windows, esto puede convertirse rápidamente en un problema para el personal de TI.

Sin embargo, los administradores de Windows tuvieron una felicidad efímera esta semana, ya que Microsoft lanzó las actualizaciones acumulativas de Windows 10 KB5034763 y Windows 11 KB5034765 como parte del martes de parches de febrero de 2024 con lo que afirman que es una solución para los problemas de conexión de metadatos de Windows.

Estas actualizaciones afirman que resuelven los problemas de conexión a los servidores de metadatos de Windows y, como beneficio adicional, la conexión se realizará a través de HTTPS, lo que los hará más seguros.

"Esta actualización soluciona un problema que afecta a la descarga de metadatos del dispositivo", se lee en ambos boletines de soporte.

"Las descargas de los servicios de Internet y metadatos de Windows (WMIS) a través de HTTPS ahora son más seguras".

Después de instalar las actualizaciones, BleepingComputer puede confirmar que la nueva dirección URL del servidor de metadatos, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, usa HTTP y redirige a la nueva dirección URL No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, que también usa HTTP.

Sin embargo, Microsoft no ha podido asociar una dirección IP a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta en DNS, lo que provoca un error en los intentos de conexión.


Ahora se le dice a BleepingComputer que esto está causando que el registro de eventos muestre errores de conexión repetidos del identificador de evento 201, lo que indica: "No se pudo establecer una conexión a los metadatos de Windows y los servicios de Internet (WMIS)".

Otros administradores de Windows informan de que han visto errores similares de identificador de evento 201 en el Visor de eventos después de instalar la actualización.

"Lo mismo aquí, ya no hay 131, sino 201", se lee en una publicación en los foros de Microsoft.

No está claro por qué Microsoft deshabilitó los servidores de metadatos en primer lugar y por qué no los están volviendo a poner en línea como se esperaba.

BleepingComputer se puso en contacto con Microsoft sobre este problema ayer, pero no ha recibido respuesta a nuestro correo electrónico.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

SolarWinds ha parcheado cinco fallas de ejecución remota de código (RCE) en su solución Access Rights Manager (ARM), incluidas tres vulnerabilidades de gravedad crítica que permiten la explotación no autenticada.

Access Rights Manager permite a las empresas administrar y auditar los derechos de acceso en toda su infraestructura de TI para minimizar el impacto de las amenazas internas y más.

CVE-2024-23476 y CVE-2024-23479 se deben a debilidades en el recorrido de la ruta, mientras que la tercera falla crítica rastreada como CVE-2023-40057 es causada por la deserialización de datos que no son de confianza.

Los atacantes no autenticados pueden aprovechar los tres para obtener la ejecución de código en los sistemas objetivo que no se han parcheado.

Los otros dos errores (CVE-2024-23477 y CVE-2024-23478) también se pueden usar en ataques RCE y han sido calificados por SolarWinds como problemas de alta gravedad.

Cuatro de las cinco fallas parcheadas por SolarWinds esta semana fueron encontradas y reportadas por investigadores anónimos que trabajan con la Zero Day Initiative (ZDI) de Trend Micro, y la quinta fue descubierta por el investigador de vulnerabilidades de ZDI, Piotr Bazydło.

SolarWinds parcheó las fallas en Access Rights Manager 2023.2.3, que se lanzó este jueves con correcciones de errores y seguridad.

La compañía no ha recibido ningún informe de que estas vulnerabilidades estén siendo explotadas en la naturaleza, dijo un portavoz de SolarWinds a BleepingComputer.


"Estas vulnerabilidades fueron reveladas por el equipo de investigación de seguridad de Trend Micro, que colabora con SolarWinds como parte de nuestro programa de divulgación responsable y nuestro compromiso continuo con el desarrollo seguro de software", dijo el portavoz a BleepingComputer.

"Nos hemos puesto en contacto con los clientes para asegurarnos de que pueden tomar las medidas necesarias para abordar estas vulnerabilidades aplicando los parches que hemos lanzado. La divulgación responsable de las vulnerabilidades es clave para mejorar la seguridad dentro de nuestros productos y de la industria en general, y agradecemos a Trend Micro por su asociación".

SolarWinds también corrigió otros tres errores críticos de RCE de Access Rights Manager en octubre, lo que permitió a los atacantes ejecutar código con privilegios SYSTEM.

Ataque a la cadena de suministro de SolarWinds en marzo de 2020

Hace cuatro años, el grupo de hackers ruso APT29 se infiltró en los sistemas internos de SolarWinds, inyectando código malicioso en las compilaciones de la plataforma de administración de TI SolarWinds Orion descargadas por los clientes entre marzo de 2020 y junio de 2020.

Estas versiones troyanizadas facilitaron el despliegue de la puerta trasera Sunburst en miles de sistemas, pero los atacantes se dirigieron selectivamente a un número significativamente menor de organizaciones para su posterior explotación.

Con una clientela que superaba los 300.000 empleados en todo el mundo, SolarWinds prestaba servicios en ese momento al 96% de las empresas de la lista Fortune 500, incluidas empresas de alto perfil como Apple, Google y Amazon, así como a organizaciones gubernamentales como el Ejército de EE. UU., el Pentágono, el Departamento de Estado, la NASA, la NSA, el Servicio Postal, la NOAA, el Departamento de Justicia y la Oficina del Presidente de los Estados Unidos.

Después de que se revelara el ataque a la cadena de suministro, varias agencias gubernamentales de EE. UU. confirmaron que fueron violados, incluidos los Departamentos de Estado, Seguridad Nacional, Tesoro y Energía, así como la Administración Nacional de Telecomunicaciones e Información (NTIA), los Institutos Nacionales de Salud y la Administración Nacional de Seguridad Nuclear.

En abril de 2021, el gobierno de Estados Unidos acusó formalmente al Servicio de Inteligencia Exterior de Rusia (SVR) de orquestar el ciberataque a SolarWinds.

En octubre, la Comisión de Bolsa y Valores de EE. UU. (SEC) acusó a SolarWinds de defraudar a los inversores al supuestamente no notificarles los problemas de defensa de ciberseguridad antes del hackeo de 2020.

Actualización 16 de febrero, 14:31 EST: Se agregó la instrucción SolarWinds.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

OpenAI ha eliminado las cuentas utilizadas por grupos de amenazas patrocinados por el Estado de Irán, Corea del Norte, China y Rusia, que abusaban de su chatbot de inteligencia artificial, ChatGPT.

La organización de investigación de IA tomó medidas contra cuentas específicas asociadas con los grupos de piratas informáticos que estaban haciendo un mal uso de sus servicios de modelo de lenguaje grande (LLM) con fines maliciosos después de recibir información clave del equipo de inteligencia de amenazas de Microsoft.

En un informe separado, Microsoft proporciona más detalles sobre cómo y por qué estos actores de amenazas avanzadas utilizaron ChatGPT.

La actividad asociada con los siguientes grupos de amenazas se interrumpió en la plataforma:

• Forest Blizzard (Strontium) [Rusia]: Utilizó ChatGPT para realizar investigaciones sobre tecnologías satelitales y de radar pertinentes a las operaciones militares y para optimizar sus operaciones cibernéticas con mejoras en las secuencias de comandos.
• Emerald Sleet (Thallium) [Corea del Norte]: aprovechó ChatGPT para investigar Corea del Norte y generar contenido de spear-phishing, además de comprender vulnerabilidades (como CVE-2022-30190 "Follina") y solucionar problemas de tecnologías web.
• Crimson Sandstorm (Curium) [Irán]: Colaboró con ChatGPT para asistencia de ingeniería social, resolución de errores, desarrollo de .NET y desarrollo de técnicas de evasión.
• Charcoal Typhoon (Chromium) [China]: Interactuó con ChatGPT para ayudar en el desarrollo de herramientas, la creación de scripts, la comprensión de herramientas de ciberseguridad y la generación de contenido de ingeniería social.
• Salmon Typhoon (Sodium) [China]: Emplearon LLM para consultas exploratorias sobre una amplia gama de temas, incluida información confidencial, personas de alto perfil y ciberseguridad, para ampliar sus herramientas de recopilación de inteligencia y evaluar el potencial de las nuevas tecnologías para la obtención de información.

En general, los actores de amenazas utilizaron los grandes modelos de lenguaje para mejorar sus capacidades estratégicas y operativas, incluido el reconocimiento, la ingeniería social, las tácticas de evasión y la recopilación de información genérica.

Ninguno de los casos observados implica el uso de LLM para desarrollar malware directamente o herramientas de explotación personalizadas completas.

En cambio, la asistencia de codificación real se refería a tareas de nivel inferior, como solicitar consejos de evasión, secuencias de comandos, desactivar antivirus y, en general, la optimización de las operaciones técnicas.

En enero, un informe del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido predijo que para 2025 las operaciones de amenazas persistentes avanzadas (APT) sofisticadas se beneficiarán de las herramientas de IA en todos los ámbitos, especialmente en el desarrollo de malware personalizado evasivo.

Sin embargo, el año pasado, según los hallazgos de OpenAI y Microsoft, hubo un aumento en los segmentos de ataque APT como el phishing / ingeniería social, pero el resto fue bastante exploratorio.

OpenAI dice que continuará monitoreando e interrumpiendo a los piratas informáticos respaldados por el estado utilizando tecnología de monitoreo especializada, información de socios de la industria y equipos dedicados encargados de identificar patrones de uso sospechosos.

"Tomamos las lecciones aprendidas del abuso de estos actores y las usamos para informar nuestro enfoque iterativo de la seguridad", se lee en la publicación de OpenAI.

"Comprender cómo los actores maliciosos más sofisticados buscan usar nuestros sistemas para causar daños nos da una señal sobre prácticas que pueden generalizarse en el futuro y nos permite evolucionar continuamente nuestras salvaguardas", agregó la compañía.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un nuevo troyano para iOS y Android llamado 'GoldPickaxe' emplea un esquema de ingeniería social para engañar a las víctimas para que escaneen sus rostros y documentos de identidad, que se cree que se utilizan para generar deepfakes para el acceso bancario no autorizado.

El nuevo malware, detectado por Group-IB, es parte de un paquete de malware desarrollado por el grupo de amenazas chino conocido como 'GoldFactory', que es responsable de otras cepas de malware como 'GoldDigger', 'GoldDiggerPlus' y 'GoldKefu'.

Group-IB dice que sus analistas observaron ataques dirigidos principalmente a la región de Asia-Pacífico, principalmente Tailandia y Vietnam. Sin embargo, las técnicas empleadas podrían ser efectivas a nivel mundial, y existe el peligro de que sean adoptadas por otras cepas de malware.

Comienza con ataques de ingeniería social

La distribución de Gold Pickaxe comenzó en octubre de 2023 y aún está en curso. Se considera parte de una campaña de GoldFactory que comenzó en junio de 2023 con Gold Digger.


Se contacta con las víctimas a través de mensajes de phishing o smishing en la aplicación LINE escritos en su idioma local, haciéndose pasar por autoridades o servicios gubernamentales.

Los mensajes intentan engañarlos para que instalen aplicaciones fraudulentas, como una aplicación falsa de "Pensión digital" alojada en sitios web que se hacen pasar por Google Play.


En el caso de los usuarios de iOS (iPhone), los actores de amenazas dirigieron inicialmente a los objetivos a una URL de TestFlight para instalar la aplicación maliciosa, lo que les permitió eludir el proceso normal de revisión de seguridad.

Cuando Apple eliminó la aplicación TestFlight, los atacantes pasaron a atraer a los objetivos para que descargaran un perfil malicioso de administración de dispositivos móviles (MDM) que permite a los actores de amenazas tomar el control de los dispositivos.

Capacidades de pico de oro

Una vez que el troyano se ha instalado en un dispositivo móvil en forma de una aplicación gubernamental falsa, opera de forma semiautónoma, manipulando funciones en segundo plano, capturando el rostro de la víctima, interceptando los SMS entrantes, solicitando documentos de identidad y redirigiendo el tráfico de red a través del dispositivo infectado mediante 'MicroSocks'.

En los dispositivos iOS, el malware establece un canal de socket web para recibir los siguientes comandos:

• Heartbeat: servidor de comando y control ping (C2)
• init: enviar información del dispositivo al C2
• upload_idcard: solicitar a la víctima que tome una foto de su DNI
• Face: Solicita a la víctima que tome un video de su rostro
• Upgrade: muestra un mensaje falso de "Dispositivo en uso" para evitar interrupciones
• album: Sincronizar la fecha de la biblioteca de fotos (exfiltrar a un depósito en la nube)
• again_upload: Vuelva a intentar la exfiltración del video de la cara de la víctima en el cubo
• Destroy: detener el troyano

Los resultados de la ejecución de los comandos anteriores se comunican al C2 a través de solicitudes HTTP.


Group-IB dice que la versión de Android del troyano realiza más actividades maliciosas que en iOS debido a las mayores restricciones de seguridad de Apple. Además, en Android, el troyano utiliza más de 20 aplicaciones falsas diferentes como tapadera.

Por ejemplo, GoldPickaxe también puede ejecutar comandos en Android para acceder a SMS, navegar por el sistema de archivos, realizar clics en la pantalla, cargar las 100 fotos más recientes del álbum de la víctima, descargar e instalar paquetes adicionales y servir notificaciones falsas.


El uso de los rostros de las víctimas para el fraude bancario es una suposición de Group-IB, también corroborada por la policía tailandesa, basada en el hecho de que muchas instituciones financieras agregaron controles biométricos el año pasado para transacciones superiores a cierta cantidad.

Es esencial aclarar que, si bien GoldPickaxe puede robar imágenes de teléfonos iOS y Android que muestran el rostro de la víctima y engañar a los usuarios para que revelen su rostro en video a través de ingeniería social, el malware no secuestra los datos de Face ID ni explota ninguna vulnerabilidad en los dos sistemas operativos móviles.

Los datos biométricos almacenados en los enclaves seguros de los dispositivos siguen estando debidamente encriptados y completamente aislados de las aplicaciones en ejecución.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de ciberseguridad han descubierto que es posible que los actores de amenazas exploten una utilidad conocida llamada command-not-found para recomendar sus propios paquetes maliciosos y comprometer los sistemas que ejecutan el sistema operativo Ubuntu.

"Si bien el 'comando no encontrado' sirve como una herramienta conveniente para sugerir instalaciones para comandos desinstalados, los atacantes pueden manipularlo inadvertidamente a través del repositorio de instantáneas, lo que lleva a recomendaciones engañosas de paquetes maliciosos", dijo la firma de seguridad en la nube Aqua en un informe compartido con The Hacker News.

Instalado de forma predeterminada en los sistemas Ubuntu, command-not-found sugiere paquetes para instalar en sesiones bash interactivas cuando se intenta ejecutar comandos que no están disponibles. Las sugerencias incluyen tanto la herramienta de empaquetado avanzado (APT) como los paquetes de ajuste.

Cuando la herramienta utiliza una base de datos interna ("/var/lib/command-not-found/commands.db") para sugerir paquetes APT, se basa en el comando "advise-snap" para sugerir snaps que proporcionen el comando dado.

Por lo tanto, si un atacante puede jugar con este sistema y hacer que su paquete malicioso sea recomendado por el paquete command-not-found, podría allanar el camino para ataques a la cadena de suministro de software.

Aqua dijo que encontró una laguna de seguridad en la que el mecanismo de alias puede ser explotado por el actor de amenazas para registrar potencialmente el nombre de snap correspondiente asociado con un alias y engañar a los usuarios para que instalen el paquete malicioso.

Es más, un atacante podría reclamar el nombre del snap relacionado con un paquete APT y cargar un snap malicioso, que luego termina siendo sugerido cuando un usuario escribe el comando en su terminal.


"Los mantenedores del paquete APT 'jupyter-notebook' no habían reclamado el nombre de snap correspondiente", dijo el investigador de seguridad de Aqua, Ilay Goldman. "Este descuido dejó una ventana de oportunidad para que un atacante lo reclamara y cargara un snap malicioso llamado 'jupyter-notebook'".

Para empeorar las cosas, la utilidad command-not-found sugiere el paquete snap sobre el paquete APT legítimo para jupyter-notebook, engañando a los usuarios para que instalen el paquete snap falso.

Hasta el 26% de los comandos del paquete APT son vulnerables a la suplantación de identidad por parte de actores maliciosos, señaló Aqua, lo que presenta un riesgo de seguridad sustancial, ya que podrían registrarse bajo la cuenta de un atacante.

Una tercera categoría implica ataques de typosquatting en los que los errores tipográficos cometidos por los usuarios (por ejemplo, ifconfigg en lugar de ifconfig) se aprovechan para sugerir paquetes snap falsos mediante el registro de un paquete fraudulento con el nombre "ifconfigg".

En tal caso, command-not-found "lo haría coincidir erróneamente con este comando incorrecto y recomendaría el chasquido malicioso, evitando por completo la sugerencia de 'net-tools'", explicaron los investigadores de Aqua.

Al describir el abuso de la utilidad command-not-found para recomendar paquetes falsificados como una preocupación apremiante, la compañía insta a los usuarios a verificar la fuente de un paquete antes de la instalación y verificar la credibilidad de los mantenedores.

También se ha aconsejado a los desarrolladores de paquetes APT y snap que registren el nombre snap asociado a sus comandos para evitar que se utilicen indebidamente.

"Sigue siendo incierto hasta qué punto se han explotado estas capacidades, lo que subraya la urgencia de una mayor vigilancia y estrategias de defensa proactivas", dijo Aqua.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una ingeniería inversa del firmware que se ejecuta en los dispositivos Ivanti Pulse Secure ha revelado numerosas debilidades, lo que subraya una vez más el desafío de proteger las cadenas de suministro de software.

Eclypsiusm, que adquirió la versión de firmware 9.1.18.2-24467.1 como parte del proceso, dijo que el sistema operativo base utilizado por la compañía de software con sede en Utah para el dispositivo es CentOS 6.4.

"Pulse Secure ejecuta una versión de Linux de 11 años de antigüedad que no ha sido compatible desde noviembre de 2020", dijo la compañía de seguridad de firmware en un informe compartido con The Hacker News.

El desarrollo se produce en un momento en que los actores de amenazas están aprovechando una serie de fallos de seguridad descubiertos en las pasarelas Ivanti Connect Secure, Policy Secure y ZTA para entregar una amplia gama de malware, incluidos webshells, ladrones y puertas traseras.

Las vulnerabilidades que han sido objeto de explotación activa en los últimos meses comprenden CVE-2023-46805, CVE-2024-21887 y CVE-2024-21893. La semana pasada, Ivanti también reveló otro error en el software (CVE-2024-22024) que podría permitir a los actores de amenazas acceder a recursos que de otro modo estarían restringidos sin ninguna autenticación.

En una alerta publicada ayer, la empresa de infraestructura web Akamai dijo que ha observado una "actividad de escaneo significativa" dirigida a CVE-2024-22024 a partir del 9 de febrero de 2024, tras la publicación de una prueba de concepto (PoC) por parte de watchTowr.

Eclypsium dijo que aprovechó un exploit PoC para CVE-2024-21893 que fue lanzado por Rapid7 a principios de este mes para obtener una carcasa inversa para el dispositivo PSA3000, exportando posteriormente la imagen del dispositivo para un análisis de seguimiento utilizando el analizador de seguridad de firmware EMBA.

Esto no solo descubrió una serie de paquetes obsoletos, lo que corrobora los hallazgos anteriores del investigador de seguridad Will Dormann, sino también una serie de bibliotecas vulnerables que son acumulativamente susceptibles a 973 fallas, de las cuales 111 tienen exploits conocidos públicamente.


Perl, por ejemplo, no se ha actualizado desde la versión 5.6.1, que se lanzó hace 23 años, el 9 de abril de 2001. La versión del kernel de Linux es la 2.6.32, que llegó al final de su vida útil (EoL) en marzo de 2016.

"Estos antiguos paquetes de software son componentes del producto Ivanti Connect Secure", dijo Eclypsium. "Este es un ejemplo perfecto de por qué la visibilidad de las cadenas de suministro digitales es importante y por qué los clientes empresariales exigen cada vez más SBOM a sus proveedores".

Además, un examen más profundo del firmware descubrió 1.216 problemas en 76 scripts de shell, 5.218 vulnerabilidades en 5.392 archivos de Python, además de 133 certificados obsoletos.


Los problemas no terminan ahí, ya que Eclypsium encontró un "agujero de seguridad" en la lógica de la herramienta Integrity Checker (ICT) que Ivanti ha recomendado a sus clientes que utilicen para buscar indicadores de compromiso (IoC).

Específicamente, se ha encontrado que el script excluye más de una docena de directorios como /data, /etc, /tmp y /var de ser escaneados, lo que hipotéticamente permite a un atacante implementar sus implantes persistentes en una de estas rutas y aún así pasar la verificación de integridad. Sin embargo, la herramienta analiza la partición /home que almacena todos los daemons y archivos de configuración específicos del producto.

Como resultado, la implementación del marco posterior a la explotación de Sliver en el directorio /data y la ejecución de informes de TIC no presenta problemas, descubrió Eclypsium, lo que sugiere que la herramienta proporciona una "falsa sensación de seguridad".

Vale la pena señalar que también se ha observado que los actores de amenazas manipulan las TIC integradas en los dispositivos Ivanti Connect Secure comprometidos en un intento de eludir la detección.

En un ataque teórico demostrado por Eclypsium, un actor de amenazas podría dejar caer sus herramientas de la siguiente etapa y almacenar la información recopilada en la partición /data y luego abusar de otra falla de día cero para obtener acceso al dispositivo y exfiltrar los datos preparados anteriormente, mientras la herramienta de integridad no detecta signos de actividad anómala.

"Debe haber un sistema de controles y equilibrios que permita a los clientes y a terceros validar la integridad y seguridad del producto", dijo la compañía. "Cuanto más abierto sea este proceso, mejor trabajo podremos hacer para validar la cadena de suministro digital, es decir, el hardware, el firmware y los componentes de software utilizados en sus productos".

"Cuando los proveedores no comparten información y/o operan un sistema cerrado, la validación se vuelve difícil, al igual que la visibilidad. Lo más seguro es que los atacantes, como se ha demostrado recientemente, se aprovechen de esta situación y exploten la falta de controles y visibilidad del sistema".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha parcheado hoy un Windows Defender SmartScreen de día cero explotado en la naturaleza por un grupo de amenazas motivado financieramente para implementar el troyano de acceso remoto (RAT) DarkMe.

El grupo de piratas informáticos (rastreado como Water Hydra y DarkCasino) fue detectado utilizando el día cero (CVE-2024-21412) en ataques el día de Nochevieja por los investigadores de seguridad de Trend Micro.

"Un atacante no autenticado podría enviar al usuario objetivo un archivo especialmente diseñado para eludir los controles de seguridad mostrados", dijo Microsoft en un aviso de seguridad emitido hoy.

"Sin embargo, el atacante no tendría forma de obligar a un usuario a ver el contenido controlado por el atacante. En su lugar, el atacante tendría que convencerlos de que tomen medidas haciendo clic en el enlace del archivo".

El investigador de seguridad de Trend Micro, Peter Girnus, a quien se le atribuye el informe de este día cero, reveló que la falla CVE-2024-21412 pasa por alto otra vulnerabilidad de Defender SmartScreen (CVE-2023-36025).

CVE-2023-36025 se parcheó durante el martes de parches de noviembre de 2023 y, como reveló Trend Micro el mes pasado, también se explotó para eludir las indicaciones de seguridad de Windows al abrir archivos URL para implementar el malware ladrón de información Phemedrone.


El día cero se utiliza para dirigirse a los operadores de los mercados financieros

El día cero que Microsoft parcheó hoy se utilizó en ataques dirigidos a "operadores de divisas que participan en el mercado de comercio de divisas de alto riesgo", con el probable objetivo final de ser el robo de datos o la implementación de ransomware en una etapa posterior.

"A finales de diciembre de 2023, comenzamos a rastrear una campaña del grupo Water Hydra que contenía herramientas, tácticas y procedimientos (TTP) similares que implicaban abusar de los accesos directos de Internet (. URL) y componentes de creación y control de versiones distribuidos basados en web (WebDAV)", explicó Trend Micro.

"Llegamos a la conclusión de que llamar a un acceso directo dentro de otro acceso directo era suficiente para evadir SmartScreen, que no aplicaba correctamente Mark-of-the-Web (MotW), un componente crítico de Windows que alerta a los usuarios cuando abren o ejecutan archivos de una fuente no confiable".

Water Hydra aprovechó CVE-2024-21412 para atacar los foros de comercio de divisas y los canales de Telegram de comercio de acciones en ataques de spearphishing, impulsando un gráfico de acciones malicioso que enlazaba con un sitio de información comercial comprometido de Rusia (fxbulls[.] ru) haciéndose pasar por una plataforma de bróker de Forex (fxbulls[.] com).

El objetivo de los atacantes era engañar a los comerciantes objetivo para que instalaran el malware DarkMe a través de la ingeniería social.

Las tácticas que utilizaron incluyen la publicación de mensajes en inglés y ruso en los que se solicitaba u ofrecía orientación comercial y la difusión de herramientas financieras y de acciones falsificadas relacionadas con el análisis técnico de gráficos y las herramientas de indicadores gráficos.



Los hackers de Water Hydra han explotado otras vulnerabilidades de día cero en el pasado. Por ejemplo, utilizaron una vulnerabilidad de alta gravedad (CVE-2023-38831) en el software WinRAR utilizado por más de 500 millones de usuarios para comprometer las cuentas de trading varios meses antes de que estuviera disponible un parche.

Más tarde, otros proveedores vincularon la explotación CVE-2023-38831 con múltiples grupos de piratas informáticos respaldados por el gobierno, incluidos los grupos de amenazas Sandworm, APT28, APT40, DarkPink (NSFOCUS) y Konni (Knownsec) de Rusia, China y Corea del Norte.

Hoy, Microsoft parcheó un segundo Windows SmartScreen de día cero (CVE-2024-21351) explotado en la naturaleza que podría permitir a los atacantes inyectar código en SmartScreen y obtener la ejecución de código.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un actor de amenazas filtró 200.000 registros en un foro de hackers, afirmando que contenían los números de teléfono móvil, las direcciones de correo electrónico y otra información personal de los usuarios de Facebook Marketplace.

BleepingComputer verificó algunos de los datos filtrados haciendo coincidir las direcciones de correo electrónico y los números de teléfono en registros aleatorios dentro de los datos de muestra compartidos por IntelBroker, el actor de amenazas que filtró los datos en línea.

Un portavoz de Meta no estuvo disponible de inmediato para hacer comentarios cuando BleepingComputer se puso en contacto con él el día de hoy.

IntelBroker afirma que esta base de datos parcial de Facebook Marketplace fue robada por alguien que usó el identificador de Discord 'algoatson' después de piratear los sistemas de un contratista de Meta.

"En octubre de 2023, un ciberdelincuente con el nombre de 'algoatson' en Discord, violó a un contratista que administra servicios en la nube para Facebook y robó su base de datos parcial de usuarios de 200,000 entradas", dice IntelBroker.

La base de datos filtrada contiene una amplia variedad de información de identificación personal (PII), incluidos nombres, números de teléfono, direcciones de correo electrónico, ID de Facebook e información de perfil de Facebook.

Los actores de amenazas pueden usar las direcciones de correo electrónico filtradas en línea en ataques de phishing y los números de teléfono móvil de los usuarios de Facebook Marketplace en ataques de phishing móvil.

Los números de teléfono móvil y la información personal expuestos también se pueden utilizar en ataques de intercambio de SIM que les permitirían robar códigos de autenticación multifactor enviados por SMS y secuestrar las cuentas de sus objetivos.


IntelBroker es conocido por la violación de DC Health Link, que llevó a una audiencia en el Congreso después de que los datos personales de los miembros y el personal de la Cámara de Representantes de EE. UU. se filtraran en línea.

Otros incidentes de ciberseguridad vinculados a IntelBroker son la venta de datos robados de Hewlett Packard Enterprise (HPE), una supuesta violación de General Electric Aviation y la violación del servicio de comestibles Weee!.

La filtración de datos de Facebook Marketplace no es el primer incidente de este tipo que Meta ha experimentado en los últimos años.

En noviembre de 2022, Meta recibió una multa de 265 millones de euros (275,5 millones de dólares) por no proteger la información personal de los usuarios de Facebook de los scrapers después de que se filtraran datos vinculados a más de 533 millones de cuentas de Facebook en un foro de hackers en abril de 2021.

Los datos robados aparecieron por primera vez en una comunidad de hackers en junio de 2020 y contenían información que podía extraerse de los perfiles públicos y de los números de teléfono móvil privados de las cuentas afectadas.

A 533.313.128 usuarios de Facebook se les filtraron sus datos, y la información expuesta incluía sus números de teléfono móvil, ID de Facebook, nombres, géneros, ubicaciones, estados de relación, ocupaciones, fechas de nacimiento y direcciones de correo electrónico.

Casi todos los registros de usuarios de Facebook filtrados en abril de 2021 incluían los números de teléfono móvil, las identificaciones de Facebook y los nombres de los usuarios, según muestras de los datos de Facebook vistos por BleepingComputer en ese momento.

La filtración de datos de abril de 2021 también incluía los números de teléfono de tres de los fundadores de Facebook (es decir, Mark Zuckerberg, Chris Hughes y Dustin Moskovitz).

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los incidentes de ciberseguridad de Midnight Blizzard y Cloudflare-Atlassian hicieron saltar las alarmas sobre las vulnerabilidades inherentes a las principales plataformas SaaS. Estos incidentes ilustran lo que está en juego en las brechas de SaaS: salvaguardar la integridad de las aplicaciones SaaS y sus datos confidenciales es fundamental, pero no es fácil. Los vectores de amenazas comunes, como el sofisticado spear-phishing, las configuraciones incorrectas y las vulnerabilidades en las integraciones de aplicaciones de terceros, demuestran los complejos desafíos de seguridad a los que se enfrentan los sistemas de TI.

En el caso de Midnight Blizzard, la pulverización de contraseñas contra un entorno de prueba fue el vector de ataque inicial. En el caso de Cloudflare-Atlassian, los actores de amenazas iniciaron el ataque a través de tokens OAuth comprometidos de una violación anterior en Okta, un proveedor de seguridad de identidad SaaS.

¿Qué pasó exactamente?

Violación de Microsoft Midnight Blizzard#
Microsoft fue atacado por los piratas informáticos rusos "Midnight Blizzard" (también conocidos como Nobelium, APT29 o Cozy Bear) que están vinculados al SVR, la unidad del servicio de inteligencia exterior del Kremlin.

En la brecha de Microsoft, los actores de amenazas:

• Se usó una estrategia de difusión de contraseñas en una cuenta heredada y cuentas de prueba históricas que no tenían habilitada la autenticación multifactor (MFA). Según Microsoft, los actores de amenazas "[utilizaron] un número bajo de intentos para evadir la detección y evitar los bloqueos de cuentas en función del volumen de fallas".
• Se aprovechó la cuenta heredada comprometida como punto de entrada inicial para luego secuestrar una aplicación OAuth de prueba heredada. Esta aplicación OAuth heredada tenía permisos de alto nivel para acceder al entorno corporativo de Microsoft.
• Se crearon aplicaciones de OAuth maliciosas aprovechando los permisos de la aplicación de OAuth heredada. Debido a que los actores de amenazas controlaban la aplicación OAuth heredada, podían mantener el acceso a las aplicaciones incluso si perdían el acceso a la cuenta comprometida inicialmente.
• Se concedieron permisos de administrador de Exchange y credenciales de administrador a sí mismos.
• Escalaron los privilegios de OAuth a un nuevo usuario, que ellos controlaban.
• Dio su consentimiento para que las aplicaciones OAuth maliciosas usaran su cuenta de usuario recién creada.
• Se amplió aún más el acceso a la aplicación heredada concediéndole acceso completo a los buzones de correo de M365 Exchange Online. Con este acceso, Midnight Blizzard pudo ver las cuentas de correo electrónico de M365 pertenecientes a miembros del personal superior y filtrar correos electrónicos y archivos adjuntos corporativos.

Brecha entre Cloudflare y Atlassian

El Día de Acción de Gracias, el 23 de noviembre de 2023, los sistemas Atlassian de Cloudflare también se vieron comprometidos por un ataque de estado-nación.

• Esta infracción, que comenzó el 15 de noviembre de 2023, fue posible gracias al uso de credenciales comprometidas que no se habían cambiado tras una infracción anterior en Okta en octubre de 2023.
• Los atacantes accedieron a la wiki interna de Cloudflare y a la base de datos de errores, lo que les permitió ver 120 repositorios de código en la instancia de Atlassian de Cloudflare.
• 76 repositorios de código fuente relacionados con tecnologías operativas clave fueron potencialmente exfiltrados.
• Cloudflare detectó al actor de amenazas el 23 de noviembre porque el actor de amenazas conectó una cuenta de servicio de Smartsheet a un grupo de administradores en Atlassian.

Los actores de amenazas se dirigen cada vez más a SaaS

Estas brechas son parte de un patrón más amplio de actores de estados-nación que atacan a los proveedores de servicios SaaS, incluidos, entre otros, el espionaje y la recopilación de inteligencia. Midnight Blizzard participó anteriormente en importantes operaciones cibernéticas, incluido el ataque de SolarWinds de 2021.

Estos incidentes subrayan la importancia de la supervisión continua de sus entornos SaaS y el riesgo continuo que plantean los adversarios cibernéticos sofisticados que se dirigen a la infraestructura crítica y a la pila tecnológica operativa. También destacan vulnerabilidades significativas relacionadas con la gestión de identidades SaaS y la necesidad de prácticas estrictas de gestión de riesgos de aplicaciones de terceros.

Los atacantes utilizan tácticas, técnicas y procedimientos (TTP) comunes para vulnerar a los proveedores de SaaS a través de la siguiente cadena de eliminación:

• Acceso inicial: Difusión de contraseñas, secuestro de OAuth
• Persistencia: suplanta a un administrador y crea OAuth adicional
• Evasión de defensa: OAuth con privilegios altos, sin MFA
• Movimiento lateral: compromiso más amplio de las aplicaciones conectadas
• Exfiltración de datos: extraiga datos confidenciales y privilegiados de las aplicaciones

Rompiendo la cadena de eliminación de SaaS

Una forma eficaz de romper la cadena de eliminación antes de tiempo es con la supervisión continua, la aplicación granular de políticas y la gestión proactiva del ciclo de vida en sus entornos SaaS. Una plataforma SaaS Security Posture Management (SSPM) como AppOmni puede ayudar a detectar y alertar sobre:

• Acceso inicial: Reglas listas para usar para detectar el riesgo de credenciales, incluida la pulverización de contraseñas, los ataques de fuerza bruta y las políticas de MFA no aplicadas
• Persistencia: Escanee e identifique los permisos de OAuth y detecte el secuestro de OAuth
• Evasión de defensa: Comprobaciones de políticas de acceso, detectan si se crea un nuevo proveedor de identidad (IdP), detectan cambios de permisos.
• Movimiento lateral: Supervise los inicios de sesión y el acceso con privilegios, detecte combinaciones tóxicas y comprenda el radio de explosión de una cuenta potencialmente comprometida

Nota: Este artículo ha sido escrito por Beverly Nevalga, AppOmni.
Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha descubierto que la botnet Glupteba incorpora una función de bootkit de interfaz de firmware extensible unificada (UEFI) previamente no documentada, lo que agrega otra capa de sofisticación y sigilo al malware.

"Este bootkit puede intervenir y controlar el proceso de arranque [del sistema operativo], lo que permite a Glupteba ocultarse y crear una persistencia sigilosa que puede ser extremadamente difícil de detectar y eliminar", dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Lior Rochberger y Dan Yashnik, en un análisis del lunes.

Glupteba es un ladrón de información con todas las funciones y una puerta trasera capaz de facilitar la minería ilícita de criptomonedas y desplegar componentes proxy en hosts infectados. También se sabe que aprovecha la cadena de bloques de Bitcoin como un sistema de comando y control (C2) de respaldo, lo que la hace resistente a los esfuerzos de derribo.

Algunas de las otras funciones le permiten entregar cargas útiles adicionales, desviar credenciales y datos de tarjetas de crédito, realizar fraudes publicitarios e incluso explotar enrutadores para obtener credenciales y acceso administrativo remoto.

Durante la última década, el malware modular se ha metamorfoseado en una amenaza sofisticada que emplea elaboradas cadenas de infección de varias etapas para eludir la detección por parte de las soluciones de seguridad.

Una campaña de noviembre de 2023 observada por la firma de ciberseguridad implica el uso de servicios de pago por instalación (PPI) como Ruzki para distribuir Glupteba. En septiembre de 2022, Sekoia vinculó Ruzki a los clústeres de actividad, aprovechando PrivateLoader como conducto para propagar el malware de la siguiente etapa.

Esto toma la forma de ataques de phishing a gran escala en los que PrivateLoader se entrega bajo la apariencia de archivos de instalación de software crackeado, que luego carga SmokeLoader que, a su vez, lanza RedLine Stealer y Amadey, y este último finalmente abandona Glupteba.


"Los actores de amenazas a menudo distribuyen Glupteba como parte de una compleja cadena de infección que propaga varias familias de malware al mismo tiempo", explicaron los investigadores. "Esta cadena de infección a menudo comienza con una infección de PrivateLoader o SmokeLoader que carga otras familias de malware y luego carga Glupteba".

En una señal de que el malware se está manteniendo activamente, Glupteba viene equipado con un kit de arranque UEFI al incorporar una versión modificada de un proyecto de código abierto llamado EfiGuard, que es capaz de deshabilitar PatchGuard y Driver Signature Enforcement (DSE) en el momento del arranque.

Vale la pena señalar que se descubrió que las versiones anteriores del malware "instalan un controlador de kernel que el bot usa como rootkit y realizan otros cambios que debilitan la postura de seguridad de un host infectado".

"El malware Glupteba continúa destacándose como un ejemplo notable de la complejidad y adaptabilidad exhibida por los ciberdelincuentes modernos", dijeron los investigadores.

"La identificación de una técnica de omisión UEFI no documentada dentro de Glupteba subraya la capacidad de innovación y evasión de este malware. Además, con su papel en la distribución de Glupteba, el ecosistema PPI destaca las estrategias de colaboración y monetización empleadas por los ciberdelincuentes en sus intentos de infecciones masivas".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los perpetradores de ciberdelincuencia están aprovechando los anuncios en la plataforma X para promover sitios web que dirigen a esquemas de drenado de criptomonedas, falsas distribuciones aéreas y otras estafas. Al igual que cualquier otra plataforma publicitaria, X, previamente conocida como Twitter, asegura presentar anuncios basados en la actividad del usuario, generando anuncios que se ajustan a los intereses de los usuarios.

Aunque Elon Musk había mencionado previamente que YouTube era una plataforma con anuncios fraudulentos incesantes, X, por su parte, parece enfrentar su propio problema, ya que exhibe cada vez más anuncios que respaldan estafas relacionadas con criptomonedas.


Estas estafas comprenden enlaces a canales de Telegram que promueven tácticas de manipulación de precios (pump and dumps), páginas de suplantación de identidad (phishing) y enlaces a sitios que alojan drenadores de criptomonedas. Estos últimos son scripts maliciosos diseñados para sustraer todos los activos de una billetera conectada.

Debido a que X presenta anuncios basados en los intereses de los usuarios, es probable que aquellos que no participan en el ámbito de las criptomonedas no visualicen estos anuncios. Sin embargo, para aquellos que se encuentran activos en este espacio, están experimentando lo que parece ser una corriente interminable de anuncios maliciosos.

Una publicación en X menciona: "No exagero cuando afirmo que CADA anuncio que veo en X es un enlace fraudulento relacionado con las criptomonedas con la intención de vaciar las billeteras de las personas".


Aunque los atacantes han estado explotando la plataforma publicitaria de X durante un tiempo, la abundancia de anuncios maliciosos ha crecido considerablemente en el último mes, lo que ha llevado al investigador de seguridad MalwareHunterTeam a rastrearlos. Este investigador ha estado compartiendo capturas de pantalla de anuncios en X que contienen estafas relacionadas con criptomonedas, la mayoría provenientes de usuarios verificados.


La situación se ha deteriorado tanto que otros usuarios de X se ven obligados a dejar mensajes comunitarios en los anuncios para alertar a los demás sobre posibles estafas o scripts maliciosos de drenado de billeteras.


El mes pasado, ScamSniffer informó que un drenador de criptomonedas denominado 'MS Drainer', que se promociona tanto en la Búsqueda de Google como en los anuncios de X, había defraudado a 63,210 víctimas, robándoles 59 millones de dólares en un período de nueve meses.

En la plataforma X, los actores de amenazas han creado anuncios que simulan ser una colección de NFT de edición limitada denominada Ordinals Bubbles, así como falsos lanzamientos aéreos y presentaciones de nuevos tokens.

No se tiene claridad sobre el proceso de investigación que X emplea para prevenir estos anuncios, pero muchos usuarios se sienten frustrados debido a la falta de escrutinio sobre qué anuncios pueden ser publicados en el sitio.

Bloomberg informó el mes pasado que se anticipa una disminución de 2,500 millones de dólares en los ingresos publicitarios de X, representando una caída de más del 50% en comparación con 2022. Esta situación ha llevado a algunos usuarios de X a especular que Twitter podría estar pasando por alto estos anuncios maliciosos para compensar sus menguantes ingresos publicitarios.

No se ha establecido contacto con X en relación con esta historia, ya que no han respondido a correos electrónicos previos enviados por BleepingComputer.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Google minimiza la importancia de los informes sobre malware que abusa de una API no documentada de Google Chrome para generar nuevas cookies de autenticación después de que las previamente robadas hayan caducado.

A finales de noviembre de 2023, BleepingComputer informó sobre dos operaciones de malware de robo de información conocidas como Lumma y Rhadamanthys, asegurando que podían restaurar cookies de autenticación de Google previamente robadas que habían expirado durante los ataques.

Estas cookies podrían ser cargadas en los navegadores de los actores de amenazas, permitiéndoles acceder a las cuentas de Google de los usuarios infectados.
Desde entonces, otros cuatro programas maliciosos diseñados para robar información han adoptado la misma técnica, entre ellos, Stealc el 1 de diciembre, Medusa el 11 de diciembre, RisePro el 12 de diciembre y Whitesnake el 26 de diciembre.

La semana pasada, la empresa de ciberseguridad CloudSEK reveló que estas operaciones de malware centradas en el robo de información están haciendo un uso indebido de un punto final de la API denominada "MultiLogin" en Google OAuth. Esta manipulación permite generar nuevas cookies de autenticación que siguen siendo efectivas una vez que han expirado las cookies de Google originalmente sustraídas de una víctima.

Se cree que esta API está diseñada para sincronizar cuentas en diversos servicios de Google mediante la aceptación de un vector de ID de cuenta y tokens de inicio de sesión de autenticación.

Los intentos de BleepingComputer por obtener más información sobre esta API de Google no han tenido éxito, y la única documentación disponible se encuentra en el código fuente de Google Chrome


Según Pavan Karthick, investigador de CloudSEK, el malware de robo de información que abusa de esta función ahora tiene la capacidad de extraer múltiples tokens de Google Chrome. Estos tokens abarcan las cookies de autenticación de los sitios de Google, así como un token especial que puede emplearse para actualizar o generar nuevos tokens de autenticación.

A medida que las cookies de autenticación convencionales alcanzan su fecha de caducidad después de un período específico, dejan de ser efectivas para los actores de amenazas. Sin embargo, mientras el usuario no cierre sesión en Google Chrome o revoque todas las sesiones vinculadas a sus cuentas, estos actores pueden utilizar el token especial denominado "Actualizar" para generar nuevos tokens de autenticación una vez que los anteriores hayan expirado.
Estos recién generados tokens posibilitan que los atacantes mantengan el acceso a las cuentas durante un periodo mucho más extenso de lo que normalmente sería permitido.

No solo se trata del robo de cookies convencionales

Desafortunadamente, Google percibe este uso indebido de la API como un robo de cookies habitual a través de malware.

"Google está al tanto de los informes recientes sobre una familia de malware que sustrae tokens de sesión", declaró Google a BleepingComputer en un comunicado la semana pasada.

"Los ataques que involucran malware que roba cookies y tokens no son novedosos; actualizamos regularmente nuestras defensas contra tales técnicas para proteger a los usuarios afectados por malware. En este caso, Google ha tomado medidas para salvaguardar las cuentas comprometidas identificadas".

No obstante, fuentes familiarizadas con el asunto le informaron a BleepingComputer que Google considera que la API está operando según lo previsto y que el malware no está explotando ninguna vulnerabilidad.

La solución propuesta por Google para abordar este problema consiste simplemente en que los usuarios cierren sesión en su navegador Chrome desde el dispositivo afectado o eliminen todas las sesiones activas a través de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Al hacerlo, se invalida el token de actualización, volviéndolo inutilizable con la API.

Dado que el malware de robo de información ha capturado las credenciales, se aconseja cambiar la contraseña de Google como medida de precaución, especialmente si se utilizan las mismas credenciales en otros sitios.

"Mientras tanto, los usuarios deben tomar medidas continuas para eliminar cualquier rastro de malware de sus computadoras, y recomendamos activar la navegación segura mejorada en Chrome para protegerse contra el phishing y las descargas de malware", aconseja Google.

A pesar de que estos pasos recomendados pueden reducir el impacto de las infecciones de malware de robo de información, la mayoría de las personas infectadas con este tipo de malware no detectarán cuándo deben realizar estos procedimientos.

Por lo general, las personas no se percatan de que han sido víctimas de malware de robo de información hasta que se accede sin autorización a sus cuentas y se abusan de ellas de manera detectable.

Un ejemplo es el caso de un empleado de Orange España, el segundo proveedor de telefonía móvil más grande del país, cuyas contraseñas fueron sustraídas mediante un malware de robo de información. Sin embargo, nadie lo supo hasta que las credenciales robadas se utilizaron para acceder a la cuenta RIPE de la empresa y modificar su configuración de BGP, lo que resultó en un impacto del 50% en el rendimiento y cortes de Internet para los clientes de Orange.

Aunque Google afirma haber identificado a aquellos afectados por el mal uso de esta API y les ha enviado notificaciones, surge la pregunta sobre qué ocurrirá con las posibles futuras víctimas.

Además, la incertidumbre recae en cómo los usuarios podrán saber que deben cerrar sesión en su navegador para invalidar los tokens de autenticación si ni siquiera son conscientes de que fueron infectados en primer lugar.

Por esta razón, una solución más efectiva sería restringir de alguna manera el acceso a esta API para prevenir su mal uso por parte de operaciones de malware como servicio. Lamentablemente, no se vislumbra que esto esté siendo implementado.

BleepingComputer ha consultado a Google sobre sus planes para mitigar este abuso de la API, pero hasta el momento no ha obtenido respuesta a estas preguntas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ivanti ha lanzado actualizaciones de seguridad destinadas a abordar una vulnerabilidad crítica que impacta su solución Endpoint Manager (EPM). En caso de ser explotada con éxito, esta falla podría dar lugar a la ejecución remota de código (RCE) en servidores vulnerables.

Identificada como CVE-2023-39336, la vulnerabilidad ha sido evaluada con una puntuación de 9.6 sobre 10 en el Sistema de Puntuación CVSS. Esta deficiencia afecta a las versiones EPM 2021 y EPM 2022 anteriores a SU5.

En un comunicado, Ivanti mencionó: "En caso de explotación, un atacante con acceso a la red interna puede aprovechar una inyección SQL no especificada para ejecutar consultas SQL arbitrarias y recuperar resultados sin necesidad de autenticación".

"Esto posibilitaría al atacante tener control sobre las máquinas que ejecutan el agente de EPM. En situaciones en las que el servidor central está configurado para utilizar SQL Express, esta circunstancia podría derivar en la ejecución remota de código (RCE) en el servidor central".

La divulgación de esta información ocurrió semanas después de que la empresa abordara casi veinticuatro problemas de seguridad en su solución de administración de dispositivos móviles empresariales (MDM) Avalanche.

De los 21 problemas identificados, 13 han sido categorizados como críticos, con puntuaciones CVSS de 9.8, y se han definido como desbordamientos de búfer no autenticados. Todos estos problemas han sido corregidos en la versión 6.4.2 de Avalanche.

Ivanti explicó: "Un atacante que envíe paquetes de datos especialmente diseñados al servidor de dispositivos móviles puede causar daños en la memoria, lo que podría dar lugar a una denegación de servicio (DoS) o incluso a la ejecución de código".

Aunque no hay pruebas de que las vulnerabilidades mencionadas anteriormente hayan sido aprovechadas en situaciones reales, es conocido que en el pasado, actores respaldados por el estado han empleado exploits de día cero (CVE-2023-35078 y CVE-2023-35081) en Ivanti Endpoint Manager Mobile (EPMM) para infiltrarse en las redes de diversas organizaciones gubernamentales noruegas.

En agosto de 2023, se registró la explotación activa como día cero de otra vulnerabilidad crítica en el producto Ivanti Sentry (CVE-2023-38035, con una puntuación CVSS de 9.8 ).

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los expertos en seguridad cibernética han identificado recientemente una nueva puerta trasera en el sistema operativo Apple macOS, denominada SpectralBlur, la cual presenta una conexión con una reconocida familia de malware previamente asociada a actores de amenazas de Corea del Norte.

Greg Lesnewich, un investigador de seguridad, describió a SpectralBlur como una puerta trasera con capacidades moderadas, capaz de cargar y descargar archivos, ejecutar un shell, actualizar su configuración, eliminar archivos, hibernar o entrar en modo de reposo, todo ello basado en comandos emitidos desde el servidor de comando y control.

Se han observado similitudes entre este malware y KANDYKORN (también conocido como SockRacket), un implante avanzado que opera como un troyano de acceso remoto con la capacidad de tomar el control de un sistema comprometido.
Es importante destacar que la actividad asociada a KANDYKORN también se entrelaza con otra campaña llevada a cabo por el subgrupo Lazarus, conocido como BlueNoroff (o TA444), que culmina con la implementación de una puerta trasera llamada RustBucket y una carga útil final denominada ObjCShellz.

En los meses recientes, se ha observado cómo el actor de amenazas combina componentes diversos de estas dos cadenas de infección, utilizando los cuentagotas de RustBucket para la entrega de KANDYKORN.

Estos recientes descubrimientos indican que los actores de amenazas vinculados a Corea del Norte están incrementando su interés en macOS para infiltrarse en objetivos de alto valor, especialmente aquellos dentro de las industrias de criptomonedas y blockchain.

Greg Lesnewich comentó: "TA444 continúa operando de manera rápida y agresiva con estas nuevas familias de malware diseñadas para macOS".

Patrick Wardle, un investigador de seguridad que compartió detalles adicionales sobre el funcionamiento interno de SpectralBlur, informó que el binario Mach-O fue subido al servicio de escaneo de malware VirusTotal en agosto de 2023 desde Colombia.

Dadas las similitudes funcionales entre KANDYKORN y SpectralBlur, ha surgido la posibilidad de que hayan sido desarrollados por diferentes creadores con base en los mismos requisitos.
Lo que distingue a este malware es su enfoque en entorpecer el análisis y eludir la detección, utilizando grantpt para establecer un pseudoterminal y ejecutar comandos de shell que recibe del servidor de comando y control (C2).

Esta revelación se produce en un contexto en el que, en 2023, se identificaron un total de 21 nuevas familias de malware diseñadas para atacar sistemas macOS. Estas incluyen ransomware, ladrones de información, troyanos de acceso remoto y malware respaldado por estados-nación, en comparación con las 13 identificadas en 2022.

"Con el crecimiento continuo y la creciente popularidad de macOS, especialmente en entornos empresariales, es probable que 2024 vea la aparición de una gran cantidad de nuevo malware dirigido a macOS", señaló Patrick Wardle.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El informe más reciente de Gcore Radar y sus secuelas han puesto de manifiesto un aumento drástico de los ataques DDoS en múltiples sectores. A principios de 2023, la fuerza media de los ataques alcanzaba los 800 Gbps, pero ahora, incluso un pico de hasta 1,5+ Tbps no es sorprendente. Para tratar de romper las defensas de Gcore, los perpetradores hicieron dos intentos con dos estrategias diferentes. Siga leyendo para descubrir lo que sucedió y descubra cómo el proveedor de seguridad detuvo a los atacantes en seco sin afectar la experiencia de los usuarios finales.

Un potente ataque DDoS

En noviembre de 2023, uno de los clientes de Gcore de la industria del juego fue objeto de dos ataques DDoS masivos, con un máximo de 1,1 y 1,6 Tbps respectivamente. Los atacantes desplegaron varias técnicas en un intento infructuoso de comprometer los mecanismos de protección de Gcore.

Ataque #1: DDoS basado en UDP de 1,1 Tbps

En el primer ataque cibernético, los atacantes enviaron un aluvión de tráfico UDP a un servidor objetivo, con un máximo de 1,1 Tbps. Se emplearon dos métodos:

• Mediante el uso de puertos de origen UDP aleatorios, esperaban evadir los mecanismos de filtrado convencionales.
• Los atacantes ocultaron su identidad genuina falsificando las direcciones IP de origen.

Se trataba de un ataque clásico de inundación (o volumétrico), en el que los atacantes esperaban consumir todo el ancho de banda disponible de un centro de datos o red, abrumando los servidores objetivo con tráfico y haciéndolos no disponibles para los usuarios legítimos.

El siguiente gráfico muestra el tráfico del cliente durante el ataque. El pico de 1,1 Tbps muestra un intento agresivo pero de corta duración de inundar la red con datos. La línea verde ("total.general.input") muestra todo el tráfico entrante. Las otras líneas de colores en el gráfico representan las respuestas de la red, incluidas las medidas para filtrar y descartar el tráfico malicioso, a medida que el sistema administra la avalancha de datos.


Ataque #2: DDoS basado en TCP de 1,6 Tbps


Esta vez, los atacantes intentaron explotar el protocolo TCP con una combinación de tráfico SYN flood, PSH y ACK.

En un ataque de inundación SYN, varios paquetes SYN se entregan al servidor de destino sin paquetes ACK. Esto significa que el servidor genera una conexión semiabierta para cada paquete SYN. Si tiene éxito, el servidor finalmente se quedará sin recursos y dejará de aceptar conexiones.

La fase PSH, ACK del ataque envía rápidamente datos al sistema objetivo. El indicador ACK indica que el servidor recibió el paquete anterior. Esto empuja al sistema a manejar los datos con prontitud, desperdiciando recursos. Un ataque de inundación SYN que utiliza paquetes PSH, ACK es más difícil de defender que una inundación SYN, ya que el indicador PSH hace que el servidor procese el contenido del paquete inmediatamente, consumiendo más recursos.

Al igual que antes, el objetivo era sobrecargar los servidores del cliente y hacer que sus servicios fueran inaccesibles para los usuarios autorizados. Esta inundación SYN tuvo un volumen máximo de 685,77 Mbps y el PSH, ACK tuvo una magnitud de 906,73 Mbps.

Estrategias defensivas de Gcore

La protección DDoS de Gcore neutralizó eficazmente ambos ataques al tiempo que preservó el servicio regular para los usuarios finales del cliente. El enfoque general para defenderse de las amenazas de seguridad DDoS incluye varias técnicas, como las defensas de primera línea de Gcore:

• Conformado dinámico del tráfico: Las tasas de tráfico ajustadas dinámicamente mitigan eficazmente el impacto del ataque al tiempo que garantizan la continuidad de los servicios críticos. Con el fin de priorizar el tráfico genuino y ralentizar las transmisiones dañinas, se utilizan umbrales adaptativos y restricciones de velocidad.
• Detección de anomalías y cuarentena: Los modelos basados en el aprendizaje automático analizan el comportamiento para identificar anomalías. Cuando se produce una anomalía, los mecanismos de cuarentena automatizados redirigen el tráfico erróneo a segmentos aislados para un análisis adicional.
• Filtros de expresiones regulares: Para bloquear cargas malintencionadas sin interrumpir el tráfico legítimo, se implementan reglas de filtro basadas en expresiones regulares. Su ajuste fino continuo garantiza una protección óptima sin falsos positivos.
• Inteligencia colaborativa de amenazas: Gcore participa activamente en el intercambio de inteligencia de amenazas con sus pares de la industria. Los conocimientos colectivos y las fuentes de amenazas en tiempo real guían las técnicas de seguridad de Gcore, lo que permite una respuesta rápida a los vectores de ataque en desarrollo.

Al emplear estas estrategias, Gcore pudo mitigar eficazmente el impacto de los ataques DDoS y proteger la plataforma de sus clientes de las interrupciones, anulando posibles pérdidas financieras y de reputación.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Varias vulnerabilidades de seguridad denominadas colectivamente LogoFAIL afectan a los componentes de análisis de imágenes en el código UEFI de varios proveedores. Los investigadores advierten que podrían ser explotados para secuestrar el flujo de ejecución del proceso de arranque y para entregar bootkits.

Debido a que los problemas se encuentran en las bibliotecas de análisis de imágenes, que los proveedores usan para mostrar logotipos durante la rutina de arranque, tienen un amplio impacto y se extienden a las arquitecturas x86 y ARM.

Según los investigadores de la plataforma de seguridad de la cadena de suministro de firmware Binarly, la marca ha introducido riesgos de seguridad innecesarios, lo que permite ejecutar cargas útiles maliciosas mediante la inyección de archivos de imagen en la partición del sistema EFI (ESP).

Descubrimiento e impacto de LogoFAIL
El abuso de los analizadores de imágenes para ataques a la Interfaz Unificada de Firmware Extensible (UEFI) se demostró en 2009 cuando los investigadores Rafal Wojtczuk y Alexander Tereshkin presentaron cómo se podía explotar un error del analizador de imágenes BMP para infectar el BIOS para la persistencia del malware.

El descubrimiento de las vulnerabilidades de LogoFAIL comenzó como un pequeño proyecto de investigación sobre superficies de ataque de componentes de análisis de imágenes en el contexto de código de análisis personalizado u obsoleto en el firmware UEFI.

Los investigadores descubrieron que un atacante podría almacenar una imagen o logotipo malicioso en la partición del sistema EFI (ESP) o en secciones sin firmar de una actualización de firmware.



La plantación de malware de esta manera garantiza la persistencia en el sistema que prácticamente no se detecta, como se ilustra en ataques anteriores que aprovechan los componentes UEFI infectados [1, 2].

LogoFAIL no afecta a la integridad del tiempo de ejecución porque no hay necesidad de modificar el gestor de arranque o el firmware, un método visto con la vulnerabilidad BootHole o el bootkit BlackLotus.

En un vídeo que Binarly compartió de forma privada con BleepingComputer, la ejecución del script de prueba de concepto (PoC) y el reinicio del dispositivo dieron como resultado la creación de un archivo arbitrario en el sistema.

Los investigadores destacan que, debido a que no es específico del silicio, las vulnerabilidades de LogoFAIL afectan a los proveedores y chips de múltiples fabricantes. Los problemas están presentes en los productos de muchos de los principales fabricantes de dispositivos que utilizan firmware UEFI en dispositivos de consumo y de nivel empresarial.

Binarly ya ha determinado que cientos de dispositivos de Intel, Acer, Lenovo y otros proveedores son potencialmente vulnerables, al igual que los tres principales proveedores independientes de código de firmware UEFI personalizado: AMI, Insyde y Phoenix.

Sin embargo, también vale la pena señalar que el alcance exacto del impacto de LogoFAIL aún se está determinando.

"Si bien todavía estamos en el proceso de comprender el alcance real de LogoFAIL, ya descubrimos que cientos de dispositivos de consumo y de nivel empresarial son posiblemente vulnerables a este nuevo ataque", dicen los investigadores.

Los detalles técnicos completos de LogoFAIL se presentarán el 6 de diciembre en la conferencia de seguridad Black Hat Europe en Londres.

De acuerdo con el resumen de la presentación de LogoFAIL, los investigadores revelaron sus hallazgos a múltiples proveedores de dispositivos (Intel, Acer, Lenovo) y a los tres principales proveedores de UEFI.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha comenzado a implementar su asistente Copilot AI en Windows 10 con la actualización preliminar no relacionada con la seguridad del KB5032278 de noviembre de 2023 para sistemas que ejecutan Windows 10, versión 22H2.

Hace dos semanas, la compañía presentó Copilot a Windows 10 Insiders con sistemas no administrados elegibles que ejecutan las ediciones Windows 10 22H2 Home y Pro.

El asistente de IA se presentó por primera vez en septiembre, inicialmente disponible en dispositivos Windows 11 22H2 y ahora habilitado de forma predeterminada en dispositivos Windows 11 23H2.

La versión preliminar de Copilot en Windows 10 ahora se está implementando solo en algunos mercados globales. América del Norte, partes de Asia y América del Sur son los mercados principales para esta versión preliminar, y otros adicionales se unirán gradualmente al lanzamiento más adelante.

"Si está interesado en experimentar Copilot en Windows lo antes posible, puede hacerlo yendo a Configuración > Actualización y seguridad > Windows Update. Activa "Obtener las últimas actualizaciones tan pronto como estén disponibles" y Buscar actualizaciones", dijo Microsoft.

Como Microsoft agregó el jueves, Copilot en Windows es incompatible con los sistemas Windows donde la barra de tareas se coloca verticalmente en el lado derecho o izquierdo de la pantalla.

"Para acceder a Copilot en Windows, asegúrese de que la barra de tareas esté colocada horizontalmente en la parte superior o inferior de la pantalla. Estamos trabajando en una resolución y proporcionaremos una actualización en una próxima versión", dijo Redmond.

Es importante tener en cuenta que las actualizaciones mensuales "C" como KB5032278 son opcionales y, a diferencia de las actualizaciones de seguridad de Patch Tuesday, no vienen con correcciones para fallas de seguridad.

Aquellos que quieran instalar la versión preliminar de actualización acumulativa de este mes pueden ir a Configuración > Windows Update y hacer clic en 'Descargar e instalar' después de buscar actualizaciones.

También puede descargar la actualización desde el catálogo de Microsoft Update para instalarla manualmente.


Otros aspectos destacados de la actualización de la versión preliminar de noviembre

La versión acumulativa opcional de Windows 10 KB5032278 también viene con mejoras y 18 correcciones de errores, algunas de las más significativas que se destacan a continuación:

• Si usas dispositivos Home o Pro-consumer o dispositivos empresariales no administrados, puedes obtener algunas de las experiencias más recientes tan pronto como estén listas. Para hacerlo, vaya a Configuración > Actualización y seguridad > Windows Update. Activa la opción Obtener las últimas actualizaciones tan pronto como estén disponibles.
• Esta actualización agrega una nueva funcionalidad que afecta a los valores predeterminados de la aplicación.
• Esta actualización agrega notificaciones de suscripción de Windows Update a la pantalla al iniciar sesión.
• Esta actualización soluciona un problema que hace que el modo IE deje de responder. Esto ocurre cuando tiene varias pestañas del modo IE abiertas.
• Esta actualización soluciona un problema que afecta al cursor. Su movimiento se retrasa en algunos escenarios de captura de pantalla.
• Esta actualización soluciona un problema que afecta al teclado táctil. Es posible que no aparezca durante la configuración rápida (OOBE).

Puede encontrar la lista completa de correcciones y mejoras incluidas con esta actualización preliminar en el boletín de soporte técnico de KB5026436 publicado por Microsoft el día de hoy.

Redmond también dijo el jueves que se omitirá la actualización de vista previa de diciembre de 2023, y que la compañía reanudará el ciclo de lanzamiento habitual en enero.

"Debido a la reducción de las operaciones durante las vacaciones occidentales y el próximo año nuevo, no habrá una versión preliminar que no sea de seguridad para el mes de diciembre de 2023", dijo Microsoft.

"Habrá un lanzamiento de seguridad mensual para diciembre de 2023. El servicio mensual normal para las versiones preliminares de seguridad y no de seguridad se reanudará en enero de 2024".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha descubierto un nuevo malware para Android llamado FjordPhantom que utiliza la virtualización para ejecutar código malicioso en un contenedor y evadir la detección.

El malware fue descubierto por Promon, cuyos analistas informan que actualmente se propaga a través de correos electrónicos, SMS y aplicaciones de mensajería dirigidas a aplicaciones bancarias en Indonesia, Tailandia, Vietnam, Singapur y Malasia.

Se engaña a las víctimas para que descarguen lo que parecen ser aplicaciones bancarias legítimas, pero que contienen código malicioso que se ejecuta en un entorno virtual para atacar la aplicación bancaria real.

FjordPhantom tiene como objetivo robar credenciales de cuentas bancarias en línea y manipular transacciones mediante la realización de fraudes en el dispositivo.

El informe de Promon destaca un caso en el que FjordPhantom robó 280.000 dólares de una sola víctima, lo que fue posible gracias a la combinación de la naturaleza evasiva del malware con la ingeniería social, como las llamadas supuestamente de los agentes de servicio al cliente de los bancos.

Virtualización como evasión en Android

En Android, varias aplicaciones pueden ejecutarse en entornos aislados conocidos como "contenedores" por razones legítimas, como ejecutar varias instancias de la misma aplicación con diferentes cuentas.

FjordPhantom incorpora una solución de virtualización de proyectos de código abierto para crear un contenedor virtual en el dispositivo sin que el usuario lo sepa.

Al iniciarse, el malware instala el APK de la aplicación bancaria que el usuario pretendía descargar y ejecuta código malicioso dentro del mismo contenedor, convirtiéndolo en parte del proceso de confianza.

Con la aplicación bancaria ejecutándose dentro de su contenedor virtual, FjordPhantom puede inyectar su código para enganchar API clave que le permiten capturar credenciales, manipular transacciones, interceptar información confidencial, etc.

En algunas aplicaciones, el marco de enganche del malware también manipula los elementos de la interfaz de usuario para cerrar automáticamente los cuadros de diálogo de advertencia y mantener a la víctima inconsciente del compromiso.


Promon señala que este truco de virtualización rompe el concepto de seguridad 'Android Sandbox', que evita que las aplicaciones accedan a los datos de las demás o interfieran con sus operaciones, ya que las aplicaciones dentro de un contenedor comparten la misma caja de arena.

Este es un ataque particularmente astuto porque la aplicación bancaria en sí no se modifica, por lo que la detección de manipulación de código no ayuda a detectar la amenaza.

Además, al enganchar las API relacionadas con GooglePlayServices, para que parezcan no estar disponibles en el dispositivo, FjordPhantom dificulta las comprobaciones de seguridad relacionadas con la raíz.

Los ganchos del malware incluso se extienden al registro, lo que puede proporcionar consejos a los desarrolladores sobre cómo realizar ataques más específicos en diferentes aplicaciones.

Promon comenta que esta es una señal de desarrollo activo, elevando el riesgo de que FjordPhantom amplíe su alcance de orientación más allá de los países mencionados en futuras versiones.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Zyxel ha abordado múltiples problemas de seguridad, incluidos tres críticos que podrían permitir que un atacante no autenticado ejecute comandos del sistema operativo en dispositivos vulnerables de almacenamiento conectado a la red (NAS).

Los sistemas NAS de Zyxel se utilizan para almacenar datos en una ubicación centralizada en la red. Están diseñados para grandes volúmenes de datos y ofrecen funciones como copia de seguridad de datos, transmisión de medios u opciones de uso compartido personalizadas.

Los usuarios típicos de Zyxel NAS incluyen pequeñas y medianas empresas que buscan una solución que combine funciones de gestión de datos, trabajo remoto y colaboración, así como profesionales de TI que configuran sistemas de redundancia de datos, o videógrafos y artistas digitales que trabajan con archivos grandes.

En un boletín de seguridad publicado hoy, el proveedor advierte de los siguientes fallos que afectan a los dispositivos NAS326 que ejecutan la versión 5.21(AAZF.14)C0 y anteriores, y a los NAS542 con la versión 5.21(ABAG.11)C0 y anteriores.

• CVE-2023-35137: Vulnerabilidad de autenticación incorrecta en el módulo de autenticación de los dispositivos Zyxel NAS, que permite a los atacantes no autenticados obtener información del sistema a través de una URL diseñada. (puntuación de gravedad alta de 7,5)
• CVE-2023-35138: Fallo de inyección de comandos en la función "show_zysync_server_contents" en los dispositivos NAS Zyxel, lo que permite a los atacantes no autenticados ejecutar comandos del sistema operativo a través de una solicitud HTTP POST elaborada. (puntuación de gravedad crítica de 9,8)
• CVE-2023-37927: Vulnerabilidad en el programa CGI de los dispositivos Zyxel NAS, que permite a los atacantes autenticados ejecutar comandos del sistema operativo con una URL diseñada. (puntuación de gravedad alta de 8,8)
• CVE-2023-37928: Inyección de comandos posterior a la autenticación en el servidor WSGI de los dispositivos NAS Zyxel, lo que permite a los atacantes autenticados ejecutar comandos del sistema operativo a través de una URL diseñada. (puntuación de gravedad alta de 8,8)
• CVE-2023-4473: Fallo de inyección de comandos en el servidor web de los dispositivos NAS Zyxel, que permite a los atacantes no autenticados ejecutar comandos del sistema operativo a través de una URL diseñada. (puntuación de gravedad crítica de 9,8)
• CVE-2023-4474: Vulnerabilidad en el servidor WSGI de los dispositivos NAS Zyxel, que permite a los atacantes no autenticados ejecutar comandos del sistema operativo con una URL diseñada. (puntuación de gravedad crítica de 9,8)

Los actores de amenazas podrían explotar las vulnerabilidades anteriores para obtener acceso no autorizado, ejecutar algunos comandos del sistema operativo, obtener información confidencial del sistema o tomar el control completo de los dispositivos NAS Zyxel afectados.

Para hacer frente a estos riesgos, se recomienda a los usuarios de NAS326 que actualicen a la versión V5.21(AAZF.15)C0 o posterior. Los usuarios de NAS542 deben actualizar su firmware a V5.21(ABAG.12)C0 o posterior, lo que corrige los defectos anteriores.

El proveedor no ha proporcionado ningún consejo de mitigación ni soluciones alternativas, siendo una actualización de firmware la acción recomendada.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha observado una campaña de ransomware CACTUS que explota fallas de seguridad recientemente reveladas en una plataforma de análisis e inteligencia empresarial en la nube llamada Qlik Sense para obtener un punto de apoyo en entornos específicos.

"Esta campaña marca el primer caso documentado [...] donde los actores de amenazas que implementan el ransomware CACTUS han explotado vulnerabilidades en Qlik Sense para el acceso inicial", dijeron los investigadores de Arctic Wolf Stefan Hostetler, Markus Neis y Kyle Pagelow.

La compañía de ciberseguridad, que dijo que está respondiendo a "varios casos" de explotación del software, señaló que es probable que los ataques se aprovechen de tres fallas que se han revelado en los últimos tres meses:

• CVE-2023-41265 (puntuación CVSS: 9,9): una vulnerabilidad de tunelización de solicitudes HTTP que permite a un atacante remoto elevar sus privilegios y enviar solicitudes que son ejecutadas por el servidor backend que aloja la aplicación de repositorio.
• CVE-2023-41266 (puntuación CVSS: 6,5): una vulnerabilidad de recorrido de ruta que permite a un atacante remoto no autenticado transmitir solicitudes HTTP a puntos de conexión no autorizados.
• CVE-2023-48365 (puntuación CVSS: 9,9): una vulnerabilidad de ejecución remota de código no autenticada que surge debido a una validación incorrecta de encabezados HTTP, lo que permite a un atacante remoto elevar sus privilegios mediante la tunelización de solicitudes HTTP.

Vale la pena señalar que CVE-2023-48365 es el resultado de un parche incompleto para CVE-2023-41265, que junto con CVE-2023-41266, fue revelado por Praetorian a fines de agosto de 2023. El 2023 de noviembre de 48365 se envió una corrección para CVE-20-2023.

En los ataques observados por Arctic Wolf, una explotación exitosa de las fallas es seguida por el abuso del servicio Qlik Sense Scheduler para generar procesos que están diseñados para descargar herramientas adicionales con el objetivo de establecer la persistencia y configurar el control remoto.

Esto incluye ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk y Plink. También se ha observado que los actores de amenazas desinstalan el software de Sophos, cambian la contraseña de la cuenta de administrador y crean un túnel RDP a través de Plink.

Las cadenas de ataque culminan con el despliegue del ransomware CACTUS, y los atacantes también utilizan rclone para la exfiltración de datos.

El panorama del ransomware en constante evolución

La revelación se produce a medida que el panorama de amenazas de ransomware se ha vuelto más sofisticado y la economía clandestina ha evolucionado para facilitar los ataques a escala a través de una red de corredores de acceso inicial y propietarios de botnets que revenden el acceso a los sistemas de las víctimas a varios actores afiliados.

Según los datos recopilados por la empresa de ciberseguridad industrial Dragos, el número de ataques de ransomware que afectan a las organizaciones industriales disminuyó de 253 en el segundo trimestre de 2023 a 231 en el tercer trimestre. Por el contrario, solo en el mes de octubre de 318 se registraron 2023 ataques de ransomware en todos los sectores.

A pesar de los esfuerzos continuos de los gobiernos de todo el mundo para hacer frente al ransomware, el modelo de negocio del ransomware como servicio (RaaS) ha seguido siendo una vía duradera y lucrativa para extorsionar a los objetivos.

Se estima que Black Basta, un prolífico grupo de ransomware que entró en escena en abril de 2022, ha obtenido ganancias ilegales por una suma de al menos USD 107 millones en pagos de rescate de Bitcoin de más de 90 víctimas, según una nueva investigación conjunta publicada por Elliptic y Corvus Insurance.

La mayoría de estos ingresos se blanquearon a través de Garantex, un exchange de criptomonedas ruso que fue sancionado por el gobierno de Estados Unidos en abril de 2022 por facilitar las transacciones con el mercado de la darknet de Hydra.

Además, el análisis descubrió pruebas que vinculaban a Black Basta con el ahora desaparecido grupo ruso de ciberdelincuencia Conti, que dejó de funcionar casi al mismo tiempo que surgió el primero, así como con QakBot, que se utilizó para desplegar el ransomware.

"Aproximadamente el 10% del monto del rescate se envió a Qakbot, en los casos en que estuvieron involucrados en proporcionar acceso a la víctima", señaló Elliptic, y agregó que "rastreó Bitcoin por valor de varios millones de dólares desde billeteras vinculadas a Conti hasta las asociadas con el operador Black Basta".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Google ha revelado un nuevo vectorizador de texto multilingüe llamado RETVec (abreviatura de Resilient and Efficient Text Vectorizer) para ayudar a detectar contenido potencialmente dañino como spam y correos electrónicos maliciosos en Gmail.

"RETVec está entrenado para ser resistente a las manipulaciones a nivel de caracteres, incluida la inserción, la eliminación, los errores tipográficos, los homoglifos, la sustitución de LEET y más", según la descripción del proyecto en GitHub.

"El modelo RETVec se entrena sobre un novedoso codificador de caracteres que puede codificar todos los caracteres y palabras UTF-8 de manera eficiente".

Si bien grandes plataformas como Gmail y YouTube se basan en modelos de clasificación de texto para detectar ataques de phishing, comentarios inapropiados y estafas, se sabe que los actores de amenazas diseñan contraestrategias para eludir estas medidas de defensa.

Se ha observado que recurren a manipulaciones de texto adversariales, que van desde el uso de homoglifos hasta el relleno de palabras clave y caracteres invisibles.

RETVec, que funciona en más de 100 idiomas listos para usar, tiene como objetivo ayudar a crear clasificadores de texto más resistentes y eficientes en el lado del servidor y en el dispositivo, al mismo tiempo que son más robustos y eficientes.

La vectorización es una metodología en el procesamiento del lenguaje natural (PLN) para asignar palabras o frases del vocabulario a una representación numérica correspondiente con el fin de realizar análisis adicionales, como el análisis de sentimientos, la clasificación de texto y el reconocimiento de entidades con nombre.


"Debido a su novedosa arquitectura, RETVec funciona de forma inmediata en todos los idiomas y en todos los caracteres UTF-8 sin necesidad de preprocesamiento de texto, lo que lo convierte en el candidato ideal para implementaciones de clasificación de texto en dispositivos, web y a gran escala", señalaron Elie Bursztein y Marina Zhang de Google.

El gigante tecnológico dijo que la integración del vectorizador a Gmail mejoró la tasa de detección de spam sobre la línea de base en un 38% y redujo la tasa de falsos positivos en un 19,4%. También redujo el uso de la Unidad de Procesamiento de Tensores (TPU) del modelo en un 83%.

"Los modelos entrenados con RETVec exhiben una velocidad de inferencia más rápida debido a su representación compacta. Tener modelos más pequeños reduce los costos computacionales y disminuye la latencia, lo cual es fundamental para las aplicaciones a gran escala y los modelos en el dispositivo", agregaron Bursztein y Zhang.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha observado que una variante de una cepa de ransomware conocida como DJVU se distribuye en forma de software crackeado.

"Si bien este patrón de ataque no es nuevo, se han observado incidentes que involucran una variante de DJVU que agrega la extensión .xaro a los archivos afectados y exige un rescate por un descifrador que infecta los sistemas junto con una gran cantidad de cargadores de productos básicos y ladrones de información", dijo el investigador de seguridad de Cybereason, Ralph Villanueva.

La nueva variante ha sido bautizada como Xaro por la firma estadounidense de ciberseguridad.

DJVU, en sí mismo una variante del ransomware STOP, suele aparecer en escena haciéndose pasar por servicios o aplicaciones legítimos. También se entrega como una carga útil de SmokeLoader.

Un aspecto importante de los ataques DJVU es el despliegue de malware adicional, como ladrones de información (por ejemplo, RedLine Stealer y Vidar), lo que los hace más dañinos por naturaleza.

En la última cadena de ataque documentada por Cybereason, Xaro se propaga como un archivo comprimido de una fuente dudosa que se hace pasar por un sitio que ofrece software gratuito legítimo.

Abrir el archivo comprimido conduce a la ejecución de un supuesto binario de instalación para un software de escritura de PDF llamado CutePDF que, en realidad, es un servicio de descarga de malware de pago por instalación conocido como PrivateLoader.

PrivateLoader, por su parte, establece contacto con un servidor de comando y control (C2) para obtener una amplia gama de familias de malware de robo y cargador como RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig y Fabookie, además de eliminar Xaro.

"Este enfoque de escopeta para la descarga y ejecución de malware básico se observa comúnmente en las infecciones de PrivateLoader que se originan en sitios sospechosos de software gratuito o crackeado", explicó Villanueva.

El objetivo parece ser recopilar y exfiltrar información confidencial para una doble extorsión, así como garantizar el éxito del ataque, incluso si una de las cargas útiles es bloqueada por el software de seguridad.

Xaro, además de generar una instancia del ladrón de información Vidar, es capaz de cifrar archivos en el host infectado, antes de dejar caer una nota de rescate, instando a la víctima a ponerse en contacto con el actor de amenazas para pagar $ 980 por la clave privada y la herramienta de descifrado, un precio que se reduce en un 50% a $ 490 si se aborda dentro de las 72 horas.

En todo caso, la actividad ilustra los riesgos que conlleva la descarga de software gratuito de fuentes no confiables. El mes pasado, Sucuri detalló otra campaña llamada FakeUpdateRU en la que los visitantes de sitios web comprometidos reciben avisos falsos de actualización del navegador para entregar RedLine Stealer.

"Se sabe que los actores de amenazas favorecen el software gratuito disfrazado como una forma de implementar código malicioso de forma encubierta", dijo Villanueva. "La velocidad y la amplitud del impacto en las máquinas infectadas deben ser comprendidas cuidadosamente por las redes empresariales que buscan defenderse a sí mismas y a sus datos".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La falla de seguridad crítica recientemente revelada que afecta a Apache ActiveMQ está siendo explotada activamente por los actores de amenazas para distribuir una nueva botnet basada en Go llamada GoTitan, así como un programa .NET conocido como PrCtrl Rat que es capaz de apoderarse de forma remota de los hosts infectados.

Los ataques implican la explotación de un error de ejecución remota de código (CVE-2023-46604, puntuación CVSS: 10.0) que ha sido utilizado como arma por varios equipos de piratas informáticos, incluido Lazarus Group, en las últimas semanas.

Después de una violación exitosa, se ha observado que los actores de amenazas sueltan cargas útiles de la siguiente etapa desde un servidor remoto, uno de los cuales es GoTitan, una botnet diseñada para orquestar ataques de denegación de servicio distribuido (DDoS) a través de protocolos como HTTP, UDP, TCP y TLS.

"El atacante solo proporciona binarios para arquitecturas x64, y el malware realiza algunas comprobaciones antes de ejecutarse", dijo la investigadora de Fortinet Fortiguard Labs, Cara Lin, en un análisis del martes.

"También crea un archivo llamado 'c.log' que registra el tiempo de ejecución y el estado del programa. Este archivo parece ser un registro de depuración para el desarrollador, lo que sugiere que GoTitan todavía se encuentra en una etapa temprana de desarrollo".


Fortinet dijo que también observó casos en los que los servidores Apache ActiveMQ susceptibles están siendo atacados para implementar otra botnet DDoS llamada Ddostf, malware Kinsing para cryptojacking y un marco de comando y control (C2) llamado Sliver.

Otro malware notable entregado es un troyano de acceso remoto denominado PrCtrl Rat que establece contacto con un servidor C2 para recibir comandos adicionales para su ejecución en el sistema, recolectar archivos y descargar y cargar archivos desde y hacia el servidor.

"Al momento de escribir este artículo, aún no hemos recibido ningún mensaje del servidor, y el motivo detrás de la difusión de esta herramienta sigue sin estar claro", dijo Lin. "Sin embargo, una vez que se infiltra en el entorno de un usuario, el servidor remoto obtiene el control del sistema".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de Eurecom han desarrollado seis nuevos ataques denominados colectivamente 'BLUFFS' que pueden romper el secreto de las sesiones de Bluetooth, lo que permite la suplantación de dispositivos y los ataques de intermediario (MitM).

Daniele Antonioli, quien descubrió los ataques, explica que BLUFFS explota dos fallas previamente desconocidas en el estándar Bluetooth relacionadas con la forma en que se derivan las claves de sesión para descifrar los datos a cambio.

Estas fallas no son específicas de las configuraciones de hardware o software, sino que son arquitectónicas, lo que significa que afectan a Bluetooth en un nivel fundamental.

Los problemas se rastrean con el identificador CVE-2023-24023 y afectan a las especificaciones principales de Bluetooth 4.2 a 5.4.

Teniendo en cuenta el uso generalizado del estándar de comunicación inalámbrica bien establecido y las versiones afectadas por los exploits, BLUFFS podría funcionar contra miles de millones de dispositivos, incluidas computadoras portátiles, teléfonos inteligentes y otros dispositivos móviles.

Cómo funciona BLUFFS

BLUFFS es una serie de exploits dirigidos a Bluetooth, con el objetivo de romper el secreto de las sesiones de Bluetooth hacia adelante y hacia el futuro, comprometiendo la confidencialidad de las comunicaciones pasadas y futuras entre dispositivos.

Esto se logra explotando cuatro fallas en el proceso de derivación de claves de sesión, dos de las cuales son nuevas, para forzar la derivación de una clave de sesión (SKC) corta, débil y predecible.

A continuación, el atacante fuerza bruta la clave, lo que le permite descifrar las comunicaciones pasadas y descifrar o manipular las comunicaciones futuras.


La ejecución del ataque presupone que el atacante está dentro del alcance de Bluetooth de los dos objetivos que intercambian datos y se hace pasar por uno para negociar una clave de sesión débil con el otro, proponiendo el valor de entropía de clave más bajo posible y utilizando un diversificador de clave de sesión constante.


El artículo publicado presenta seis tipos de ataques BLUFFS, que cubren varias combinaciones de ataques de suplantación de identidad y MitM, que funcionan independientemente de si las víctimas admiten conexiones seguras (SC) o conexiones seguras heredadas (LSC).

Los investigadores desarrollaron y compartieron un conjunto de herramientas en GitHub que demuestra la efectividad de BLUFFS. Incluye un script de Python para probar los ataques, los parches de ARM, el analizador y las muestras PCAP capturadas durante sus pruebas.

Impacto y remediación

BLUFFS afecta a Bluetooth 4.2, lanzado en diciembre de 2014, y a todas las versiones hasta la última, Bluetooth 5.4, lanzada en febrero de 2023.

El documento de Eurecom presenta los resultados de las pruebas de BLUFFS contra varios dispositivos, incluidos teléfonos inteligentes, auriculares y computadoras portátiles, que ejecutan las versiones 4.1 a 5.2 de Bluetooth. Se confirmó que todos ellos eran susceptibles a al menos tres de los seis ataques de BLUFFS.


El documento también propone las siguientes modificaciones compatibles con versiones anteriores que mejorarían la derivación de claves de sesión y mitigarían BLUFFS y amenazas similares:

• Introducir una nueva "función de derivación de claves" (KDF) para conexiones seguras heredadas (LSC) que implique el intercambio y la verificación mutuos de nonce, lo que agrega una sobrecarga mínima.
• Los dispositivos deben utilizar una clave de emparejamiento compartida para la autenticación mutua de los diversificadores de claves, lo que garantiza la legitimidad de los participantes de la sesión.
• Aplique el modo Conexiones seguras (SC) siempre que sea posible.
• Mantenga una caché de diversificadores de claves de sesión para evitar su reutilización.

Bluetooth SIG (Grupo de Interés Especial), la organización sin fines de lucro que supervisa el desarrollo del estándar Bluetooth y es responsable de licenciar la tecnología, ha recibido el informe de Eurecom y ha publicado una declaración en su sitio.

La organización sugiere que las implementaciones rechacen las conexiones con una intensidad de clave baja por debajo de siete octetos, utilicen el "Modo de seguridad 4 Nivel 4", que garantiza un nivel de seguridad de cifrado más alto, y operen en modo "Solo conexiones seguras" cuando se emparejen.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Agencia de Exploración Aeroespacial de Japón (JAXA, por sus siglas en inglés) fue hackeada en un ciberataque durante el verano, lo que puede haber puesto en riesgo tecnología y datos sensibles relacionados con el espacio.

La brecha de seguridad fue descubierta este otoño cuando las autoridades policiales alertaron a la agencia espacial de Japón de que sus sistemas estaban comprometidos, como informó por primera vez The Yomiuri Shimbun.

Al confirmar la infiltración, el secretario jefe del gabinete de Japón, Hirokazu Matsuno, reveló en una conferencia de prensa que los atacantes obtuvieron acceso al servidor Active Directory (AD) de la agencia, un componente crucial que supervisa las operaciones de red de JAXA.

Es probable que este servidor contenga información crítica, como las credenciales de los empleados, lo que aumenta significativamente el impacto potencial de la infracción.

En respuesta al incidente, JAXA ahora está trabajando con expertos en ciberseguridad del gobierno y las fuerzas del orden como parte de una investigación en curso para determinar el alcance del compromiso de seguridad.

Aunque no se ha confirmado ninguna filtración de datos relacionada con la violación de JAXA, un funcionario de JAXA expresó su preocupación, afirmando: "Mientras el servidor AD fue hackeado, era muy probable que la mayor parte de la información fuera visible. Esta es una situación muy grave".

Atacado por piratas informáticos estatales chinos en 2016 y 2017

Si bien el ataque cibernético aún no se ha atribuido, se alinea con un esfuerzo concertado de ciberespionaje para recopilar y robar información confidencial almacenada en los servidores de la agencia.

Establecida en 2003, JAXA es la institución nacional de investigación y desarrollo aeroespacial de Japón. En 2012, su mandato se amplió para abarcar el desarrollo espacial militar, incluido el desarrollo de sistemas de alerta temprana de misiles basados en el espacio.

Este incidente no es el primer roce de la agencia con brechas de seguridad, ya que también fue atacada en 2016 y 2017, cuando casi 200 instituciones y empresas de investigación japonesas relacionadas con la defensa fueron objeto de un ataque cibernético generalizado.

El Departamento de Policía Metropolitana de Japón atribuyó los ataques a un grupo de hackers militares chinos identificados como Tick, también conocido por los alias BRONZE BUTLER y STALKER PANDA, en abril de 2021.

En septiembre de 2023, las fuerzas del orden y las agencias de ciberseguridad de EE. UU. y Japón advirtieron en un aviso conjunto que los piratas informáticos BlackTech respaldados por el estado chino estaban colocando puertas traseras en los dispositivos de red corporativa.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

General Electric está investigando las afirmaciones de que un actor de amenazas violó el entorno de desarrollo de la compañía en un ataque cibernético y filtró datos supuestamente robados.

General Electric (GE) es una empresa multinacional estadounidense con divisiones en las industrias de energía, energía renovable y aeroespacial.

A principios de este mes, un actor de amenazas llamado IntelBroker intentó vender el acceso a los "pipelines de desarrollo y software" de General Electric por 500 dólares en un foro de piratería.

Después de no vender dicho supuesto acceso, el actor de amenazas volvió a publicar que ahora están vendiendo tanto el acceso a la red como los datos supuestamente robados.

"Anteriormente enumeré el acceso a General Electrics, sin embargo, ningún comprador serio me ha respondido o hecho un seguimiento. Ahora estoy vendiendo todo aquí por separado, incluido el acceso (SSH, SVN, etc.)", publicó el actor de amenazas en un foro de piratería.

"Los datos incluyen una gran cantidad de información militar relacionada con DARPA, archivos, archivos SQL, documentos, etc."


Como prueba de la infracción, el actor de amenazas compartió capturas de pantalla de lo que afirman que son datos robados de GE, incluida una base de datos de GE Aviations que parece contener información sobre proyectos militares.

En una declaración a BleepingComputer, GE confirmó que están al tanto de las afirmaciones del hacker y están investigando la supuesta filtración de datos.

"Estamos al tanto de las afirmaciones hechas por un mal actor con respecto a los datos de GE y estamos investigando estas afirmaciones. Tomaremos las medidas apropiadas para ayudar a proteger la integridad de nuestros sistemas", dijo un portavoz de GE a BleepingComputer.

Si bien la violación no se ha confirmado, IntelBroker es un pirata informático conocido por ciberataques exitosos y de alto perfil en el pasado.

Esto incluye una violación del servicio de comestibles Weee! y el robo de información personal confidencial del programa D.C. Health Link del Distrito de Columbia.

DC Health Link es un mercado de atención médica para Washington, D.C., utilizado por muchos empleados de la Casa Blanca y de la Casa y sus familias.

En marzo, IntelBroker violó DC Health Link y afirmó haber vendido una base de datos robada que contenía la información personal de miles de personas.

Esta violación dio lugar a una amplia cobertura mediática y a una audiencia en el Congreso para obtener más información e investigar cómo se produjo la infracción.

Durante la audiencia, Mila Kofman, directora ejecutiva de la Autoridad de Intercambio de Beneficios de Salud del Distrito de Columbia, explicó que los datos se expusieron a través de un servidor que estaba mal configurado para que fuera accesible en línea.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los usuarios de Google Drive informan que los archivos recientes almacenados en la nube han desaparecido repentinamente, y el servicio en la nube ha vuelto a ser una instantánea de almacenamiento como era entre abril y mayo de 2023.

Google Drive es un servicio de almacenamiento basado en la nube que permite a las personas almacenar y acceder a archivos desde cualquier dispositivo conectado a Internet a través de su cuenta de Google. Es un servicio muy utilizado por particulares y empresas (como parte de Google Workspace).

Un problema de tendencia reportado en los foros de soporte de Google a partir de la semana pasada describe una situación en la que las personas dicen que perdieron datos recientes y cambios en la estructura de carpetas.

"Aquí hay un problema grave que debe escalar urgentemente. Tenemos un ticket de soporte abierto, esto no ha sido útil hasta la fecha", dijo un usuario de Google Drive en el hilo de soporte.

"Pago extra cada mes para almacenar carpetas en la nube para que esté seguro, por lo que es devastador que todo mi trabajo parezca haberse perdido", publicó otro usuario de Google Drive.

Los registros de actividad de las cuentas afectadas no muestran ningún cambio reciente, lo que confirma que los propios usuarios no las eliminaron accidentalmente.

En general, no hay indicios de un error del usuario, sino más bien de un problema con el sistema del servicio que impidió la sincronización de datos entre los dispositivos locales y Google Cloud en algún momento.

Algunos usuarios tienen cachés sin conexión que pueden contener los datos que faltan, pero no existe ningún método conocido para restaurar el acceso a los datos que contienen.

Los agentes de soporte voluntarios de Google han publicado una supuesta respuesta de los ingenieros de soporte de Google que confirma que ya están investigando el problema. Sin embargo, aún no se ha proporcionado una estimación para una solución.


La recomendación para los afectados es evitar realizar cambios en la carpeta raíz/datos hasta que la situación se aclare y se determine la causa raíz del problema.

Es comprensible que muchos usuarios se sientan frustrados por la pérdida de datos críticos que confiaron al servicio basado en la nube y, en muchos casos, pagaron por el alojamiento de sus archivos.

Un aspecto notable de la situación es que los foros de soporte de Google están respaldados por voluntarios con una visión o comprensión limitada del servicio en la nube, por lo que la falta de asistencia efectiva en problemas críticos como este lo empeora aún más.

BleepingComputer se ha puesto en contacto con Google para obtener una actualización sobre el estado de la investigación interna y si los archivos perdidos son recuperables o se pierden irreversiblemente, pero no hemos recibido una respuesta en el momento de la publicación.

En esta situación, los usuarios de Google Drive deben abstenerse de cambiar su almacenamiento en la nube, ya que podría complicar el proceso de recuperación. En su lugar, lo mejor que puedes hacer es ponerte en contacto con el servicio de asistencia de Google, abrir un nuevo caso y estar atento a las actualizaciones oficiales.

Hasta que se resuelva el problema, sería más prudente hacer una copia de seguridad de los archivos importantes localmente o utilizar un servicio en la nube diferente.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha observado que los actores de amenazas norcoreanos detrás de las cepas de malware de macOS, como RustBucket y KANDYKORN, "mezclan y combinan" diferentes elementos de las dos cadenas de ataque dispares, aprovechando los cuentagotas de RustBucket para entregar KANDYKORN.

Los hallazgos provienen de la firma de ciberseguridad SentinelOne, que también vinculó un tercer malware específico de macOS llamado ObjCShellz a la campaña RustBucket.

RustBucket se refiere a un grupo de actividad vinculado al Grupo Lazarus en el que una versión de puerta trasera de una aplicación de lectura de PDF, denominada SwiftLoader, se utiliza como conducto para cargar un malware de la siguiente etapa escrito en Rust al ver un documento de señuelo especialmente diseñado.

La campaña KANDYKORN, por otro lado, se refiere a una operación cibernética maliciosa en la que los ingenieros de blockchain de una plataforma de intercambio de criptomonedas sin nombre fueron atacados a través de Discord para iniciar una sofisticada secuencia de ataque de varias etapas que condujo al despliegue del troyano de acceso remoto residente de memoria con todas las funciones del mismo nombre.

La tercera pieza del rompecabezas de ataque es ObjCShellz, que Jamf Threat Labs reveló a principios de este mes como una carga útil de etapa posterior que actúa como un shell remoto que ejecuta comandos de shell enviados desde el servidor atacante.


Un análisis más detallado de estas campañas por parte de SentinelOne ha demostrado que el Grupo Lazarus está utilizando SwiftLoader para distribuir KANDYKORN, lo que corrobora un informe reciente de Mandiant, propiedad de Google, sobre cómo diferentes grupos de hackers de Corea del Norte están tomando prestadas cada vez más las tácticas y herramientas de los demás.

"El panorama cibernético de la RPDC ha evolucionado hasta convertirse en una organización optimizada con herramientas compartidas y esfuerzos de focalización", señaló Mandiant. "Este enfoque flexible de la asignación de tareas dificulta que los defensores rastreen, atribuyan y frustren actividades maliciosas, al tiempo que permite que este adversario ahora colaborativo se mueva sigilosamente con mayor velocidad y adaptabilidad".

Esto incluye el uso de nuevas variantes del stager SwiftLoader que pretende ser un ejecutable llamado EdoneViewer pero, en realidad, se pone en contacto con un dominio controlado por un actor para recuperar la RAT KANDYKORN en función de las superposiciones en la infraestructura y las tácticas empleadas.

La revelación se produce cuando el Centro de Respuesta a Emergencias de Seguridad (ASEC) de AhnLab implicó a Andariel, un subgrupo dentro de Lazarus, a ataques cibernéticos que explotan una falla de seguridad en Apache ActiveMQ (CVE-2023-46604, puntuación CVSS: 10.0) para instalar puertas traseras NukeSped y TigerRAT.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de ciberseguridad han descubierto un caso de "autenticación forzada" que podría explotarse para filtrar los tokens NT LAN Manager (NTLM) de un usuario de Windows engañando a una víctima para que abra un archivo de Microsoft Access especialmente diseñado.

El ataque aprovecha una característica legítima de la solución del sistema de administración de bases de datos que permite a los usuarios vincularse a orígenes de datos externos, como una tabla remota de SQL Server.

"Los atacantes pueden abusar de esta característica para filtrar automáticamente los tokens NTLM del usuario de Windows a cualquier servidor controlado por el atacante, a través de cualquier puerto TCP, como el puerto 80", dijo el investigador de seguridad de Check Point, Haifei Li. "El ataque puede lanzarse siempre que la víctima abra un archivo .accdb o .mdb. De hecho, cualquier tipo de archivo de Office más común (como un .rtf) también puede funcionar".

NTLM, un protocolo de autenticación introducido por Microsoft en 1993, es un protocolo de desafío-respuesta que se usa para autenticar a los usuarios durante el inicio de sesión. A lo largo de los años, se ha descubierto que es vulnerable a los ataques de fuerza bruta, pass-the-hash y relay.

El último ataque, en pocas palabras, abusa de la característica de tabla vinculada en Access para filtrar los hashes NTLM a un servidor controlado por actores incrustando un archivo .accdb con un vínculo de base de datos SQL Server remoto dentro de un documento de MS Word utilizando un mecanismo llamado Object Linking and Embedding (OLE).


"Un atacante puede configurar un servidor que controle, escuchando en el puerto 80, y poner su dirección IP en el campo anterior de 'alias de servidor'", explicó Li. "Luego pueden enviar el archivo de la base de datos, incluida la tabla vinculada, a la víctima".

Si la víctima abre el archivo y hace clic en la tabla vinculada, el cliente víctima se pone en contacto con el servidor controlado por el atacante para la autenticación, lo que permite a este último llevar a cabo un ataque de retransmisión iniciando un proceso de autenticación con un servidor NTLM de destino en la misma organización.

A continuación, el servidor no autorizado recibe el desafío, se lo pasa a la víctima como parte del proceso de autenticación y obtiene una respuesta válida, que finalmente se transmite al servidor NTLM.

Si bien Microsoft ha publicado mitigaciones para el problema en la versión de Office/Access (Canal actual, versión 2306, compilación 16529.20182) luego de la divulgación responsable en enero de 2023, 0patch ha lanzado correcciones no oficiales para Office 2010, Office 2013, Office 2016, Office 2019 y Office 365.

El desarrollo también se produce cuando Microsoft anunció planes para descontinuar NTLM en Windows 11 en favor de Kerberos para mejorar la seguridad.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Asociación de Pilotos Aliados (APA, por sus siglas en inglés), un sindicato que representa a 15.000 pilotos de American Airlines, reveló un ataque de ransomware que afectó a sus sistemas el lunes.

El sindicato APA fue fundado en 1963 y actualmente es el mayor sindicato independiente de pilotos del mundo.

"El 30 de octubre experimentamos un incidente de ciberseguridad. Tras el descubrimiento del incidente, inmediatamente tomamos medidas para proteger nuestra red. Nuestro equipo de TI, con el apoyo de expertos externos, continúa trabajando sin parar para restaurar nuestros sistemas", dijo el sindicato en un comunicado visto por el analista de amenazas de Emsisoft, Brett Callow.

"Si bien la investigación está en curso, podemos compartir que hemos determinado que el incidente se debió a un ransomware y que ciertos sistemas estaban encriptados".

APA dijo que su equipo de TI y expertos externos están trabajando en la restauración de los sistemas afectados por el ataque de ransomware a partir de copias de seguridad, con un enfoque inicial en traer de vuelta primero productos y herramientas orientados a la prueba piloto en las próximas horas y días.

El sindicato ha iniciado una investigación dirigida por expertos en ciberseguridad para evaluar el alcance total del incidente y su impacto en los datos almacenados en los sistemas comprometidos.

La APA aún no ha compartido si la información personal de los pilotos se vio comprometida en el ataque o el número exacto de personas afectadas.

Gregg Overman, director de comunicaciones del sindicato, dijo a BleepingComputer que la organización no podía proporcionar más detalles más allá de lo que se había revelado cuando se le pidió que vinculara el incidente con una operación de ransomware.


Los pilotos de American Airlines también fueron informados sobre una violación de datos que afectó su información personal en junio después del hackeo de abril de Pilot Credentials, un proveedor externo que administra las solicitudes de pilotos y los portales de reclutamiento de múltiples aerolíneas.

En las notificaciones de violación enviadas a las personas afectadas, American Airlines dijo que los atacantes obtuvieron acceso a información confidencial perteneciente a 5745 pilotos y solicitantes.

La información expuesta en la violación de terceros de abril incluye nombres y números de Seguro Social, números de licencia de conducir, números de pasaporte, fechas de nacimiento, números de certificado de aviador y otros números de identificación emitidos por el gobierno.

En septiembre de 2022, American Airlines reveló una violación de datos que afectó a más de 1.708 clientes y empleados después de que varias cuentas de correo electrónico de empleados se vieran comprometidas en un ataque de phishing en julio de 2022.

Un año antes, en marzo de 2021, la aerolínea reveló otra violación de datos después de que los piratas informáticos hicieran el Sistema de Servicio al Pasajero (PSS) utilizado por varias aerolíneas y operado por el gigante mundial de la tecnología de la información aérea SITA.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Discord cambiará a enlaces CDN temporales para todos los usuarios a finales de año para evitar que los atacantes utilicen su red de entrega de contenido para la entrega de malware.

"Discord está evolucionando su enfoque de las URL de CDN de archivos adjuntos para crear una experiencia más segura para los usuarios. En particular, esto ayudará a nuestro equipo de seguridad a restringir el acceso al contenido marcado y, en general, a reducir la cantidad de malware distribuido mediante nuestra CDN", dijo Discord a BleepingComputer.

"No hay ningún impacto para los usuarios de Discord que comparten contenido dentro del cliente de Discord. Todos los enlaces dentro del cliente se actualizarán automáticamente. Si los usuarios utilizan Discord para alojar archivos, les recomendamos que busquen un servicio más adecuado.

"Los desarrolladores de Discord pueden ver un impacto mínimo y estamos trabajando en estrecha colaboración con la comunidad en la transición. Estos cambios se implementarán a finales de este año y compartiremos más información con los desarrolladores en las próximas semanas".

Después de que el cambio de alojamiento de archivos (descrito por Discord como aplicación de autenticación) se implemente a finales de este año, todos los enlaces a los archivos cargados en los servidores de Discord caducarán después de 24 horas.

Las URL de CDN vendrán con tres nuevos parámetros que agregarán marcas de tiempo de vencimiento y firmas únicas que seguirán siendo válidas hasta que caduquen los enlaces, lo que evitará el uso de la CDN de Discord para el alojamiento permanente de archivos.

Si bien estos parámetros ya se están agregando a los enlaces de Discord, aún deben aplicarse, y los enlaces compartidos fuera de los servidores de Discord solo caducarán una vez que la compañía implemente sus cambios en la aplicación de la autenticación.

"Para mejorar la seguridad de la CDN de Discord, las URL de CDN adjuntas tienen 3 nuevos parámetros de URL: ex, is y hm. Una vez que comience la aplicación de la autenticación a finales de este año, los enlaces con una firma determinada (hm) seguirán siendo válidos hasta la marca de tiempo de vencimiento (ex)", explicó el equipo de desarrollo de Discord en una publicación compartida en el servidor de Discord Developers.

"Para acceder al enlace de CDN adjunto después de que caduque el vínculo, la aplicación deberá obtener una nueva URL de CDN. La API devolverá automáticamente URL válidas y no caducadas cuando acceda a recursos que contengan una URL de CDN de archivos adjuntos, como cuando recupere un mensaje".

Un paso de gigante en la batalla contra el malware

Se trata de un paso muy esperado hacia los retos a los que se enfrenta Discord para frenar las actividades de ciberdelincuencia en su plataforma, ya que sus servidores han servido durante mucho tiempo como caldo de cultivo para actividades maliciosas asociadas a grupos de hackers con motivaciones financieras y respaldados por el Estado.

Las capacidades de alojamiento permanente de archivos de Discord se han utilizado indebidamente con frecuencia para distribuir malware y exfiltrar datos recopilados de sistemas comprometidos mediante webhooks.

A pesar de la escalada de este problema en los últimos años, Discord ha luchado hasta ahora por implementar medidas efectivas para disuadir el abuso de su plataforma por parte de los ciberdelincuentes y abordar el problema de manera decisiva o, al menos, limitar su impacto.

Según un informe reciente de la empresa de ciberseguridad Trellix, las URL de CDN de Discord han sido explotadas por al menos 10.000 operaciones de malware para lanzar cargas útiles maliciosas de segunda etapa en los sistemas infectados.

Estas cargas útiles consisten principalmente en cargadores de malware y scripts que instalan malware, como RedLine stealer, Vidar, AgentTesla, zgRAT y Raccoon stealer.

Según los datos de Trellix, varias familias de malware, incluidas Agent Tesla, UmbralStealer, Stealerium y zgRAT, también han utilizado webhooks de Discord en los últimos años para robar información confidencial como credenciales, cookies del navegador y billeteras de criptomonedas de dispositivos comprometidos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Google está implementando una insignia de "Revisión de seguridad independiente" en la sección de seguridad de datos de Play Store para las aplicaciones de Android que se han sometido a una auditoría de Evaluación de seguridad de aplicaciones móviles (MASA).

"Hemos lanzado este banner comenzando con las aplicaciones VPN debido a la cantidad sensible y significativa de datos de usuario que manejan estas aplicaciones", dijo Nataliya Stanetsky, del Equipo de Seguridad y Privacidad de Android.

MASA permite a los desarrolladores validar sus aplicaciones de forma independiente con respecto a un estándar de seguridad global, como el Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS), lo que proporciona más transparencia y permite a los usuarios tomar decisiones informadas antes de descargarlas.

Los esfuerzos son parte de un impulso más amplio de Google para hacer de la sección de seguridad de datos una ventanilla única que presente una "visión unificada de la seguridad de las aplicaciones", ofreciendo detalles sobre el tipo de datos que se recopilan, con qué propósito y si se comparten con terceros.


Los desarrolladores de aplicaciones de terceros que estén interesados en participar pueden comunicarse directamente con uno de los seis socios de Authorized Labs, quienes luego probarán la versión pública de la aplicación disponible en Play Store y señalarán posibles problemas de seguridad para su corrección.

"Una vez que la aplicación cumple con todos los requisitos, el laboratorio envía un informe de validación directamente a Google como confirmación, y los desarrolladores serán elegibles para declarar la insignia de seguridad en su formulario de seguridad de datos", señala Google.

"En promedio, el proceso toma alrededor de 2 a 3 semanas desde la evaluación inicial hasta la disponibilidad de la insignia".

Dicho esto, Google enfatizó que el proceso de prueba de seguridad independiente ayuda a los usuarios a verificar si un "desarrollador ha priorizado las prácticas de seguridad y privacidad y se ha comprometido con la seguridad del usuario".

Sin embargo, señaló que la certificación de los estándares de seguridad básicos no implica que una aplicación validada esté libre de vulnerabilidades.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una cepa avanzada de malware que se hace pasar por un minero de criptomonedas ha logrado volar el radar durante más de cinco años, infectando no menos de un millón de dispositivos en todo el mundo en el proceso.

Eso es según los hallazgos de Kaspersky, que ha nombrado a la amenaza StripedFly, describiéndola como un "intrincado marco modular que admite tanto Linux como Windows".

El proveedor ruso de ciberseguridad, que detectó por primera vez las muestras en 2017, dijo que el minero es parte de una entidad mucho más grande que emplea un exploit personalizado EternalBlue SMBv1 atribuido a Equation Group para infiltrarse en sistemas de acceso público.

El shellcode malicioso, entregado a través del exploit, tiene la capacidad de descargar archivos binarios desde un repositorio remoto de Bitbucket, así como ejecutar scripts de PowerShell. También es compatible con una colección de funciones expandibles similares a complementos para recopilar datos confidenciales e incluso desinstalarse a sí mismo.

El shellcode de la plataforma se inserta en el proceso wininit.exe, un proceso legítimo de Windows que inicia el administrador de arranque (BOOTMGR) y maneja la inicialización de varios servicios.

"La carga útil del malware en sí está estructurada como un código ejecutable binario monolítico diseñado para admitir módulos conectables para extender o actualizar su funcionalidad", dijeron los investigadores de seguridad Sergey Belov, Vilen Kamalov y Sergey Lozhkin en un informe técnico publicado la semana pasada.

"Viene equipado con un túnel de red TOR incorporado para la comunicación con los servidores de comando, junto con la funcionalidad de actualización y entrega a través de servicios confiables como GitLab, GitHub y Bitbucket, todos utilizando archivos cifrados personalizados".

Otros módulos de espionaje notables le permiten recopilar credenciales cada dos horas, capturar capturas de pantalla en el dispositivo de la víctima sin ser detectado, grabar la entrada del micrófono e iniciar un proxy inverso para ejecutar acciones remotas.

Al afianzarse con éxito, el malware procede a desactivar el protocolo SMBv1 en el host infectado y propaga el malware a otras máquinas utilizando un módulo de gusano a través de SMB y SSH, utilizando claves recogidas en los sistemas pirateados.

StripedFly logra la persistencia modificando el Registro de Windows o creando entradas del programador de tareas si el intérprete de PowerShell está instalado y el acceso administrativo está disponible. En Linux, la persistencia se logra por medio de un servicio de usuario systemd, un archivo .desktop autoiniciado o modificando los archivos /etc/rc*, profile, bashrc o inittab.

También se ha descargado un minero de criptomonedas Monero que aprovecha las solicitudes de DNS sobre HTTPS (DoH) para resolver los servidores del grupo, lo que añade una capa adicional de sigilo a las actividades maliciosas. Se ha evaluado que el minero se utiliza como señuelo para evitar que el software de seguridad descubra el alcance total de las capacidades del malware.

En un esfuerzo por minimizar la huella, los componentes de malware que se pueden descargar se alojan como binarios cifrados en varios servicios de alojamiento de repositorios de código, como Bitbucket, GitHub o GitLab.

Por ejemplo, el repositorio de Bitbucket operado por el actor de amenazas desde junio de 2018 incluye archivos ejecutables capaces de servir la carga útil inicial de la infección tanto en Windows como en Linux, buscar nuevas actualizaciones y, en última instancia, actualizar el malware.

La comunicación con el servidor de comando y control (C2), que está alojado en la red TOR, se lleva a cabo mediante una implementación personalizada y ligera de un cliente TOR que no se basa en ningún método documentado públicamente.

"El nivel de dedicación demostrado por esta funcionalidad es notable", dijeron los investigadores. "El objetivo de ocultar el servidor C2 a toda costa impulsó el desarrollo de un proyecto único y que requiere mucho tiempo: la creación de su propio cliente TOR".

Otra característica llamativa es que estos repositorios actúan como mecanismos alternativos para que el malware descargue los archivos de actualización cuando su fuente principal (es decir, el servidor C2) deja de responder.

Kaspersky dijo que descubrió además una familia de ransomware llamada ThunderCrypt que comparte importantes superposiciones de código fuente con StripedFly, salvo la ausencia del módulo de infección SMBv1. Se dice que ThunderCrypt se utilizó contra objetivos en Taiwán en 2017.

Los orígenes de StripedFly siguen siendo desconocidos en la actualidad, aunque la sofisticación del marco y sus paralelismos con EternalBlue exhiben todas las características de un actor de amenazas persistentes avanzadas (APT).

Vale la pena señalar que, si bien la filtración del exploit EternalBlue por parte de Shadow Brokers tuvo lugar el 14 de abril de 2017, la primera versión identificada de StripedFly que incorpora EternalBlue data de hace un año, el 9 de abril de 2016. Desde la filtración, el exploit EternalBlue ha sido reutilizado por equipos de hackers norcoreanos y rusos para propagar el malware WannaCry y Petya.

Dicho esto, también hay pruebas de que los grupos de hackers chinos pueden haber tenido acceso a algunos de los exploits de Equation Group antes de que se filtraran en línea, como reveló Check Point en febrero de 2021.

Las similitudes con el malware asociado con el grupo Equation, dijo Kaspersky, también se reflejan en el estilo de codificación y las prácticas que se asemejan a las observadas en STRAITBIZARRE, otra plataforma de espionaje cibernético manejada por el presunto colectivo adversario vinculado a Estados Unidos.

El desarrollo se produce casi dos años después de que los investigadores del Pangu Lab de China detallaran una puerta trasera de "primer nivel" llamada Bvp47 que supuestamente fue utilizada por el Grupo de Ecuación en más de 287 objetivos que abarcan múltiples sectores en 45 países.

No hace falta decir que un aspecto crucial de la campaña que sigue siendo un misterio, aparte de aquellos que diseñaron el malware, es su verdadero propósito.

"Si bien el ransomware ThunderCrypt sugiere un motivo comercial para sus autores, plantea la pregunta de por qué no optaron por el camino potencialmente más lucrativo", dijeron los investigadores.

"Es difícil aceptar la noción de que un malware tan sofisticado y diseñado profesionalmente sirva para un propósito tan trivial, dada toda la evidencia de lo contrario".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ubuntu 23.10 llegó con puntualidad y un buen montón de novedades de lo más interesantes el pasado jueves, 12 de octubre, pero también lo hizo con un problema de «traducciones maliciosas» debido al cual, Canonical retiró de la circulación las descargas oficiales del sistema. Descargas que ya vuelven a estar disponibles.

Lo cierto, de hecho, es que hubo algún que otro vaivén en lo que a la disponibilidad de las descargas de Ubuntu 23.10 se refiere, pues en un primer momento estaban luego sí, luego volvieron a desaparecer de la vista... Hasta ahora. Por lo tanto, si fuiste una de las personas que se quedaron con las ganas de catar lo nuevo del Linux para seres humano instalando desde cero, tienes vía libre.

Explicando rápido el asunto, el lanzamiento de Ubuntu 23.10 se dio conforme correspondía en fecha y forma, incluyendo en su haber una atractiva lista de novedades para todos los sabores oficiales del sistema de la que dimos cuenta en el anuncio aquí enlazado, con el matiz habitual en este tipo de versiones intermedias como es el escaso tiempo de soporte. Sin embargo, se coló algo que no estaba en el guión.

Como recogimos apenas un día después del lanzamiento, las imágenes de instalación de Ubuntu 23.10 salieron a la luz con una desagradable sorpresa, de la que Canonical tardó poco -o mucho, según se mire- en percatarse: unas «traducciones maliciosas» que al parecer solo afectaron a la traducción ucraniana del instalador de Ubuntu con «mensajes de odio» relacionados con los conflictos en Ucrania y Palestina.

Canonical retiró entonces de la circulación las descargas oficiales del sistema y hasta ahora, que vuelven a estar a disposición del público. Si eres uno de los interesados, ve a la noticia del lanzamiento de Ubuntu 23.10 enlazada más arriba donde además de la lista con todas las descargas de Ubuntu y familia, puedes repasar las novedades para estar al tanto de lo que trae 'Mantic Minotaur'.

Ya advertimos el otro día que ni se trataba de un problema grave, ni afectaba a nadie más que a los usuarios que utilizasen la traducción mencionada. En cualquier caso, todo ha quedado solucionado.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta