Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

Páginas1 2 3 ... 218

Noticias Informáticas / Descubren fallas críticas de Linux que permiten exploits de acceso root

Junio 19, 2025, 12:43:35 AM

Se han descubierto dos nuevas vulnerabilidades en componentes de Linux ampliamente implementados que podrían permitir a usuarios sin privilegios obtener acceso root en distribuciones populares.

La primera es una falla de escalada de privilegios locales (LPE), identificada como CVE-2025-6018, que afecta la configuración PAM en openSUSE Leap 15 y SUSE Linux Enterprise 15.

Esta configuración incorrecta permite que cualquier sesión local, incluidas las realizadas a través de SSH, se considere como si el usuario estuviera físicamente presente. Este estado, conocido como "allow_active", otorga acceso a ciertas operaciones privilegiadas normalmente reservadas para los usuarios del equipo.

La segunda vulnerabilidad, CVE-2025-6019, reside en libblockdev y puede activarse mediante el demonio udisks, instalado por defecto en casi todas las distribuciones de Linux. Una vez que un usuario obtiene el estado "allow_active", esta falla permite el acceso root completo.

Combinadas, estas dos vulnerabilidades crean una ruta directa y sencilla desde el acceso sin privilegios hasta el acceso root.

Cadena de exploits afecta a múltiples distribuciones

El demonio udisks y su backend libblockdev se utilizan para administrar discos y dispositivos de almacenamiento. Por diseño, otorgan más privilegios a los usuarios marcados como "activos". La vulnerabilidad PAM subvierte este modelo de confianza, convirtiendo las sesiones rutinarias en riesgos de seguridad.

Esta cadena de exploits es especialmente peligrosa porque no requiere software adicional ni acceso físico, solo un inicio de sesión SSH funcional en un sistema vulnerable.

La Unidad de Investigación de Amenazas de Qualys (TRU) ha demostrado con éxito esta cadena de exploits en Ubuntu, Debian, Fedora y openSUSE Leap 15. Su importancia radica en la facilidad con la que los atacantes pueden pasar de una sesión SSH estándar a privilegios root completos utilizando únicamente los componentes instalados por defecto.

"No se requiere nada exótico", afirmaron los investigadores de la TRU.

"Cada enlace está preinstalado en las distribuciones de Linux más populares y sus compilaciones de servidor".

Los principales riesgos incluyen:

Control total de los sistemas afectados

Evasión de herramientas de detección de endpoints

Instalación de puertas traseras persistentes

Comprometimiento de toda la flota mediante movimiento lateral

Mitigación y recomendaciones

Se insta a los equipos de seguridad a parchear ambas vulnerabilidades de inmediato.

Además, se recomienda:

Modificar la regla predeterminada de polkit para org.freedesktop.udisks2.modify-device

Cambiar la configuración de allow_active de sí a auth_admin

Seguir las recomendaciones de los proveedores para SUSE, Ubuntu y otros.

No actuar con rapidez puede dejar flotas enteras expuestas a ataques. El acceso root otorgado mediante este exploit permite persistencia indetectable y ataques entre sistemas, lo que aumenta el riesgo para la infraestructura empresarial.

Fuente:
InfoSecurity
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Malware GodFather para Android ejecuta app en sandbox para robar datos

Junio 19, 2025, 12:38:58 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad de Zimperium zLabs, dirigidos por Fernando Ortega y Vishnu Pratapagiri, han descubierto una nueva y peligrosa versión del malware GodFather para Android que utiliza una técnica avanzada llamada virtualización en el dispositivo para controlar aplicaciones móviles legítimas. Se dirige especialmente a aplicaciones bancarias y de criptomonedas, convirtiendo tu dispositivo en un espía.

El truco de la virtualización

En lugar de simplemente mostrar una imagen falsa, el malware instala una aplicación host oculta, que descarga y ejecuta una copia real de tu aplicación bancaria o de criptomonedas dentro de su propio espacio controlado, un sandbox. Cuando intentas abrir la aplicación real, el malware te redirige a esta versión virtual.

El malware monitoriza y controla cada acción, toque y palabra que escribes en tiempo real, lo que hace casi imposible que notes algo incorrecto, ya que estás interactuando con la aplicación real, pero en un entorno manipulado. Esta sofisticada técnica permite a los atacantes obtener nombres de usuario, contraseñas y PIN del dispositivo, obteniendo así el control total de tus cuentas.

Este método ofrece a los atacantes una gran ventaja. Pueden robar datos confidenciales al ingresarlos e incluso alterar el funcionamiento de la aplicación, eludiendo los controles de seguridad, incluyendo los que detectan el rooteo de un teléfono. Cabe destacar que el malware bancario GodFather se crea readaptando varias herramientas legítimas de código abierto, como VirtualApp y XposedBridge, para ejecutar sus ataques engañosos y evadir la detección.

Objetivos Globales y Maniobras Evasivas

Si bien GodFather emplea su virtualización avanzada, también continúa utilizando ataques tradicionales de superposición, colocando pantallas engañosas directamente sobre aplicaciones legítimas. Este doble enfoque demuestra la notable capacidad de los actores de amenazas para adaptar sus métodos.

Según la publicación del blog de la compañía, la campaña de malware GodFather para Android está muy extendida y se dirige a 484 aplicaciones a nivel mundial, aunque el ataque de virtualización altamente avanzado se centra actualmente en 12 instituciones financieras turcas específicas. Este amplio alcance incluye no solo plataformas bancarias y de criptomonedas, sino también importantes servicios globales de pagos, comercio electrónico, redes sociales y comunicación.

El malware también utiliza trucos ingeniosos para evitar ser detectado por las herramientas de seguridad. Modifica la forma en que se crean los archivos APK (paquetes de aplicaciones de Android), alterando su estructura para que parezcan cifrados o añadiendo información engañosa como $JADXBLOCK. Además, traslada gran parte de su código dañino a la parte Java de la aplicación y dificulta la lectura de su archivo de manifiesto de Android con información irrelevante.

Investigaciones posteriores revelaron que GodFather aún utiliza los servicios de accesibilidad de Android (diseñados para ayudar a usuarios con discapacidades) para engañarlos y que instalen partes ocultas de su aplicación. Utiliza mensajes engañosos como "Necesita permiso para usar todas las funciones de la aplicación" y, una vez que obtiene los permisos de accesibilidad, puede otorgarse más permisos en secreto sin que el usuario lo sepa.

Además, el malware oculta información importante, como su conexión a su servidor de control (C2), de forma cifrada, lo que dificulta su rastreo. Una vez activo, envía detalles de la pantalla a los atacantes, brindándoles una vista en tiempo real del dispositivo. Este descubrimiento, por lo tanto, pone de relieve el desafío constante que enfrenta la seguridad móvil a medida que las amenazas se vuelven más complejas y difíciles de detectar.

"Esta es sin duda una técnica novedosa y veo su potencial", afirmó Casey Ellis, fundador de Bugcrowd. "Será interesante ver su eficacia real en la práctica, independientemente de si los actores de amenazas deciden implementarla fuera de Turquía y si otros actores intentan replicar un enfoque similar".

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / La filtración de datos récord de 16 mil millones de la que nadie ha oído hablar

Junio 19, 2025, 12:34:58 AM

Varias recopilaciones de credenciales de inicio de sesión revelan una de las mayores filtraciones de datos de la historia, con un total de 16 mil millones de credenciales expuestas. Es muy probable que los datos provengan de diversos ladrones de información (stealer).

Recopilar información confidencial innecesariamente puede ser tan perjudicial como intentar robarla activamente. Por ejemplo, el equipo de investigación de Cybernews descubrió una gran cantidad de conjuntos de datos gigantescos que albergan miles de millones de credenciales de inicio de sesión. Desde redes sociales y plataformas corporativas hasta VPN y portales para desarrolladores, no se escatimó en esfuerzos.

Nuestro equipo ha estado monitoreando de cerca la web desde principios de año. Hasta la fecha, han descubierto 30 conjuntos de datos expuestos que contienen desde decenas de millones hasta más de 3500 millones de registros cada uno. En total, los investigadores descubrieron la inimaginable cifra de 16 mil millones de registros.

Ninguno de los conjuntos de datos expuestos se había reportado previamente, salvo uno: a finales de mayo, la revista Wired informó que un investigador de seguridad descubrió una "misteriosa base de datos" con 184 millones de registros. Apenas roza los 20 primeros descubrimientos del equipo. Lo más preocupante es que los investigadores afirman que aparecen nuevos conjuntos de datos masivos cada pocas semanas, lo que indica la prevalencia real del malware ladrón de información.

"Esto no es solo una filtración, sino un modelo para la explotación masiva. Con más de 16 mil millones de registros de inicio de sesión expuestos, los ciberdelincuentes ahora tienen un acceso sin precedentes a credenciales personales que pueden usarse para el robo de cuentas, el robo de identidad y el phishing altamente selectivo."

Los investigadores afirmaron:

"Esto no es solo una filtración, sino un modelo para la explotación masiva. Con más de 16 mil millones de registros de inicio de sesión expuestos, los ciberdelincuentes ahora tienen un acceso sin precedentes a credenciales personales que pueden usarse para el robo de cuentas, el robo de identidad y el phishing altamente selectivo. Lo especialmente preocupante es la estructura y la actualidad de estos conjuntos de datos; no se trata solo de filtraciones antiguas que se reciclan. Se trata de inteligencia nueva y susceptible de ser utilizada como arma a gran escala", afirmaron los investigadores.

El único aspecto positivo es que todos los conjuntos de datos estuvieron expuestos solo brevemente: el tiempo suficiente para que los investigadores los descubrieran, pero no el suficiente para descubrir quién controlaba grandes cantidades de datos. La mayoría de los conjuntos de datos fueron accesibles temporalmente a través de Elasticsearch o instancias de almacenamiento de objetos no seguras.

¿Qué contienen los miles de millones de registros expuestos?

Los investigadores afirman que la mayoría de los datos de los conjuntos de datos filtrados son una mezcla de información del malware stealer, conjuntos de robo de credenciales y filtraciones reempaquetadas.

No fue posible comparar eficazmente los datos entre diferentes conjuntos de datos, pero es seguro afirmar que existen registros superpuestos. En otras palabras, es imposible determinar cuántas personas o cuentas fueron realmente expuestas.

Sin embargo, la información que el equipo logró recopilar reveló que la mayor parte de la información seguía una estructura clara: URL, seguida de los datos de inicio de sesión y una contraseña. La mayoría de los ladrones de información modernos (software malicioso que roba información confidencial) recopilan datos exactamente de esta manera.

La información de los conjuntos de datos filtrados abre las puertas a prácticamente cualquier servicio en línea imaginable, desde Apple, Facebook y Google hasta GitHub, Telegram y diversos servicios gubernamentales. Es difícil pasar algo por alto cuando hay 16 mil millones de registros en juego.

Según los investigadores, las filtraciones de credenciales a esta escala alimentan campañas de phishing, robo de cuentas, intrusiones de ransomware y ataques de compromiso de correo electrónico empresarial (BEC).

«La inclusión de registros de robo de información, tanto antiguos como recientes, a menudo con tokens, cookies y metadatos, hace que estos datos sean particularmente peligrosos para las organizaciones que carecen de autenticación multifactor o prácticas de higiene de credenciales», declaró el equipo.

¿Qué conjunto de datos expuso miles de millones de credenciales?

Los conjuntos de datos que descubrió el equipo difieren considerablemente. Por ejemplo, el más pequeño, cuyo nombre hace referencia a un software malicioso, contenía más de 16 millones de registros. Mientras tanto, el más grande, probablemente relacionado con la población de habla portuguesa, contenía más de 3500 millones de registros. En promedio, un conjunto de datos con credenciales expuestas contenía 550 millones de registros.

Algunos conjuntos de datos tenían nombres genéricos, como "inicios de sesión", "credenciales" y términos similares, lo que impidió al equipo comprender mejor su contenido. Otros, sin embargo, insinuaban los servicios con los que estaban relacionados.

Por ejemplo, un conjunto de datos con más de 455 millones de registros recibió un nombre que indicaba su origen en la Federación Rusa. Otro conjunto de datos, con más de 60 millones de registros, recibió el nombre de Telegram, una plataforma de mensajería instantánea en la nube.

"La inclusión de registros antiguos y recientes de robo de información, a menudo con tokens, cookies y metadatos, hace que estos datos sean particularmente peligrosos para las organizaciones que carecen de autenticación multifactor o prácticas de higiene de credenciales", afirmó el equipo.

Si bien nombrarlos no es la mejor manera de deducir la procedencia de los datos, parece que parte de la información se relaciona con servicios en la nube, datos empresariales e incluso archivos bloqueados. Algunos nombres de conjuntos de datos probablemente apuntan a un tipo de malware utilizado para recopilarlos.

No está claro quién es el propietario de los datos filtrados. Si bien podrían ser investigadores de seguridad los que recopilan datos para verificar y monitorear las filtraciones, es prácticamente seguro que algunos de los conjuntos de datos filtrados pertenecían a ciberdelincuentes. A los ciberdelincuentes les encantan los conjuntos de datos masivos, ya que las recopilaciones agregadas les permiten escalar diversos tipos de ataques, como el robo de identidad, los esquemas de phishing y el acceso no autorizado.

Una tasa de éxito inferior al uno por ciento puede abrir las puertas a millones de personas, que pueden ser engañadas para que revelen detalles más sensibles, como cuentas financieras. Es preocupante que, dado que no se sabe con certeza quién posee los conjuntos de datos expuestos, los usuarios puedan hacer poco para protegerse.

Sin embargo, una ciberseguridad básica es esencial. Unas contraseñas seguras y cambiadas con frecuencia pueden marcar la diferencia entre una cuenta segura y el robo de datos. Los usuarios también deben revisar sus sistemas en busca de ladrones de información para evitar perder sus datos a manos de atacantes.

Miles de millones de registros expuestos en línea

Las grandes filtraciones de datos, con miles de millones de registros expuestos, se han vuelto casi omnipresentes. La semana pasada, Cybernews publicó sobre la que probablemente sea la mayor filtración de datos jamás registrada en China: miles de millones de documentos con datos financieros, detalles de WeChat y Alipay, así como otros datos personales sensibles.

El verano pasado, la mayor recopilación de contraseñas, con casi diez mil millones de contraseñas únicas, RockYou2024, se filtró en un popular foro de hacking. En 2021, se filtró en línea una recopilación similar con más de 8 mil millones de registros.

A principios de 2024, el equipo de investigación de Cybernews descubrió la que probablemente siga siendo la mayor filtración de datos de la historia: la Madre de Todas las Brechas (MOAB), con la asombrosa cifra de 26 mil millones de registros.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Iraníes se niegan a las restricciones gubernamentales a Internet

Junio 19, 2025, 12:31:15 AM

Mientras el gobierno iraní endurece las restricciones a internet en un momento crítico, muchos iraníes siguen conectados, al menos aquellos que han logrado acceder y usar una VPN.

Irán ha restringido el acceso a internet tras los ataques aéreos israelíes. Según Iran Wire, el fiscal general iraní incluso amenazó a los usuarios de redes sociales con acciones legales, ya que algunos contenidos supuestamente "perjudican la seguridad psicológica de la sociedad".

Según datos de telemetría, el acceso a internet sigue restringido.

Desde entonces, el interés en las VPN para Irán se ha disparado. Según Google Trends, ahora es el quinto tema de búsqueda más popular, con un aumento de más del 250 % en las búsquedas relacionadas con VPN en los últimos 30 días.

Como suele ocurrir durante conflictos armados, disturbios sociales o protestas, los regímenes y los países menos democráticos tienden a bloquear sitios de medios occidentales como Facebook, X, YouTube, Telegram y otros, en un intento por limitar la capacidad de los ciudadanos para comunicarse, compartir información y organizarse.

Por esta razón, los iraníes buscan VPN para eludir las restricciones y seguir usando las aplicaciones de redes sociales occidentales. También se recomienda a periodistas y activistas que utilicen una VPN para comunicaciones seguras y privadas.

Top10VPN, un sitio web de análisis de VPN que rastrea las restricciones de internet en todo el mundo, afirmó que la demanda de VPN en Irán ha aumentado drásticamente desde el viernes pasado. "Drásticamente" significa que la demanda está aproximadamente un 700 % por encima de la línea base.

"Muchos iraníes, a pesar de que las VPN están oficialmente prohibidas, recurren a estas herramientas para mantenerse conectados a noticias globales, plataformas de comunicación y contenido digital sin censura mientras navegan por la agitación actual que afecta al país", declaró el sitio web.

La escalada del conflicto está repercutiendo en todo el mundo. Los expertos en ciberseguridad ahora observan de cerca el ámbito cibernético, ya que esperan más ciberataques y otros intentos de hacktivismo dirigidos contra las partes en conflicto y sus aliados por igual.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Internet colapsa en Irán, según empresas de monitoreo web

Junio 19, 2025, 12:29:26 AM

La conectividad a internet en Irán desapareció casi por completo el miércoles, según empresas de monitoreo web, mientras la guerra con Israel entra en su sexto día.

NetBlocks, una empresa que monitorea el acceso a internet en todo el mundo, escribió en X que Irán se encuentra "ahora en medio de un apagón nacional casi total de internet".

La evaluación de la empresa fue confirmada por otras organizaciones de monitoreo de internet.

Los datos recopilados por IODA, un sistema que "monitorea la conectividad de la infraestructura de internet casi en tiempo real, con el objetivo de identificar cortes de internet macroscópicos", mostraron el miércoles el repentino colapso de la conectividad a internet en Irán.

David Belson, director de análisis de datos de la empresa de infraestructura de internet Cloudflare, declaró a TechCrunch que los niveles de tráfico de internet en Irán "están ahora un 97 % por debajo de los de hace una semana", y citó los datos de la propia empresa sobre la conectividad a internet de Irán.

La noticia de los cortes de internet se produce en un momento en que Irán e Israel se encuentran enfrascados en un conflicto militar. Irán también ha sufrido varios ciberataques desde el inicio de este último conflicto, incluyendo el hackeo de un importante banco y una plataforma de intercambio de criptomonedas iraníes. Tras los ataques, el medio de comunicación iraní IRIB afirmó que Israel había lanzado una "ciberguerra masiva" contra Irán, y, según informes, las autoridades iraníes comenzaron a restringir el acceso a internet del país.

Sin embargo, no está claro cuál es la causa del colapso de internet en Irán, afirmó Belson.

"En casos similares de cortes de internet casi totales, solemos observar una caída simultánea del espacio de direcciones IP anunciadas, lo que significa que las redes del país dejan de ser visibles en internet. Sin embargo, no hemos observado tal actividad en este caso", declaró Belson a TechCrunch.

"Solo podemos ver que el tráfico disminuyó; los datos no nos indican el motivo", añadió Belson.

Otros expertos en monitoreo de internet, como Doug Madory, de Kentik, también observaron el mismo colapso.

"Numerosos proveedores de servicios iraníes se encuentran fuera de línea en el segundo apagón nacional de internet en pocos días", escribió Madory en X. "Este corte es más grave que el de ayer".

Fuente:
TechCrunch
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Plataforma de intercambio de criptomonedas iraní atacada

Junio 19, 2025, 12:26:56 AM

18 de junio (Reuters) - Un grupo de hackers antiiraní con posibles vínculos con Israel anunció el miércoles un ataque contra una de las mayores plataformas de intercambio de criptomonedas de Irán, destruyendo casi 90 millones de dólares y amenazando con exponer el código fuente de la plataforma.

Un grupo conocido como Gonjeshke Darande, o "Gorrión Depredador", se atribuyó el ataque, convirtiéndose en la segunda operación del grupo en dos días. El martes, el grupo afirmó haber destruido datos del banco estatal iraní Sepah, en medio del aumento de las hostilidades y los ataques con misiles entre Israel e Irán.

El ataque del miércoles tuvo como objetivo Nobitex, una de las mayores plataformas de intercambio de criptomonedas de Irán. La plataforma supuestamente ayuda al gobierno iraní a evitar sanciones y a financiar operaciones ilícitas en todo el mundo, según afirmaron los hackers en un mensaje publicado en sus redes sociales la madrugada del miércoles.

El sitio web de Nobitex no estuvo disponible el miércoles. Los mensajes enviados al canal de soporte de la compañía en Telegram no fueron devueltos. Gonjeshke Darande no respondió a las solicitudes de comentarios.

Nobitex anunció en una publicación en X que había retirado su sitio web y aplicación de la red tras revisar un "acceso no autorizado" a sus sistemas.

Gonjeshke Darande es un grupo de hackers consolidado con un historial de sofisticados ciberataques contra Irán. Una operación de 2021, reivindicada por el grupo, causó cortes generalizados en gasolineras, mientras que un ataque de 2022 contra una acería iraní provocó un gran incendio y daños tangibles en la red.

Israel nunca ha reconocido formalmente estar detrás del grupo, aunque los medios israelíes han reportado ampliamente que Gonjeshke Darande está "vinculado a Israel".

El ataque del miércoles comenzó en la madrugada cuando se transfirieron fondos a billeteras controladas por hackers que denunciaban al Cuerpo de la Guardia Revolucionaria Islámica (CGRI), según la firma de análisis blockchain TRM Labs, que calculó el robo total en aproximadamente 90 millones de dólares en múltiples tipos de criptomonedas.

La forma en que se crearon las billeteras controladas por hackers sugiere que estos no podrían acceder al dinero robado, lo que significa que "quemaron los fondos para enviar a Nobitex un mensaje político", según declaró la firma de análisis blockchain Elliptic en una publicación de blog.

La publicación de Elliptic compartía evidencia de que Nobitex había enviado y recibido fondos a billeteras de criptomonedas controladas por grupos hostiles a Israel, como la Yihad Islámica Palestina, Hamás y los hutíes de Yemen.

Los senadores Elizabeth Warren y Angus King expresaron su preocupación por el papel de Nobitex en la evasión de las sanciones iraníes en una carta de mayo de 2024 dirigida a altos funcionarios de la administración Biden, citando información de Reuters de 2022.

Andrew Fierman, jefe de inteligencia de seguridad nacional de Chainalysis, confirmó en un correo electrónico a Reuters que el valor del ataque fue de aproximadamente 90 millones de dólares y que probablemente tuvo motivaciones geopolíticas, dado que se quemó el dinero.

Chainalysis ha observado previamente que actores de ransomware afiliados al CGRI utilizan Nobitex para obtener ganancias, y que otros grupos aliados del CGRI utilizan la plataforma, afirmó Fierman.

Fuente:
Reuters
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Dudas y pedidos generales / Re:Cómo crean cuentas con BINs?

Junio 17, 2025, 10:09:22 PM

Hola.

Le modero su post pues cómo lo planteó no es permisible en este Foro. No obstante con la modificación se le brinda la guía.

--------------------

En efecto así es.

Se crea una cuenta de cualquier servicio de streaming u otro que requiera la corroboración de una cuenta bancaria (BIN >> Bank Identification Number). Se le añade la info provista por el proveedor en cuanto al BIN, VPN , etc.

El detalle está en que estas cuentas piratas (BIN) duran muy poco en validez. Eso es para las que realmente avalan que una gran mayoría, no.

Son un tanto difíciles de conseguir, pero no imposibles (las que realmente funcionan me refiero y con un proveedor serio):

Vías de proveedores: Foro Especializados >> Telegram sobre todo para un contacto diario y "en caliente" con el proveedor:

Ej:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Suerte

Noticias Informáticas / Bug en ASUS Armoury Crate permite obtener privilegios de administrador de Window

Junio 17, 2025, 03:46:24 AM

Una vulnerabilidad de alta gravedad en el software ASUS Armoury Crate podría permitir a los atacantes escalar sus privilegios al nivel SYSTEM en equipos Windows.

El problema de seguridad se ha identificado como CVE-2025-3464 y recibió una puntuación de gravedad de 8,8 sobre 10.

Podría explotarse para eludir la autorización y afecta al archivo AsIO3.sys del software de gestión del sistema Armoury Crate.

Armoury Crate es el software oficial de control del sistema para Windows de ASUS. Proporciona una interfaz centralizada para controlar la iluminación RGB (Aura Sync), ajustar las curvas de los ventiladores, gestionar los perfiles de rendimiento y los periféricos ASUS, así como descargar controladores y actualizaciones de firmware.

Para realizar todas estas funciones y proporcionar una monitorización del sistema de bajo nivel, el paquete de software utiliza el controlador del kernel para acceder y controlar las funciones del hardware.

El investigador de Cisco Talos, Marcin "Icewall" Noga, informó sobre CVE-2025-3464 a la empresa tecnológica.

Según un aviso de Talos, el problema radica en que el controlador verifica a los llamantes basándose en un hash SHA-256 codificado de AsusCertService.exe y una lista de permitidos PID, en lugar de usar controles de acceso adecuados a nivel de sistema operativo.

Para explotar la vulnerabilidad, se crea un enlace físico desde una aplicación de prueba benigna a un ejecutable falso. El atacante inicia la aplicación, la pausa y modifica el enlace físico para que apunte a AsusCertService.exe.

Cuando el controlador comprueba el hash SHA-256 del archivo, lee el binario de confianza, ahora enlazado, lo que permite a la aplicación de prueba eludir la autorización y acceder al controlador.

Esto otorga al atacante privilegios de sistema de bajo nivel, lo que le otorga acceso directo a la memoria física, los puertos de E/S y los registros específicos del modelo (MSR), lo que facilita la vulneración total del sistema operativo.

Es importante tener en cuenta que el atacante debe estar ya en el sistema (infección de malware, phishing, cuenta sin privilegios comprometida) para explotar CVE-2025-3464.

Sin embargo, la amplia implementación del software en ordenadores de todo el mundo puede representar una superficie de ataque lo suficientemente grande como para que su explotación resulte atractiva.

Cisco Talos validó que CVE-2025-3464 afecta a la versión 5.9.13.0 de Armoury Crate, pero el boletín de ASUS indica que la falla afecta a todas las versiones entre la 5.9.9.0 y la 6.1.18.0.

Para mitigar el problema de seguridad, se recomienda instalar la última actualización abriendo la aplicación Armoury Crate y accediendo a "Configuración" > "Centro de actualizaciones" > "Buscar actualizaciones" > "Actualizar".

Cisco informó de la falla a ASUS en febrero, pero hasta la fecha no se ha observado ninguna explotación in situ. Sin embargo, ASUS recomienda encarecidamente a los usuarios que actualicen Armoury Crate a la última versión.

Los errores del controlador del kernel de Windows que conducen a la escalada de privilegios locales son populares entre los piratas informáticos, incluidos los actores de ransomware, las operaciones de malware y las amenazas a las agencias gubernamentales.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Los smartwatches podrían usarse para robar datos o lanzar ataques

Junio 17, 2025, 03:39:21 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo artículo de investigación propone un método inusual de exfiltración de datos de sistemas aislados mediante relojes inteligentes.

El concepto, creado por investigadores de la Universidad Ben-Gurion, parece sacado de una película de espías, pero los detalles revelan la complejidad técnica y la escasa viabilidad de un ataque de este tipo.

El método, denominado "SmartAttack", se basa en explotar el micrófono de un reloj inteligente comprometido para recibir señales ultrasónicas de un ordenador infectado aislado.

En el extremo receptor, un reloj inteligente, también infectado con malware, debe estar dentro del alcance y la orientación correctos para captar las transmisiones ultrasónicas.

El autor del artículo, Mordechai Guri, PhD, describió los relojes inteligentes como "un vector de ataque poco explorado pero efectivo", señalando que los dispositivos también están sujetos a movimientos impredecibles al llevarse en la muñeca, lo que reduce la fiabilidad de la recepción.

El reloj inteligente utilizaría entonces sus funciones de conectividad, como wifi, Bluetooth o incluso el correo electrónico, para retransmitir los datos al atacante.

Esta secuencia podría ser posible en experimentos estrictamente controlados, pero la implementación en el mundo real sería mucho más difícil.

Aunque el artículo es hipotético, plantea preguntas reales sobre si las herramientas de ciberseguridad actuales, como el mejor antivirus o software de protección de endpoints, están equipadas para detectar o defenderse contra estas amenazas indirectas y poco convencionales.

Para las organizaciones que utilizan redes aisladas para proteger información confidencial, las protecciones tradicionales podrían no ser suficientes.

Asimismo, si bien las mejores herramientas de protección contra el robo de identidad son eficaces contra vectores de amenaza conocidos, este tipo de canal encubierto explota el hardware y los entornos de maneras que las soluciones existentes podrían no anticipar.

El documento recomienda una defensa más avanzada, que incluye interferencias ultrasónicas, monitorización de señales en tiempo real e incluso cortafuegos ultrasónicos.

Sin embargo, la viabilidad de estas medidas, especialmente en entornos con recursos limitados, sigue siendo incierta.

Dicho esto, como ocurre con muchas demostraciones académicas, la amenaza real se basa más en el potencial que en la probabilidad.

Fuente:
TechRadar
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#10

Noticias Informáticas / Malware para Android llamado SuperCard permite usar tu tarjeta de crédito

Junio 17, 2025, 03:20:44 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los estafadores siempre están inventando nuevos trucos. Justo cuando empiezas a sentirte seguro de detectar correos electrónicos de phishing, enlaces sospechosos y apps bancarias falsas, ellos encuentran una nueva estrategia. Últimamente, se han vuelto más creativos, aprovechando las funciones integradas de nuestros teléfonos para llevar a cabo sus estrategias. Uno de los objetivos más recientes es NFC, la tecnología detrás del pago táctil.

Puede parecer inofensivo, pero una nueva estafa lo está utilizando de maneras que la mayoría de la gente jamás imaginaría. Un malware para Android llamado SuperCard va más allá de simplemente robar los datos de tu tarjeta. Permite a los atacantes usar tu tarjeta remotamente para transacciones reales. Y lo peor es que todo comienza con algo tan simple como un mensaje de texto.

SuperCard X se distingue de otros programas maliciosos para Android por su funcionamiento. Según investigadores de Cleafy, en lugar de robar nombres de usuario, contraseñas o códigos de verificación, utiliza un método llamado retransmisión NFC. Esto permite a los atacantes copiar los datos de la tarjeta del dispositivo de la víctima en tiempo real y usarlos para realizar pagos o retirar efectivo. El proceso no requiere acceso físico a la tarjeta ni conocer el PIN.

El malware se ofrece mediante un modelo de Malware como Servicio, lo que significa que diferentes ciberdelincuentes pueden usarlo en sus propias regiones. Esto hace que la amenaza sea más escalable y difícil de contener. A diferencia de la mayoría de los troyanos bancarios, SuperCard X no se centra en una institución específica. Se dirige a cualquier titular de tarjeta, independientemente del banco emisor.

Otra diferencia clave es el sigilo del malware. Utiliza permisos mínimos y no incluye funciones adicionales que faciliten su detección. Este enfoque simplificado le ayuda a evitar la detección del software antivirus y le permite operar silenciosamente en los dispositivos infectados.

El fraude comienza con un mensaje enviado por SMS o WhatsApp. Se hace pasar por un banco y advierte al destinatario sobre una transacción sospechosa. El mensaje incluye un número de teléfono e insta a la persona a llamar para resolver el problema. Este es el primer paso para ganarse la confianza de la víctima.

Una vez al teléfono, el atacante se hace pasar por un representante bancario y guía a la víctima a través de un proceso de seguridad falso. Esto puede incluir solicitarle que confirme sus datos personales o que ajuste la configuración de su aplicación de banca móvil, como eliminar los límites de gasto de su tarjeta.

A continuación, el atacante solicita a la víctima que instale una aplicación móvil que se describe como una herramienta para verificar la cuenta o mejorar la seguridad. En realidad, esta aplicación contiene el malware SuperCard X. Tras la instalación, el atacante le indica a la víctima que toque el teléfono con su tarjeta. El malware captura los datos NFC de la tarjeta y los envía a un segundo teléfono controlado por el atacante.

Con los datos copiados, el atacante puede realizar pagos sin contacto o retirar fondos de cajeros automáticos casi al instante. Este método le permite robar fondos rápidamente y deja pocas oportunidades para que los bancos o las víctimas intervengan a tiempo.

Fuente:
msn News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#11

Noticias Informáticas / Secreta agenda de IA del equipo de Trump queda expuesta en filtración de GitHub

Junio 17, 2025, 03:19:21 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un repositorio de GitHub reveló discretamente lo que parecía ser el plan de la administración Trump para un despliegue masivo de IA a nivel federal.

El proyecto No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, diseñado para centralizar la implementación de IA en todas las agencias, fue expuesto accidentalmente y eliminado abruptamente cuando comenzaron las consultas de los medios. A pesar de la eliminación, las versiones archivadas circularon rápidamente, lo que generó un intenso escrutinio público.

Este incidente puso de relieve la preocupación por el secretismo en los proyectos tecnológicos federales, especialmente aquellos con amplias implicaciones para el uso de datos, la automatización y la vigilancia.

Fuente:
msn News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#12

Noticias Informáticas / Actores de amenazas atacan con HijackLoader y DeerStealer

Junio 16, 2025, 04:32:03 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad han observado una nueva ola de ciberataques que involucran a HijackLoader y DeerStealer, utilizando tácticas de phishing para inducir a las víctimas a ejecutar comandos maliciosos.

Según la Unidad de Respuesta a Amenazas (TRU) de eSentire, que descubrió la campaña, esta utiliza ClickFix como vector de acceso inicial.

Las víctimas son redirigidas a una página de phishing que les solicita ejecutar un comando de PowerShell a través del símbolo del sistema de Windows. Este comando descarga un instalador llamado now.msi, que inicia una cadena de acciones que culmina en la ejecución de HijackLoader y la liberación de la carga útil de DeerStealer.

eSentire afirmó que HijackLoader ha estado activo desde 2023 y es conocido por su uso de esteganografía, específicamente ocultando datos de configuración en imágenes PNG.

Una vez ejecutado, el cargador explota binarios legítimos para ejecutar código malicioso sin firmar, inyectando finalmente DeerStealer en la memoria. Las amplias capacidades de robo de DeerStealer

DeerStealer, también comercializado como XFiles Spyware en foros de la dark web por el usuario LuciferXfiles, es un ladrón de información por suscripción con funciones que van mucho más allá del robo de credenciales.

El malware:

Extrae datos de más de 50 navegadores web

Secuestra más de 14 tipos de monederos de criptomonedas mediante la monitorización del portapapeles

Obtiene credenciales de programas de mensajería, FTP, VPN, correo electrónico y clientes de juegos

Incluye VNC oculto para acceso remoto sigiloso

Utiliza canales HTTPS cifrados para la comunicación de comando y control (C2)

El malware también incluye ofuscación modular y máquinas virtuales para descifrar cadenas, lo que dificulta las técnicas de análisis tradicionales.

Trucos de línea de comandos

El ataque comienza cuando el usuario ejecuta, sin darse cuenta, un comando codificado que obtiene el instalador.

Aunque el instalador utiliza un binario firmado de COMODO, carga una DLL manipulada para secuestrar la ejecución. Esta DLL alterada finalmente descifra la siguiente etapa, lo que inyecta DeerStealer en otro proceso legítimo.

A pesar de las herramientas públicas disponibles para descifrar la configuración de HijackLoader, los atacantes continúan utilizando los mismos métodos, lo que indica desconocimiento o indiferencia ante los riesgos de detección.

Amenaza en expansión, herramientas en evolución

eSentire advirtió que DeerStealer está en constante evolución, con nuevas funciones que incluyen compatibilidad con macOS, mejoras basadas en IA y nuevos objetivos de cliente.

Los actores de amenazas que se suscriben a planes de pago más altos (hasta $3000 al mes) reciben beneficios adicionales como reencriptación, firma de carga útil y personalización avanzada.

A medida que estas herramientas se vuelven más sofisticadas, los defensores deben mantenerse alerta.

El TRU de eSentire recomienda monitorear continuamente las amenazas y actualizar los mecanismos de protección de puntos finales para detectar cargadores y ladrones emergentes antes de que se produzca cualquier daño.

Fuente:
InfoSecurity
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#13

Noticias Informáticas / Mercado de la Dark Web de Archetyp confiscado y admin arrestado en España

Junio 16, 2025, 04:23:22 PM

Las fuerzas de seguridad europeas han desmantelado Archetyp Market, una plataforma de la dark web de larga trayectoria utilizada principalmente para la venta de drogas, tras una operación internacional coordinada denominada Operación Deep Sentinel que abarcó seis países. El desmantelamiento pone fin a un importante mercado de drogas en línea que había operado prácticamente sin interrupciones durante más de cinco años.

Archetyp había creado una base global de usuarios superior a los 600.000 y facilitaba transacciones por valor de al menos 250 millones de euros. Los investigadores afirman que era uno de los pocos mercados de la dark web que permitía la venta de fentanilo y otros opioides sintéticos potentes, lo que contribuía a la amenaza generalizada de sobredosis y la circulación de drogas ilícitas en Europa y otros lugares.

La operación se llevó a cabo entre el 11 y el 13 de junio, con la participación de las fuerzas policiales de Alemania, Países Bajos, Rumanía, España y Suecia, quienes llevaron a cabo una serie de operaciones específicas. Cerca de 300 agentes participaron en el operativo, que detuvo al administrador alemán de 30 años (conocido con los alias de YosemiteGhostWrite y BigBossChefOfArchetyp/ASNT) en Barcelona y desmanteló la infraestructura del mercado en los Países Bajos.

Las autoridades también actuaron contra un moderador y seis de los principales vendedores de la plataforma en Alemania y Suecia. Los investigadores incautaron activos valorados en 7,8 millones de euros, que incluyen criptomonedas y bienes físicos.

Dominios Incautados y Aviso Oficial

Las autoridades han incautado todos los dominios de la clear web y en la dark web asociados y operados por Archetyp Market, incluyendo los siguientes:

Archetyp[.[cc

[Zjfsopfrwpvqrhiy73vxb6zq7ksyffkzfyow2gmhgvjsseogy65uguyd.onion]

[Uyeygtqorgwxmp4bskauanuiofeh7frv35nvmghni5aihf32z27ogqqd.onion]

[S4wq4oz66bbyvsv2rg3ixwuwzvoxv226bg3563ptchx7xknelhfu3rqd.onion]

Quienes visiten estos dominios verán un banner de incautación acompañado de un aviso que indica:

"Este dominio ha sido incautado por la Oficina Federal de Policía Criminal (BKA) en nombre de la Fiscalía General de Fráncfort del Meno". Principal como parte de una operación policial coordinada. Las fuerzas del orden han incautado bases de datos y otra información relacionada con este dominio. No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Según el comunicado de prensa de Europol, la operación fue dirigida por la Fiscalía General de Alemania en Fráncfort y contó con el apoyo de Europol y Eurojust. Los investigadores afirman haber identificado a las personas detrás de la plataforma mediante el rastreo de pruebas forenses digitales y la observación de cómo se movía el dinero a través de criptomonedas y sistemas financieros tradicionales.

Jean-Philippe Lecouffe, subdirector ejecutivo de Operaciones de Europol, afirmó que la retirada de Archetyp Market envía un mensaje claro a los narcotraficantes en línea.

"No hay refugio para quienes se benefician del daño", declaró, señalando que el desmantelamiento interrumpe un importante punto de distribución de opioides sintéticos, cocaína, MDMA y otras sustancias ilegales.

El desmantelamiento de Archetyp se suma a la creciente lista de mercados de la dark web clausurados por grupos de trabajo internacionales en los últimos años. Al igual que Dream Market y Silk Road, Archetyp se había ganado una reputación en el mundo criminal por su fiabilidad y alcance. Las autoridades afirman que su desmantelamiento tendrá un gran impacto en las redes de narcotráfico en línea, al menos temporalmente.

Entre las agencias participantes se encuentran la Policía Criminal Federal Alemana, la Policía Nacional Holandesa, la Policía Nacional Rumana, la Policía Nacional Española, la Autoridad Policial Sueca y la Oficina de Investigaciones de Seguridad Nacional de Estados Unidos. La División de Investigación Criminal del IRS y el Departamento de Justicia de Estados Unidos también contribuyeron a la investigación.

Según Europol, este tipo de cooperación transfronteriza ha demostrado ser una de las herramientas más eficaces para combatir la infraestructura criminal en línea. A medida que más vendedores y compradores de la dark web recurren a herramientas de anonimización y criptomonedas, los investigadores están ajustando sus métodos, utilizando análisis avanzados y operaciones conjuntas para mantenerse al día.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#14

Noticias Informáticas / WhatsApp está añadiendo anuncios a la pantalla de Estado

Junio 16, 2025, 04:13:33 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Tras años ofreciendo servicios gratuitos sin ningún tipo de extra, WhatsApp empezará a mostrar anuncios en la popular app de chat. Cabe aclarar que los usuarios solo verán anuncios en la pantalla de Estado, la versión de la app de las Historias de Instagram.

Así, al igual que ves un anuncio después de ver algunas historias en Instagram, verás anuncios en WhatsApp después de ver algunas actualizaciones de Estado.

La compañía afirmó que su mecanismo de anuncios utiliza indicadores como el país o la ciudad, el idioma y los canales que siguen los usuarios, así como datos de los anuncios con los que interactúan.

Meta afirmó que no utiliza datos de identificación personal, como números de teléfono, mensajes, llamadas ni grupos de los usuarios, para mostrar anuncios dirigidos. Si un usuario ha añadido su cuenta de WhatsApp al Centro de Cuentas de Meta, la compañía utilizará las preferencias de su cuenta para mostrar anuncios.

La compañía afirmó que está permitiendo a empresas y usuarios promocionar sus Canales, la función de difusión de WhatsApp, en la sección de descubrimiento, y que también permitirá a creadores y empresas selectos cobrar a los usuarios una suscripción para desbloquear actualizaciones exclusivas en los Canales. La compañía indicó que estos pagos de suscripción serán facilitados por las tiendas de aplicaciones.

Meta indicó que más de 1500 millones de personas usan Estados y Canales al día.

Hasta ahora, WhatsApp ha generado ingresos a través de su plataforma WhatsApp Business y anuncios de clic para WhatsApp. Meta ha mencionado repetidamente estos canales como canales de ingresos en crecimiento en sus últimos informes trimestrales de resultados.

Alice Newton-Rex, vicepresidenta de producto de WhatsApp, afirmó en una sesión informativa que los anuncios son una extensión adecuada de las fuentes de ingresos de la aplicación.

"[Los nuevos anuncios y productos promocionales] parecían la siguiente evolución natural, ahora que ambas empresas han escalado para ayudar a las personas a descubrir negocios directamente dentro de WhatsApp. Y eso era lo que escuchábamos cada vez con más frecuencia de las empresas que también querían hacer", afirmó.

WhatsApp anunció que los anuncios y estas funciones se implementarán globalmente en los próximos meses.

Fuente:
TechCrunch
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#15

Noticias Informáticas / La policía holandesa identifica a 126 sospechosos en Cracked.io

Junio 16, 2025, 03:54:13 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La policía neerlandesa ha citado a al menos 20 usuarios del foro de hacking No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, un conocido mercado ilícito incautado por el FBI. En total, se identificaron 126 usuarios de los Países Bajos, uno de ellos de tan solo 11 años. Es posible que otros países sigan el ejemplo.

La plataforma para ciberdelincuentes no protegía los datos de sus usuarios: las investigaciones sobre nombres de usuario y direcciones de correo electrónico de la plataforma incautada No tienes permitido ver enlaces. Registrate o Entra a tu cuenta identificaron a 126 usuarios neerlandeses.

"Finalmente, se identificaron 126 usuarios individuales y se identificaron los delitos de cada uno. Algunos individuos habían sido condenados previamente o estaban involucrados en investigaciones en curso", declaró la policía neerlandesa en un comunicado de prensa.

Los ciberdelincuentes en la plataforma incautada intercambiaban herramientas de hacking, listas combinadas (combolist) y otros datos robados, compartían tutoriales de fraude y otra información ilícita. Algunos de los individuos identificados simplemente navegaban por el sitio o publicaban en el foro.

La edad promedio de los usuarios era de tan solo 20 años, y el usuario más joven tenía 11. Exmiembros de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta están recibiendo cartas o correos electrónicos de la policía. Además, la policía citó a 20 personas, y ocho enfrentan cargos penales. La decisión final la tomará la Fiscalía de los Países Bajos.

Durante las intervenciones, la policía se centró en advertir a los usuarios sobre el impacto de sus acciones y las posibles consecuencias. Tener antecedentes penales dificulta obtener una hipoteca y acceder a ciertas oportunidades educativas y profesionales.

"Además, se están eliminando varias cuentas de Telegram y Discord, ya que probablemente se utilizan para intercambiar datos de posibles víctimas", declaró la policía.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta fue atacado durante una operación internacional de ciberseguridad denominada Operación Talento.

Cybernews informó previamente que, tras la retirada del foro el 25 de enero de 2025, Cracked resurgió bajo un dominio de nivel superior diferente.

Las autoridades advierten ahora que todas las plataformas similares son "visibles para la policía".

"Estas plataformas pueden parecer 'discretas', pero no se equivoquen: muchos de estos sitios y grupos son públicos", advierte la policía neerlandesa.

"Participar y visitar estas plataformas parece muy fácil y, sobre todo, inocente, pero existe un gran riesgo de que se cruce la línea y se cometa un delito posteriormente", declaró la policía.

"Esto podría dar lugar a delitos como piratería informática, phishing y fraude en el servicio de asistencia bancaria".

La policía neerlandesa ha ganado reconocimiento por contar con una de las unidades de ciberdelincuencia más avanzadas y por su enfoque proactivo. A medida que avanza la investigación, otros países podrían seguir el ejemplo.

Desde Europol, varios otros países han participado en la protección y eliminación de los servidores utilizados por el foro Cracked durante el último año.

Aunque el sitio resurgió en abril, BitDefender duda que recupere la confianza de los usuarios y evite nuevos intentos de incautación por parte de las autoridades. Su predecesor ya divulgó información crítica sobre las identidades de los ciberdelincuentes.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#16

Noticias Informáticas / Hackers utilizan Google.com para distribuir malware eludiendo el soft antivirus

Junio 15, 2025, 07:58:47 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El enlace OAuth de Google se está utilizando como arma para lanzar ataques dinámicos
Ha surgido una nueva campaña de malware basada en navegadores, que demuestra cómo los atacantes ahora explotan dominios confiables como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta para evadir las defensas antivirus tradicionales.

Según un informe de investigadores de seguridad de c/side, este método es sutil, se activa condicionalmente y es difícil de detectar tanto para los usuarios como para el software de seguridad convencional.

Parece provenir de una URL legítima relacionada con OAuth, pero ejecuta de forma encubierta una carga maliciosa con acceso completo a la sesión del navegador del usuario.

Malware oculto a simple vista

El ataque comienza con un script incrustado en un sitio de comercio electrónico comprometido basado en Magento que hace referencia a una URL de cierre de sesión de Google OAuth aparentemente inofensiva: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Sin embargo, esta URL incluye un parámetro de devolución de llamada manipulado que decodifica y ejecuta una carga útil de JavaScript ofuscada mediante eval(atob(...)).

El uso del dominio de Google es fundamental para el engaño: dado que el script se carga desde una fuente confiable, la mayoría de las políticas de seguridad de contenido (CSP) y los filtros DNS lo permiten sin problema.

Este script solo se activa bajo ciertas condiciones. Si el navegador parece automatizado o la URL incluye la palabra "checkout", abre silenciosamente una conexión WebSocket a un servidor malicioso. Esto significa que puede adaptar el comportamiento malicioso a las acciones del usuario.

Cualquier carga útil enviada a través de este canal se codifica en base64, se decodifica y se ejecuta dinámicamente mediante el constructor de funciones de JavaScript.

Con esta configuración, el atacante puede ejecutar código remotamente en el navegador en tiempo real.

Uno de los principales factores que influyen en la eficacia de este ataque es su capacidad para evadir muchos de los mejores programas antivirus del mercado.

La lógica del script está altamente ofuscada y solo se activa bajo ciertas condiciones, lo que hace improbable que sea detectado incluso por las mejores aplicaciones antivirus para Android y escáneres de malware estáticos.

No inspeccionarán, marcarán ni bloquearán las cargas útiles de JavaScript enviadas a través de flujos OAuth aparentemente legítimos.

Los filtros basados en DNS o las reglas de firewall también ofrecen una protección limitada, ya que la solicitud inicial se dirige al dominio legítimo de Google.

En el entorno empresarial, incluso algunas de las mejores herramientas de protección de endpoints pueden tener dificultades para detectar esta actividad si dependen en gran medida de la reputación del dominio o no inspeccionan la ejecución dinámica de scripts en los navegadores.

Si bien los usuarios avanzados y los equipos de ciberseguridad pueden usar proxies de inspección de contenido o herramientas de análisis de comportamiento para identificar anomalías como estas, los usuarios promedio siguen siendo vulnerables.

Limitando los scripts de terceros, separando las sesiones del navegador utilizadas para transacciones financieras y manteniéndote alerta ante comportamientos inesperados del sitio web podrían ayudar a reducir el riesgo a corto plazo.

Fuente:
TechRadar
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#17

Noticias Informáticas / Hackers filtran datos de 10.000 clientes de VirtualMacOSX

Junio 15, 2025, 07:11:59 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

VirtualMacOSX ha sufrido presuntamente una filtración de datos de 10.000 clientes en un foro web conocido por ciberdelitos y filtraciones de datos. Este foro, conocido por sus foros dedicados a descargas, filtraciones y hackeos de bases de datos, puso el conjunto de datos completo a disposición de cualquier persona con una cuenta que respondiera o le diera "me gusta" a la publicación.

Este es el mismo foro donde se vendía una base de datos falsa de Facebook con 1.200 millones de registros, se listaba una antigua base de datos de AT&T con mucha información nueva y se ponían a la venta datos supuestamente robados de Coca-Cola Europacific Partners (CCEP).

La presunta filtración de datos y la venta de datos de clientes fueron descubiertas por el equipo de ciberseguridad de SafetyDetectives. Según la investigación de la compañía, compartida el conjunto de datos expuesto parecía auténtico durante su revisión. Se distribuía en tres archivos de texto llamados "tblcontacts", "tbltickets" y "tblclients", con un total de 176.000 líneas.

Para su información, VirtualMacOSX es una empresa que ofrece computación en la nube para Apple Macintosh desde 2012, con clientes en 102 países. Sin embargo, SafetyDetectives no ha confirmado definitivamente que el conjunto de datos expuesto pertenezca en su totalidad a VirtualMacOSX debido a restricciones éticas en las pruebas de credenciales.

Detalles de la presunta filtración

La base de datos se filtró en el foro el 11 de junio de 2024 y la información contenida en ella es confidencial. Incluye nombres completos de clientes, nombres de empresas, direcciones de correo electrónico, direcciones físicas completas y números de teléfono. Es crucial que también se encuentren contraseñas y claves de restablecimiento de contraseña.

También se encuentran datos financieros como el nombre del banco, el tipo de banco, el código bancario y los números de cuenta bancaria. Además, la filtración incluye tickets de soporte de usuarios que contienen ID de usuario, direcciones IP, nombres completos, correos electrónicos y mensajes completos de las interacciones con los clientes.

Este tipo de datos expuestos presenta riesgos considerables. Dicha información puede ser utilizada por actores maliciosos para diversas actividades dañinas. Por ejemplo, conocer la información de restablecimiento de contraseña de un usuario aumenta significativamente las posibilidades de robo de cuentas.

Los datos financieros podrían facilitar transferencias fraudulentas, mientras que la combinación de datos personales, incluidas las direcciones IP, podría incluso suponer riesgos físicos al permitir a los ciberdelincuentes rastrear la ubicación del usuario.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#18

Noticias Informáticas / Un modelo de IA intenta predecir cuándo morirás

Junio 15, 2025, 07:10:20 PM

El modelo fue creado por científicos en Dinamarca y Estados Unidos, y entrenado con años de datos de registros de salud y demográficos daneses que abarcan a seis millones de personas.

Life2vec puede predecir diversos resultados, como el riesgo de mortalidad, los ingresos futuros y las condiciones de salud. Sin embargo, es importante señalar que el modelo basa sus predicciones en las secuencias con las que fue entrenado, por lo que no puede realizar predicciones reales sobre los resultados de tu propia vida.

Sin embargo, también afirma alcanzar un rendimiento de vanguardia y una precisión por tarea de predicción del 70-90%, lo cual es... bastante impresionante.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La prueba

Así que decidí probarlo. El modelo me planteó preguntas como "¿Fumas?", "¿Haces ejercicio regularmente?" y "¿Duermes de 7 a 8 horas cada noche?". Estas preguntas coinciden con las investigaciones existentes sobre los factores que influyen en la esperanza de vida.

Después de completar todos los datos, Life2vec estimó mi esperanza de vida en 75 años. Lo intenté de nuevo, modificando solo ligeramente mis respuestas, y de repente, ¡el modelo redujo mi esperanza de vida en 33 años! Preocupantemente, también puso mi "fecha de vencimiento" como mi cumpleaños real, lo cual fue una coincidencia divertida, aunque un poco espeluznante.

Es importante destacar que el modelo afirma explícitamente que la predicción "es solo para fines de entretenimiento". En una solicitud aparte, le pedí que predijera mis finanzas a medida que "se acercaba ese momento". Según Life2vec, mi patrimonio neto rondará entre los 750.000 y el millón de dólares, con un fondo de jubilación holgado y una gran cuenta de ahorros. Ahora bien, lamentablemente, ¡eso sí que suena más a entretenimiento que a una realidad predicha!

Aunque esto plantea más preguntas: ¿qué papel desempeñará pronto la IA en la predicción de eventos vitales? ¿Y qué problemas éticos surgirán? Puedes leer nuestras reflexiones al respecto aquí, pero mientras tanto, no te preocupes demasiado por el tiempo que supuestamente te queda; ¡ojalá la vida fuera tan simple como un algoritmo, incluso el más sofisticado!

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#19

Noticias Informáticas / Musk insta a desorbitar la Estación Espacial Internacional

Junio 15, 2025, 07:08:12 PM

Elon Musk, director ejecutivo de SpaceX, expresó su "seria preocupación" por la seguridad a largo plazo de la Estación Espacial Internacional (EEI), instando a desorbitarla en dos años.

"Existen posibles preocupaciones serias sobre la seguridad a largo plazo de la EEI. Algunas partes simplemente se están volviendo demasiado antiguas y, obviamente, ese riesgo aumenta con el tiempo", publicó Musk en X la mañana del viernes. "Aunque SpaceX gana miles de millones de dólares transportando astronautas y carga a la EEI, me gustaría dejar constancia de mi recomendación de desorbitarla en dos años".

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El autor de la publicación original, Casey Handmer, quien trabajó en el Laboratorio de Propulsión a Chorro (JPL) de la NASA, afirma que existen más problemas estructurales en la EEI de los que se revelan.

La noticia llegó apenas horas después de que la NASA pospusiera la Misión Axiom 4 a la EEI debido a una fuga de presión en uno de los segmentos de la estación, construidos por Rusia. Iba a ser la cuarta misión privada de astronautas a la Estación Espacial Internacional.

Las primeras fugas se detectaron en 2019 y se rastrearon hasta un túnel en el módulo ruso Zvezda, aunque estaban prácticamente bajo control.

"Como parte de una investigación en curso, la NASA está trabajando con Roscosmos para comprender una nueva señal de presión, tras las recientes reparaciones posteriores al segmento más posterior del módulo de servicio Zvezda de la Estación Espacial Internacional", declaró la NASA.

Sin embargo, más tarde, en noviembre de 2024, la NASA advirtió que la fuga podría provocar un "fallo catastrófico" y poner en riesgo su compromiso de operar la EEI hasta 2030. Aun así, la NASA y Roscosmos han discrepado constantemente sobre la causa y la gravedad de la fuga. Según Bob Cabana, exastronauta de la NASA, los ingenieros rusos creen que las grietas probablemente se deban a una "alta fatiga cíclica" causada por microvibraciones. A su vez, la NASA cita diversos factores potenciales, como la presión y la tensión mecánica, la tensión residual, las propiedades del material del módulo y la exposición ambiental.

A principios de este año, Musk ya pidió que se desorbitara la ISS "lo antes posible".

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Mientras tanto, la NASA ha publicado el Plan de Transición de la Estación Espacial Internacional, que detalla que planea "utilizar y operar la estación espacial de forma completa y segura hasta 2030" a medida que avanza hacia una "transición fluida a plataformas de propiedad y operación comercial en órbita terrestre baja".

El objetivo será preservar pequeñas partes de la estación para su conservación histórica y devolverlas a la Tierra, ya que su estructura no permite la desconexión y el retorno seguros de módulos grandes.

Estados Unidos, Japón, Canadá y los países participantes de la ESA se han comprometido a operar la estación hasta 2030.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#20

Noticias Informáticas / Falla en Discord permite reutilizar invitaciones caducadas en campaña de malware

Junio 14, 2025, 04:50:56 AM

Los hackers están secuestrando enlaces de invitación de Discord caducados o eliminados para redirigir a los usuarios a sitios maliciosos que distribuyen troyanos de acceso remoto y malware que roba información.

La campaña se basa en una falla en el sistema de invitaciones de Discord para aprovechar infecciones multietapa que evaden múltiples antivirus.

"Reviviendo" invitaciones de Discord caducadas

Los enlaces de invitación de Discord son URL que permiten unirse a un servidor específico. Contienen un código de invitación, un identificador único que otorga acceso a un servidor y puede ser temporal, permanente o personalizado. Estos enlaces están disponibles para servidores de nivel 3 que pagan por beneficios especiales.

Como parte de los beneficios de los servidores de Discord de nivel 3, los administradores pueden crear un código de invitación personalizado. En los servidores normales, Discord genera enlaces de invitación aleatorios automáticamente y la probabilidad de que uno se repita es muy baja.

Sin embargo, los hackers observaron que cuando un servidor de nivel 3 pierde su estado de "boost", el código de invitación personalizado queda disponible y puede ser reclamado por otro servidor.

Investigadores de la empresa de ciberseguridad Check Point afirman que esto también aplica a invitaciones temporales caducadas o enlaces de invitación permanentes eliminados.

Afirman que «el mecanismo para crear enlaces de invitación personalizados permite, sorprendentemente, reutilizar códigos de invitación temporales caducados y, en algunos casos, códigos de invitación permanentes eliminados».

Secuestrar un código de invitación temporal (arriba) y reutilizarlo en un enlace personalizado (abajo)

Además, los investigadores afirman que el mecanismo defectuoso de Discord no modifica el tiempo de expiración de un código de invitación temporal ya generado al reutilizarlo como enlace de invitación permanente.

"Los usuarios a menudo creen erróneamente que, con solo marcar esta casilla, han hecho que la invitación existente sea permanente (y fue este malentendido el que se explotó en el ataque que observamos)" - Check Point

Un código de invitación con letras minúsculas y dígitos no se puede registrar mientras esté activo. Sin embargo, si el código contiene letras mayúsculas, se puede reutilizar en enlaces vanidosos con minúsculas, incluso si el original sigue siendo válido.

Los investigadores de Check Point explican que esto es posible porque Discord almacena y compara los enlaces vanidosos en minúsculas. Como resultado, el mismo código con letras minúsculas y mayúsculas es válido para dos servidores separados al mismo tiempo.

Redirección a servidores maliciosos

Los atacantes monitorean las invitaciones de Discord eliminadas o caducadas y las utilizan en una campaña que ha afectado a 1300 usuarios en EE. UU., Reino Unido, Francia, Países Bajos y Alemania, según el recuento de descargas de las cargas maliciosas de Check Point.

Los investigadores afirman que los ciberdelincuentes están secuestrando enlaces de invitación de Discord de comunidades legítimas y compartiéndolos en redes sociales o sitios web oficiales de las comunidades. Para dar credibilidad al engaño, los hackers diseñan los servidores maliciosos para que parezcan auténticos.

Los servidores maliciosos de Discord solo muestran un canal al visitante, #verify, y un bot solicita al usuario que complete un proceso de verificación.

Canal de Discord del atacante

Al intentarlo, se lanza un ataque típico de "ClickFix", en el que se redirige al usuario a un sitio web que imita la interfaz de Discord y simula que el CAPTCHA no se cargó.

Se engaña al usuario para que abra manualmente el cuadro de diálogo Ejecutar de Windows y pegue un comando de PowerShell que ya había copiado al portapapeles para su ejecución.

La página ClickFix

Al hacerlo, se desencadena una infección multietapa que involucra descargadores de PowerShell, cargadores de C++ ofuscados y archivos VBScript.

Las cargas útiles finales se descargan del servicio legítimo de colaboración de software y alojamiento de archivos Bitbucket, e incluyen:

AsyncRAT: Distribuido como 'AClient.exe', esta es la versión 0.5.8 del malware que utiliza Pastebin para obtener su dirección C2 dinámicamente. Sus capacidades incluyen operaciones con archivos, registro de pulsaciones de teclas y acceso a cámara web/micrófono.

Skuld Stealer: Distribuido como 'skul.exe', este ladrón de información se centra en credenciales del navegador, cookies, tokens de Discord y datos de monederos de criptomonedas (inyecta JavaScript para robar frases mnemotécnicas y contraseñas mediante webhooks de Discord).

ChromeKatz: Una versión personalizada de la herramienta de código abierto, distribuida como 'cks.exe', que puede robar cookies y contraseñas.

Los investigadores también descubrieron que se añade una tarea programada en el host para volver a ejecutar el cargador de malware cada cinco minutos.

Cadena de infección de ClickFix al malware

Para protegerse de esta amenaza, se recomienda a los usuarios de Discord que eviten confiar en enlaces de invitación antiguos, especialmente los de publicaciones de hace meses, que traten las solicitudes de verificación con extrema precaución y que nunca ejecuten comandos de PowerShell copiados que no comprendan completamente.

Además, se recomienda a los administradores de servidores de Discord que utilicen invitaciones permanentes, que son más difíciles de piratear.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Páginas1 2 3 ... 218