Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - Dragora

#1

**Oracle** ha instado a sus clientes a aplicar la **actualización de parches críticos (CPU) de enero de 2025**, diseñada para abordar **318 vulnerabilidades de seguridad** que afectan múltiples productos y servicios. 

Falla crítica en Oracle Agile PLM Framework (CVE-2025-21556)

Entre los errores más graves se encuentra una vulnerabilidad en **Oracle Agile Product Lifecycle Management (PLM) Framework** (**CVE-2025-21556**, **CVSS 9.9**), que podría permitir a un atacante tomar el control de instancias vulnerables. 

> *"La vulnerabilidad fácilmente explotable permite a los atacantes con pocos privilegios comprometer Oracle Agile PLM Framework a través de HTTP"*, señala la **Base de Datos Nacional de Vulnerabilidades (NVD) del NIST**. 

Oracle también advierte sobre intentos de explotación activa contra otra vulnerabilidad en el mismo producto (**CVE-2024-21287**, **CVSS 7.5**), descubierta en **noviembre de 2024**. Ambas afectan la versión **9.3.6** de Agile PLM Framework. 

Lista de vulnerabilidades críticas en productos Oracle

Entre las fallas con **puntuación CVSS de 9.8**, incluidas en esta actualización, destacan: 

- **CVE-2025-21524**: Falla en el componente **SEC de JD Edwards EnterpriseOne Tools**. 
- **CVE-2023-3961**: Vulnerabilidad en el **E1 Dev Platform Tech (Samba)** de JD Edwards EnterpriseOne Tools. 
- **CVE-2024-23807**: Exploit en el **analizador XML Apache Xerces C++** de Oracle Agile Engineering Data Management. 
- **CVE-2023-46604**: Problema en el **componente Apache ActiveMQ** del enrutador de señalización de diámetro de Oracle. 
- **CVE-2024-45492**: Falla en el **analizador XML (libexpat)** de Oracle Communications Network Analytics Data Director y Financial Services. 
- **CVE-2024-56337**: Vulnerabilidad en **Apache Tomcat** de Oracle Communications Policy Management. 
- **CVE-2025-21535**: Fallo en el **núcleo de Oracle WebLogic Server**. 
- **CVE-2016-1000027**: Problema en el **Spring Framework** de Oracle BI Publisher. 
- **CVE-2023-29824**: Exploit en el **Analytics Server (SciPy)** de Oracle Business Intelligence Enterprise Edition. 

CVE-2025-21535: Una amenaza similar a CVE-2020-2883

La vulnerabilidad **CVE-2025-21535** en **Oracle WebLogic Server** se asemeja a **CVE-2020-2883** (**CVSS 9.8**), una falla crítica que puede ser explotada remotamente a través de **IIOP o T3**. 

Dicha vulnerabilidad fue recientemente añadida por la **CISA (Cybersecurity & Infrastructure Security Agency)** al catálogo de **Vulnerabilidades Explotadas Conocidas (KEV)**, indicando pruebas de explotación activa. 

Falla crítica en Kerberos 5 (CVE-2024-37371)

Otro problema abordado en esta actualización es **CVE-2024-37371** (**CVSS 9.1**), una vulnerabilidad en **Kerberos 5**, que afecta el sistema de **facturación y gestión de ingresos de Oracle Communications**. 

Este fallo podría permitir a un atacante provocar **lecturas de memoria no válidas** mediante el envío de **tokens de mensajes con longitudes incorrectas**. 

Oracle Linux: 285 parches adicionales de seguridad 

Además de estas actualizaciones, Oracle ha lanzado **285 nuevos parches de seguridad para Oracle Linux**, con el objetivo de corregir vulnerabilidades y reforzar la protección de los sistemas operativos. 

Instalar la actualización es crucial para la ciberseguridad

Oracle recomienda a todos los usuarios aplicar la **actualización de enero 2025** de inmediato para mitigar los riesgos asociados a estas vulnerabilidades críticas. Mantener los sistemas actualizados es esencial para **prevenir ataques cibernéticos y garantizar la seguridad de la infraestructura TI**. 

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#2

El expresidente de Estados Unidos, **Donald Trump**, anunció el martes el **indulto total e incondicional** a **Ross Ulbricht**, fundador del infame mercado de la **web oscura** **Silk Road**, tras haber pasado **11 años en prisión**. 

**Trump anuncia el indulto de Ross Ulbricht en Truth Social** 

A través de su plataforma **Truth Social**, Trump compartió la noticia con una publicación en la que expresó su apoyo a Ulbricht y al **Movimiento Libertario**. 

> *"Acabo de llamar a la madre de Ross William Ulbricht para hacerle saber que, en honor a ella y al Movimiento Libertario, que me apoyó tan fuertemente, fue un placer para mí haber firmado un indulto total e incondicional a su hijo, Ross"*, escribió Trump. 

El expresidente también criticó a quienes participaron en la condena de Ulbricht, calificándolos de *"escoria"* y acusándolos de estar involucrados en la *"militarización del gobierno contra mí"*. 

Silk Road: el mercado de la web oscura que generó millones

**Silk Road** fue lanzado en **febrero de 2011** y rápidamente se convirtió en un **centro de comercio ilegal** en la **dark web**, permitiendo la venta de **drogas, bienes y servicios ilícitos**. 

Según las autoridades, el mercado generó más de **200 millones de dólares en ingresos** en menos de tres años. En **octubre de 2013**, **Ross Ulbricht**, quien operaba bajo el alias **Dread Pirate Roberts**, fue arrestado y Silk Road fue cerrado. 

En **2015**, Ulbricht fue **sentenciado a cadena perpetua sin libertad condicional** tras ser declarado culpable de: 

- **Lavado de dinero**. 
- **Tráfico de narcóticos**. 
- **Piratería informática**. 

Incautación récord de criptomonedas vinculadas a Silk Road


En **noviembre de 2021**, el **Departamento de Justicia de EE.UU. (DoJ)** anunció la confiscación de **50,676 Bitcoin** robados en el hackeo de **2012** a Silk Road. Esta incautación, valuada en **cientos de millones de dólares**, es una de las más grandes en la historia de las **criptomonedas**. 

Casos relacionados con Silk Road

Uno de los actores clave en el mercado, **James Ellingson (alias redandwhite)**, afirmó haber organizado **asesinatos por encargo** para Ulbricht. Sin embargo, el **Departamento de Justicia** señaló que no hay evidencia de que estos asesinatos se llevaran a cabo. 

Ellingson ha sido acusado de **tráfico de narcóticos y lavado de dinero**, al igual que otros vendedores de Silk Road. 

Ross Ulbricht: de la ideología libertaria al arresto

Antes de su sentencia, Ulbricht envió una carta al juez en la que expresaba su arrepentimiento y explicaba sus intenciones al crear **Silk Road**: 

> *"No buscaba ganancias financieras cuando comencé Silk Road. Quería dar a las personas la libertad de tomar sus propias decisiones y buscar su felicidad como lo consideraran adecuado"*. 

Añadió que, en su momento, creía que la gente tenía derecho a **comprar y vender libremente**, siempre que no hicieran daño a otros, pero reconoció que **fue una idea ingenua y costosa de la que se arrepiente profundamente**. 


En fin, el **indulto de Ross Ulbricht** por parte de **Donald Trump** ha generado debate en la comunidad política y tecnológica. Mientras algunos lo consideran un acto de **justicia libertaria**, otros lo ven como una decisión polémica dada la naturaleza delictiva de **Silk Road**. 
 

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#3

Microsoft ha anunciado que Windows 11 24H2 ha entrado en su fase de implementación amplia y ya está disponible para todos los usuarios a través de Windows Update.

Además, la actualización Windows 11 2024 Update comenzó a desplegarse este martes en PC elegibles con Windows 10 22H2.

Microsoft amplía la actualización de Windows 11 24H2

Según Microsoft, la distribución de Windows 11 24H2 se está realizando de manera gradual y ahora incluye dispositivos con Windows 10 22H2.

"Si tienes un dispositivo con Windows 10 o Windows 11 elegible, puedes verificar si la actualización está disponible en Configuración > Windows Update y seleccionar "Buscar actualizaciones". Si tu dispositivo es compatible, verás la opción "Descargar e instalar Windows 11, versión 24H2".

Microsoft forzará la actualización en dispositivos elegibles

Microsoft también ha anunciado que forzará la instalación de Windows 11 24H2 en dispositivos compatibles que ejecuten las ediciones Home y Pro de Windows 11 22H2 y 23H2, siempre que no estén administrados por una organización.
El despliegue de Windows 11 2024 Update comenzó en octubre como una actualización completa del sistema operativo en dispositivos con Windows 11 22H2 y 23H2.

Cómo pausar o retrasar la actualización de Windows 11 24H2

Si aún no estás listo para instalar Windows 11 24H2, puedes pausar la actualización desde:
📌 Configuración > Windows Update > Elegir cuándo recibir actualizaciones.

Sin embargo, una vez que se alcance el límite de pausa, la instalación será obligatoria para garantizar que el sistema reciba las últimas mejoras de seguridad y rendimiento.

Problemas de compatibilidad en Windows 11 24H2

Algunos dispositivos pueden no recibir la actualización debido a retenciones de compatibilidad con hardware o software incompatibles.
Entre los problemas conocidos que bloquean la actualización se incluyen:

•   PC ASUS con incompatibilidades detectadas.
•   Dispositivos con Auto HDR activado.
•   Software de mejora de audio Dirac.
•   Incompatibilidad con juegos como Asphalt 8 (Airborne).
•   Equipos con cámaras integradas o que usan Safe Exam Browser y Easy Anti-Cheat.

Microsoft ofrece una guía de solución de problemas en su portal de soporte para ayudar a los usuarios a resolver inconvenientes durante la actualización.

En conclusión, Windows 11 24H2 ya está disponible para la mayoría de dispositivos compatibles, y Microsoft continuará su despliegue gradual en los próximos meses. Si tienes un equipo con Windows 10 22H2 o Windows 11 22H2/23H2, revisa Windows Update para comprobar si la actualización está disponible.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#4

Hewlett Packard Enterprise (HPE) está investigando una posible violación de seguridad luego de que el grupo de amenazas IntelBroker afirmara haber robado documentos de los entornos de desarrollo de la compañía.

A pesar de la denuncia, HPE aseguró a BleepingComputer que hasta el momento no ha encontrado pruebas de una brecha de seguridad.

IntelBroker y el presunto robo de datos de HPE

Según Clare Loxley, portavoz de HPE, la compañía tuvo conocimiento de estas acusaciones el 16 de enero y activó inmediatamente sus protocolos de respuesta cibernética.

Citar"HPE desactivó las credenciales relacionadas e inició una investigación para evaluar la validez de las afirmaciones. No hay evidencia de que la información del cliente esté comprometida, ni impacto operativo en el negocio", declaró Loxley.

IntelBroker asegura haber accedido a la API de HPE, la plataforma WePay y repositorios de código en GitHub (tanto públicos como privados). Además, el grupo afirma haber robado:

  • Certificados digitales (claves privadas y públicas).
  • Código fuente de Zerto e iLO.
  • Compilaciones de Docker.
  • Datos personales de antiguos usuarios.

El 1 de febrero de 2024, IntelBroker publicó otro archivo con credenciales y tokens de acceso presuntamente sustraídos de HPE hace casi un año. En ese momento, la empresa negó haber detectado una brecha de seguridad, aunque inició una investigación.

IntelBroker y su historial de ciberataques

IntelBroker ha estado vinculado a múltiples ciberataques de alto perfil, incluyendo:

  • DC Health Link: filtración de datos de 170,000 personas, incluyendo miembros de la Cámara de Representantes de EE. UU.
  • Empresas tecnológicas y gubernamentales: Nokia, Cisco, Europol, Home Depot, Acuity, AMD, Ford y General Electric Aviation.
  • Gobiernos e instituciones: Departamento de Estado de EE. UU. y Zscaler.

Antecedentes de ciberataques contra HPE

Hewlett Packard Enterprise ha enfrentado varias violaciones de seguridad en el pasado:

2018: Piratas informáticos chinos del grupo APT10 comprometieron sistemas de HPE y utilizaron el acceso para infiltrarse en dispositivos de clientes.
2021: Repositorios de datos de Aruba Central fueron comprometidos, permitiendo acceso no autorizado a información sobre dispositivos y sus ubicaciones.
2023: En mayo, atacantes vinculados al grupo APT29 (relacionado con el Servicio de Inteligencia Exterior de Rusia) accedieron al entorno de Microsoft Office 365 de HPE.

En conclusión, aunque HPE continúa investigando las afirmaciones de IntelBroker, la empresa sostiene que no hay evidencia de una brecha de seguridad ni impacto en sus operaciones. No obstante, el historial de ataques sufridos por la compañía refuerza la importancia de mantener medidas avanzadas de ciberseguridad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#5

Microsoft ha publicado una solución temporal para un problema que provoca el bloqueo de Outlook clásico al escribir, responder o reenviar correos electrónicos.

Este fallo afecta a las versiones de Outlook para Microsoft 365, Outlook 2021, Outlook 2019 y Outlook 2016 tras la actualización a la versión 2412 (compilación 18324.20168), publicada el 7 de enero de 2025. Al producirse el error, los usuarios ven códigos de excepción "0xc0000005".

Cómo Identificar el Problema en Outlook

Microsoft recomienda verificar si este problema está afectando a tu sistema mediante el Visor de eventos de Windows:

  • Abre el Visor de Eventos y dirígete a Registro de Aplicaciones.
  • Busca el evento de bloqueo 1000 o 1001.
  • Comprueba los detalles del evento para identificar si está relacionado con la actualización de Outlook.

Microsoft Implementará una Solución Oficial el 28 de Enero

El equipo de Outlook ya ha desarrollado una solución definitiva, que se implementará en el Canal Actual el próximo 28 de enero de 2025, con la actualización versión 2501 (Build 18429.20000).

Mientras tanto, la empresa ha proporcionado un método temporal para revertir Outlook a una versión anterior y solucionar el problema.

Cómo Solucionar el Bloqueo de Outlook Manualmente

Si experimentas fallos en Outlook, puedes revertir la aplicación a la versión 2411 (compilación 18227.20162), que no presenta este error. Sigue estos pasos:

Pasos para Restaurar Outlook a una Versión Anterior
1️⃣ Abre el Símbolo del Sistema como Administrador

Escribe Símbolo del sistema en la barra de búsqueda de Windows.
Haz clic derecho en el icono y selecciona "Ejecutar como administrador".
2️⃣ Introduce los siguientes comandos en la ventana del símbolo del sistema y presiona Enter después de cada uno:

cd %programfiles%\Common Files\Microsoft Shared\ClickToRun
officec2rclient.exe /update user updatetoversion=16.0.18227.20162


Con estos comandos, Outlook se restaurará a la versión anterior, eliminando los bloqueos hasta que Microsoft implemente la solución definitiva.

Otros Problemas Recientes en Outlook y Microsoft 365

📌 Fallo en Windows Server 2016 y 2019
La semana pasada, Microsoft solucionó otro error que provocaba bloqueos en las aplicaciones de Microsoft 365 y Outlook clásico en servidores con Windows Server 2016 y 2019.

📌 Nueva Versión de Outlook en Windows 10
Microsoft anunció que, a partir de la actualización de seguridad de febrero de 2025, instalará automáticamente el nuevo cliente de Outlook en los sistemas con Windows 10.

📌 Otros Errores Recientes en Outlook
En los últimos meses, Microsoft ha lanzado parches y soluciones temporales para problemas como:

  • Bloqueos al abrir Outlook.
  • Fallos en el inicio de sesión de Gmail en Outlook clásico.

Solución Temporal Disponible, Fijar Actualización el 28 de Enero
Si tu Outlook clásico se bloquea al escribir correos, puedes aplicar la solución manual proporcionada por Microsoft. Además, la empresa ha confirmado que el 28 de enero de 2025 se implementará una actualización oficial con el parche definitivo.


Fuente:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#6

La Comisión Federal de Comercio (FTC) ha iniciado acciones contra General Motors (GM) y su subsidiaria OnStar por la recopilación y venta ilegal de datos de geolocalización y comportamiento de conducción de millones de conductores en Estados Unidos.

La agencia gubernamental propone un acuerdo de cinco años que prohibirá a GM compartir datos confidenciales y exigirá mayor transparencia en la gestión de la información de los usuarios.

Investigación de la FTC: Violaciones Graves a la Privacidad

General Motors, fabricante de marcas como Chevrolet, Buick, GMC y Cadillac, produce más de 6,1 millones de vehículos al año en ocho países. Su subsidiaria OnStar ofrece servicios digitales en el automóvil, como navegación, asistencia en emergencias, seguridad, comunicación y diagnóstico remoto.

Tras una exhaustiva investigación, la FTC identificó múltiples violaciones en la recolección y venta de datos por parte de GM y OnStar:

🚨 Recopilación de Datos sin Consentimiento: GM registraba la geolocalización de los vehículos cada tres segundos y analizaba el comportamiento de conducción (frenado, aceleración y velocidad) sin autorización de los conductores.

💰 Venta de Datos a Terceros: La empresa vendió esta información a agencias de informes del consumidor como Verisk y Lexis Nexis, y posteriormente a Jacobs Engineering, cuyos análisis influían en las tarifas de seguros o incluso llevaban a la denegación de cobertura para los conductores afectados.

🛑 Engaño a los Consumidores: GM promovió la función "Smart Driver" de OnStar como una herramienta de autoevaluación para mejorar los hábitos de conducción, cuando en realidad era un mecanismo encubierto de recolección de datos.

🔎 Falta de Transparencia en Políticas de Privacidad: La FTC determinó que las declaraciones de privacidad de GM eran vagas e insuficientes, ya que no informaban claramente que los datos estaban siendo recolectados y vendidos a terceros.

Nuevas Regulaciones: Prohibición de Compartir Datos de Conductores

El acuerdo propuesto por la FTC impone restricciones clave a GM y OnStar, incluyendo:

✅ Prohibición de compartir datos de geolocalización y comportamiento de conducción con agencias de informes del consumidor durante 5 años.
✅ Obligación de obtener el consentimiento del usuario antes de recopilar o vender datos personales.
✅ Eliminación de datos retenidos previamente, salvo que el usuario decida conservarlos.
✅ Acceso y eliminación de datos: Los conductores podrán revisar y borrar su información fácilmente.
✅ Desactivación del rastreo en el vehículo: Se ofrecerá un método sencillo para deshabilitar la recopilación de datos de conducción.
✅ Mayor transparencia: Se exigirán divulgaciones claras sobre el uso de la información recopilada.
✅ Limitación en la recopilación de datos: Solo se permitirá almacenar información necesaria para los servicios esenciales del vehículo.

Aunque la FTC no ha impuesto una multa monetaria inmediata, ha establecido sanciones civiles de hasta $51,744 por cada violación, otorgando a GM y OnStar un plazo de 180 días para cumplir con la nueva normativa.

Caso Relacionado: Demanda Contra Allstate por Venta de Datos de Conductores

El escándalo de recolección ilegal de datos de conducción no se limita a General Motors.

El martes, BleepingComputer informó que el fiscal general de Texas, Ken Paxton, presentó una demanda contra la aseguradora Allstate y su subsidiaria de datos Arity por la recopilación, uso y venta ilegal de información de conducción de más de 45 millones de estadounidenses.

🚗 Seguimiento a través de Aplicaciones Populares:
El rastreo se realizaba mediante el SDK de Arity, integrado en aplicaciones como Life360, GasBuddy, Fuel Rewards y Routely, sin conocimiento ni consentimiento de los usuarios.

🏭 Involucramiento de Fabricantes de Automóviles:
La demanda también apunta a varios fabricantes de vehículos, incluyendo Toyota, Lexus, Mazda, Chrysler, Dodge, Fiat, Jeep, Maserati y Ram, quienes habrían compartido datos directamente con Allstate y Arity.

La Privacidad de los Conductores en Riesgo

El caso de GM y OnStar, junto con la demanda contra Allstate, expone el creciente problema del uso indebido de datos en la industria automotriz.

A medida que las tecnologías conectadas se vuelven más comunes, los reguladores como la FTC intensifican sus esfuerzos para proteger la privacidad de los consumidores.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#7


La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE.UU. ha impuesto sanciones contra una empresa china de ciberseguridad y un actor cibernético con sede en Shanghái por su presunta relación con el grupo de amenazas Salt Typhoon y el reciente ciberataque a una agencia federal estadounidense.

Hackers Chinos Apuntan a Infraestructura Crítica de EE.UU.

Según el comunicado del Tesoro, actores maliciosos vinculados a la República Popular China (RPC) continúan atacando sistemas gubernamentales de EE.UU., incluyendo el Departamento del Tesoro y otras infraestructuras críticas.

Uno de los sancionados es Yin Kecheng, un hacker con más de una década de actividad cibernética, supuestamente afiliado al Ministerio de Seguridad del Estado (MSS) de China. El Tesoro lo asocia con la reciente violación de su propia red, un incidente que salió a la luz a principios de este mes.

El ataque aprovechó una vulnerabilidad en los sistemas de BeyondTrust, permitiendo que los ciberdelincuentes se infiltraran en instancias SaaS de Remote Support mediante una clave API comprometida. La actividad se ha atribuido a Silk Typhoon (antes Hafnium), el grupo responsable de la explotación de fallos de seguridad en Microsoft Exchange Server (ProxyLogon) en 2021.

Ciberespionaje: Robo Masivo de Documentos Gubernamentales

De acuerdo con Bloomberg, los atacantes irrumpieron en al menos 400 computadoras del Tesoro y sustrajeron más de 3.000 archivos confidenciales, incluyendo:

✅ Documentos de políticas y viajes
✅ Organigramas y material sobre sanciones
✅ Datos de inversión extranjera
✅ Información sensible para las fuerzas del orden

El informe también señala que los hackers accedieron a las computadoras de altos funcionarios, incluyendo la secretaria del Tesoro, Janet Yellen, el subsecretario Adewale Adeyemo y el subsecretario interino Bradley T. Smith.

Salt Typhoon y su Conexión con la Empresa China Sichuan Juxinhe

Además de Kecheng, la OFAC sancionó a Sichuan Juxinhe Network Technology Co., LTD., una empresa de ciberseguridad con sede en Sichuan, acusada de estar involucrada en ataques dirigidos a proveedores de servicios de telecomunicaciones e Internet en EE.UU.

Las investigaciones vinculan a Sichuan Juxinhe con Salt Typhoon, un grupo de hackers chino también conocido como:

  • Earth Estries
  • FamousSparrow
  • GhostEmperor
  • UNC2286

Este grupo de ciberespionaje ha estado activo desde al menos 2019, ejecutando ataques avanzados contra infraestructura crítica y entidades gubernamentales.

Recompensa de $10 Millones por Información sobre Hackers Chinos

Como parte de las medidas contra la ciberdelincuencia internacional, el Departamento de Estado ofrece una recompensa de hasta $10 millones de dólares por información que ayude a identificar o localizar actores cibernéticos maliciosos que operan bajo órdenes de Estados extranjeros.

El Departamento del Tesoro advirtió que continuará sancionando a grupos de ciberespionaje que atenten contra EE.UU., sus empresas y su gobierno.

Nuevas Regulaciones de la FCC Contra Ciberataques a Telecomunicaciones

Los ataques a proveedores de telecomunicaciones en EE.UU. han llevado a la Comisión Federal de Comunicaciones (FCC) a imponer nuevas normativas de ciberseguridad, exigiendo que las empresas del sector:

✔️ Protejan sus redes contra accesos no autorizados
✔️ Implementen planes de gestión de riesgos de ciberseguridad
✔️ Presenten una certificación anual ante la FCC

La presidenta saliente de la FCC, Jessica Rosenworcel, calificó estos hackeos como "uno de los mayores compromisos de inteligencia jamás vistos".

China, la Mayor Amenaza Cibernética para EE.UU.

Según Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el programa cibernético de China representa "la amenaza más grave y significativa" para la seguridad nacional de EE.UU. y su infraestructura crítica.

Salt Typhoon, identificado en redes federales mucho antes de su incursión en AT&T, T-Mobile, Verizon y otros proveedores, demuestra el avance y persistencia del ciberespionaje chino.

Creciente Tensión en la Guerra Cibernética EE.UU.-China

Estas sanciones reflejan la creciente tensión en la guerra cibernética entre EE.UU. y China. La actividad de grupos de hackers como Salt Typhoon y Silk Typhoon evidencia el uso agresivo de vulnerabilidades para infiltrarse en sistemas clave.

Además, la OFAC ha sancionado previamente a otras empresas chinas, como:

  • Integrity Technology Group (Flax Typhoon)
  • Sichuan Silence Information Technology (Pacific Rim)
  • Wuhan Xiaoruizhi Science and Technology (APT31)

La ciberseguridad en EE.UU. enfrenta un desafío sin precedentes, lo que refuerza la importancia de políticas de protección robustas para defender la infraestructura crítica del país.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#8

El grupo de ciberamenazas DoNot Team, también conocido como APT-C-35, Origami Elephant, SECTOR02 y Viceroy Tiger, ha sido vinculado a un nuevo malware para Android diseñado para realizar ataques altamente dirigidos.

Tanzeem y Tanzeem Update: Malware Avanzado para Android

Los investigadores de Cyfirma, empresa especializada en ciberseguridad, detectaron en octubre y diciembre de 2024 dos aplicaciones maliciosas denominadas Tanzeem y Tanzeem Update. Estas aplicaciones presentan funcionalidades idénticas, con leves modificaciones en la interfaz de usuario.

Según el análisis de Cyfirma, aunque la aplicación simula ser una plataforma de chat, deja de funcionar inmediatamente después de que el usuario concede los permisos necesarios. El nombre "Tanzeem" sugiere que el malware está diseñado para atacar individuos o grupos específicos en distintos países.

Modus Operandi de DoNot Team

DoNot Team, un grupo de hackers presuntamente de origen indio, ha utilizado históricamente correos electrónicos de spear-phishing y diversas familias de malware para Android con el fin de recopilar información confidencial. En octubre de 2023, se vinculó a este actor de amenazas con Firebird, una puerta trasera basada en .NET utilizada para espiar a víctimas en Pakistán y Afganistán.

Aunque los objetivos exactos del nuevo malware aún no están claros, se sospecha que ha sido desplegado contra individuos específicos con el fin de recopilar inteligencia sobre amenazas internas.

OneSignal: Herramienta Legítima, Uso Malicioso

Un aspecto notable de este malware de Android es su uso de OneSignal, una plataforma legítima de notificaciones push utilizada por empresas para enviar mensajes automáticos, correos electrónicos y SMS. Cyfirma teorizó que los atacantes han abusado de esta biblioteca para distribuir enlaces de phishing, lo que facilita la propagación del malware.

Independientemente del método de distribución, la aplicación infectada muestra una interfaz de chat falsa e insta a la víctima a hacer clic en el botón "Iniciar chat". Al hacerlo, se activa un mensaje que solicita acceso a la API de servicios de accesibilidad, lo que permite al malware ejecutar diversas acciones maliciosas sin que el usuario lo note.

Permisos Explotados y Funcionalidades del Malware

El malware Tanzeem y Tanzeem Update requieren permisos intrusivos para ejecutar sus funciones maliciosas, entre ellos:

  • Acceso a registros de llamadas, contactos y mensajes SMS
  • Ubicación en tiempo real del dispositivo
  • Información de la cuenta del usuario
  • Archivos almacenados en el dispositivo
  • Captura de grabaciones de pantalla
  • Conexión con servidores de comando y control (C2)

Además, los investigadores de Cyfirma han detectado que las muestras analizadas incluyen una nueva táctica basada en notificaciones push, diseñadas para engañar a los usuarios y lograr la instalación de malware adicional para Android, asegurando así su persistencia en el dispositivo.

En onclusión, este nuevo hallazgo refuerza la estrategia de DoNot Team de utilizar malware para Android con técnicas cada vez más avanzadas para el espionaje cibernético. La combinación de permisos intrusivos, abuso de OneSignal y el uso de servicios de accesibilidad demuestra la evolución de este grupo en el ámbito de la ciberseguridad ofensiva.

🔹 Recomendación: Para protegerse contra amenazas como Tanzeem, los usuarios deben evitar descargar aplicaciones de fuentes no verificadas, revisar los permisos solicitados y contar con una solución de seguridad móvil actualizada.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#9

Los investigadores en ciberseguridad han detectado una nueva campaña de skimmer de tarjetas de crédito dirigida a sitios web de comercio electrónico en WordPress. Este ataque aprovecha la inserción de código JavaScript malicioso en bases de datos del sistema de gestión de contenido (CMS), enfocándose específicamente en las páginas de pago.

¿Cómo Funciona el Ataque?

El malware, identificado por Puja Srivastava de Sucuri, inyecta JavaScript malicioso en la tabla wp_options de WordPress utilizando la opción "widget_block". Esto permite al skimmer:

  • Evadir la detección por herramientas de seguridad tradicionales.
  • Persistir en sitios comprometidos sin alertar a los administradores.

Desde el panel de administración (wp-admin > widgets), los atacantes pueden incrustar el código malicioso en widgets de bloques HTML.

Tácticas del Malware

  • Falsificación de formularios de pago: El JavaScript malicioso verifica si la página actual es de pago. Si es así, crea dinámicamente un formulario falso que imita a procesadores de pago legítimos como Stripe.
  • Captura de datos confidenciales: El malware roba números de tarjetas de crédito, fechas de vencimiento, códigos CVV e información de facturación. También puede interceptar datos ingresados en formularios legítimos en tiempo real.
  • Ofuscación avanzada: Los datos robados se codifican en Base64 y se cifran con AES-CBC antes de enviarse a servidores controlados por los atacantes como valhafather[.]xyz.

Relación con Ataques Previos

Esta campaña se asemeja a otra observada por Sucuri recientemente, donde los datos se ofuscaban en tres capas:

  • Codificación en JSON.
  • Cifrado XOR con la clave "script".
  • Codificación Base64.

Los datos terminaban en servidores como staticfonts[.]com, y los ataques se dirigían también a Magento, robando información de clientes a través de sus modelos de datos.

Amenazas Adicionales

Además de los skimmers, los investigadores han identificado una campaña de phishing avanzada que utiliza correos de PayPal legítimos para secuestrar cuentas de usuarios mediante solicitudes de pago fraudulentas.

Por otro lado, se ha reportado una nueva técnica llamada suplantación de simulación de transacciones en billeteras Web3, explotando funcionalidades legítimas para drenar criptomonedas.

Recomendaciones de Seguridad

  • Actualización constante: Asegúrese de que el sistema y los complementos de WordPress estén actualizados.
  • Auditorías de seguridad: Revise regularmente las tablas de bases de datos, especialmente wp_options, para detectar entradas sospechosas.
  • Implementar WAF: Un firewall de aplicaciones web puede bloquear actividades maliciosas como inyecciones de JavaScript.

Capacitación en ciberseguridad: Eduque a los equipos sobre la detección de ataques sofisticados, incluyendo phishing y técnicas avanzadas de exfiltración de datos.

En conclusión, la evolución de los ataques cibernéticos en plataformas populares como WordPress y tecnologías emergentes como Web3 subraya la necesidad de implementar estrategias de seguridad robustas y mantenerse informado sobre amenazas emergentes.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#10

Una vulnerabilidad crítica, identificada como CVE-2024-50603, afecta al Aviatrix Controller, una plataforma de redes en la nube ampliamente utilizada. La falla, calificada con una puntuación máxima de CVSS 10.0, está siendo explotada activamente para desplegar puertas traseras y mineros de criptomonedas.

Detalles de la Vulnerabilidad

La explotación exitosa de esta vulnerabilidad permite a los atacantes ejecutar comandos maliciosos del sistema operativo debido a la falta de saneamiento en ciertos puntos finales de la API. Esto podría dar lugar a una ejecución remota de código no autenticado.

La vulnerabilidad, descubierta por Jakub Korepta de la firma de ciberseguridad Securing, ha sido solucionada en las versiones 7.1.4191 y 7.2.4996 del Aviatrix Controller. Sin embargo, un exploit de prueba de concepto (PoC) ya está disponible públicamente, aumentando el riesgo de explotación.

Impacto en Entornos Empresariales

Según datos recopilados por la empresa de seguridad en la nube Wiz, aproximadamente el 3% de los entornos empresariales en la nube utilizan Aviatrix Controller, y de estos, el 65% presenta rutas de movimiento lateral hacia permisos administrativos del plano de control.

Particularmente preocupante es la implementación en entornos de AWS, donde la configuración predeterminada facilita la escalada de privilegios, lo que aumenta significativamente el impacto potencial de la explotación.

Ataques Observados en el Mundo Real

Los atacantes están aprovechando la vulnerabilidad para:

  • Minar criptomonedas: Utilizando herramientas como XMRig para monetizar el acceso a las instancias comprometidas.
  • Persistencia: Implementando el marco de comando y control (C2) Sliver para mantener el acceso.
  • Enumeración y exfiltración de datos: Aunque no se ha confirmado el movimiento lateral en la nube, se sospecha que los atacantes están explorando permisos en el entorno afectado para potencialmente extraer datos.

Recomendaciones de Seguridad

A la luz de la explotación activa, Wiz y otros expertos recomiendan:

  • Actualizar inmediatamente: Aplique los parches disponibles (versiones 7.1.4191 y 7.2.4996).
  • Restringir el acceso público: Evite exponer el Aviatrix Controller a la red pública.
  • Auditorías y monitoreo: Realice revisiones constantes de los permisos en la nube para detectar actividades sospechosas.

En conclusión, la explotación activa de CVE-2024-50603 resalta la necesidad de una gestión proactiva de vulnerabilidades en plataformas de redes en la nube. Implementar las medidas de seguridad recomendadas y aplicar parches de manera oportuna es clave para proteger los entornos empresariales y evitar compromisos significativos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#11


Una campaña de ransomware ha comenzado a explotar los buckets de Amazon S3 utilizando el cifrado del lado del servidor con claves proporcionadas por el cliente (SSE-C), un mecanismo donde solo el actor de amenazas conoce la clave. Este método permite exigir rescates a las víctimas a cambio de la clave de descifrado.

Detalles del Ataque

Descubierta por Halcyon, la campaña ha sido atribuida a un grupo de amenazas denominado "Codefinger", que ya ha afectado al menos a dos víctimas. Sin embargo, se teme que estas tácticas puedan adoptarse rápidamente por otros actores maliciosos.

Amazon S3 es un servicio de almacenamiento de objetos seguro y escalable de Amazon Web Services (AWS), utilizado para alojar archivos, copias de seguridad y registros, entre otros. Los buckets de S3 pueden ser cifrados con SSE-C, que utiliza claves de cifrado proporcionadas y gestionadas por el cliente.

En estos ataques, los actores maliciosos emplean credenciales de AWS comprometidas para identificar claves con privilegios como s3:GetObject y s3:PutObject, lo que les permite cifrar los objetos almacenados. Los atacantes generan claves AES-256 locales para este propósito. Dado que AWS no almacena estas claves, las víctimas no pueden recuperar los datos sin la clave proporcionada por el atacante.

CitarHalcyon explicó:

"Al utilizar los servicios nativos de AWS, logran el cifrado de una manera que es segura e irrecuperable sin su cooperación".

Método de Extorsión

Después del cifrado, los atacantes configuran una política de eliminación de archivos en siete días utilizando la API de gestión del ciclo de vida de objetos de S3. Además, colocan notas de rescate que instruyen a las víctimas a pagar un rescate en Bitcoin a cambio de la clave de descifrado. Las notas advierten que cualquier intento de cambiar permisos o modificar los datos puede terminar unilateralmente las negociaciones.

Medidas de Defensa

Halcyon notificó a Amazon sobre esta campaña. AWS afirmó que se esfuerza por alertar rápidamente a los clientes con claves expuestas, fomentando la adopción de protocolos de seguridad más estrictos.

Entre las recomendaciones de Halcyon para mitigar estos ataques se incluyen:

  • Restringir el uso de SSE-C: Implementar políticas que deshabiliten esta opción en buckets de S3.
  • Gestionar claves de AWS:
  • Deshabilitar las claves no utilizadas.
  • Rotar claves activas con frecuencia.
  • Mantener los permisos en un nivel mínimo necesario.
  • Auditorías periódicas: Revisar actividades no autorizadas y fortalecer la configuración de seguridad de AWS.

En conclusión, este tipo de ataques subraya la necesidad de una gestión robusta de credenciales y políticas de seguridad en la nube. Mantener configuraciones restrictivas y realizar auditorías regulares puede ser crucial para evitar incidentes de ransomware en entornos de almacenamiento como Amazon S3.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#12


Microsoft enfrentó recientemente una interrupción en su sistema de autenticación multifactor (MFA), que bloqueó el acceso de los usuarios a aplicaciones clave de Microsoft 365 Office. El incidente afectó únicamente a aquellos que dependían de MFA para autenticarse.

Impacto en los Usuarios y Respuesta Inicial

Según una alerta publicada en el centro de administración, algunos usuarios también experimentaron problemas con el registro y el restablecimiento de MFA. Para mitigar el impacto, Microsoft redirigió el tráfico hacia una infraestructura alternativa mientras investigaba la causa raíz.

Además, surgieron informes de fallos inesperados en aplicaciones de Microsoft 365 en dispositivos con Windows Server 2016. Microsoft indicó que estaban revisando telemetría para identificar la raíz del problema y desarrollar una solución efectiva.

Historial de Problemas Recientes

En los últimos meses, Microsoft ha enfrentado varias interrupciones significativas en sus servicios:

  • Diciembre: Se reportaron errores de "Producto desactivado" en aplicaciones de Office para algunos usuarios de Microsoft 365.
  • Noviembre: Una interrupción global afectó servicios como Microsoft Teams, Exchange Online, SharePoint Online, OneDrive, Purview, Copilot y Outlook.

Resolución del Problema

El 13 de enero a las 05:51 EST, Microsoft confirmó que había solucionado el problema. Según la empresa, una sección de la infraestructura encargada de las operaciones de MFA dejó de responder inesperadamente. Tras un período de monitoreo, se declaró el incidente como resuelto.

El impacto fue limitado a usuarios autenticados mediante MFA en aplicaciones M365 a través de infraestructura localizada en Europa Occidental.

En conclusión, la rápida respuesta de Microsoft destaca su compromiso con la continuidad del servicio para los usuarios de Microsoft 365. Sin embargo, estos incidentes recientes subrayan la importancia de contar con estrategias de respaldo y planes de contingencia para minimizar interrupciones en operaciones críticas.

Fuente:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#13

Docker ha informado que Docker Desktop no se inicia en macOS debido a alertas de malware incorrectas, provocadas por un certificado de firma de código inadecuado en algunos archivos. Este problema afecta tanto la funcionalidad de la aplicación como la experiencia del usuario, generando preocupación entre los desarrolladores y equipos de TI.

Detalles del Problema

El incidente fue reportado el 7 de enero de 2025, cuando usuarios de macOS comenzaron a recibir mensajes como:

Citar"Malware bloqueado."
"com.docker.vmnetd no se abrió porque contiene malware. Esta acción no dañó tu Mac."

Docker ha confirmado que estas advertencias son falsas y que los usuarios pueden ignorarlas. Sin embargo, el problema requiere intervención manual para restaurar la funcionalidad completa de Docker Desktop.

Causa Principal

El problema radica en una firma de código incorrecta utilizada en algunos archivos de instalaciones existentes. Esto genera errores durante las comprobaciones de integridad de los archivos, activando alertas de seguridad en macOS y bloqueando la aplicación.

Soluciones Proporcionadas por Docker

Docker ha implementado varias medidas para resolver el problema, incluyendo actualizaciones, parches y soluciones manuales:

Actualizar a la Versión 4.37.2:

  • Docker ha lanzado esta versión con una corrección permanente.
  • Se puede descargar directamente o aplicar desde la herramienta de actualización de Docker Desktop.

Aplicar Parches a Versiones Afectadas:

  • Los parches están disponibles para versiones entre la 4.32 y la 4.36.
  • Las versiones 4.28 y anteriores no se ven afectadas.

Seguir Guías de Resolución:

  • Si las advertencias de malware persisten tras la actualización o aplicación de parches, Docker recomienda consultar una guía detallada.

Script para Administradores de TI:

  • Los equipos de TI pueden usar un script diseñado por Docker para implementar soluciones en múltiples dispositivos con una sola acción.

Resolución Manual del Problema:

  • Detener los servicios de Docker, incluyendo vmnetd y sockets.
  • Eliminar los binarios afectados y reinstalarlos con las firmas de código correctas.
  • Reiniciar Docker Desktop.

Estado Actual del Problema

En el momento de escribir este artículo, Docker sigue investigando el incidente. La página de estado de Docker informa sobre una interrupción parcial del servicio mientras se evalúa la eficacia de las soluciones implementadas.

En conclusión Docker Desktop para macOS sigue siendo una herramienta crítica para desarrolladores y administradores. Si estás afectado por este problema, asegúrate de seguir las instrucciones de actualización y resolución proporcionadas por Docker para restaurar la funcionalidad. Mantente al tanto de las actualizaciones oficiales en la página de estado de Docker.

Esta situación subraya la importancia de realizar pruebas rigurosas en implementaciones de software, especialmente en herramientas ampliamente utilizadas por la comunidad tecnológica.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#14

La empresa suiza Proton, reconocida por sus servicios en línea centrados en la privacidad, explicó que un apagón global ocurrido el jueves fue provocado por una migración de infraestructura hacia Kubernetes y un cambio de software que desencadenó un pico de carga inicial. Este incidente afectó a millones de usuarios en todo el mundo.

Inicio de la Interrupción

Según el informe de incidentes publicado en su página de estado, la interrupción comenzó alrededor de las 10:00 a.m. ET. Los usuarios reportaron problemas para acceder a servicios como Proton VPN, Proton Mail, Proton Calendar, Proton Drive, Proton Pass y Proton Wallet.

Al intentar conectarse a Proton Mail, los usuarios encontraron mensajes de error como: "Algo salió mal. No hemos podido cargar esta página. Actualice la página o verifique su conexión a Internet". Este problema afectó significativamente la experiencia de los clientes durante el tiempo que duró el incidente.

Resolución y Cronología

Los servicios comenzaron a restablecerse gradualmente, y en aproximadamente dos horas, la mayoría de los sistemas funcionaban nuevamente. Proton Mail y Proton Calendar fueron los últimos en volver a estar completamente operativos.

A las 16:15 CET, Proton anunció que "todos los servicios, excepto Correo y Calendario, están funcionando normalmente. Aún estamos trabajando para restaurar los servicios restantes".

Causas Identificadas

Proton reveló que el apagón fue provocado por un cambio de software que limitó severamente las nuevas conexiones a los servidores de bases de datos. Esto, combinado con un aumento brusco en el número de usuarios conectados alrededor de las 4:00 p.m. CET, generó una sobrecarga en su infraestructura. La migración en curso a Kubernetes también contribuyó al problema, ya que implicó operar "dos infraestructuras paralelas al mismo tiempo", lo que dificultó el balanceo de carga.

Durante el incidente, aproximadamente el 50% de las solicitudes de Proton Mail y Proton Calendar fallaron, causando intermitencias en el servicio. Los servicios como Proton VPN, Proton Pass, Proton Drive/Docs y Proton Wallet se recuperaron más rápidamente.

Recuperación Completa

Proton informó que la resolución completa del problema tomó cerca de dos horas. Aunque el servicio estuvo disponible de manera intermitente durante este tiempo, el rendimiento mejoró significativamente en la segunda hora del incidente.

Medidas Futuras

La compañía aseguró que todos los problemas de conexión han sido resueltos y que la situación se ha mantenido estable desde entonces. Proton está monitoreando activamente sus sistemas para evitar futuros problemas y optimizar su infraestructura a medida que avanza en su migración hacia Kubernetes.

Este incidente subraya los desafíos técnicos que enfrentan incluso las empresas tecnológicas más avanzadas durante procesos de migración complejos. Proton reafirma su compromiso con la privacidad y la confiabilidad de sus servicios mientras implementa mejoras en su infraestructura.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#15

El Departamento de Justicia de Estados Unidos (DoJ) acusó recientemente a tres ciudadanos rusos por su presunta participación en el funcionamiento de los servicios de mezcla de criptomonedas No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. Estos mezcladores, también conocidos como tumblers, son herramientas utilizadas para ofuscar la procedencia de criptomonedas, facilitando actividades ilícitas como el lavado de dinero y el financiamiento de cibercrímenes.

Arrestos y Fugitivos

Roman Vitalyevich Ostapenko y Alexander Evgenievich Oleynik fueron arrestados el 1 de diciembre de 2024, en una operación conjunta con el Servicio de Investigación e Inteligencia Financiera de los Países Bajos, la Oficina Nacional de Investigación de Finlandia y el FBI. Sin embargo, no se ha revelado el lugar exacto de su detención. Un tercer individuo, Anton Vyachlavovich Tarasov, permanece prófugo.

Acusaciones y Actividades Ilícitas

Los acusados están implicados en la operación de servicios que permitían a usuarios realizar transacciones con criptomonedas de forma anónima, dificultando el rastreo de fondos provenientes de actividades delictivas como ransomware, fraude electrónico y robos de monedas virtuales. Estos servicios eran frecuentados por grupos de piratería vinculados a estados y ciberdelincuentes organizados.

Según el fiscal federal Ryan K. Buchanan para el Distrito Norte de Georgia, "Blender.io y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta fueron utilizados por delincuentes de todo el mundo para lavar fondos robados a víctimas de ransomware, robos de monedas virtuales y otros delitos".

Historia de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, lanzado en 2018, fue sancionado en mayo de 2022 por el Departamento del Tesoro de EE. UU. tras descubrirse que el grupo norcoreano Lazarus utilizó el servicio para lavar fondos derivados de un ataque al puente Ronin Bridge. Blender publicitaba una "Política de No Registros" y afirmaba no requerir detalles personales de los usuarios.

Aunque Blender cesó sus operaciones un mes antes de las sanciones, la empresa de inteligencia blockchain Elliptic reveló que el servicio probablemente se relanzó como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta en octubre de 2022. Este último fue utilizado para procesar millones de dólares vinculados al grupo Lazarus antes de que las autoridades internacionales incautaran su infraestructura en 2024.

Cargos y Consecuencias

  • Roman Vitalyevich Ostapenko (55 años): acusado de conspiración para cometer lavado de dinero y operar un negocio de transmisión de dinero sin licencia.
  • Alexander Evgenievich Oleynik (44 años) y Anton Vyachlavovich Tarasov (32 años): enfrentan cargos similares.

Si son declarados culpables, los acusados podrían enfrentar hasta 25 años de prisión.

Contexto Global y Relación con Estafas de Criptomonedas

El caso se produce en un contexto de creciente lucha contra el lavado de dinero relacionado con criptomonedas. Por ejemplo, Chainalysis identificó más de 1,100 víctimas de estafas de criptomonedas como parte de las operaciones Spincaster y DeCloak, que resultaron en pérdidas colectivas de más de 25 millones de dólares.

En estas estafas, los delincuentes instruían a las víctimas para que crearan billeteras de autocustodia, compraran criptomonedas en exchanges centralizados y luego transfirieran fondos a direcciones controladas por los estafadores. Estas operaciones subrayan la necesidad de regulaciones más estrictas y educación para los usuarios sobre los riesgos asociados con las criptomonedas.

Con estos avances, las autoridades internacionales buscan reforzar la lucha contra el uso de criptomonedas para actividades delictivas, marcando un hito en la colaboración global contra el cibercrimen.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#16

Investigadores de ciberseguridad han identificado una familia emergente de ransomware, asistida por inteligencia artificial (IA), conocida como FunkSec. Este grupo, que irrumpió en escena a finales de 2024, ha afectado a más de 85 víctimas en varios países.

Tácticas de Doble Extorsión y Rescates Reducidos

FunkSec emplea tácticas de doble extorsión, combinando el robo de datos con el cifrado para presionar a las víctimas a pagar rescates. Según un informe de Check Point Research, los rescates exigidos son inusualmente bajos, desde $10,000, mientras que los datos robados se venden a terceros por precios que oscilan entre $1,000 y $5,000.

Infraestructura y Modelo de Negocio

En diciembre de 2024, FunkSec lanzó un sitio de fugas de datos (DLS) para centralizar sus operaciones. Este portal incluye:

  • Anuncios de violaciones de datos.
  • Herramientas personalizadas para ataques de denegación de servicio distribuidos (DDoS).
  • Un modelo de ransomware como servicio (RaaS) con ransomware a medida.

Ámbito Geográfico y Perfil de los Actores

La mayoría de las víctimas se encuentran en Estados Unidos, India, Italia, Brasil, Israel, España y Mongolia. Análisis de Check Point sugiere que FunkSec podría ser obra de actores novatos que reutilizan datos filtrados de hacktivistas.

Entre los miembros destacados del grupo se incluyen:

  • Scorpion (DesertStorm): Promotor en foros clandestinos como Breached Forum.
  • El_farado: Figura clave tras la expulsión de DesertStorm del foro.
  • XTN: Asociado a un servicio de "clasificación de datos".
  • Blako y Bjorka: Actores vinculados a FunkSec y conocidos en foros oscuros.

Hacktivismo y Convergencia de Amenazas

El grupo también parece incursionar en actividades hacktivistas, apoyando movimientos como "Palestina Libre" y utilizando herramientas de ataque DDoS, gestión remota y generación de contraseñas. Esta convergencia de hacktivismo y cibercrimen refleja una preocupante tendencia global.

Desarrollo Tecnológico y Uso de IA

FunkSec ha desarrollado herramientas avanzadas, incluido un ransomware en Rust llamado FunkSec V1.5. Estas herramientas fueron posiblemente asistidas por IA, lo que permitió iteraciones rápidas a pesar de la aparente inexperiencia del grupo.

Metodología de Ataques

El ransomware iterativamente cifra archivos tras desactivar controles de seguridad, eliminar copias de respaldo y finalizar procesos clave. Las versiones anteriores incluyen referencias a FunkLocker y Ghost Algeria, lo que sugiere un origen en Argelia.

Contexto Global

Según Sergey Shykevich de Check Point Research, "FunkSec combina agendas políticas y financieras, utilizando IA y filtraciones antiguas para redefinir el ransomware. Sin embargo, el éxito real de sus operaciones sigue siendo cuestionable".

Ciberataques Relacionados

Paralelamente, Forescout informó sobre un ataque de Hunters International que explotó Oracle WebLogic Server para lanzar ransomware. Los atacantes realizaron reconocimiento, movimiento lateral y escalada de privilegios utilizando herramientas administrativas y de equipo rojo.

Con la evolución de grupos como FunkSec, es esencial que las organizaciones fortalezcan su ciberseguridad para mitigar estas amenazas emergentes.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#17

El grupo de hacktivistas ucranianos Alianza Cibernética Ucraniana (UCA) anunció el martes un exitoso ataque contra la red del proveedor de servicios de Internet ruso Nodex, ubicado en San Petersburgo. Los atacantes afirmaron haber exfiltrado documentos confidenciales, borrado sistemas críticos y dejado los equipos inoperativos.

Detalles del ataque a Nodex

Los hacktivistas informaron en Telegram:

Citar"El proveedor ruso de internet Nodex fue completamente saqueado y borrado. Los datos se exfiltraron, mientras que los equipos vacíos sin copias de seguridad se les dejaron a ellos".

Como prueba del ataque, compartieron capturas de pantalla de la infraestructura virtual de VMware, Veeam y Hewlett Packard Enterprise comprometida durante la operación.

Nodex, a través de su perfil en VKontakte, confirmó el incidente, describiéndolo como un ataque planificado, posiblemente orquestado desde Ucrania. La empresa declaró:

Citar"Nuestra red ha sido destruida. Estamos trabajando en su restauración a partir de copias de seguridad. Por el momento, no hay plazos ni previsiones claras".


Impacto en la conectividad y recuperación

La organización NetBlocks, especializada en el monitoreo de Internet, detectó la interrupción de los servicios de línea fija y móvil de Nodex tras el ataque. Hasta la medianoche, la conectividad de su red colapsó completamente.

En actualizaciones recientes, Nodex ha informado avances en la restauración de los sistemas:

  • El "núcleo de la red" ha sido restaurado.
  • Un servidor DHCP se puso en línea, permitiendo la recuperación parcial de la conectividad para muchos clientes.
  • La empresa pidió a sus usuarios reiniciar sus routers para restablecer el servicio.

Sin embargo, su sitio web permanecía fuera de línea mientras los ingenieros continuaban trabajando en los switches de red y otros sistemas críticos.

La trayectoria de la Alianza Cibernética Ucraniana (UCA)

La UCA, activa desde 2016, es una organización no gubernamental compuesta por varios grupos de hacktivistas, como FalconsFlame, Trinity, RUH8 y CyberHunta. Su misión principal ha sido defender a Ucrania en el ciberespacio frente a la agresión rusa.

Entre sus acciones más destacadas se incluyen:

  • Hackeo del Ministerio de Defensa de Rusia y otras entidades gubernamentales rusas.
  • Violación de sistemas de medios de comunicación y oficiales militares rusos.

En octubre de 2023, borraron los servidores de la banda de ransomware Trigona, exfiltrando datos sensibles, como código fuente, registros de bases de datos y billeteras de criptomonedas.

Implicaciones del ataque a Nodex

Este ataque resalta la creciente actividad de los hacktivistas en el conflicto Rusia-Ucrania, con el ciberespacio como un campo de batalla crucial. La violación de Nodex no solo expuso datos confidenciales, sino que también interrumpió servicios esenciales, afectando a usuarios y empresas en Rusia.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#18

Ivanti ha emitido una advertencia sobre la explotación activa de una vulnerabilidad de ejecución remota de código en su solución Connect Secure, identificada como CVE-2025-0282. Los atacantes han utilizado esta brecha en ataques de día cero para instalar malware en dispositivos afectados.

Detalles técnicos de CVE-2025-0282

La vulnerabilidad CVE-2025-0282 es un desbordamiento de búfer basado en pila, clasificado con una severidad crítica (9.0). Afecta a las siguientes versiones de los productos Ivanti:

  • Ivanti Connect Secure (versiones anteriores a 22.7R2.5).
  • Ivanti Policy Secure (versiones anteriores a 22.7R1.2).
  • Ivanti Neurons for ZTA Gateways (versiones anteriores a 22.7R2.3).

Esta falla permite a atacantes no autenticados ejecutar código de forma remota en los dispositivos afectados. Sin embargo, Ivanti ha confirmado que, hasta ahora, solo ha sido explotada en Ivanti Connect Secure.

Parches de seguridad disponibles y cronograma

Ivanti ha lanzado un parche para Connect Secure, que soluciona la vulnerabilidad en la versión 22.7R2.5. Sin embargo, las actualizaciones para Ivanti Policy Secure e Ivanti Neurons for ZTA Gateways estarán disponibles el 21 de enero de 2025.

Detalles de los productos afectados:


  • Ivanti Policy Secure: Diseñado para no estar orientado a Internet, lo que reduce significativamente el riesgo de explotación.
  • Ivanti Neurons for ZTA Gateways: Solo son vulnerables si las pasarelas se generan y quedan sin conexión a un controlador ZTA.

Recomendaciones para administradores

Ivanti insta a los administradores de Connect Secure a realizar análisis con su herramienta Integrity Checker (ICT). Según los resultados, se deben tomar las siguientes medidas:

  • Escaneos sin hallazgos maliciosos: Realizar un restablecimiento de fábrica y actualizar a la versión 22.7R2.5.
  • Escaneos con actividad sospechosa: El restablecimiento de fábrica eliminará el malware detectado. Posteriormente, el dispositivo debe ser actualizado a la versión parcheada antes de volver a producción.

Vulnerabilidad adicional: CVE-2025-0283

Además de CVE-2025-0282, Ivanti ha corregido otra vulnerabilidad, CVE-2025-0283, que permite la escalada de privilegios por parte de atacantes autenticados. No hay evidencia de que esta brecha haya sido explotada en la actualidad o encadenada con CVE-2025-0282.

Cooperación en la investigación de ataques


Ivanti está trabajando con Mandiant y el Centro de Inteligencia de Amenazas de Microsoft para investigar estos incidentes. Se espera que pronto se publiquen detalles adicionales sobre el malware utilizado en los ataques.

Historial de vulnerabilidades en Ivanti

Este incidente sigue a un caso anterior en octubre de 2024, cuando Ivanti corrigió tres vulnerabilidades de día cero en Cloud Services Appliance (CSA) que también habían sido explotadas activamente.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#19


Los investigadores de ciberseguridad han identificado un aumento en el uso de la falsificación de direcciones de correo electrónico como estrategia clave en campañas de malspam. Este método permite a los actores maliciosos hacer que sus mensajes parezcan legítimos y superar los filtros de seguridad diseñados para detectar correos electrónicos sospechosos.

Técnicas de falsificación y evasión

A pesar de la existencia de medidas como DKIM (Correo Identificado con Claves de Dominio), DMARC (Autenticación, Informes y Conformidad de Mensajes Basados en Dominio) y SPF (Marco de Políticas del Remitente), los ciberdelincuentes han comenzado a aprovechar dominios antiguos y descuidados. Estos dominios, que a menudo carecen de registros DNS esenciales, eluden controles basados en la antigüedad del dominio, lo que facilita la entrega de correos electrónicos maliciosos.

Un análisis reciente reveló que grupos como Muddling Meerkat están reutilizando dominios de nivel superior (TLD) antiguos y en desuso para enviar correos electrónicos con señuelos que incluyen códigos QR dirigidos a sitios de phishing. Los correos suelen contener mensajes en mandarín con temas relacionados con impuestos, bloqueando los archivos adjuntos con contraseñas para engañar a los destinatarios.

Campañas de phishing dirigidas y técnicas avanzadas

Además de falsificar dominios, los ciberdelincuentes están utilizando métodos sofisticados para redirigir a las víctimas hacia sitios de phishing. Por ejemplo:

  • Simulación de marcas conocidas: Campañas que imitan a empresas como Amazon, Mastercard y SMBC para robar credenciales mediante sistemas de distribución de tráfico (TDS).
  • Extorsión por Bitcoin: Correos electrónicos que amenazan con divulgar videos supuestamente grabados mediante troyanos, exigiendo pagos en criptomonedas.
  • Ataques a sectores específicos: Campañas como "Butcher Shop" dirigidas a industrias legales, gubernamentales y de construcción, utilizan plataformas confiables como Canva y Dropbox para engañar a los usuarios.

Nuevas amenazas en dominios de nivel superior

Un informe de Interisle Consulting Group destaca que dominios genéricos como .top, .xyz, .shop, .vip y .club representan un alto porcentaje de actividades maliciosas debido a sus bajos costos de registro y escasos requisitos. Estos dominios son atractivos para los actores maliciosos, quienes los utilizan para configurar páginas fraudulentas y lanzar ataques masivos.

Herramientas maliciosas: PhishWP y páginas de pago falsas

Los ciberdelincuentes también están utilizando complementos maliciosos como PhishWP para crear páginas de pago falsas que imitan procesadores legítimos como Stripe. Estos complementos permiten recopilar datos financieros y enviarlos a través de Telegram en tiempo real.

En fin, la falsificación de correos electrónicos sigue siendo una amenaza persistente en el panorama de la ciberseguridad. Es fundamental que las empresas y los usuarios implementen prácticas robustas, como la configuración adecuada de protocolos DKIM, DMARC y SPF, para protegerse contra estas tácticas avanzadas. La colaboración entre expertos en ciberseguridad y plataformas tecnológicas será clave para combatir estas campañas maliciosas y proteger los datos personales y financieros de los usuarios.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#20


Se ha identificado una nueva variante de la botnet Mirai que explota una vulnerabilidad crítica recientemente descubierta en los routers industriales de Four-Faith. Este fallo de seguridad, activo desde principios de noviembre de 2024, permite la ejecución de ataques de denegación de servicio distribuido (DDoS). La botnet, que mantiene unas 15.000 direcciones IP activas diarias, ha infectado principalmente dispositivos en China, Irán, Rusia, Turquía y Estados Unidos.

El malware, operativo desde febrero de 2024, utiliza más de 20 vulnerabilidades de seguridad conocidas y credenciales débiles de Telnet para acceder a los sistemas. Esta variante, denominada "gayfemboy" por un término ofensivo presente en su código fuente, ha sido estudiada por QiAnXin XLab. Los investigadores descubrieron que aprovechó una vulnerabilidad de día cero en los routers industriales de Four-Faith, modelos F3x24 y F3x36, identificada como CVE-2024-12856. Este fallo, con una puntuación CVSS de 7,2, es un error de inyección de comandos del sistema operativo que se explota mediante credenciales predeterminadas no modificadas. Los ataques iniciales fueron detectados el 9 de noviembre de 2024.

Según VulnCheck, la vulnerabilidad CVE-2024-12856 ha sido utilizada para lanzar shells inversos y distribuir cargas útiles similares a Mirai en dispositivos comprometidos. Además de esta, la botnet también explota otras fallas de seguridad como CVE-2013-3307, CVE-2013-7471, CVE-2014-8361, CVE-2016-20016, CVE-2017-17215, CVE-2017-5259, CVE-2020-25499, CVE-2020-9054, CVE-2021-35394, CVE-2023-26801, CVE-2024-8956 y CVE-2024-8957 para expandir su alcance.

Una vez activo, el malware oculta procesos maliciosos y utiliza un formato de comando basado en Mirai para identificar dispositivos vulnerables, actualizarse y ejecutar ataques DDoS. Estos ataques, que generan tráfico de hasta 100 Gbps, se dirigen a cientos de objetivos diferentes diariamente, con una duración de entre 10 y 30 segundos. La actividad alcanzó su pico máximo en octubre y noviembre de 2024.

La relevancia de esta amenaza ha sido destacada por Juniper Networks, que alertó sobre ataques dirigidos a productos Session Smart Router (SSR) con contraseñas predeterminadas. Asimismo, Akamai reportó infecciones de Mirai que explotan vulnerabilidades de ejecución remota de código en los DVR DigiEver.

"Los ataques DDoS son una de las formas más comunes y destructivas de ciberataques. Su diversidad, complejidad y evolución constante representan una amenaza significativa para empresas, gobiernos y usuarios individuales", señalaron los investigadores de XLab.

En paralelo, actores maliciosos están aprovechando servidores PHP vulnerables, como el fallo CVE-2024-4577, para desplegar el malware de minería de criptomonedas PacketCrypt. Esta tendencia evidencia cómo las vulnerabilidades en dispositivos y sistemas mal configurados continúan siendo un vector clave para actividades maliciosas en el ecosistema digital.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#21
Off Topic / Experiencia Curso
Diciembre 31, 2024, 09:34:49 PM
Quiero agradecer a nuestro querido No tienes permitido ver enlaces. Registrate o Entra a tu cuenta por haberme dado la oportunidad de estudiar UX Writing en la academia CODERHOUSE. Fue una experiencia bastante grata, el profesor y la tutora que me instruyeron personas sin igual con una excelente fluidez, las clases super amenas y centradas en el tema.

¡Super recomiendo la experiencia!

#22

WINE 10.0-rc3 ya está disponible, introduciendo 40 cambios, entre ellos la corrección de un bug reportado hace casi 17 años. Este avance es parte del trabajo continuo de WineHQ para perfeccionar la próxima versión estable de Wine (Wine Is Not an Emulator). La rc3 llega con mejoras significativas, marcando un paso más hacia el lanzamiento definitivo.

Destacados del lanzamiento

La versión 10.0-rc3 incluye 15 correcciones de bugs, con un total de 40 cambios implementados. Uno de los bugs resueltos afecta a los sistemas multinúcleo/SMP, haciendo compatible a WINE con juegos icónicos como World of Warcraft y Starcraft 2. Este fallo fue reportado en febrero de 2008, demostrando el compromiso del equipo de desarrollo por mejorar la experiencia del usuario.

Bugs corregidos en WINE 10.0-rc3

  • Compatibilidad dual-core con World of Warcraft y Starcraft 2.
  • Reproducción invertida de vídeos en Chaos Legion.
  • Sin entrada de teclado en "STREET CHAVES – O LUTADOR DA VILA".
  • Parallel Port Tester no encuentra el driver "System32\Drivers\inpoutx64.sys".
  • Movimiento errático de ladrillos en el juego "Ladrillos".
  • Problemas al iniciar programas nativos con "start /unix...".
  • Explorer incapaz de ejecutar archivos en modo compatibilidad con Windows ME.
  • Pantalla negra al iniciar Startopia.
  • Bloqueo de IL-2 1946 al arrancar.
  • Error en Dark Age of Camelot por falta del archivo igd10umd32.dll.
  • Fallo al pintar en aplicaciones propietarias usando Vulkan.
  • Modo escritorio sin barra de tareas.
  • PokerTracker 4 no se inicia.
  • Iconos de Systray no interactuables.
  • CMake no encuentra toolchain.

Mejoras continuas y disponibilidad

WineHQ sigue comprometido con la optimización de Wine, solucionando problemas críticos y mejorando la compatibilidad con aplicaciones y juegos populares. La versión 10.0-rc3 está disponible para descarga desde su página oficial, ofreciendo soporte para sistemas operativos Linux, macOS y Android. Los usuarios pueden consultar instrucciones detalladas para instalar esta y otras versiones.

Proyección de futuras versiones


Se espera que WINE 10.0-rc4 sea lanzado dentro de siete días, con una nueva RC programada semanalmente hasta alcanzar la versión estable, prevista para enero o principios de febrero. Estas actualizaciones recurrentes refuerzan la posición de Wine como una herramienta esencial para ejecutar aplicaciones de Windows en plataformas no nativas.

Descarga ahora

No esperes más para disfrutar de las mejoras de WINE 10.0-rc3. Descarga la versión más reciente y experimenta una compatibilidad mejorada con tus aplicaciones y juegos favoritos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#23

IPFire 2.29 Core Update 190 introduce soporte para criptografía post-cuántica en los intercambios de claves SSH, consolidándose como una plataforma avanzada en seguridad. Entre las novedades destacan el uso de Streamlined NTRU Prime (sntrup761) y el mecanismo de encapsulación basado en módulos MK-KEM (mlkem768x25519-sha256), preparándose así para las amenazas que podrían surgir con la llegada de la computación cuántica. Además, se elimina el soporte para claves RSA en instalaciones nuevas, manteniéndolas disponibles en sistemas existentes para evitar inconvenientes con herramientas de monitorización.

Preparativos para el Wi-Fi 7

El lanzamiento también allana el camino para la implementación de Wi-Fi 7, la próxima generación de conectividad inalámbrica. Se incluye una función de escaneo por vecindario que permite identificar automáticamente el mejor canal disponible, mejorando la configuración del punto de acceso inalámbrico. Además, los eventos de "hostapd" ahora se registran en el syslog, facilitando procesos de depuración y ajustes técnicos.

Mejoras en la Seguridad y el Firewall

La seguridad sigue siendo una prioridad clave en esta versión:

  • Optimización del cortafuegos: Permite activar o desactivar individualmente el escaneo del tráfico IPsec.
  • Protección contra SYN Flood: Mejora en las reglas de protección para una aplicación más eficiente.
  • Gestón avanzada de claves precompartidas: Ahora es posible incluir comas en las claves, ampliando la flexibilidad del sistema.

Actualizaciones Internas y Correcciones

Esta versión incluye una serie de actualizaciones y correcciones que mejoran el rendimiento general del sistema:

  • Correcciones de errores: Solución de fallos en el puente entre Unbound y las concesiones DHCP, y en los ajustes de OpenVPN para conexiones roadwarrior.
  • Compatibilidad mejorada: Nueva opción de instalación en consola serie para sistemas UEFI y actualización del paquete de certificados CA.
  • Proceso de arranque refinado: Reducción de mensajes innecesarios para una experiencia más fluida.
  • Actualización de componentes internos: Complementos y herramientas actualizadas para garantizar el uso de tecnología de última generación.

Un Sistema Preparado para el Futuro

IPFire 2.29 Core Update 190 reafirma su compromiso con la seguridad y la innovación. Desde la adopción de criptografía avanzada hasta los preparativos para un mundo conectado con Wi-Fi 7, este software es una herramienta imprescindible para empresas y usuarios que buscan una solución de red fiable y de alto rendimiento.

Con una interfaz optimizada, mejoras en la experiencia del usuario y un enfoque continuo en la seguridad, IPFire se posiciona como una plataforma de referencia para quienes priorizan la protección y el rendimiento en sus redes.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#24

Los piratas informáticos patrocinados por el estado de Corea del Norte han robado un total de 1.34 mil millones de dólares en criptomonedas durante 2024, según un informe reciente de la empresa de análisis de blockchain Chainalysis. Este monto representa el 61% de los fondos totales robados a nivel mundial este año, lo que supone un aumento interanual del 21%.

Incremento de ataques y tendencias clave

Aunque el número total de incidentes alcanzó un récord de 303 ataques en 2024, las pérdidas totales no superaron las de 2022, cuando se registraron 3.700 millones de dólares en robos. Según Chainalysis, el 72% de las pérdidas de 2024 ocurrieron entre enero y julio, destacándose dos ciberataques principales:

  • Hackeo de DMM Bitcoin (mayo): Más de 305 millones de dólares robados.
  • Ciberatraco a WazirX (julio): Pérdidas de 235 millones de dólares.

Plataformas más afectadas y metodologías

Las plataformas DeFi (finanzas descentralizadas) fueron las más vulnerables, seguidas por servicios centralizados. En cuanto a los métodos utilizados:

  • Compromisos de claves privadas: Representaron el 44% de las pérdidas.
  • Explotación de fallas de seguridad: Correspondieron al 6.3% de los robos totales.

Estos datos subrayan la importancia de implementar auditorías de seguridad y mejores prácticas en la gestión de claves privadas para prevenir futuras pérdidas.

Piratas informáticos norcoreanos: año récord

Los ataques atribuidos a Corea del Norte están motivados por la necesidad de financiar el programa de desarrollo de armas del país. En 2024, los ingresos obtenidos por estos hackers alcanzaron los 1.300 millones de dólares, superando el récord anterior de 1.100 millones registrado en 2022.

Según Chainalysis:

  • 2023: 660.5 millones de dólares robados en 20 incidentes.
  • 2024: 1.34 mil millones de dólares robados en 47 incidentes, un aumento del 102.88% en el valor sustraído.

Además, los hackers norcoreanos han demostrado una mayor capacidad para realizar ataques a gran escala, como el atraco a DMM Bitcoin. Este ataque fue rastreado mediante análisis de blockchain que evidenció el flujo de fondos hacia servicios de mezcla de monedas.

Incremento en ataques de menor escala

Los cibercriminales también incrementaron el número de ataques de menor valor, robando alrededor de 10.000 dólares por incidente. En junio, CoinStats reveló que 1.590 billeteras de criptomonedas en su plataforma fueron comprometidas.

Perspectivas para 2025

Aunque la actividad disminuyó después de julio, se espera que los ataques a plataformas fintech continúen en 2025. El mercado de criptomonedas, actualmente en una carrera alcista, podría seguir siendo un objetivo atractivo para los piratas informáticos.

La creciente sofisticación de los ataques subraya la necesidad de medidas de seguridad más estrictas para proteger a los inversores y plataformas en el ecosistema de criptomonedas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#25

Google ha introducido una nueva función de protección contra estafas en Chrome, aprovechando la inteligencia artificial para analizar marcas e intenciones de las páginas web mientras los usuarios navegan. Esta innovación podría mejorar significativamente la seguridad online y proteger a los usuarios de sitios maliciosos.

Nueva función en Chrome Canary


Según informó el usuario "Leo on X", Chrome Canary ahora incluye una marca experimental llamada "Marca de detección del lado del cliente e intención para la detección de estafas". Esta característica utiliza un modelo de lenguaje grande (LLM, por sus siglas en inglés) para analizar páginas web directamente en el dispositivo del usuario.

De acuerdo con la descripción de esta marca experimental, la tecnología permite que el LLM identifique tanto la marca como la intención de una página web. Esto podría ser clave para detectar estafas y evitar que los usuarios caigan en engaños online.

Cómo funciona la detección de estafas

Aunque los detalles técnicos no están completamente claros, la nueva función podría emitir advertencias cuando se visiten sitios web fraudulentos. Por ejemplo, si un usuario accede a una página falsa de soporte técnico que simula ser de Microsoft y que solicita llamar a un número para resolver un problema inexistente, la IA de Chrome podría analizar el lenguaje de la página y los dominios utilizados. Si identifica señales de estafa, como urgencia falsa o direcciones web sospechosas, mostraría una alerta advirtiendo al usuario.

Compatibilidad y disponibilidad

Esta herramienta está en fase de prueba en Chrome Canary y es compatible con los sistemas operativos Mac, Windows y Linux. Además, podría integrarse con la función de protección mejorada ya existente en Chrome, que también utiliza inteligencia artificial para mejorar la seguridad.

Protección mejorada impulsada por IA

Google ha actualizado su protección mejorada para incluir tecnología de inteligencia artificial. Ahora, esta herramienta ofrece protección en tiempo real contra sitios web, descargas y extensiones maliciosas. Antes de octubre, la protección mejorada era descrita como "proactiva", pero con la incorporación de la IA, su efectividad se ha incrementado notablemente.

La inteligencia artificial de Google parece basarse en datos previamente entrenados para analizar el contenido web y proporcionar advertencias sobre sitios peligrosos. Aunque estas funciones de seguridad todavía están en desarrollo, representan un paso importante hacia la protección de los usuarios en un entorno digital cada vez más complejo.

Futuro de la seguridad en Chrome

Google continúa trabajando en mejorar las capacidades de seguridad y privacidad de Chrome mediante el uso de IA. Aunque aún no hay información sobre cuándo estas funciones estarán disponibles para el público general, las pruebas en Chrome Canary son una muestra del compromiso de la compañía por mantener a sus usuarios seguros frente a las amenazas en línea.

Estas innovaciones refuerzan la posición de Google como líder en tecnologías de seguridad, asegurando una navegación más confiable y protegida para millones de personas en todo el mundo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#26

Tres paquetes populares de npm, @rspack/core, @rspack/cli y Vant, fueron comprometidos mediante tokens robados, lo que permitió la publicación de versiones maliciosas diseñadas para instalar criptomineros. Este ataque a la cadena de suministro, identificado por investigadores de Sonatype y Socket, utilizó el minero XMRig para extraer la criptomoneda Monero.

Detalles del ataque

Los tres paquetes afectados fueron manipulados simultáneamente, lo que afectó a varias versiones:

  • @rspack/core: Componente principal del empaquetador de JavaScript Rspack, descargado 394,000 veces por semana.
  • @rspack/cli: Herramienta de línea de comandos de Rspack, con 145,000 descargas semanales.
  • Vant: Biblioteca de interfaz de usuario para Vue.js, con 46,000 descargas semanales.

El código malicioso se ocultó en archivos clave como support.js y config.js, utilizando scripts de postinstalación para ejecutarse automáticamente tras la instalación. Este malware accedía a la API de geolocalización de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta para recopilar información sobre la red de la víctima antes de descargar y ejecutar el binario XMRig desde un repositorio de GitHub.

Impacto y ocultación

El criptominero operaba de manera discreta al limitar el uso de la CPU al 75% de los subprocesos disponibles. En el caso de Vant, el archivo malicioso fue renombrado a /tmp/vant_helper para evitar detección.

Versiones comprometidas

Rspack:

  • Versión afectada: 1.1.7
  • Solución: Actualizar a 1.1.8 o versiones posteriores.

Vant:

  • Versiones afectadas: 2.13.3 a 2.13.5, 3.6.13 a 3.6.15, y 4.9.11 a 4.9.14.
  • Solución: Actualizar a 4.9.15 o posteriores.

Respuesta de los desarrolladores


Ambos proyectos confirmaron el compromiso de sus cuentas npm y emitieron disculpas públicas:

  • Rspack: "El 19/12/2024 detectamos que nuestro paquete fue atacado mediante un token npm robado. Hemos lanzado una versión limpia y tomado medidas adicionales de seguridad."
  • Vant: "Nuestro token npm fue comprometido, lo que resultó en la publicación de varias versiones maliciosas. Pedimos disculpas y hemos reforzado nuestras prácticas de seguridad."

Contexto de otros ataques

Este incidente sigue a otros compromisos recientes de la cadena de suministro, como:

  • LottieFiles: Enfocado en activos de criptomonedas.
  • Ultralytics: Utilizó recursos de hardware de usuarios para criptominería.

Recomendaciones

Para protegerse contra ataques similares:
  • Actualice sus dependencias: Verifique y actualice los paquetes a las versiones seguras mencionadas.
  • Implemente monitoreo de seguridad: Use herramientas que detecten código malicioso en dependencias.
  • Adopte buenas prácticas de seguridad: Limite los permisos de tokens y proteja las credenciales de acceso.

La protección contra ataques a la cadena de suministro requiere una vigilancia constante y el compromiso de los desarrolladores y usuarios para salvaguardar el ecosistema.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#27


La Alianza para la Creatividad y el Entretenimiento (ACE, por sus siglas en inglés) ha logrado un hito significativo al desmantelar una de las redes de piratería de transmisiones deportivas en vivo más grandes del mundo. Con más de 821 millones de visitas en el último año, esta operación marca un avance crucial en la lucha contra la piratería digital.

Operación Markkystreams: El mayor golpe contra la piratería deportiva

La red, conocida como Markkystreams, tenía su base en Vietnam y se había establecido como el servicio ilegal de transmisión de deportes más grande clausurado hasta la fecha. Su principal público objetivo residía en los Estados Unidos y Canadá, donde transmitía diariamente eventos deportivos de todas las ligas norteamericanas y otras competiciones internacionales. ACE confirmó que esta operación afectó a todos sus miembros, incluyendo DAZN, beIN Sports y Canal+.

Declaraciones de ACE y su impacto

"El cierre de esta red de piratería de deportes en vivo de notoriedad mundial es una gran victoria en nuestra campaña contra la piratería de programas de deportes en vivo", declaró Larissa Knapp, vicepresidenta ejecutiva de la Asociación Cinematográfica (MPA). "Los eventos deportivos pierden valor comercial una vez que finalizan, lo que hace que la piratería en este sector sea particularmente perjudicial".

ACE advirtió que este cierre envía un mensaje contundente a los operadores de servicios ilegales en todo el mundo: identificarán y desmantelarán estas operaciones.

Infraestructura y dominios incautados

La red operaba desde Hanoi y contaba con 138 dominios, entre ellos:

  • bestsolaris[punto]com
  • streameast[punto]to
  • markkystreams[punto]com
  • crackstreams[punto]dev
  • weakspell[punto]to

En los dominios ahora incautados se muestra un mensaje que advierte a los usuarios sobre los riesgos de acceder a servicios ilegales.

ACE: Un actor clave en la lucha contra la piratería

Desde su fundación en junio de 2017, ACE ha reunido a más de 50 empresas de medios y entretenimiento, incluidas Amazon, Apple TV+, Netflix, Paramount Global y Warner Bros. Discovery. Su misión se centra en cerrar servicios de transmisión ilegal y proteger los derechos de autor.

Historial de éxitos recientes

ACE ha liderado acciones significativas, como:

  • El cierre de Openload y Streamango en 2019.
  • La eliminación del servicio pirata de IPTV Beast IPTV en 2020.
  • La clausura de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, el mayor sitio de anime pirata, en 2023.

Colaboración con fuerzas del orden

ACE trabaja estrechamente con agencias como el Departamento de Justicia de EE. UU., Europol e Interpol. Este enfoque colaborativo les ha permitido desmantelar redes como un servicio de streaming con 22 millones de usuarios globales que generaba más de 250 millones de euros al mes.

En fin, el desmantelamiento de Markkystreams subraya la determinación de ACE para proteger los derechos de los creadores y garantizar un mercado justo. Este éxito es una muestra más de los avances en la lucha contra la piratería digital, enviando un mensaje claro a los infractores de derechos de autor en todo el mundo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#28

Una vulnerabilidad crítica recientemente parcheada en Fortinet FortiClient EMS está siendo explotada activamente por actores maliciosos en una campaña cibernética. Este ataque incluye la instalación de herramientas de acceso remoto como AnyDesk y ScreenConnect, comprometiendo la seguridad de las organizaciones afectadas.

Detalles de la vulnerabilidad

La falla, identificada como CVE-2023-48788, presenta una puntuación CVSS de 9,3, clasificándola como una amenaza crítica. Este error de inyección SQL permite a los atacantes ejecutar código no autorizado al enviar paquetes de datos manipulados. La firma rusa de ciberseguridad Kaspersky confirmó que un ataque en octubre de 2024 explotó esta vulnerabilidad en el servidor Windows de una empresa no identificada con puertos asociados a FortiClient EMS expuestos a Internet.

Modus operandi del ataque

Según Kaspersky, la tecnología afectada permite a los empleados descargar políticas corporativas y acceder de manera segura a la VPN de Fortinet. Los atacantes aprovecharon la vulnerabilidad CVE-2023-48788 como punto de acceso inicial. Posteriormente, instalaron un ejecutable de ScreenConnect para obtener control remoto del sistema comprometido.

Progresión del ataque:

Carga inicial: Instalación de ScreenConnect.

Movimiento lateral: Uso de herramientas para descubrimiento de red, obtención de credenciales y persistencia mediante AnyDesk.

Herramientas utilizadas:

  • webbrowserpassview.exe: Recuperación de contraseñas almacenadas en navegadores populares.
  • Mimikatz: Extracción de credenciales.
  • netpass64.exe: Recuperación de contraseñas.
  • netscan.exe: Escaneo de red

Alcance global del ataque

Se ha identificado que los atacantes dirigieron esta campaña contra empresas en países como Brasil, Croacia, Francia, India, Indonesia, Mongolia, Namibia, Perú, España, Suiza, Turquía y los Emiratos Árabes Unidos. Utilizaron diferentes subdominios de ScreenConnect, como infinity.screenconnect[.]com, para diversificar sus ataques.

Actualizaciones recientes

El 23 de octubre de 2024, Kaspersky detectó nuevos intentos de explotar CVE-2023-48788. Estos intentos implicaron la ejecución de un script de PowerShell alojado en webhook[.]site para recopilar información de sistemas vulnerables durante escaneos.

Historial de explotación

Esta revelación se suma a una campaña previa descubierta por Forescout, que también utilizó CVE-2023-48788 para distribuir herramientas como ScreenConnect y Metasploit Powerfun. Los investigadores destacan que las técnicas empleadas por los atacantes continúan evolucionando en complejidad y efectividad.


En fin, la explotación de CVE-2023-48788 subraya la importancia de parchear sistemas críticos y limitar la exposición de servicios a Internet. Las empresas deben implementar medidas de seguridad robustas, como el monitoreo de red y el uso de herramientas de detección de intrusos, para protegerse contra estas amenazas en constante evolución.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#29

Sophos ha lanzado actualizaciones críticas para resolver tres vulnerabilidades de seguridad detectadas en sus productos Sophos Firewall. Estas fallas podrían permitir la ejecución remota de código y el acceso privilegiado al sistema en condiciones específicas. De las tres vulnerabilidades identificadas, dos se califican como críticas y actualmente no hay evidencia de que hayan sido explotadas de manera activa.

Vulnerabilidades detectadas:

CVE-2024-12727 (CVSS: 9.8 ):

Descripción: Vulnerabilidad de inyección SQL previa a la autenticación en la función de protección de correo electrónico.

Impacto: Ejecución remota de código cuando se habilita una configuración específica de Secure PDF eXchange (SPX) junto con el firewall en modo de alta disponibilidad (HA).

CVE-2024-12728 (CVSS: 9.8 ):

Descripción: Vulnerabilidad de credenciales débiles derivada de una frase de contraseña no aleatoria sugerida para el inicio de sesión SSH durante la configuración del clúster HA. Esta frase permanece activa tras completar el proceso de configuración.

Impacto: Acceso privilegiado si SSH está habilitado.

CVE-2024-12729 (CVSS: 8.8 ):

Descripción: Inyección de código posterior a la autenticación en el portal de usuario.

Impacto: Ejecución remota de código para usuarios autenticados.

Impacto y versiones afectadas:

  • CVE-2024-12727 afecta al 0,05% de los dispositivos.
  • CVE-2024-12728 afecta al 0,5% de los dispositivos.

Las vulnerabilidades afectan a Sophos Firewall en versiones 21.0 GA (21.0.0) y anteriores. Las correcciones se han implementado en las siguientes versiones:

  • CVE-2024-12727: v21 MR1 y posteriores (revisiones disponibles para versiones v21 GA, v20 GA, v20 MR1, entre otras).
  • CVE-2024-12728: v20 MR3, v21 MR1 y posteriores (revisiones disponibles para varias versiones anteriores).
  • CVE-2024-12729: v21 MR1 y posteriores (revisiones para v21 GA, v20 GA, y otras).

Verificación de parches aplicados:

CVE-2024-12727:

Ingrese a la consola avanzada desde Sophos Firewall.

Ejecute: cat /conf/nest_hotfix_status.

Revisión aplicada si el valor es 320 o superior.

CVE-2024-12728 y CVE-2024-12729:

Inicie la consola del dispositivo.

Ejecute: system diagnostic show version-info.

Revisión aplicada si el valor es HF120424.1 o posterior.

Medidas de mitigación temporales:

Mientras se aplican los parches, Sophos recomienda:

  • Restringir el acceso SSH al enlace HA dedicado físicamente separado.
  • Configurar HA con una frase de contraseña personalizada y segura.
  • Deshabilitar el acceso SSH desde la WAN.
  • Evitar exponer el portal de usuario y el administrador web a la WAN.

Contexto adicional:

Este anuncio llega poco después de que el gobierno de EE. UU. acusara a un ciudadano chino de explotar una vulnerabilidad de día cero (CVE-2020-12271, CVSS: 9.8) en Sophos Firewall, afectando a más de 81,000 dispositivos en todo el mundo. Este incidente subraya la importancia de mantener los sistemas actualizados y protegidos contra amenazas emergentes.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#30

Microsoft está investigando un problema que genera mensajes de error de "Producto desactivado" en aplicaciones de Office de Microsoft 365, afectando a numerosos usuarios. Según informes en plataformas como Reddit y la comunidad oficial de Microsoft, estos errores ocurren de forma aleatoria, causando interrupciones y confusión.

Causas principales del problema

De acuerdo con un documento de soporte publicado por Microsoft, los errores se originan debido a cambios en las licencias realizados por los administradores, tales como:

  • Mover usuarios entre grupos de licencias, incluyendo Azure Active Directory y grupos de seguridad locales sincronizados.
  • Cambiar suscripciones de usuario, como pasar de una licencia de Office 365 E3 a una de Microsoft 365 E3.
  • Modificar configuraciones de licencia o del plan de servicio, incluyendo el ajuste del plan de servicio "Última versión de Aplicaciones de escritorio".
  • Añadir o eliminar usuarios de grupos de licencias.

Soluciones sugeridas

Para resolver este problema, Microsoft recomienda las siguientes acciones:

  • Hacer clic en el botón "Reactivar" en el banner de error y volver a iniciar sesión.
  • Cerrar sesión en todas las aplicaciones de Microsoft 365, reiniciarlas e iniciar sesión nuevamente.
  • Contactar a los administradores para verificar el estado de la suscripción en el portal de administración de Microsoft 365 si el problema persiste.

Soporte adicional

Microsoft sugiere a los usuarios proporcionar registros y datos de diagnóstico a los ingenieros de soporte para facilitar la solución:

  • Utilizar la Herramienta de diagnóstico de licencias de Office.
  • Enviar los registros almacenados en el directorio %temp%/diagnostics.

Problemas relacionados recientes

Este error no es el único que afecta a los usuarios de Microsoft 365 en los últimos meses:

  • Outlook clásico: En noviembre, Microsoft lanzó una solución temporal para un problema que provocaba cuelgues al copiar texto.
  • Errores en aplicaciones de Office: En septiembre, corrigieron un fallo que bloqueaba Outlook, Word, Excel y OneNote al escribir o revisar la ortografía.

Próximos pasos

Aunque Microsoft no ha anunciado una solución definitiva, su equipo de ingeniería está trabajando activamente en este problema. Los usuarios y administradores deben seguir los canales oficiales de soporte para mantenerse informados sobre actualizaciones.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#31

Microsoft ha implementado un nuevo bloqueo de actualización para Windows 11 versión 24H2 en dispositivos que utilizan el software de mejora de audio Dirac, debido a problemas de compatibilidad que afectan la salida de sonido.

Problemas reportados

El inconveniente está relacionado con el archivo cridspapo.dll, un componente del software de procesamiento de audio de Dirac, que genera los siguientes errores:

  • Las aplicaciones no detectan dispositivos de audio conectados.
  • Los altavoces integrados, altavoces Bluetooth y auriculares Bluetooth dejan de funcionar tras la actualización.

Según Microsoft, tanto aplicaciones propias como de terceros son incapaces de reconocer los dispositivos afectados.

Medidas tomadas por Microsoft

Para evitar que el problema impacte a más usuarios, Microsoft ha aplicado una retención de actualización en los dispositivos con el software de audio Dirac. Esta medida, identificada como 54283088 en los informes de Windows Update para empresas, impide automáticamente que los sistemas vulnerables instalen la actualización de Windows 11 24H2.

Recomendaciones para usuarios y administradores:

  • Evitar actualizar manualmente los sistemas afectados mediante el Asistente de instalación de Windows 11 o la Herramienta de creación de medios.
  • Esperar a que el fabricante Dirac publique un controlador actualizado que solucione la incompatibilidad.

Solución en progreso

Microsoft ha asegurado que, una vez Dirac libere el controlador actualizado, trabajará para distribuirlo mediante Windows Update, lo que levantará la retención de salvaguarda y permitirá a los dispositivos actualizarse sin inconvenientes.

Cómo verificar retenciones de actualización

Los usuarios de Windows Home y Pro pueden comprobar si sus dispositivos están sujetos a una retención de protección siguiendo estos pasos:

  • Ir a Configuración > Inicio > Windows Update.
  • Seleccionar "Buscar actualizaciones".
  • Si existe una retención, aparecerá el mensaje:
  • "La actualización a Windows 11 está en camino a su dispositivo. No hay nada que requiera su atención en este momento."

El mensaje incluye un enlace "Más información" que redirige a una página con detalles sobre las medidas de seguridad. También puedes consultar el documento de soporte KB5006965 para obtener más información.

Problemas adicionales con Auto HDR

El mismo día, Microsoft añadió otro bloqueo de actualización para sistemas con Auto HDR, ya que la compatibilidad con esta función está causando bloqueos en juegos.

En fin, el problema de compatibilidad con Dirac Audio y otros errores como los relacionados con Auto HDR destacan la importancia de realizar pruebas de compatibilidad exhaustivas antes de implementar actualizaciones de software. Microsoft continúa trabajando para solucionar estos problemas y garantizar una experiencia estable para los usuarios de Windows 11 24H2.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#32

Juniper Networks ha emitido una advertencia crítica sobre una campaña maliciosa que explota los routers Session Smart Router (SSR) configurados con contraseñas predeterminadas. Esta actividad maliciosa utiliza el conocido malware de botnet Mirai para comprometer sistemas y lanzar ataques de denegación de servicio distribuido (DDoS).

El aviso fue emitido después de que "varios clientes" reportaran actividad anómala en las plataformas Session Smart Network (SSN) el 11 de diciembre de 2024. Según la compañía:
"Estos sistemas han sido infectados con el malware Mirai y utilizados como fuentes de ataques DDoS. Todos los dispositivos afectados empleaban contraseñas predeterminadas."

¿Qué es el malware Mirai?

Mirai, cuyo código fuente se filtró en 2016, es un malware especializado en reclutar dispositivos vulnerables en una botnet. Busca activamente vulnerabilidades conocidas y credenciales predeterminadas para tomar el control de sistemas conectados. Este malware ha evolucionado en diversas variantes utilizadas para ejecutar ataques DDoS de alto impacto.

Recomendaciones para mitigar el riesgo

Para proteger dispositivos contra estas amenazas, Juniper Networks recomienda implementar las siguientes medidas de seguridad:

  • Cambiar contraseñas predeterminadas por otras únicas y seguras.
  • Auditar registros de acceso para identificar actividad sospechosa, como intentos de fuerza bruta en SSH o escaneos de puertos inusuales.
  • Configurar firewalls para bloquear accesos no autorizados y restringir el tráfico saliente a direcciones IP no reconocidas.
  • Actualizar el software regularmente para cerrar posibles vulnerabilidades.
  • Reimaginar el sistema en caso de infección, ya que no se puede garantizar que el malware no haya alterado configuraciones o robado información.

Indicadores de infección por Mirai

Los siguientes comportamientos pueden indicar la presencia del malware Mirai:

  • Escaneo de puertos inusual.
  • Intentos repetidos de inicio de sesión SSH (ataques de fuerza bruta).
  • Aumento del tráfico saliente hacia direcciones IP sospechosas.
  • Reinicios inesperados del sistema.
  • Conexiones desde IPs maliciosas conocidas.

Amenaza emergente: malware cShell

En paralelo, el Centro de Inteligencia de Seguridad de AhnLab (ASEC) advirtió sobre una nueva familia de malware DDoS denominada cShell, que apunta a servidores Linux mal configurados, especialmente aquellos con servicios SSH expuestos públicamente.

Desarrollado en el lenguaje Go, cShell aprovecha herramientas de Linux como screen y hping3 para ejecutar ataques DDoS. Este descubrimiento subraya la importancia de fortalecer la seguridad de los servidores Linux y limitar la exposición de servicios críticos.

En fin, el reciente aumento en ataques relacionados con Mirai y cShell destaca la necesidad de una gestión robusta de contraseñas y medidas proactivas de seguridad en infraestructuras conectadas. Organizaciones y administradores deben priorizar la protección de sus redes para prevenir que dispositivos vulnerables sean utilizados como herramientas en campañas maliciosas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#33

Recientes investigaciones han detectado que ciberdelincuentes utilizan ataques de typosquatting para distribuir bibliotecas npm maliciosas, haciéndose pasar por herramientas populares como typescript-eslint y @types/node. Estas versiones falsificadas, denominadas @typescript_eslinter/eslint y types-node, han acumulado miles de descargas en el registro npm, permitiendo la distribución de troyanos y cargas útiles secundarias.

Ax Sharma, analista de seguridad en Sonatype, destacó:
"Aunque los ataques de typosquatting no son nuevos, la sofisticación de estas bibliotecas y sus altas descargas evidencian el esfuerzo de los atacantes y su impacto en los desarrolladores desprevenidos."

El análisis reveló que @typescript_eslinter/eslint apunta a un repositorio falso en GitHub bajo la cuenta "typescript-eslinter", creada el 29 de noviembre de 2024. Este paquete incluye un archivo llamado prettier.bat, que en realidad es un ejecutable malicioso (prettier.exe) identificado como dropper en VirusTotal. Al ejecutarse, este archivo instala persistencia en el sistema, permitiendo la ejecución automática tras reinicios.

Por su parte, el paquete types-node descarga scripts desde una URL de Pastebin, ejecutando un archivo malicioso nombrado engañosamente como npm.exe.

Extensiones VSCode maliciosas detectadas

El descubrimiento coincide con informes de extensiones maliciosas para Visual Studio Code (VSCode), detectadas por ReversingLabs en octubre de 2024. Estas extensiones, dirigidas inicialmente a la comunidad de criptomonedas, evolucionaron para suplantar aplicaciones como Zoom. Entre las extensiones eliminadas destacan:

  • EVM. Kit de herramientas de cadena de bloques
  • VoiceMod.VoiceMod
  • ZoomVideoComunicaciones.Zoom
  • Ethereum.SoliditySupport

CitarLucija Valentić, investigadora de ReversingLabs, afirmó:
"La posibilidad de comprometer un IDE lo convierte en un objetivo clave para los atacantes, especialmente cuando se trata de extensiones maliciosas que pasan desapercibidas."

Estas extensiones y bibliotecas incluyen JavaScript ofuscado, que actúa como descargador de cargas útiles de segunda etapa desde servidores remotos. Aún se desconoce la naturaleza exacta de estas cargas.

En fin, en este caso subraya la necesidad urgente de fortalecer la seguridad en la cadena de suministro de software y fomentar una mayor vigilancia al descargar herramientas de código abierto. Para los desarrolladores, es crucial evitar dependencias no verificadas que puedan comprometer proyectos y empresas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#34

Una reciente campaña de phishing, rastreada como FLUX#CONSOLE por la compañía de ciberseguridad Securonix, emplea archivos MSC (Microsoft Common Console Document) para desplegar una puerta trasera sigilosa y robar datos de sistemas comprometidos en Pakistán.

Inicio del ataque: Phishing con archivos MSC

Los investigadores Den Iuzvyk y Tim Peck señalaron que el ataque comienza con un enlace de phishing o un archivo adjunto malicioso, aunque el correo original no ha sido recuperado. La técnica principal se basa en archivos con extensiones dobles (.pdf.msc), que se hacen pasar por archivos PDF legítimos si la configuración del sistema no muestra las extensiones de archivo.

Una vez ejecutado a través de Microsoft Management Console (MMC), el archivo MSC activa un código JavaScript ofuscado que:

  • Recupera y muestra un archivo señuelo.
  • Carga encubiertamente un archivo DLL malicioso llamado DismCore.dll.

Un documento usado en esta campaña lleva el nombre "Reducciones de impuestos, reembolsos y créditos 2024", simulando ser un archivo legítimo de la Junta Federal de Ingresos de Pakistán (FBR).

Funcionalidad de la carga útil


La carga útil principal es una puerta trasera (backdoor) que:

  • Establece contacto con un servidor remoto.
  • Recibe comandos para exfiltrar datos sensibles del sistema infectado.
  • Establece persistencia mediante tareas programadas.

Innovación en métodos de ataque

Los expertos destacan que esta campaña muestra una evolución en el uso de archivos MSC, similar a la explotación de archivos LNK en años anteriores. Ambos formatos facilitan la ejecución de código malicioso mientras se integran con los flujos administrativos legítimos de Windows.

Además, la complejidad del ataque se evidencia en:

  • El uso de JavaScript altamente ofuscado en las etapas iniciales.
  • El código malicioso oculto en la DLL para evadir detecciones.

Relación con campañas anteriores

Aunque no hay atribución definitiva, Patchwork, un conocido actor de amenazas, utilizó anteriormente un documento similar relacionado con los impuestos de FBR en diciembre de 2023.

Recomendaciones de seguridad


Para protegerse contra este tipo de ataques, se recomienda:

  • Deshabilitar extensiones ocultas en los sistemas.
  • Implementar herramientas de seguridad que detecten archivos MSC y actividades inusuales.
  • Capacitar a los usuarios para identificar señuelos fiscales falsos.
  • Utilizar soluciones de detección avanzada que analicen el comportamiento del malware.

Esta campaña destaca la constante evolución de las tácticas de phishing y la necesidad de medidas proactivas para proteger sistemas críticos frente a amenazas avanzadas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#35

Una reciente campaña de ingeniería social utiliza Microsoft Teams para desplegar el malware DarkGate mediante el engaño a usuarios para instalar AnyDesk, una herramienta de acceso remoto.

Detalles del ataque

Según investigadores de Trend Micro, los atacantes contactaron a víctimas a través de Microsoft Teams, haciéndose pasar por clientes. Al no lograr instalar aplicaciones de soporte remoto de Microsoft, convencieron a las víctimas para descargar AnyDesk.

Una vez obtenido el acceso remoto, los atacantes implementaron DarkGate junto a otras cargas útiles, como ladrones de credenciales.

Características de DarkGate


DarkGate, activo desde 2018 y ahora ofrecido como Malware-as-a-Service (MaaS), posee capacidades como:

  • Robo de credenciales.
  • Keylogging (registro de teclas).
  • Captura de pantalla y audio.
  • Acceso remoto a escritorios.

La distribución del malware en este incidente se realizó mediante un script AutoIt, una técnica común en otras campañas detectadas en el último año.

Recomendaciones de seguridad

Ante esta amenaza, las organizaciones deben:

  • Habilitar la autenticación multifactor (MFA).
  • Restringir el uso de herramientas de acceso remoto no autorizadas.
  • Bloquear aplicaciones no verificadas.
  • Evaluar a proveedores de soporte técnico externos para evitar ataques de vishing.

Contexto: aumento de ataques de phishing

Este incidente coincide con un incremento global de campañas de phishing, que incluyen:

  • YouTube: Suplantación de marcas populares para engañar a creadores de contenido.
  • Quishing: Uso de códigos QR en archivos PDF maliciosos para robar credenciales de Microsoft 365.
  • Cloudflare Pages: Creación de sitios falsos con verificaciones CAPTCHA engañosas.
  • HTML adjuntos: Distribución de archivos disfrazados de facturas que ejecutan código malicioso.
  • Mensajes de WhatsApp: Dirigidos a usuarios en India con aplicaciones bancarias fraudulentas.

Estas campañas también aprovechan eventos globales para registrar dominios maliciosos que imitan sitios oficiales, explotando la urgencia y la confianza del público.

En fin la explotación de Microsoft Teams y AnyDesk para distribuir DarkGate demuestra la sofisticación de las tácticas de los ciberdelincuentes. Es fundamental que las organizaciones adopten medidas preventivas para protegerse de ataques basados en ingeniería social y otros vectores de acceso inicial.

Fuente:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#36

Una vulnerabilidad crítica en Apache Struts 2, identificada como CVE-2024-53677 (puntuación CVSS 9.5, "crítico"), está siendo explotada activamente mediante exploits de prueba de concepto (PoC) disponibles públicamente para localizar servidores vulnerables.

Descripción de la vulnerabilidad

Apache Struts es un marco de código abierto ampliamente utilizado para desarrollar aplicaciones web basadas en Java, empleado por organizaciones como agencias gubernamentales, instituciones financieras, plataformas de comercio electrónico y aerolíneas. La vulnerabilidad afecta a las siguientes versiones:

  • Struts 2.0.0 a 2.3.37 (fin de vida)
  • Struts 2.5.0 a 2.5.33
  • Struts 6.0.0 a 6.3.0.2

El problema reside en un error en la lógica de carga de archivos que permite el recorrido de rutas y la carga de archivos maliciosos, facilitando a los atacantes ejecutar código de manera remota.

"Un atacante puede manipular los parámetros de carga de archivos para habilitar el cruce de rutas y, en algunas circunstancias, cargar un archivo malicioso que permita la ejecución remota de código", indica el boletín de seguridad de Apache.

Riesgos de la vulnerabilidad

La falla CVE-2024-53677 permite a los atacantes:

  • Subir archivos maliciosos, como webshells.
  • Ejecutar comandos remotos en servidores afectados.
  • Descargar cargas útiles adicionales.
  • Robar información confidencial.

Esta vulnerabilidad guarda similitudes con CVE-2023-50164, lo que sugiere que podría tratarse de una solución incompleta de problemas anteriores.

Actividad de explotación detectada

El investigador Johannes Ullrich de SANS ISC reportó intentos activos de explotación mediante exploits basados en PoC públicas. Los atacantes están:

  • Cargando un archivo "exploit.jsp" que imprime la cadena "Apache Struts".
  • Verificando si el servidor es vulnerable al acceder a dicho script.

Hasta el momento, la explotación se ha originado desde una dirección IP única: 169.150.226.162.

Mitigación y recomendaciones

Para proteger los sistemas contra esta vulnerabilidad, Apache recomienda:

  • Actualizar a Apache Struts 6.4.0 o versiones posteriores.
  • Migrar al nuevo mecanismo de carga de archivos de acción.

Es importante destacar que aplicar el parche no es suficiente. Las aplicaciones deben ser reescritas para implementar el nuevo mecanismo de carga, ya que el antiguo sistema permanece vulnerable.

"Este cambio no es compatible con versiones anteriores. Continuar usando el antiguo mecanismo de carga te expone a ataques activos", advierte Apache.

Advertencias globales

Ante la explotación activa, agencias de ciberseguridad de Canadá, Australia y Bélgica han emitido alertas públicas instando a los desarrolladores a actualizar y proteger sus sistemas de forma inmediata.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#37

La Comisión Irlandesa de Protección de Datos (DPC) ha multado a Meta con 251 millones de euros (263,6 millones de dólares) por infracciones del Reglamento General de Protección de Datos (GDPR) tras una violación de datos personales ocurrida en 2018, la cual afectó a 29 millones de cuentas de Facebook.

Detalles de la violación y su impacto

El incidente fue provocado por la explotación de tokens de acceso de usuarios por parte de terceros no autorizados. Como resultado, se expusieron datos confidenciales, incluyendo:

  • Nombres completos
  • Direcciones de correo electrónico
  • Números de teléfono
  • Ubicaciones físicas

Además, la violación también afectó a menores de edad, lo que agravó la situación.

Acciones de Facebook y violaciones al GDPR

Aunque Facebook adoptó medidas correctivas inmediatas al descubrir el problema en la función "Ver como", el incidente incumplió varios artículos del GDPR. La DPC irlandesa destacó las siguientes violaciones y las correspondientes sanciones:

  • Artículo 33, apartado 3: Información incompleta en la notificación del incumplimiento → 8 millones de euros
  • Artículo 33, apartado 5: Documentación inadecuada sobre los hechos y recursos → 3 millones de euros
  • Artículo 25, apartado 1: Falta de integración de la protección de datos en el diseño del sistema → 130 millones de euros
  • Artículo 25, apartado 2: Incumplimiento de la limitación del tratamiento de datos a lo estrictamente necesario → 110 millones de euros

Declaraciones oficiales

El comisionado adjunto de la DPC, Graham Doyle, comentó:

Citar"Esta acción de cumplimiento subraya la importancia de integrar los requisitos de protección de datos desde el inicio del diseño y desarrollo de sistemas. No hacerlo puede exponer a las personas a riesgos significativos y daños graves, incluidos aquellos que afectan los derechos y libertades fundamentales".

La DPC ha prometido publicar próximamente la decisión completa, proporcionando al público más información sobre el caso.

Por su parte, Meta respondió al anuncio con la siguiente declaración enviada a BleepingComputer:

"Esta decisión está relacionada con un incidente de 2018. Adoptamos medidas inmediatas para solucionar el problema tan pronto como se identificó e informamos de manera proactiva tanto a las personas afectadas como a la Comisión de Protección de Datos de Irlanda".

Meta también enfatizó que cuentan con:

"Una amplia gama de medidas líderes en la industria para proteger a los usuarios en todas nuestras plataformas".

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#38

Mozilla ha anunciado que, a partir de la versión Firefox 135, eliminará la opción de "No Rastrear" (DNT) de su navegador. Esta decisión surge debido a la falta de cumplimiento de esta función por parte de las páginas web, lo que genera una falsa sensación de seguridad en los usuarios.

¿Por Qué Mozilla Elimina "No Rastrear"?

Introducida hace 15 años, la opción DNT fue una innovación pionera que permitía a los usuarios solicitar a los sitios web que no rastrearan su actividad. Aunque originalmente fue efectiva, hoy en día la mayoría de las páginas ignoran esta solicitud. Según Mozilla, mantener esta función activa da a los usuarios una sensación errónea de protección, reduciendo la privacidad en lugar de incrementarla.

Con el lanzamiento de Firefox 135, que actualmente se encuentra en el canal Nightly, la opción "Enviar a los sitios web una solicitud de 'No Rastrear'" será retirada del apartado de Privacidad. En su lugar, se prioriza una herramienta más efectiva y alineada con las normativas legales actuales.

La Alternativa: Global Privacy Control

Mozilla recomienda usar la opción "Decir a los sitios web que no vendan ni compartan mis datos", que ya está disponible en las versiones estables de Firefox. Esta función se basa en el estándar Global Privacy Control (GPC), una solución respetada por un número creciente de sitios web debido a su respaldo legal.

Al marcar esta casilla, los usuarios pueden exigir que los sitios cumplan con las leyes de privacidad vigentes, como el Reglamento General de Protección de Datos (GDPR) en Europa o la Ley de Privacidad del Consumidor de California (CCPA) en Estados Unidos.

Cambios para el Usuario Final

Para la mayoría de los usuarios, este cambio no supondrá grandes diferencias en la experiencia de navegación:

  • Mayor privacidad real: Al utilizar GPC, los datos de los usuarios estarán protegidos por ley.
  • Requiere acción mínima: Los usuarios solo deben asegurarse de marcar la nueva casilla de privacidad en el menú de configuración.

Firefox: Avanzando hacia una Privacidad Más Confiable

Aunque algunos podrían interpretar la eliminación de DNT como un retroceso, la realidad es que Mozilla está tomando medidas para ofrecer privacidad más efectiva y transparente. La transición a Global Privacy Control refuerza su compromiso con la protección de los datos de los usuarios, ajustándose a las exigencias de un entorno digital en constante evolución.

Con este cambio, Firefox 135 refuerza su posición como uno de los navegadores más comprometidos con la privacidad, alineándose con las mejores prácticas legales y tecnológicas para proteger a sus usuarios.


Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#39

Xfce 4.20, la esperada actualización del popular entorno de escritorio ligero, ya está disponible. Este lanzamiento trae importantes mejoras, incluyendo soporte experimental para Wayland, avances significativos en HiDPI, optimización del gestor de archivos Thunar y nuevas funcionalidades orientadas a la personalización y accesibilidad.

Soporte Experimental para Wayland

Xfce 4.20 marca un paso hacia la modernización con la introducción del soporte para Wayland, un sistema de ventanas más eficiente que promete revolucionar los escritorios en GNU/Linux. Aunque todavía en etapa experimental, los usuarios pueden probar esta funcionalidad utilizando el comando startxfce4 --wayland con compositores compatibles como Labwc o Wayfire. Sin embargo, algunos componentes clave como Xfwm4 o Xfdashboard aún no funcionan en este entorno.

Mejoras Destacadas en Thunar

El gestor de archivos Thunar ha recibido una serie de actualizaciones que lo hacen más ágil y funcional. Estas son algunas de las mejoras principales:

  • Soporte para enlaces simbólicos remotos y direcciones IPv6.
  • Barra de herramientas mejorada con nuevos botones e iconos en color.
  • Gestión avanzada de archivos, incluyendo la apertura automática de carpetas al arrastrar elementos y la visualización del número de archivos ocultos en la barra de estado.
  • Ordenación de carpetas antes de archivos, una función muy solicitada por los usuarios.

Estas novedades mejoran significativamente la experiencia al trabajar con grandes directorios o gestionar recursos en ubicaciones remotas.

Personalización y Usabilidad Mejoradas

Xfce 4.20 ofrece nuevas opciones para personalizar el escritorio:

  • Soporte para fondos de pantalla SVG, ideales para pantallas de alta resolución.
  • Etiquetas de iconos y fondos personalizables.
  • Menús contextuales rediseñados con opciones más claras y relevantes.
  • Configuración de atajos de teclado para una navegación más eficiente.

Además, la posibilidad de ubicar archivos o carpetas cerca del cursor al crearlos es un cambio sutil pero efectivo para optimizar flujos de trabajo.

Mejoras en el Panel y Configuración

El Panel de Xfce introduce ajustes inteligentes, como:

  • Ancho de borde personalizable y mejor detección de complementos.
  • Nuevas opciones para relojes analógicos y digitales.
  • Soporte para segmentos inactivos y perfiles de energía avanzados, ideales para usuarios de portátiles.

En el ámbito de configuración general, se han realizado mejoras significativas en:

  • Escalado de pantalla y temas oscuros.
  • Soporte para desplazamiento de alta resolución.
  • Gestión optimizada de aceleración de ratón y temas de iconos.

Accesibilidad y Aplicaciones Mejoradas

El buscador de aplicaciones ahora incluye funcionalidades como cierre automático al perder el foco y lanzamiento de aplicaciones con un solo clic. Estas opciones, junto con mejoras en la navegación por teclado, son especialmente útiles para usuarios que priorizan la accesibilidad.

Además, el diálogo "Acerca de Xfce" incluye nuevos detalles técnicos, como información sobre el sistema de ventanas y el procesador gráfico, facilitando el diagnóstico y soporte técnico.

Un Escritorio Ligero que No Sacrifica Funcionalidad

Con características como soporte para Wayland, optimizaciones en Thunar y mejoras de accesibilidad, Xfce 4.20 reafirma su compromiso de ofrecer un entorno de escritorio eficiente, moderno y personalizable. A medida que esta versión se integre en los repositorios estables de las principales distribuciones GNU/Linux, se consolidará como una opción ideal para quienes buscan ligereza sin renunciar a la funcionalidad.

Descubre Xfce 4.20 y lleva tu experiencia en escritorio a otro nivel.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#40
Noticias Informáticas / Alerta de Estafa Nomani
Diciembre 16, 2024, 02:49:55 PM

Investigadores de ciberseguridad han identificado un nuevo tipo de estafa, conocida como Nomani, que combina anuncios maliciosos, publicaciones en redes sociales y videos generados con IA que utilizan falsamente la imagen de personalidades famosas. Esta sofisticada estrategia ha provocado un aumento del 335% en casos reportados durante el segundo semestre de 2024, según el Informe de Amenazas H2 de ESET.

¿Cómo Operan los Estafadores?

La estafa tiene como objetivo redirigir a las víctimas a sitios web de phishing, donde se recopila información personal sensible. Nomani utiliza una red de perfiles robados o falsos, que incluyen cuentas de pequeñas empresas, entidades gubernamentales y microinfluencers. Estas cuentas publican anuncios en redes sociales como Messenger y Threads, además de reseñas positivas falsas en Google.

Estrategias de Engaño:

  • Anuncios Fraudulentos: Presentados como soluciones de inversión con nombres falsos como Quantum Bumex o Bitcoin Trader.
  • Phishing: Sitios web que imitan medios locales y abusan de marcas reconocidas.
  • Llamadas de Ingeniería Social: Los datos recolectados son usados para contactar a las víctimas y persuadirlas a invertir en supuestos productos financieros.

Cómo Nomani Despluma a las Víctimas

  • Captura de Información: Los usuarios proporcionan datos personales al completar formularios en sitios web falsos.
  • Manipulación Directa: Con los datos, los estafadores llaman a las víctimas para ofrecer "inversiones lucrativas".
  • Explotación Extrema: Los engañan para pedir préstamos o instalar aplicaciones de acceso remoto.
  • Estafa Final: Obligan a pagar comisiones para retirar supuestas ganancias, mientras roban más datos y dinero.

Al final, las víctimas no solo pierden su inversión inicial, sino también sus datos personales, utilizados en otros delitos.

¿Quién Está Detrás de Nomani?

Según ESET, esta operación podría estar vinculada a grupos de habla rusa, como lo evidencian comentarios en cirílico en el código fuente y el uso de herramientas de Yandex. Al igual que en otras estafas complejas como Telekopye, distintos equipos se encargan de cada etapa de la cadena de ataque: desde el robo y abuso de cuentas hasta la construcción de la infraestructura de phishing y gestión de call centers.

Operaciones Relacionadas: Fraude Global en Crecimiento

En Corea del Sur, una operación de fraude similar, llamada MIDAS, despojó a las víctimas de más de 6,3 millones de dólares usando plataformas de comercio falsas. Estas herramientas aparentaban realizar transacciones reales, pero en realidad capturaban información sensible y se negaban a devolver el dinero invertido.

Protección contra Estafas de Inversión

Para evitar ser víctima de Nomani u otras estafas similares, sigue estas recomendaciones:

  • Verifica fuentes: Comprueba la autenticidad de anuncios y perfiles en redes sociales.
  • Evita formularios sospechosos: Nunca compartas datos personales en sitios web no verificados.
  • Sé escéptico: Desconfía de ofertas que prometan ganancias rápidas.
  • Habilita la autenticación de dos factores: Esto dificulta el acceso no autorizado a tus cuentas.

Nomani es un claro ejemplo de cómo los cibercriminales están utilizando tecnologías avanzadas y estrategias de ingeniería social para llevar a cabo estafas a gran escala. La vigilancia y la educación son claves para evitar caer en sus trampas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta