Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

#1
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una operación policial internacional denominada "Operación Passionflower" ha cerrado MATRIX, una plataforma de mensajería cifrada utilizada por ciberdelincuentes para coordinar actividades ilegales mientras evaden a la policía.

Cabe señalar que MATRIX es una entidad diferente del protocolo de comunicaciones seguro, descentralizado, de código abierto y en tiempo real con el mismo nombre, cuyo uso es perfectamente legal.

La operación se llevó a cabo en toda Europa, incluidos Francia, los Países Bajos, Italia, Lituania, España y Alemania, y estuvo coordinada por Europol y Eurojust.

Un facilitador del crimen


La policía localizó a MATRIX tras recuperar el teléfono de un tirador que intentó asesinar al periodista Peter R. de Vries en julio de 2021.

Tras analizar el teléfono, descubrieron que estaba personalizado para conectarse a un servicio de mensajería encriptado llamado Matrix.

Un equipo de investigación conjunto (JIT) entre las autoridades holandesas y francesas permitió a la policía monitorear e interceptar 2,3 millones de mensajes en 33 idiomas diferentes enviados a través de los dispositivos. Sin embargo, no se proporcionaron detalles técnicos sobre cómo podrían hacerlo.

"Durante tres meses, las autoridades pudieron monitorear los mensajes de posibles delincuentes, que ahora se utilizarán para respaldar otras investigaciones", se lee en un comunicado de Europol.

"Durante una operación coordinada con el apoyo de Eurojust y Europol, el servicio de mensajería fue desmantelado por las autoridades holandesas y francesas y sus homólogos italianos, lituanos y españoles ejecutaron acciones de seguimiento".

Los 40 servidores de MATRIX repartidos por toda Europa facilitaron las comunicaciones de al menos 8.000 cuentas de usuarios, que pagaron entre 1.350 y 1.700 dólares en criptomonedas por un dispositivo basado en Google Pixel y una suscripción de seis meses al servicio instalado en el teléfono.

MATRIX también se vendió bajo los nombres de Mactrix, Totalsec, X-quantum y Q-safe, pero todos utilizaban la misma infraestructura.

MATRIX también ofrece la posibilidad de realizar videollamadas cifradas, realizar un seguimiento de las transacciones y navegar por Internet de forma anónima.

Decomisos y arrestos

Las fuerzas de seguridad llevaron a cabo redadas y registros simultáneos en cuatro países esta mañana, lo que dio como resultado el cierre de 40 servidores en Francia y Alemania y el arresto de cinco sospechosos en España y Francia.

Se sospecha que uno de los arrestados, un hombre lituano de 52 años, es el propietario y operador principal de MATRIX.

Las autoridades también han incautado 970 teléfonos encriptados, 145.000 euros (152.500 dólares) en efectivo, 500.000 euros (525.000 dólares) en criptomonedas y cuatro vehículos.

El cartel de incautación publicado en el sitio web de MATRIX advierte a los usuarios del servicio que sus comunicaciones han sido expuestas y que la investigación continuará.

En un comunicado aparte, la policía holandesa señaló que todos los usuarios de MATRIX que eligieron el servicio por su privacidad y anonimato y no se involucraron en actividades delictivas deben enviar un correo electrónico a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta para solicitar una exención de las investigaciones.

El desmantelamiento de MATRIX se produce a pesar de la sofisticación técnica de sus operadores y la creencia de que era superior a los servicios telefónicos encriptados desmantelados anteriormente.

Sin embargo, operaciones policiales anteriores que desmantelaron servicios telefónicos encriptados similares, como Ghost, EncroChat, Exclu y Sky ECC, muestran que una vez que las fuerzas del orden conocen su infraestructura, pueden reunir evidencia significativa de actos delictivos al monitorear los mensajes interceptados o a través de servidores confiscados.

Esta evidencia ha llevado al arresto de miles de traficantes de drogas, traficantes de armas, delincuentes organizados, asesinos y blanqueadores de dinero.

Fuente
:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#2
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La policía de Corea del Sur ha arrestado a un director ejecutivo y a cinco empleados por fabricar más de 240.000 receptores de satélite precargados o actualizados posteriormente para incluir la funcionalidad de ataque DDoS a petición de un comprador.

Aunque no se ha identificado a ninguna de las empresas, las dos llevan operando desde 2017. En noviembre de 2018, la empresa compradora realizó una solicitud especial para incluir la funcionalidad DDoS, y el fabricante surcoreano accedió.

Supuestamente, la funcionalidad era necesaria para contrarrestar los ataques de una entidad competidora.

No se especificó cómo se aprovechó exactamente la funcionalidad DDoS en los dispositivos, pero estos ataques siempre son ilegales cuando se dirigen a sistemas externos.

Además, los usuarios de los receptores satelitales participaban involuntariamente en los ataques y podrían haber experimentado una reducción del rendimiento del dispositivo durante estos incidentes.

Desde enero de 2019 hasta septiembre de 2024, el fabricante de los dispositivos envió 240.000 receptores satelitales, 98.000 de los cuales tenían un módulo DDoS preinstalado. El resto recibió la funcionalidad a través de una actualización de firmware posterior.

La policía coreana descubrió el plan malicioso tras recibir información de inteligencia de Interpol, mientras que la acción también afectó a un sospechoso que fue incluido en una lista internacional de personas buscadas.

En julio, la Interpol proporcionó información que sugería que "una empresa de radiodifusión ilegal (la empresa A, con sede en el extranjero) importa receptores de satélite equipados con funciones de ataque DDoS de una empresa coreana (la empresa B)", se lee en el anuncio.

"Un análisis del equipo reveló que la funcionalidad DDoS se estaba instalando durante las actualizaciones de firmware".

Los seis individuos que fueron arrestados en Corea ahora enfrentan cargos relacionados con violaciones de la Ley de Promoción de la Utilización de Redes de Información y Comunicaciones y Protección de la Información.

Además, el tribunal también ha aprobado la incautación de los activos de la empresa y la confiscación de 61 mil millones de KRW ( 4.350.000 dólares ), la cantidad que la firma estima que ganó con la venta de los receptores de satélite maliciosos.

Los operadores de la empresa que compraron el equipo siguen libres, y la policía coreana busca la cooperación internacional para rastrearlos y detenerlos.

Fuente
:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#3
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Alemania ha desmantelado el mayor mercado de cibercrimen en línea del país, llamado "Crimenetwork", y ha detenido a su administrador por facilitar la venta de drogas, datos robados y servicios ilegales.

La operación de aplicación de la ley fue llevada a cabo el lunes por la Fiscalía de Frankfurt am Main, la Oficina Central de Lucha contra el Cibercrimen (ZIT) y la Oficina Federal de Policía Criminal (BKA).

Crimenetwork era el mayor mercado en lengua alemana en el que los delincuentes publicaban datos robados y drogas para su venta y ofrecían servicios como falsificación de documentos.

Fundada en 2012, la plataforma contaba con más de 100 vendedores registrados y 100.000 usuarios cuando fue cerrada, la mayoría de los cuales se encontraban en países de habla alemana.

"La plataforma, considerada el mayor mercado en línea de habla alemana para la economía sumergida, había estado activa durante muchos años", se lee en el anuncio de BKA.

"Como parte de la investigación, los servidores que constituían la infraestructura técnica de la plataforma fueron desconectados".

Los usuarios de Crimenetwork podían pagar bienes y servicios utilizando Bitcoin o la criptomoneda Monero (XMR), difícil de rastrear.

BKA afirma que, entre 2018 y 2024, las transacciones en la plataforma ascendieron a 1.000 Bitcoin y más de 20.000 Monero, valoradas actualmente en aproximadamente 93.000.000 euros (98.000.000 dólares).

Crimenetwork obtuvo un porcentaje del 5% de esas transacciones, además de una tarifa de suscripción mensual de los vendedores e ingresos por publicidad. Esto significa que los operadores del mercado ganaron al menos 5.000.000 de dólares desde 2018.

El administrador arrestado es un sospechoso de 29 años conocido en Internet como "Techmin", que se cree que trabajó como experto técnico para Crimenetwork durante varios años.

Ahora se enfrenta a cargos relacionados con la Sección 127 del Código Penal alemán relacionado con el funcionamiento de mercados en línea delictivos y también a delitos previstos en las Secciones 29a y 30a de la Ley de Estupefacientes.

La BKA también dijo que ha obtenido información sobre los miembros registrados de la plataforma de delitos cibernéticos, por lo que podrían producirse más arrestos en el futuro.

"Como parte de la operación, se obtuvieron amplios datos de usuarios y transacciones, lo que proporcionó pistas valiosas para desentrañar aún más las estructuras criminales detrás de la plataforma", advirtió la BKA.

El cierre de Crimenetwork se produce poco después de otras operaciones notables contra el cibercrimen en Alemania, como la incautación de la plataforma de revisión de DDoS No tienes permitido ver enlaces. Registrate o Entra a tu cuenta el 1 de noviembre de 2024.

Esa acción, que fue parte de la "Operación PowerOFF", también implicó dos arrestos, incluido el de una persona que se cree que es el administrador del sitio.

A mediados de septiembre, las fuerzas de seguridad alemanas incautaron 47 servicios de intercambio de criptomonedas alojados en el país, lo que facilitaba actividades ilegales de lavado de dinero para los ciberdelincuentes, incluidas las bandas de ransomware.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#4
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Veeam lanzó hoy actualizaciones de seguridad para abordar dos vulnerabilidades de Service Provider Console (VSPC), incluida una ejecución de código remoto (RCE) crítica descubierta durante una prueba interna.

VSPC, descrita por la empresa como una plataforma BaaS (Backend como servicio) y DRaaS (Recuperación ante desastres como servicio) administrada de forma remota, es utilizada por los proveedores de servicios para monitorear el estado y la seguridad de las copias de seguridad de los clientes, así como para administrar sus cargas de trabajo virtuales, de Microsoft 365 y de nube pública protegidas por Veeam.

La primera falla de seguridad corregida hoy (identificada como CVE-2024-42448 y calificada con una puntuación de gravedad de 9,9/10) permite a los atacantes ejecutar código arbitrario en servidores sin parches desde la máquina del agente de administración de VSPC.

Veeam también ha reparado una vulnerabilidad de alta gravedad ( CVE-2024-42449 ) que puede permitir a los atacantes robar el hash NTLM de la cuenta de servicio del servidor VSPC y utilizar el acceso obtenido para eliminar archivos en el servidor VSPC.

Sin embargo, como explicó la empresa en un aviso de seguridad publicado hoy, estas dos vulnerabilidades solo se pueden explotar con éxito si el agente de administración está autorizado en el servidor de destino.

Las fallas afectan a VPSC 8.1.0.21377 y todas las versiones anteriores, incluidas las compilaciones 8 y 7, pero las versiones de productos no compatibles también se ven afectadas y "deberían considerarse vulnerables", aunque no se hayan probado.

"Alentamos a los proveedores de servicios que utilizan versiones compatibles de Veeam Service Provider Console ( versiones 7 y 8 ) a que actualicen al último parche acumulativo", dijo Veeam.

"Se recomienda encarecidamente a los proveedores de servicios que utilizan versiones no compatibles que actualicen a la última versión de Veeam Service Provider Console".

La reciente explotación de vulnerabilidades de Veeam ha demostrado que es crucial aplicar parches a los servidores vulnerables lo antes posible para bloquear posibles ataques.

Como revelaron los responsables de la respuesta a incidentes de Sophos X-Ops el mes pasado, una falla de RCE (CVE-2024-40711) en el software de Backup & Replication (VBR) de Veeam, divulgada en septiembre, ahora se está explotando para implementar el ransomware Frag.

La misma vulnerabilidad también se utiliza para obtener ejecución remota de código en servidores VBR vulnerables en ataques de ransomware Akira y Fog.

Veeam afirma que sus productos son utilizados por más de 550.000 clientes en todo el mundo, incluido el 74% de todas las empresas de Global 2.000 y el 82% de Fortune 500.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#5
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se ha publicado una prueba de concepto (PoC) para explotar una falla de ejecución remota de código de gravedad crítica en Progress WhatsUp Gold, por lo que es fundamental instalar las últimas actualizaciones de seguridad lo antes posible.

La falla se conoce como CVE-2024-8785 ( puntuación CVSS v3.1: 9,8 ) y fue descubierta por Tenable a mediados de agosto de 2024. Existe en el proceso NmAPI.exe en las versiones de WhatsUp Gold desde 2023.1.0 y anteriores a 24.0.1.

Manipulación del Registro de Windows

Cuando se ejecuta, NmAPI.exe proporciona una interfaz API de administración de red para WhatsUp Gold, que escucha y procesa las solicitudes entrantes.

Debido a la validación insuficiente de los datos entrantes, los atacantes podrían enviar solicitudes especialmente diseñadas para modificar o sobrescribir claves de registro de Windows confidenciales que controlan desde dónde se leen los archivos de configuración de WhatsUp Gold.

"Un atacante remoto no autenticado puede invocar la operación UpdateFailoverRegistryValues a través de un netTcpBinding en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta", se lee en el informe de Tenable.

"A través de la operación UpdateFailoverRegistryValues, el atacante puede cambiar un valor de registro existente o crear uno nuevo para cualquier ruta de registro en HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\".

"En concreto, el atacante puede cambiar HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\Network Monitor\WhatsUp Gold\Setup\InstallDir a una ruta UNC que apunte a un host controlado por el atacante (es decir, \\<ip del atacante>\share\WhatsUp)."

La próxima vez que se reinicie el servicio Ipswitch Service Control Manager, leerá varios archivos de configuración del recurso compartido remoto controlado por el atacante, que se pueden utilizar para iniciar cualquier ejecutable remoto que el atacante desee en el sistema vulnerable WhatsUp Gold.

Aparte de los riesgos obvios que surgen de un escenario de este tipo, la capacidad de modificar el registro del sistema también proporciona al ataque excelentes capacidades de persistencia, como realizar cambios en las claves de inicio para que se ejecute el código malicioso al iniciar el sistema.

La explotación de CVE-2024-8785 no requiere autenticación y, dado que el servicio NmAPI.exe es accesible a través de la red, el riesgo es significativo.

Actualice WhatsUp Gold ahora

Los administradores de sistemas que gestionan implementaciones de WhatsUp Gold deben actualizar a la versión 24.0.1 lo antes posible.

Progress Software lanzó actualizaciones de seguridad que abordan CVE-2024-8785 y cinco fallas más el 24 de septiembre de 2024, y publicó el boletín relacionado aquí, que contiene instrucciones de instalación.

WhatsUp Gold ha sido nuevamente blanco de ataques de piratas informáticos recientemente, y los actores de amenazas aprovecharon exploits disponibles públicamente para atacar puntos finales vulnerables.

A principios de agosto, los actores de amenazas utilizaron PoC públicos para una falla crítica de RCE de WhatsUp Gold para obtener acceso inicial a redes corporativas.

En septiembre, los piratas informáticos utilizaron exploits públicos para dos vulnerabilidades críticas de inyección SQL en WhatsUp Gold, lo que les permitió tomar el control de cuentas de administrador sin conocer la contraseña.

Dado el historial reciente de actores de amenazas que explotan vulnerabilidades críticas en la popular solución de monitoreo de red de Progress Software, es imperativo aplicar rápidamente las actualizaciones de seguridad disponibles.

Fuente
:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#6
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los dominios 'No tienes permitido ver enlaces. Registrate o Entra a tu cuenta' y 'No tienes permitido ver enlaces. Registrate o Entra a tu cuenta' de Cloudflare, utilizados para implementar páginas web y facilitar la computación sin servidor, están siendo cada vez más utilizados por cibercriminales para realizar phishing y otras actividades maliciosas.

Según la firma de ciberseguridad Fortra, el abuso de estos dominios ha aumentado entre un 100% y un 250% en comparación con 2023.

Los investigadores creen que el uso de estos dominios tiene como objetivo mejorar la legitimidad y la eficacia de estas campañas maliciosas, aprovechando la marca de confianza de Cloudflare, la fiabilidad del servicio, los bajos costes de uso y las opciones de proxy inverso que complican la detección.

Abuso de Cloudflare Pages


Cloudflare Pages es una plataforma diseñada para que los desarrolladores front-end creen, implementen y alojen sitios web rápidos y escalables directamente en la red de distribución de contenido (CDN) global de Cloudflare.

Cuenta con alojamiento de sitios estáticos, admite una variedad de marcos de implementación de aplicaciones web modernas y ofrece cifrado SSL/TLS de forma predeterminada, lo que garantiza conexiones HTTPS sin necesidad de configuración adicional.

Fortra informa que Cloudflare Pages se ha convertido en una herramienta para los cibercriminales que abusan de ella al alojar páginas de phishing intermediarias que redirigen a las víctimas a sitios maliciosos, como páginas de inicio de sesión falsas de Microsoft Office365.

Las víctimas son conducidas a través de enlaces incrustados en archivos PDF fraudulentos o en el cuerpo de los correos electrónicos de phishing, que no son detectados por los productos de seguridad gracias a la reputación de Cloudflare.

"El equipo de SEA de Fortra ha observado un aumento del 198 % en los ataques de phishing en las páginas de Cloudflare, pasando de 460 incidentes en 2023 a 1370 incidentes a mediados de octubre de 2024", informa Fortra.

"Con un promedio de aproximadamente 137 incidentes por mes, se espera que el volumen total de ataques supere los 1600 para fin de año, lo que representa un aumento interanual proyectado del 257 %".

Abuso de páginas de Cloudflare en cifras
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fortra también señala que los actores de amenazas utilizan la táctica "bccfoldering" para ocultar la escala de sus campañas de distribución de correo electrónico.

"A diferencia del campo cc, que muestra los destinatarios, bccfoldering oculta los destinatarios agregándolos solo al sobre del correo electrónico, no a los encabezados", explica Fortra.

"Esto hace que los destinatarios sean indetectables a menos que el servidor esté configurado para revelarlos. Esta táctica es utilizada por el adversario para ocultar la escala de la campaña de phishing, ya que los destinatarios ocultos pueden dificultar la detección de cuán grande es la campaña de phishing".

Correo electrónico de phishing que contiene un enlace a un dominio de Cloudflare Pages
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Abuso de Cloudflare Workers

Cloudflare Workers es una plataforma informática sin servidor que permite a los desarrolladores escribir e implementar aplicaciones y scripts ligeros directamente en la red de borde de Cloudflare.

Sus usos legítimos incluyen la implementación de API, la optimización de contenido, la implementación de CAPTCHA y firewall personalizados, la automatización de tareas y la creación de microservicios.

Fortra también ha visto un aumento en el abuso, incluso para llevar a cabo ataques de denegación de servicio distribuido (DDoS), implementar sitios de phishing, inyectar scripts dañinos en el navegador del objetivo y forzar las contraseñas de las cuentas.

En un caso destacado por los investigadores, se abusa de Cloudflare Workers para alojar un paso de verificación humana en un proceso de phishing para agregar legitimidad.

Paso de verificación utilizado en una campaña de phishing
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"Hemos sido testigos de un aumento del 104% en los ataques de phishing en esta plataforma [Cloudflare Workers], pasando de 2.447 incidentes en 2023 a 4.999 incidentes en lo que va de año", se lee en el informe de Fortra.

"Con un promedio actual de 499 incidentes por mes, se espera que el volumen total alcance casi 6.000 para fin de año, lo que refleja un aumento proyectado del 145% en comparación con el año anterior".

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los usuarios pueden defenderse del phishing que abusa de servicios legítimos verificando la autenticidad de las URL en las que se encuentran cuando se les pide que ingresen información confidencial.

Por último, activar medidas de seguridad de cuenta adicionales, como la autenticación de dos factores, puede ayudar a prevenir robos de identidad incluso cuando las credenciales están comprometidas.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#7
Dudas y pedidos generales / Re:Herramientas de rastreo
Diciembre 02, 2024, 11:25:02 PM
La tiene fácil:

Escriba en el buscador de Google:

"verificar números de teléfonos en argentina"

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

verá las sugerencias que le expliqué: compañías que se dedican a ello y trucos:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.
#8
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores de ciberseguridad de FortiGuard Labs de Fortinet han descubierto una serie de nuevos ataques de malware dirigidos a empresas de Taiwán. Los ataques, que se han vinculado al malware SmokeLoader, han afectado a sectores que van desde la fabricación y la atención sanitaria hasta la informática y más allá.

SmokeLoader, conocido por su capacidad para distribuir otras cargas útiles maliciosas, está asumiendo un papel más directo en esta campaña, utilizando sus propios complementos para ejecutar ataques y robar datos confidenciales.

Según la investigación de FortiGuard Labs, los ataques comenzaron con correos electrónicos de phishing que contenían archivos adjuntos maliciosos, diseñados para explotar vulnerabilidades en Microsoft Office. Entre ellas se encontraban CVE-2017-0199, que permitía que documentos maliciosos descargaran y ejecutaran automáticamente cargas útiles dañinas, y CVE-2017-11882, que explotaba una vulnerabilidad en el editor de ecuaciones de Microsoft Office para la ejecución remota de código.

Los correos electrónicos, según la publicación del blog de FortiGuard Labs compartida con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, se enteraron de esta publicación el lunes, escritos en taiwanés nativo, eran convincentes pero contenían inconsistencias, como diferentes esquemas de fuente y color, que sugerían que el texto había sido copiado de otro lugar.

Una vez que se abrió el archivo adjunto malicioso, se descargó y ejecutó el malware SmokeLoader, lo que le permitió comunicarse con su servidor de comando y control (C2). Desde allí, el malware descargó varios complementos, cada uno diseñado para apuntar a aplicaciones específicas y extraer información confidencial.

Se descubrió que los complementos utilizados por SmokeLoader apuntaban a navegadores web populares, clientes de correo electrónico y software de protocolo de transferencia de archivos (FTP), incluidos Internet Explorer, Firefox, Chrome, Opera, Outlook, Thunderbird y FileZilla. El malware pudo extraer credenciales de inicio de sesión, datos de llenado automático e incluso direcciones de correo electrónico de estas aplicaciones.

Uno de los complementos, conocido como Plugin 4, fue diseñado para borrar las cookies de los navegadores seleccionados, lo que obliga a las víctimas a volver a ingresar sus credenciales de inicio de sesión. Otro complemento, Plugin 8, se utilizó para inyectar código keylogger en explorer.exe, lo que le permitió al malware capturar las entradas del teclado y el contenido del portapapeles.

También se descubrió que el malware SmokeLoader utiliza técnicas avanzadas para evadir la detección, incluida la ofuscación de código, la antidepuración y la evasión de sandbox. Su diseño modular le permite adaptarse a diferentes escenarios de ataque, lo que lo convierte en una amenaza formidable para las organizaciones.

Flujo de ataque y los correos electrónicos de phishing utilizados en el ataque (vía: FortiGuard Labs de Fortinet)
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

FortiGuard Labs ha detectado y bloqueado el malware, asignándole un nivel de gravedad "Alto". La empresa también ha proporcionado protección a sus clientes, incluidas firmas antivirus y reglas IPS para detectar y prevenir el malware.

En un comentario a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, Casey Ellis, fundador y asesor de Bugcrowd, un líder con sede en San Francisco, California, en ciberseguridad colaborativa, sugiere que el uso de SmokeLoader se alinea con un patrón global más amplio de actores cibernéticos que se preparan para futuros ataques infiltrándose en los sistemas con anticipación.

"Dado el entorno geopolítico, Taiwán no es ajeno a pensar en amenazas persistentes avanzadas (APT) y el uso de SmokeLoader parece seguir el ejemplo de la tendencia general de preposicionamiento que hemos visto en otras partes del mundo".

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#9
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En un esfuerzo global coordinado, las fuerzas del orden de 40 países han desmantelado con éxito una vasta red de cibercriminales, lo que ha llevado al arresto de más de 5.500 personas y a la confiscación de más de 400 millones de dólares en fondos ilícitos.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Este avance se produce tras el reciente éxito de la agencia con la "Operación Serengeti", que arrestó a más de 1.000 cibercriminales y desmanteló importantes redes de delitos cibernéticos en varios países africanos la semana pasada.

La Operación HAECHI V, la quinta iteración de una exitosa iniciativa de cibervigilancia patrocinada por el gobierno de Corea del Sur, fue una operación de cinco meses que se extendió desde julio hasta noviembre de 2024. Se centró en una variedad de fraudes cibernéticos, incluidos el phishing de voz, las estafas románticas, la sextorsión en línea, el fraude de inversiones, los juegos de azar en línea ilegales, la vulneración del correo electrónico empresarial y el fraude en el comercio electrónico.

La iniciativa de Intervención Rápida Mundial de Pagos (I-GRIP) de INTERPOL fue fundamental para interceptar fondos robados y llevar a los delincuentes ante la justicia. La agencia también emitió una Notificación Púrpura, alertando a los países sobre un nuevo fraude de criptomonedas que involucraba monedas estables y se advirtió a los países miembros sobre una estafa emergente de aprobación de tokens USDT.

Uno de los logros más significativos de la operación fue el desmantelamiento de un sindicato de phishing de voz en expansión que operaba en el este de Asia con esfuerzos colaborativos de agencias de Corea del Sur y China. Este sindicato, responsable de estafar a más de 1.900 víctimas por una suma asombrosa de 1.100 millones de dólares, empleó tácticas sofisticadas, como hacerse pasar por agentes de la ley y utilizar documentos de identidad falsos.

I-GRIP ayudó a las agencias a interceptar fondos robados enviados a ciberdelincuentes, lo que evitó pérdidas y condujo al arresto de más sospechosos. En un caso notable, la Fuerza de Policía de Singapur, en colaboración con las autoridades de Timor Oriental, interceptó con éxito 39,3 millones de dólares de una suma de 42,3 millones de dólares robada a una empresa de Singapur mediante un fraude de correo electrónico comercial comprometido (BEC).

Además, en las Islas del Canal del Reino Unido, la Unidad de Inteligencia Financiera de Guernsey interceptó 2 millones de libras (2,5 millones de dólares) en fondos también robados mediante BEC a través de una solicitud I-GRIP a Portugal. Esto demuestra la eficacia de I-GRIP en la lucha contra el cibercrimen transfronterizo.

El arresto de más de 5.500 personas es sin duda un logro loable, pero es probable que los operadores de centros de llamadas de nivel inferior se dirijan a menos víctimas para obtener pagos más pequeños, dijo Toby Lewis, director global de análisis de amenazas en Darktrace.

"Estos grupos se dirigen a grandes volúmenes de víctimas para obtener pagos más pequeños, en lugar de los pagos más grandes de ransomware que vemos de actores más sofisticados", explicó Toby. "Se trata de operaciones que normalmente operan a gran escala, robando miles de dólares a la vez, que luego se suman, en lugar de un número menor de operaciones a gran escala como el ransomware, que pueden generar cientos de miles de dólares por objetivo".

"Las estafas románticas con monedas estables muestran a los delincuentes adaptando la ingeniería social clásica a la era de las criptomonedas, combinando la manipulación emocional con la complejidad de las criptomonedas para engañar a las víctimas y conseguir que les concedan acceso a la cuenta", afirmó Lewis, compartiendo su respuesta sobre la Operación HAECHI V.

Sin embargo, tendrá un impacto positivo en la reducción de los delitos cibernéticos. El éxito de la operación se puede atribuir a los esfuerzos de colaboración de los organismos encargados de hacer cumplir la ley en todo el mundo, así como al uso eficaz de la iniciativa I-GRIP de Interpol.

El Secretario General de INTERPOL, Valdecy Urquiza, destacó la importancia de la cooperación internacional para abordar la creciente amenaza de la ciberdelincuencia. "La naturaleza sin fronteras de la ciberdelincuencia significa que la cooperación policial internacional es esencial", afirmó. "El éxito de esta operación demuestra lo que se puede lograr cuando los países trabajan juntos".

Lee Jun Hyeong, Director de la Oficina Central Nacional de INTERPOL en Corea en Seúl, elogió la dedicación y el profesionalismo de los agentes de las fuerzas del orden en todo el mundo. "Nuestros esfuerzos no solo llevaron a los delincuentes ante la justicia, sino que también lograron avances significativos en la interceptación y recuperación de fondos ilícitos", señaló Hyeong en el comunicado de prensa de Interpol.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#10
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha actualizado su página sobre el uso de Windows 11 en hardware no compatible. Si el sistema operativo detecta que su PC no está a la altura, agregará una marca de agua para advertirte al respecto. Además, como se anunció en la página de soporte, ahora hay esta exención de responsabilidad:

"Este PC no cumple con los requisitos mínimos del sistema para ejecutar Windows 11: estos requisitos ayudan a garantizar una experiencia más confiable y de mayor calidad. No se recomienda instalar Windows 11 en esta PC y puede generar problemas de compatibilidad. Si continúa con la instalación de Windows 11, su PC ya no tendrá soporte y no tendrá derecho a recibir actualizaciones. Los daños a su PC debido a la falta de compatibilidad no están cubiertos por la garantía del fabricante. Al seleccionar Aceptar, reconoce que leyó y comprende esta declaración."

Por lo tanto, parece que Microsoft está redoblando sus esfuerzos para que las personas actualicen sus PC o compren uno nuevo. Y con la fecha de finalización de la vida útil de Windows 10 acercándose, los usuarios pueden estar atrapados entre la espada y la pared.

Fuente
:
msn News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#11
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Coinbase anunció este lunes una integración con Apple Pay, lo que permite a los creadores de aplicaciones crear la capacidad de comprar criptomonedas con Apple Pay directamente en sus aplicaciones.

La integración es parte de Coinbase Onramp, que ofrece a los creadores de aplicaciones una forma para que los clientes conviertan sus monedas tradicionales, como el dólar estadounidense, en criptomonedas. Ese proceso ha sido históricamente difícil, ya que requería que los usuarios pagaran tarifas adicionales y visitaran varios sitios web o aplicaciones.

Con la integración de Apple Pay, Coinbase continúa impulsando sus productos hacia el consumidor promedio al hacer que las compras de criptomonedas sean más accesibles.

Apple parece estar adoptando las criptomonedas con esta integración, al menos, más de lo que solía hacerlo, lo que quizás marca un giro en la espinosa relación del fabricante del iPhone con la industria de las criptomonedas.

El posible cambio de actitud se produce en un momento político interesante. El presidente electo Trump ha señalado que su administración entrante sería más amable con la industria de las criptomonedas que los líderes anteriores, lo que sin duda ha elevado el precio del bitcoin a casi 100.000 dólares. El presidente de la Comisión de Bolsa y Valores, Gary Gensler, anunció recientemente que dimitiría cuando Trump asuma el cargo, lo que marca el fin de su ofensiva de años contra las criptomonedas.

El director ejecutivo de Coinbase, Brian Armstrong, criticó anteriormente a Apple por no llevarse bien con la industria de las criptomonedas, alegando en 2022 que podría haber problemas antimonopolio para el fabricante del iPhone. En ese momento, Armstrong dijo que Apple había prohibido ciertas funciones de la aplicación de Coinbase.

Cuando Apple lanzó su tarjeta de crédito en 2019, la empresa dijo que no permitiría a los clientes utilizar las tarjetas para comprar criptomonedas. Apple tiene un historial de expulsar aplicaciones de criptomonedas, blockchain y NFT de su App Store. A principios de este año, la empresa con sede en Cupertino retiró a Binance, Kraken y varios de los intercambios de criptomonedas más grandes del mundo de su App Store en India.

Fuente:
TechCrunch
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#12
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Durante los últimos años, el gobierno polaco de Donald Tusk ha estado investigando el uso (y supuesto abuso) del software espía para teléfonos Pegasus por parte del gobierno anterior.

El lunes, Piotr Pogonowski, exdirector de la agencia de seguridad interna de Polonia, fue arrestado y llevado a la fuerza a testificar ante el parlamento, como parte de la investigación del gobierno actual sobre el supuesto abuso del software espía llevado a cabo en los últimos años bajo la administración anterior del partido Ley y Justicia (PiS), según el Financial Times.

Según se informa, Pogonowski ignoró tres citaciones para testificar ante el comité parlamentario polaco.

En 2021, Citizen Lab y Amnistía Internacional concluyeron que el software espía Pegasus de NSO Group se utilizó contra tres críticos del anterior gobierno polaco, incluido un senador que supuestamente fue hackeado decenas de veces antes de las elecciones parlamentarias de 2019. En 2023, el Senado polaco concluyó que el uso de Pegasus en el país era ilegal.

Fuente:
TechCrunch
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#13
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

A continuación se agrega una actualización sobre este bootkit creado por estudiantes del programa de capacitación en ciberseguridad Best of the Best (BoB) de Corea.

El bootkit UEFI para Linux 'Bootkitty', descubierto recientemente, explota la falla LogoFAIL, identificada como CVE-2023-40238, para atacar computadoras que ejecutan firmware vulnerable.

Esto lo confirma la empresa de seguridad de firmware Binarly, que descubrió LogoFAIL en noviembre de 2023 y advirtió sobre su potencial uso en ataques reales.

Conexión de Bootkitty y LogoFAIL

Bootkitty fue descubierto por ESET, que publicó un informe la semana pasada, en el que señalaba que se trata del primer bootkit UEFI dirigido específicamente a Linux. Sin embargo, en este momento, se trata más de un malware UEFI en desarrollo que solo funciona en versiones específicas de Ubuntu, en lugar de una amenaza generalizada.

LogoFAIL es un conjunto de fallas en el código de análisis de imágenes de firmware UEFI utilizadas por varios proveedores de hardware, explotables mediante imágenes o logotipos maliciosos instalados en la Partición del Sistema EFI (ESP).

"Cuando se analizan estas imágenes durante el arranque, se puede activar la vulnerabilidad y se puede ejecutar arbitrariamente una carga útil controlada por el atacante para secuestrar el flujo de ejecución y eludir las funciones de seguridad como el Arranque Seguro, incluidos los mecanismos de Arranque Verificado basados en hardware", explicó Binarly anteriormente.

Según el último informe de Binarly, Bootkitty integra shellcode dentro de archivos BMP ('logofail.bmp' y 'logofail_fake.bmp') para eludir las protecciones de arranque seguro inyectando certificaciones falsas en la variante MokList.

Archivos de imagen maliciosos
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El archivo 'logofail.bmp' incorpora un shellcode al final, y un valor de altura negativo (0xfffffd00) activa la vulnerabilidad de escritura fuera de límites durante el análisis.

La lista MokList legítima se reemplaza con un certificado falso, lo que autoriza efectivamente un cargador de arranque malicioso ('bootkit.efi').

Después de desviar la ejecución al shellcode, Bootkitty restaura las ubicaciones de memoria sobrescritas en la función vulnerable (RLE8ToBlt) con instrucciones originales, por lo que se borran todos los signos de manipulación obvia.

Descripción general del ataque Bootkitty
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Impacto en hardware específico

Binarly afirma que Bootkitty podría afectar a cualquier dispositivo que no haya sido parcheado contra LogoFAIL, pero su shellcode actual espera código específico utilizado en módulos de firmware que se encuentran en computadoras Acer, HP, Fujitsu y Lenovo.

El análisis del archivo bootkit.efi realizado por el investigador determinó que los dispositivos Lenovo basados en Insyde son los más susceptibles, ya que Bootkitty hace referencia a nombres de variables y rutas específicas utilizadas por esta marca. Sin embargo, esto podría indicar que el desarrollador solo está probando el bootkit en su propia computadora portátil y agregará soporte para una gama más amplia de dispositivos más adelante.

Algunos dispositivos ampliamente utilizados cuyo firmware más reciente aún es vulnerable a exploits de LogoFAIL incluyen IdeaPad Pro 5-16IRH8, Lenovo IdeaPad 1-15IRU7, Lenovo Legion 7-16IAX7, Lenovo Legion Pro 5-16IRX8 y Lenovo Yoga 9-14IRP8.

"Ha pasado más de un año desde que hicimos sonar la alarma sobre LogoFAIL y, sin embargo, muchas partes afectadas siguen siendo vulnerables a una o más variantes de las vulnerabilidades de LogoFAIL", advierte Binarly.

"Bootkitty sirve como un duro recordatorio de las consecuencias de no abordar adecuadamente estas vulnerabilidades o de no implementar las correcciones correctamente en los dispositivos en el campo".

Si está utilizando un dispositivo sin actualizaciones de seguridad disponibles para mitigar el riesgo de LogoFAIL, limite el acceso físico, habilite el Arranque seguro, proteja con contraseña la configuración UEFI/BIOS, deshabilite el arranque desde medios externos y solo descargue las actualizaciones de firmware desde el sitio web oficial del OEM.

Actualización 2/12/24: ESET actualizó hoy su artículo original sobre BootKitty, indicando que el proyecto fue creado por estudiantes de ciberseguridad en el programa de capacitación Best of the Best (BoB) de Corea.

"El objetivo principal de este proyecto es generar conciencia dentro de la comunidad de seguridad sobre los riesgos potenciales y fomentar medidas proactivas para prevenir amenazas similares", dijo el programa a ESET.

"Desafortunadamente, se dieron a conocer pocas muestras del bootkit antes de la presentación planificada en la conferencia".

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#14
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las autoridades rusas han condenado a cadena perpetua al líder del grupo criminal que está detrás de la plataforma de la dark web Hydra Market, ahora clausurada. Además, más de una docena de cómplices han sido condenados por su participación en la producción y venta de casi una tonelada de drogas.

Stanislav Moiseyev, el "organizador" del grupo, que fue condenado a cadena perpetua, también recibió una multa de 4 millones de rublos, como informó por primera vez el grupo de medios ruso RBC.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Sus co-conspiradores (Alexander Chirkov, Andrey Trunov, Evgeny Andreyev, Ivan Koryakin, Vadim Krasninsky, Georgy Georgobiani, Artur Kolesnikov, Nikolay Bilyk, Alexander Khramov, Kirill Gusev, Anton Gaykin, Alexey Gukalin, Mikhail Dombrovsky, Alexander Aminov y Sergey Chekh) recibieron penas de prisión de entre 8 y 23 años, con multas por un total de 16 millones de rublos.

El tribunal ha indicado que los acusados cumplirán la pena de prisión en colonias penales especiales y de régimen estricto.

"El tribunal ha establecido que desde 2015 hasta octubre de 2018, el grupo criminal actuó en varias regiones de la Federación de Rusia y de la República de Belarús", ha informado el lunes la fiscalía de Moscú.

"En total, durante los registros de las residencias de los acusados, de las casas adaptadas para laboratorios de producción de sustancias prohibidas, de los garajes utilizados para el almacenamiento y de los coches equipados con escondites especiales, los agentes del orden se incautaron de casi una tonelada de estupefacientes y sustancias psicotrópicas en varias entidades constitutivas de la Federación de Rusia".

Antes de que la policía alemana confiscara los servidores de Hydra Market en una acción conjunta con Estados Unidos en abril de 2022, desmantelando efectivamente toda la operación, Hydra Market era el mercado de la darknet más grande del mundo para la venta de drogas y el lavado de dinero.

Esta plataforma rusa de la dark web fue utilizada por delincuentes para vender drogas y blanquear dinero, y facturó 1.350 millones de dólares en 2020, 19.000 cuentas de vendedor registradas y atendió al menos a 17 millones de clientes en todo el mundo.

Hydra también ofrecía bases de datos robadas, documentos falsificados y servicios de piratería informática a sueldo. Cuando confiscó sus servidores, la policía alemana también confiscó 543 bitcoins de sus ganancias (actualmente valen más de 51 millones de dólares).

Como anunció en su momento la Oficina Federal de Policía Criminal de Alemania (BKA), Hydra Market tenía su propio Bitcoin Bank Mixer, que se utilizaba para ofuscar todas las transacciones de criptomonedas realizadas en la plataforma, lo que dificultaba mucho a las fuerzas del orden rastrear los fondos obtenidos de actividades ilegales.

La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos también sancionó a Hydra Market en abril de 2022 como parte del esfuerzo internacional coordinado para interrumpir los servicios del mercado ruso de la dark web. También identificó más de 100 direcciones de criptomonedas vinculadas con las operaciones de Hydra en transacciones ilícitas.

Desde entonces, la OFAC ha añadido varios otros bancos rusos y bolsas de criptomonedas acusados de facilitar operaciones de lavado de dinero para los "clientes" de Hydra, incluidos Garantex, Bitpapa y Netexchange.

El viernes, las fuerzas del orden rusas también arrestaron y acusaron al conocido afiliado del ransomware Mikhail Pavlovich Matveev (también conocido como Wazawaka, Uhodiransomwar, m1x y Boriselcin) por desarrollar malware y su participación en varios grupos de piratería.

La reciente condena de los ciberdelincuentes rusos es inusual para el país, que normalmente hace la vista gorda ante los actores de amenazas que operan dentro de sus fronteras siempre que no ataquen a organizaciones e individuos rusos.

Fuente
:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#15
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El sitio web en español de Samsung ha compartido detalles oficiales sobre la próxima actualización de One UI 7.

Estamos esperando con gran expectación que Samsung lance One UI 7 para dispositivos Galaxy, pero la compañía se ha mantenido sorprendentemente callada sobre la actualización de Android 15. Ahora, la compañía ha compartido oficialmente detalles sobre la actualización de One UI 7, aunque parece un lanzamiento prematuro.

El filtrador Chunvn8888 en X (antes conocido como Twitter) vio el sitio web en español de Samsung hablando oficialmente sobre One UI 7. Como Samsung revela en su sitio web oficial, One UI 7 se centrará fuertemente en Galaxy AI, con "IA potenciando cada paso" y una "nueva apariencia sofisticada".

Samsung muestra los nuevos íconos, el centro de notificaciones inteligente y la nueva pantalla de bloqueo con una vista rápida de las actividades en curso en este video oficial:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Samsung también destaca que se puede usar IA para transformar un boceto en una imagen increíble. La función Sketch to Image ya está disponible en los dispositivos Galaxy recientes, pero One UI 7 traerá más opciones como Dibujos animados en 3D, Bocetos y Acuarela. Míralo en el video oficial a continuación:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La letra pequeña menciona que Sketch to Image requiere una conexión de red y un inicio de sesión en una cuenta Samsung. Al editar una imagen, se obtendrá una imagen redimensionada de hasta 12 MP y se le agregará una marca de agua visible para indicar que se generó con IA.

Con la función Portrait Studio de One UI 7, puedes usar IA para convertir tus retratos en fotos de perfil artísticas con temas como cómic, dibujos animados en 3D y bocetos. Portrait Studio también requiere una conexión de red y un inicio de sesión en una cuenta Samsung y da como resultado una imagen de 9 MP con una marca de agua visible para IA.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La función Live Effects de One UI 7 te permite añadir profundidad a tus fotos y darles perspectiva.

Samsung parece estar añadiendo algunas funciones de seguridad para niños a lo que parece ser la Galaxy Store en One UI 7. Al comprar aplicaciones, las cuentas de los niños necesitarán el permiso de las cuentas de los tutores.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Otras funciones de las que habla la página oficial de One UI 7 de Samsung España son las capacidades de Circle to Search, Live Translate y AI Zoom. Sin embargo, estas funciones ya están disponibles en One UI 6.1.1, por lo que no estamos seguros de qué novedades se destacan aquí. De manera similar, la página oficial de One UI 7 también destaca la función Energy Score, pero esta se agregó con el One UI 6 Watch basado en Wear OS 5 para relojes inteligentes Galaxy, por lo que no es una función de One UI 7 en sí.

En la letra pequeña del sitio web se indica que las funciones de Galaxy AI se ofrecerán de forma gratuita en los dispositivos Samsung Galaxy compatibles hasta finales de 2025. Además, las funciones de Galaxy AI estarán disponibles en estos dispositivos en el cuarto trimestre de 2024 (aunque en la letra pequeña también se menciona que los modelos compatibles pueden variar según la función):

Serie Galaxy S24
Serie Galaxy S23
Serie Galaxy S22
Galaxy Z Fold6 y Z Flip6
Galaxy Z Fold5 y Z Flip5
Galaxy Z Fold4 y Z Flip4
Galaxy Tab S10 Plus y S10 Ultra
Galaxy Tab S9, S9 Plus y S9 Ultra
Galaxy Tab S8, S8 Plus y S8 Ultra

Curiosamente, Samsung no ha compartido ninguna fecha de lanzamiento ni información sobre la implementación, lo que nos lleva a sospechar que esta página se ha publicado antes de tiempo.

Fuente:
Android Authority
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#16
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una filtración de datos colosal ha dejado al descubierto una base de datos que contiene mil millones de combinaciones de nombres de usuario y contraseñas basadas en URL.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se dice que el conjunto de datos filtrado, que al parecer se compartió en BreachForums y se distribuyó a través de plataformas en la nube y canales de Telegram, es recién recopilado.

Esta filtración aumenta significativamente los riesgos para los usuarios, especialmente aquellos que reutilizan las credenciales en múltiples plataformas.

Fuente:
DailyDarkWeb
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#17
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo ataque de phishing abusa de la función de recuperación de archivos de Word de Microsoft al enviar documentos de Word dañados como archivos adjuntos de correo electrónico, lo que les permite eludir el software de seguridad debido a su estado dañado, pero aún así ser recuperables por la aplicación.

Los actores de amenazas buscan constantemente nuevas formas de eludir el software de seguridad de correo electrónico y hacer que sus correos electrónicos de phishing lleguen a las bandejas de entrada de los objetivos.

Una nueva campaña de phishing descubierta por la empresa de búsqueda de malware No tienes permitido ver enlaces. Registrate o Entra a tu cuenta utiliza documentos de Word dañados intencionalmente como archivos adjuntos en correos electrónicos que simulan ser de departamentos de nóminas y recursos humanos.

Phishing email
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Estos archivos adjuntos utilizan una amplia gama de temas, todos relacionados con los beneficios y bonificaciones de los empleados. incluyendo:

Beneficios_anuales_y_bonificaciones_para_[nombre]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx

Beneficios_anuales_y_bonificaciones_para_[nombre]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

Beneficios_y_bonificaciones_para_[nombre]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

Due_&_Payment_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

Beneficios_y_bonificaciones_para_[nombre]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

Todos los documentos de esta campaña incluyen la cadena codificada en base64 "IyNURVhUTlVNUkFORE9NNDUjIw", que se decodifica como "##TEXTNUMRANDOM45##".

Al abrir los archivos adjuntos, Word detectará que el archivo está dañado y dirá que "encontró contenido ilegible" en el archivo, preguntándole si desea recuperarlo.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Estos documentos de phishing están dañados de tal manera que son fácilmente recuperables, mostrando un documento que le indica al objetivo que escanee un código QR para recuperar un documento. Como puede ver a continuación, estos documentos están marcados con los logotipos de la empresa atacada, como la campaña dirigida al Daily Mail que se muestra a continuación.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Al escanear el código QR, el usuario será llevado a un sitio de phishing que pretende ser un inicio de sesión de Microsoft e intenta robar las credenciales del usuario.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Si bien el objetivo final de este ataque de phishing no es nada nuevo, el uso de documentos de Word dañados es una táctica novedosa que se utiliza para evadir la detección.

"Aunque estos archivos funcionan correctamente dentro del sistema operativo, la mayoría de las soluciones de seguridad no los detectan debido a que no se aplican los procedimientos adecuados para sus tipos de archivos", explica No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

"Se cargaron en VirusTotal, pero todas las soluciones antivirus devolvieron el resultado "limpio" o "Elemento no encontrado" porque no pudieron analizar el archivo correctamente".

Estos archivos adjuntos han tenido bastante éxito en lograr su objetivo.

De los archivos adjuntos compartidos con BleepingComputer y utilizados en esta campaña, casi todos tienen cero detecciones en VirusTotal, y solo algunos fueron detectados por 2 proveedores.

Al mismo tiempo, esto también podría deberse al hecho de que no se haya agregado ningún código malicioso a los documentos y simplemente muestren un código QR.

Las reglas generales aún se aplican para protegerse contra este ataque de phishing.

Si recibe un correo electrónico de un remitente desconocido, especialmente si contiene archivos adjuntos, debe eliminarlo inmediatamente o confirmarlo con un administrador de red antes de abrirlo.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#18
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una importante filtración de datos afectó al sitio web del gobierno colombiano, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, lo que dio lugar a la exposición de información sensible.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Esta filtración plantea importantes preocupaciones sobre la seguridad de los sistemas gubernamentales y la protección de los datos de los ciudadanos. La base de datos filtrada, que ahora circula, puede contener información crítica que podría explotarse con fines maliciosos.

Se ha instado a las autoridades a investigar el incidente y tomar medidas rápidas para abordar las vulnerabilidades de sus sistemas.

Fuente:
DailyDarkWeb
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#19
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La compañía de ciberseguridad Hackmanac, especializada en análisis de amenazas desde hace 13 años, ha publicado el supuesto secuestro (ransomware) de datos de la Agencia Tributaria de España (AEAT) mediante un programa de extorsión denominado Trinity.

Según ha informado en la red X, los delincuentes reclaman 38 millones de dólares a cambio de datos que suman 560 GB, la capacidad de un disco duro medio.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La fecha límite para evitar la publicación de la información supuestamente robada es el próximo 31 de diciembre.

La entidad del Gobierno español ha negado el ataque e informado del funcionamiento habitual de todos los servicios. "No se ha detectado ningún indicio de posibles equipos cifrados o salidas de datos", afirma.

Hackmanac no ha aportado más datos que la publicación en X de la captura de pantalla de la extorsión publicada en la dark web, la zona de internet a la que no se puede acceder por motores de búsqueda convencionales y que se caracteriza por el uso de redes anónimas para ocultar la identidad del usuario y la ubicación del sitio. A menudo se asocia con actividades ilegales.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La Agencia Tributaria ha asegurado que "evalúa la situación, que permanece bajo vigilancia", pero que, hasta el momento, no han identificado brecha alguna.

Trinity es un programa de secuestro y extorsión dirigido especialmente contra infraestructuras críticas, como hospitales o centros de gestión económica y administrativa.

Este programa utiliza varios métodos de ataque para infiltrarse y tomar el control de los sistemas o robar la información: correos electrónicos falsos con apariencia de ser corporativos (phishing), páginas maliciosas y explotación de vulnerabilidades de la programación.

Según el centro de seguridad estadounidense HC3, El ransomware Trinity es un actor de amenazas relativamente nuevo, similar a 2023Lock y Venus, que utiliza el algoritmo de cifrado ChaCha20. Los archivos cifrados se etiquetan con la extensión ".trinitylock".

Fuente:
El País
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#20
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una importante filtración de datos ha afectado a Certified InfoSec, una plataforma especializada en formación y certificación en seguridad de la información.

El incidente ha provocado la exposición de sus bases de datos, revelando información confidencial de los usuarios, como datos personales y, posiblemente, credenciales de cuentas.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La filtración plantea importantes riesgos de privacidad y seguridad para los usuarios de la plataforma, incluido el posible uso indebido de los datos comprometidos.

Los expertos en ciberseguridad recomiendan encarecidamente que los usuarios afectados actualicen inmediatamente sus contraseñas y habiliten la autenticación multifactor para proteger sus cuentas. Además, se recomienda supervisar actividades inusuales, como transacciones no autorizadas o intentos de phishing.

Esta filtración subraya la importancia de contar con medidas de seguridad sólidas, incluso para las plataformas dedicadas a la ciberseguridad.

Fuente:
DailyDarkWeb
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta