El fabricante líder de cajeros automáticos de Bitcoin, General Bytes, reveló que los piratas informáticos robaron criptomonedas de la compañía y sus clientes utilizando una vulnerabilidad de día cero en su plataforma de gestión BATM.

General Bytes fabrica cajeros automáticos de Bitcoin que permiten a las personas comprar o vender más de 40 criptomonedas. Los clientes pueden implementar sus cajeros automáticos utilizando servidores de administración independientes o el servicio en la nube General Bytes.

Durante el fin de semana, la compañía reveló que los piratas informáticos explotaron una vulnerabilidad de día cero rastreada como BATM-4780 para cargar de forma remota una aplicación Java a través de la interfaz de servicio maestro de ATM y ejecutarla con privilegios de usuario 'batm'.

"El atacante escaneó el espacio de direcciones IP de alojamiento en la nube de Digital Ocean e identificó servicios CAS en ejecución en los puertos 7741, incluido el servicio General Bytes Cloud y otros operadores de cajeros automáticos de GB que ejecutan sus servidores en Digital Ocean (nuestro proveedor de alojamiento en la nube recomendado)", explicó General Bytes en una divulgación de incidentes de seguridad.

La compañía recurrió a Twitter para instar a los clientes a "tomar medidas inmediatas" e instalar las últimas actualizaciones para proteger sus servidores y fondos de los atacantes.


Después de cargar la aplicación Java, los actores de amenazas pudieron realizar las siguientes acciones en dispositivos comprometidos:

• Posibilidad de acceder a la base de datos.
• Capacidad para leer y descifrar claves API utilizadas para acceder a fondos en billeteras calientes e intercambios.
• Envía fondos desde billeteras calientes.
• Descargue los nombres de usuario, sus hashes de contraseña y desactive 2FA.
• Capacidad para acceder a los registros de eventos del terminal y escanear cualquier instancia en la que los clientes escanearon claves privadas en el cajero automático. Las versiones anteriores del software ATM registraban esta información.

General Bytes advirtió que sus clientes y su propio servicio en la nube fueron violados durante los ataques.

"El servicio GENERAL BYTES Cloud fue violado, así como los servidores independientes de otros operadores", destaca el comunicado.

Aunque la compañía reveló cuánto dinero robó el atacante, proporcionaron una lista de direcciones de criptomonedas utilizadas por el pirata informático durante el ataque.

Estas direcciones muestran que el hacker comenzó a robar criptomonedas de los servidores de cajeros automáticos de Bitcoin el 17 de marzo, y la dirección de Bitcoin del atacante recibió 56.28570959 BTC, por un valor aproximado de $ 1,589,000, y 21.79436191 Ethereum, por un valor aproximado de $ 39,000.

Si bien la billetera Bitcoin todavía contiene la criptomoneda robada, los actores de amenazas parecen haber utilizado Uniswap para convertir el Ethereum robado en USDT.

Actualizar servidores ahora

Se insta a los administradores de CAS (Crypto Application Server) a examinar sus archivos de registro "maestros.log" y "admin.log" para detectar cualquier brecha de tiempo sospechosa causada por el atacante que elimina las entradas de registro para ocultar sus acciones en el dispositivo.

El informe del general Byte también advirtió que las aplicaciones JAVA maliciosas cargadas aparecerían en la carpeta "/batm/app/admin/standalone/deployments/" como archivos .war y .war.deployed con nombres aleatorios, como se muestra a continuación.

La compañía señala que los nombres de los archivos son probablemente diferentes por víctima.


Aquellos sin signos de una violación aún deben considerar todas sus contraseñas CAS y claves API comprometidas e invalidarlas inmediatamente y generar otras nuevas. Todas las contraseñas de usuario también deben restablecerse.

Las instrucciones detalladas paso a paso para todos los operadores de servidores sobre la protección de sus puntos finales se incluyen en la declaración de la compañía.

Cerrar el servicio en la nube

General Bytes dice que están cerrando su servicio en la nube, afirmando que le resulta "teóricamente (y prácticamente) imposible" protegerlo de los malos actores cuando debe proporcionar acceso simultáneamente a múltiples operadores.

La compañía proporcionará soporte con la migración de datos a aquellos que deseen instalar su propio CAS independiente, que ahora debe colocarse detrás de un firewall y VPN.

General Byte también ha publicado una corrección de seguridad CAS que corrige la vulnerabilidad explotada, proporcionada en dos parches, 20221118.48 y 20230120.44.

También destaca que el sistema violado se sometió a múltiples auditorías de seguridad desde 2021, pero ninguna identificó la vulnerabilidad explotada.

Además, los investigadores del intercambio de criptomonedas Kraken encontraron múltiples vulnerabilidades en los cajeros automáticos de General Bytes en 2021, que la compañía solucionó rápidamente.

Sin embargo, incluso con estas auditorías de seguridad, en agosto de 2022, General Bytes tuvo un incidente de seguridad donde los piratas informáticos explotaron una vulnerabilidad de día cero en sus servidores de cajeros automáticos para robar criptomonedas de sus clientes.

La compañía dice que planea realizar numerosas auditorías de seguridad de sus productos por parte de múltiples compañías en un corto período de tiempo para descubrir y corregir otras fallas potenciales antes de que los malos actores las encuentren.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ferrari ha revelado una violación de datos luego de una demanda de rescate recibida después de que los atacantes obtuvieron acceso a algunos de los sistemas de TI de la compañía.

"Lamentamos informarle de un incidente cibernético en Ferrari, donde un actor de amenazas pudo acceder a un número limitado de sistemas en nuestro entorno de TI", dice Ferrari en las cartas de notificación de incumplimiento enviadas a los clientes.

El fabricante italiano de autos deportivos de lujo dice que la información del cliente expuesta en el incidente incluye nombres, direcciones, direcciones de correo electrónico y números de teléfono.

Hasta ahora, Ferrari aún no ha encontrado evidencia de que se haya accedido o robado detalles de pago, números de cuentas bancarias u otra información de pago confidencial.

"Ferrari N.V. anuncia que Ferrari S.p.A., su filial italiana de propiedad absoluta, fue contactada recientemente por un actor de amenazas con una demanda de rescate relacionada con ciertos datos de contacto del cliente", dijo la compañía en un comunicado.

"Al recibir la demanda de rescate, inmediatamente comenzamos una investigación en colaboración con una empresa líder mundial de ciberseguridad de terceros".


Sin impacto en las operaciones de Ferrari

Ferrari ha tomado medidas para asegurar los sistemas comprometidos y dice que el ataque no ha tenido ningún impacto en las operaciones de la compañía.

Después de descubrir la violación, Ferrari también informó del ataque a las autoridades pertinentes y está trabajando con una empresa de ciberseguridad para investigar el alcance del impacto.

"Como política, Ferrari no será secuestrado, ya que pagar tales demandas financia la actividad criminal y permite a los actores de amenazas perpetuar sus ataques", agregó la compañía.

"En cambio, creímos que el mejor curso de acción era informar a nuestros clientes y, por lo tanto, hemos notificado a nuestros clientes sobre la posible exposición de datos y la naturaleza del incidente".

Un portavoz de Ferrari no estuvo disponible de inmediato para hacer comentarios cuando fue contactado por BleepingComputer el día de hoy.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Amazon Linux 2023 es la nueva versión de la distribución desarrollada por el gigante detrás del conocido bazar y de Amazon Web Services (AWS), que en esta ocasión llega con algunas novedades importantes que profundizan en la adopción de Fedora como base en lugar de Red Hat Enteprise Linux (RHEL).

Amazon Linux, como es de esperar para quienes conozcan las diversas facetas que abarca el gigante fundado por Jeff Bezos, es una distribución desarrollada por y para AWS. La propia compañía dice que es la preferida por sus clientes debido a la ausencia de costes de licencia y sobre todo por "la estrecha integración con herramientas y capacidades específicas de AWS", así como por facilitar un "acceso inmediato a nuevas innovaciones de AWS y una experiencia de soporte de un solo proveedor".

La corporación explica que Amazon Linux 2023 (AL2023) "está diseñado para proporcionar un entorno seguro, estable y de alto rendimiento para desarrollar y ejecutar sus aplicaciones en la nube". Entre las novedades que ofrece en comparación con Amazon Linux 2, nos encontramos con que SELinux se encuentra activado en modo permisivo y con IMDSv2 habilitado por defecto junto a la capacidad de parchear el kernel en caliente. Otras características mencionadas son "una integración perfecta con varios servicios y herramientas de desarrollo de AWS" y "un rendimiento optimizado para las instancias basadas en Graviton de Amazon Elastic Compute Cloud (EC2) y AWS Support sin costo de licencia adicional".

Profundizando un poco en otra de las características, Amazon explica que, con las "actualizaciones deterministas a través de repositorios versionados, puede bloquear una versión específica del repositorio de paquetes de Amazon Linux, lo que le brinda control sobre cómo y cuándo absorbe las actualizaciones. Con esta capacidad, puede cumplir con las mejores prácticas operativas de manera más eficiente al garantizar la coherencia entre las versiones de los paquetes y las actualizaciones en todo su entorno".

El gigante responsable del conocido bazar ha explicado que a partir de AL2023 habrá una nueva versión mayor de Amazon Linux que será publicada cada dos años y que cada lanzamiento contará con hasta cinco años de soporte. Con una cadencia clara y fija, se brinda un ciclo de lanzamiento predecible que debería facilitar la planificación por parte de los usuarios y los administradores de sistema.

La cadencia de lanzamientos y el tiempo máximo de soporte anunciados ponen en evidencia que Amazon Linux 2023 no se ajusta ni va en sincronía con ninguna versión de Fedora en particular. "Amazon Linux 2023 mantiene sus propios ciclos de vida y soporte independientes de Fedora. AL2023 proporciona versiones actualizadas de software de código abierto, una mayor variedad de paquetes y lanzamientos frecuentes."

"AL2023 GA incluye componentes de Fedora 34, 35 y 36. Algunos de los componentes son los mismos que los componentes de Fedora y algunos están modificados. Otros componentes se parecen más a los de CentOS 9 Stream o se desarrollaron de forma independiente".

En Phoronix han comparado Amazon Linux 2023 y Amazon Linux 2 para descubrir que el primero, según sus pruebas, rinde aproximadamente un 14% más que el segundo, lo que muestra que al menos en este sentido el cambio de base a Fedora ha sido un éxito. Todos los detalles sobre el lanzamiento que protagoniza esta entada pueden ser consultados a través del anuncio oficial y la documentación.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La situación de Docker no es idílica desde hace tiempo. La empresa detrás del conocido motor de contenedores ha tomado en los últimos tiempos decisiones que han sembrado cierta desconfianza, pero la última puede que sea la que colme el vaso, ya que al parecer las cuentas que operan organizaciones de forma gratuita podrían desaparecer de Docker Hub, lo que puede terminar impactando negativamente en proyectos de código abierto.

Alex Ellis, fundador de OpenFaaS, cuenta en su blog personal que Docker ha enviado emails a usuarios de Docker Hub que han creado organizaciones que operan de forma gratuita para decirles que, si no pasan por caja en treinta días, sus cuentas serán eliminadas junto a todas sus imágenes después de un periodo de retención de otros treinta días. Las críticas que empezaron a aparecer a través de las redes hicieron que Docker suavizara un poco el mensaje, pero parece que, al menos por ahora, están decididos a seguir adelante con la eliminación de las cuentas que hayan creado una organización que opera bajo el plan gratuito.

Alex Ellis explica que, si bien no se opone que Docker pueda generar dinero, el último movimiento realizado por la compañía podría acarrear algunos problemas. Para empezar, las organizaciones que quieran almacenar imágenes públicas en Docker Hub tendrán que pagar 420 dólares anuales, estima.

Aquí nos encontramos con que muchos proyectos de código abierto están desarrollados y mantenidos por una única persona o por pequeñas organizaciones que no tienen el músculo económico suficiente como para pasar por caja. Ellis expone que entendería que esto se aplicara a los repositorios privados o a las nuevas organizaciones, pero no a las que están presentes.

Muchos proyectos de código abierto han publicado sus imágenes en Docker Hub durante años de forma pública, gratuita y a través de una organización. Alex Ellis expone que esta vía abre la puerta a que cualquiera pueda «ciberocupar» las imágenes para publicar contenido malicioso. Debido a eso, las imágenes comunitarias y gratuitas de OpenFaaS ahora son publicadas en el registro de contenedores de GitHub.

El último problema señalado por Ellis es que "Docker tiene una definición hostil y fuera de contacto de lo que está permitido para su programa de código abierto. Descarta todo lo que no sean proyectos de tiempo libre o proyectos que hayan sido totalmente donados a una fundación de código abierto", denuncia.

¿Qué se puede hacer en caso de estar empleando una organización en Docker Hub que opera de forma gratuita? El fundador de OpenFaaS recomienda a los usuarios legítimos, en caso de ser viable la eliminación completa de la organización, ciberocupar las imágenes antes de que lo haga un actor malicioso. Para ello habría que crear una nueva cuenta personal en Docker Hub, hacer una réplica de todas las imágenes y etiquetas hacia dicha cuenta nueva, eliminar la organización y renombrar la nueva cuenta de usuario personal para que coincida con el que tenía la organización.

Por ahora parece que los usuarios individuales sí podrán seguir operando de forma gratuita, pues el plan de suscripción gratuito no desaparece, aunque se dirige solo a individuos. La otra vía es publicar las imágenes en el Registro de Contenedores de GitHub, el cual ofrece almacenamiento gratuito. Alex Ellis avisa que esta solución no es una panacea, ya que "GitHub también perjudicó a los desarrolladores de código abierto fue cuando canceló todos los patrocinios a los mantenedores a los que se les pagaba a través de PayPal".

Ellis recalca que, a pesar de sus críticas hacia la decisión de Docker, no se considera como una persona que piense que todo el software y todos los servicios deban ser gratuitos y es más, él mismo emplea una cuenta personal de pago en Docker Hub para obtener las imágenes base como las de Go y Node.js como parte su trabajo en torno al código abierto. Eso sí, lo de publicar imágenes es ya otro asunto.

Veremos qué pasa con Docker Hub en un futuro si la empresa responsable decide mantenerse firme en su decisión. El propio Alex Ellis ha enlazado en su blog los ingresos que Docker, los cuales han aumentado mucho en los últimos años.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha publicado un script para facilitar la revisión de una vulnerabilidad de seguridad de omisión de BitLocker en el Entorno de recuperación de Windows (WinRE).

Este script de PowerShell (KB5025175) simplifica el proceso de proteger las imágenes de WinRE contra los intentos de aprovechar el error CVE-2022-41099 que permite a los atacantes omitir los dispositivos de almacenamiento del sistema de la característica de cifrado de dispositivos de BitLocker.

La explotación exitosa de esto permite a los actores de amenazas con acceso físico acceder a datos cifrados en ataques de baja complejidad.

Según Microsoft, la vulnerabilidad no se puede explotar si el usuario ha habilitado la protección TPM + PIN de BitLocker.

"El script de ejemplo de PowerShell fue desarrollado por el equipo de producto de Microsoft para ayudar a automatizar la actualización de imágenes WinRE en dispositivos Windows 10 y Windows 11", dice Microsoft en un documento de soporte publicado el jueves.

"Ejecute el script con credenciales de administrador en PowerShell en los dispositivos afectados. Hay dos scripts disponibles: el script que debe usar depende de la versión de Windows que esté ejecutando.

La versión de script recomendada es PatchWinREScript_2004plus.ps1, que ayuda a aplicar las actualizaciones de seguridad en sistemas que ejecutan Windows 10 2004 y versiones posteriores (incluido Windows 11).

El otro script de PowerShell (PatchWinREScript_General.ps1) es menos robusto y debe usarse en Windows 10 1909 y versiones anteriores (aunque se ejecutará en todos los sistemas Windows 10 y Windows 11).


Cómo utilizar el script de revisión de WinRE

Los scripts de revisión CVE-2022-41099 se pueden ejecutar desde Windows PowerShell y permiten a los administradores especificar la ruta de acceso y el nombre del paquete de actualización dinámica de SO seguro que se debe usar para actualizar la imagen de WinRE.

Estos paquetes de actualización son específicos de la versión del sistema operativo y de la arquitectura del procesador, y deben descargarse previamente del Catálogo de Microsoft Update.

Los scripts también permiten pasar un parámetro workDir para seleccionar el espacio temporal que se utilizará durante el proceso de aplicación de parches (si no se especifica, el script utilizará la carpeta temporal predeterminada de Windows).

Una vez iniciado, el script seguirá los siguientes pasos:

• Monte la imagen de WinRE existente (WINRE. WIM).
• Actualice la imagen de WinRE con el paquete especificado de actualización dinámica de SO seguro (actualización de compatibilidad) disponible en el Catálogo de Windows Update (se recomienda la actualización más reciente disponible para la versión de Windows instalada en el dispositivo)
• Desmonte la imagen de WinRE.
• Si el protector TPM de BitLocker está presente, vuelve a configurar WinRE para el servicio BitLocker.

Después de ejecutar el script, no será necesario reiniciar el sistema para completar el proceso de revisión de imágenes de WinRE.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La NBA (Asociación Nacional de Baloncesto) está notificando a los fanáticos de una violación de datos después de que parte de su información personal, "en retención" de un servicio de boletín de terceros, fuera robada.

La NBA es una organización global de deportes y medios de comunicación que administra cinco ligas deportivas profesionales, incluidas la NBA, la WNBA, la Basketball Africa League, la NBA G League y la NBA 2K League.

La programación y los juegos de la NBA se transmiten en todo el mundo, en más de 215 países y territorios, abarcando más de 50 idiomas.

En los correos electrónicos de "Aviso de incidente de ciberseguridad" enviados a un número desconocido de fanáticos, la NBA dice que sus sistemas no fueron violados y que las credenciales de los fanáticos afectados no se vieron afectadas en este incidente. Sin embargo, la información personal de algunos fanáticos fue robada.


"Recientemente nos dimos cuenta de que un tercero no autorizado obtuvo acceso y obtuvo una copia de su nombre y dirección de correo electrónico, que estaba en manos de un proveedor de servicios externo que nos ayuda a comunicarnos por correo electrónico con los fanáticos que han compartido esta información con la NBA", dice la NBA.

"No hay indicios de que nuestros sistemas, su nombre de usuario, contraseña o cualquier otra información que haya compartido con nosotros se hayan visto afectados".

Después de ser informada del incidente, la NBA está trabajando con el proveedor de servicios externo como parte de una investigación en curso y ha contratado los servicios de expertos externos en ciberseguridad para analizar el alcance del impacto.

Se advierte a los fanáticos que tengan cuidado con los ataques de phishing

La NBA también advirtió que, debido a la naturaleza sensible de los datos involucrados, existe una mayor probabilidad de que las personas afectadas puedan ser blanco de ataques de phishing y varias estafas.

Se alentó encarecidamente a los fanáticos afectados a permanecer atentos al abrir correos electrónicos o comunicaciones sospechosas que puedan parecer originadas por la NBA o sus socios.

"Dada la naturaleza de la información, puede haber un mayor riesgo de que reciba correos electrónicos de 'phishing' de cuentas de correo electrónico que parecen estar afiliadas a la NBA, o de ser blanco de otros ataques llamados de 'ingeniería social' (donde un individuo busca engañar al objetivo para que comparta información confidencial o tome medidas contrarias a su propio interés, ", dijo la NBA.

Los correos electrónicos de notificación agregan que la NBA nunca solicitará la información de la cuenta de los fanáticos, incluidos nombres de usuario o contraseñas, por correo electrónico.

También se recomienda a los fans afectados que verifiquen que los correos electrónicos recibidos se envíen desde una dirección de correo electrónico legítima "@nba.com", que verifiquen que los enlaces incrustados apunten a un sitio web de confianza y que nunca abran archivos adjuntos de correo electrónico que no esperan recibir.

Un portavoz de la NBA no estuvo disponible para hacer comentarios cuando fue contactado por BleepingComputer el día de hoy.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La explotación de día cero de una falla de seguridad de gravedad media ahora parcheada en el sistema operativo Fortinet FortiOS se ha relacionado con un presunto grupo de piratería chino.

La firma de inteligencia de amenazas Mandiant, que hizo la atribución, dijo que el grupo de actividad es parte de una campaña más amplia diseñada para implementar puertas traseras en las soluciones de Fortinet y VMware y mantener el acceso persistente a los entornos de las víctimas.

La firma de inteligencia de amenazas y respuesta a incidentes propiedad de Google está rastreando la operación maliciosa bajo su apodo sin categorizar UNC3886, un actor de amenazas de nexo con China.

"UNC3886 es un grupo avanzado de ciberespionaje con capacidades únicas en la forma en que operan en la red, así como las herramientas que utilizan en sus campañas", dijeron los investigadores de Mandiant en un análisis técnico.

"UNC3886 se ha observado apuntando a tecnologías de firewall y virtualización que carecen de soporte EDR. Su capacidad para manipular el firmware del firewall y explotar un día cero indica que han seleccionado un nivel más profundo de comprensión de tales tecnologías".

Vale la pena señalar que el adversario estaba vinculado previamente a otro conjunto de intrusiones dirigido a servidores VMware ESXi y Linux vCenter como parte de una campaña de hiperjacking diseñada para eliminar puertas traseras como VIRTUALPITA y VIRTUALPIE.

La última revelación de Mandiant se produce cuando Fortinet reveló que las entidades gubernamentales y las grandes organizaciones fueron víctimas de un actor de amenazas no identificado al aprovechar un error de día cero en el software Fortinet FortiOS para provocar la pérdida de datos y la corrupción del sistema operativo y los archivos.

La vulnerabilidad, rastreada como CVE-2022-41328 (puntuación CVSS: 6.5), se refiere a un error de recorrido de ruta en FortiOS que podría conducir a la ejecución de código arbitrario. Fue parcheado por Fortinet el 7 de marzo de 2023.

Según Mandiant, los ataques montados por UNC3886 se dirigieron a los dispositivos FortiGate, FortiManager y FortiAnalyzer de Fortinet para implementar dos implantes diferentes como THINCRUST y CASTLETAP. Esto, a su vez, fue posible debido al hecho de que el dispositivo FortiManager estaba expuesto a Internet.


THINCRUST es una puerta trasera de Python capaz de ejecutar comandos arbitrarios, así como leer y escribir desde y hacia archivos en el disco.

La persistencia ofrecida por THINCRUST se aprovecha posteriormente para entregar scripts FortiManager que arman la falla transversal de ruta de FortiOS para sobrescribir archivos legítimos y modificar imágenes de firmware.

Esto incluye una carga útil recién agregada llamada "/ bin / fgfm" (conocida como CASTLETAP) que se dirige a un servidor controlado por actores para aceptar instrucciones entrantes que le permiten ejecutar comandos, obtener cargas útiles y filtrar datos del host comprometido.


"Una vez que CASTLETAP se implementó en los firewalls FortiGate, el actor de amenazas se conectó a las máquinas ESXi y vCenter", explicaron los investigadores. "El actor de amenazas implementó VIRTUALPITA y VIRTUALPIE para establecer la persistencia, permitiendo el acceso continuo a los hipervisores y las máquinas invitadas".

Alternativamente, en los dispositivos FortiManager que implementan restricciones de acceso a Internet, se dice que el actor de amenazas ha pivotado desde un firewall FortiGate comprometido con CASTLETAP para dejar caer una puerta trasera de shell inversa llamada REPTILE ("/ bin / klogd") en el sistema de administración de red para recuperar el acceso.

UNC3886 también emplea en esta etapa una utilidad denominada TABLEFLIP, un software de redirección de tráfico de red para conectarse directamente al dispositivo FortiManager independientemente de las reglas de lista de control de acceso (ACL) implementadas.

Esta está lejos de ser la primera vez que los colectivos adversarios chinos se han dirigido a equipos de red para distribuir malware a medida, con ataques recientes que aprovechan otras vulnerabilidades en dispositivos Fortinet y SonicWall.

La revelación también se produce cuando los actores de amenazas están desarrollando e implementando exploits más rápido que nunca, con hasta 28 vulnerabilidades explotadas dentro de los siete días posteriores a la divulgación pública, un aumento del 12% con respecto a 2021 y un aumento del 87% con respecto a 2020, según Rapid7.

Esto también es significativo, sobre todo porque los equipos de piratería alineados con China se han vuelto "particularmente competentes" en la explotación de vulnerabilidades de día cero y el despliegue de malware personalizado para robar credenciales de usuario y mantener el acceso a largo plazo a las redes objetivo.

"La actividad [...] es una prueba más de que los actores avanzados de amenazas de ciberespionaje están aprovechando cualquier tecnología disponible para persistir y atravesar un entorno objetivo, especialmente aquellas tecnologías que no admiten soluciones EDR", dijo Mandiant.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las autoridades policiales de Estados Unidos arrestaron a un hombre de Nueva York en relación con la gestión del infame foro de piratería BreachForums bajo el alias en línea "Pompompurin".

El desarrollo, reportado por primera vez por Bloomberg Law, se produce después de que News 12 Westchester, a principios de esta semana, dijera que los investigadores federales "pasaron horas dentro y fuera de una casa en Peekskill".

"En un momento dado, los investigadores fueron vistos sacando varias bolsas de evidencia de la casa", agregó el servicio local de noticias con sede en Nueva York.

Según una declaración jurada presentada por la Oficina Federal de Investigaciones (FBI), el sospechoso se identificó como Conor Brian Fitzpatrick y admitió ser el propietario del sitio web BreachForums.

"Cuando arresté al acusado el 15 de marzo de 2023, me declaró en sustancia y en parte que: a) su nombre era Conor Brian Fitzpatrick; b) usó el alias 'pompompurin', y c) era el propietario y administrador de 'BreachForums'", dijo el agente especial del FBI, John Longmire.

Fitzpatrick ha sido acusado de un cargo de conspiración para solicitar individuos con el propósito de vender dispositivos de acceso no autorizados.

El acusado fue liberado un día después con una fianza de $ 300,000 firmada por sus padres y está programado para comparecer ante el Tribunal de Distrito para el Distrito Este de Virginia el 24 de marzo de 2023.

Además de tener prohibido obtener un pasaporte u otro documento de viaje internacional, a Fitzpatrick se le ha restringido contactar a sus co-conspiradores y usar un narcótico u otras sustancias controladas a menos que sea recetado por un médico con licencia.

BreachForums surgió el año pasado, tres semanas después de que una operación coordinada de aplicación de la ley tomara el control de RaidForums en marzo de 2022.

"En el hilo de bienvenida del actor de amenazas, 'pompompurin' declaró que habían creado BreachForums como una alternativa a RaidForums, pero que 'no estaba afiliado a RaidForums en ninguna capacidad'", dijo la firma de ciberseguridad Flashpoint en ese momento.


Desde entonces, el foro ha atraído notoriedad por alojar bases de datos robadas pertenecientes a varias compañías, que a menudo incluyen información personal confidencial.

A raíz del arresto de Fitzpatrick, otro usuario del foro llamado Baphomet dijo que estaban tomando posesión del sitio web, señalando que no hay evidencia de "acceso o modificaciones a Breach".

"Mi única respuesta a [la policía], o a cualquier medio de comunicación es que no tengo preocupaciones por mí mismo en este momento", dijo Baphomet en el anuncio. "OPSEC ha sido mi enfoque desde el primer día, y afortunadamente no creo que ningún león de montaña me ataque en mi pequeño bote de pesca".

El desarrollo se produce cuando la Policía Cibernética de Ucrania anunció el arresto de un desarrollador de 25 años que creó un troyano de acceso remoto que infectó a más de 10,000 computadoras bajo la apariencia de aplicaciones de juegos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó el 15 de marzo una vulnerabilidad de seguridad que afecta a Adobe ColdFusion a su catálogo de vulnerabilidades explotadas conocidas (KEV), basándose en evidencia de explotación activa.

La falla crítica en cuestión es CVE-2023-26360 (puntuación CVSS: 8.6), que podría ser explotada por un actor de amenazas para lograr la ejecución de código arbitrario.

"Adobe ColdFusion contiene una vulnerabilidad de control de acceso incorrecta que permite la ejecución remota de código", dijo CISA.

La vulnerabilidad afecta a ColdFusion 2018 (Update 15 y versiones anteriores) y ColdFusion 2021 (Update 5 y versiones anteriores). Se ha abordado en las versiones Update 16 y Update 6, respectivamente, publicadas el 14 de marzo de 2023.

Vale la pena señalar que CVE-2023-26360 también afecta a las instalaciones de ColdFusion 2016 y ColdFusion 11, las cuales ya no son compatibles con la compañía de software ya que han llegado al final de su vida útil (EoL).

Si bien se desconocen los detalles exactos que rodean la naturaleza de los ataques, Adobe dijo en un aviso que es consciente de que la falla está siendo "explotada en la naturaleza en ataques muy limitados".

Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las actualizaciones antes del 5 de abril de 2023 para proteger sus redes contra posibles amenazas.

Charlie Arehart, un investigador de seguridad acreditado con el descubrimiento y la denuncia de la falla junto con Pete Freitag, lo describió como un problema "grave" que podría resultar en una "ejecución de código arbitrario" y una "lectura arbitraria del sistema de archivos".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una coalición de agencias policiales de toda Europa y Estados Unidos anunció la eliminación de ChipMixer, un mezclador de criptomonedas sin licencia que comenzó sus operaciones en agosto de 2017.

"El software ChipMixer bloqueó el rastro blockchain de los fondos, haciéndolo atractivo para los ciberdelincuentes que buscan lavar ganancias ilegales de actividades delictivas como el tráfico de drogas, el tráfico de armas, los ataques de ransomware y el fraude con tarjetas de pago", dijo Europol en un comunicado.

El ejercicio coordinado, además de desmantelar los sitios web clearnet y dark web asociados con ChipMixer, también resultó en la incautación de $ 47.5 millones en Bitcoin y 7 TB de datos.

Los mezcladores, también llamados vasos, ofrecen anonimato total por una tarifa al mezclar criptomonedas de diferentes usuarios, tanto fondos legítimos como derivados de la delincuencia, de una manera que dificulta el rastreo de los orígenes.

Esto se logra canalizando diferentes pagos en un solo grupo antes de dividir cada cantidad y transmitirlos a los destinatarios designados, convirtiéndolo así en una opción atractiva para los delincuentes que buscan cobrar y cambiar el dinero contaminado por moneda fiduciaria.

Según un informe de Chainalysis en enero de 2023, "los mezcladores procesaron un total de $ 7.8 mil millones en 2022, el 24% de los cuales provino de direcciones ilícitas", y "la gran mayoría del valor ilícito procesado por los mezcladores se compone de fondos robados, la mayoría de los cuales fueron robados por piratas informáticos vinculados a Corea del Norte".

Se estima que ChipMixer, el servicio centralizado de mezclador criptográfico más grande del mundo, ha lavado no menos de $ 3.75 mil millones en activos digitales (152,000 BTC) para promover una amplia gama de esquemas criminales.

La firma de análisis de blockchain Elliptic dijo que ChipMixer se ha utilizado para lavar más de $ 844 millones en Bitcoin que pueden vincularse directamente a actividades delictivas.

"ChipMixer fue uno de una variedad de mezcladores utilizados para lavar las ganancias de los hackeos perpetrados por el Grupo Lazarus de Corea del Norte", dijo el cofundador y científico jefe de Elliptic, Tom Robinson.

Esto comprende el robo de KuCoin en septiembre de 2020, así como los hacks Axie Infinity Ronin Bridge y Harmony Horizon Bridge que tuvieron lugar el año pasado.

El Grupo Lazarus está lejos de ser el único cliente infame que ha utilizado el servicio para ofuscar las pistas financieras. Los otros actores prominentes consisten en equipos de ransomware como LockBit, Sodinokibi (también conocido como REvil), Zeppelin, Mamba, Dharma y SunCrypt.

Además, se dice que ChipMixer ha atraído más de $ 200 millones en Bitcoin vinculados a compras originadas en los mercados de la red oscura, incluidos $ 60 millones de clientes de la ahora desaparecida Hydra.

La plataforma mezcladora, según el Departamento de Justicia de los Estados Unidos (DoJ), también procesó la criptomoneda utilizada por el grupo de piratería APT28 vinculado a Rusia (también conocido como Fancy Bear o Strontium) para adquirir la infraestructura empleada en relación con un malware llamado Drovorub.

Coincidiendo con la represión, el Departamento de Justicia acusó además a un ciudadano vietnamita de 49 años, Minh Quốc Nguyễn, por su papel en la creación y ejecución de la infraestructura en línea de ChipMixer y la publicidad de sus servicios.

"ChipMixer facilitó el lavado de criptomonedas, específicamente Bitcoin, a gran escala internacional, instigando a actores nefastos y criminales de todo tipo para evadir la detección", dijo la fiscal federal Jacqueline C. Romero.

"Plataformas como ChipMixer, que están diseñadas para ocultar las fuentes y destinos de cantidades asombrosas de ganancias criminales, socavan la confianza del público en las criptomonedas y la tecnología blockchain".

El desarrollo es el último de una serie de acciones de aplicación de la ley emprendidas por gobiernos de todo el mundo para abordar el delito cibernético, y se produce semanas después de que se iniciaran "procedimientos penales" contra presuntos miembros principales de la pandilla de ransomware DoppelPaymer.

ChipMixer es también el cuarto servicio de mezclador prohibido en los últimos años después de la interrupción de Bestmixer, Blender y Tornado Cash, los dos últimos de los cuales fueron sancionados por el Departamento del Tesoro de los Estados Unidos el año pasado por complicidad con Lazarus Group y otros actores de amenazas en el lavado de ganancias mal habidas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Project Zero, el equipo de búsqueda de errores de día cero de Google, descubrió e informó 18 vulnerabilidades de día cero en los conjuntos de chips Exynos de Samsung utilizados en dispositivos móviles, dispositivos portátiles y automóviles.

Las fallas de seguridad del módem Exynos se informaron entre finales de 2022 y principios de 2023. Cuatro de los dieciocho días cero fueron identificados como los más serios, permitiendo la ejecución remota de código desde Internet a la banda base.

Estos errores de ejecución remota de código (RCE) de Internet a banda base (incluidos CVE-2023-24033 y otros tres que aún esperan un CVE-ID) permiten a los atacantes comprometer dispositivos vulnerables de forma remota y sin ninguna interacción del usuario.

"El software de banda base no verifica adecuadamente los tipos de formato del atributo de tipo de aceptación especificado por el SDP, lo que puede conducir a una denegación de servicio o ejecución de código en el módem de banda base de Samsung", dice Samsung en un aviso de seguridad que describe la vulnerabilidad CVE-2023-24033.

La única información requerida para que los ataques se lleven a cabo es el número de teléfono de la víctima, según Tim Willis, jefe de Project Zero.

Para empeorar las cosas, con una investigación adicional mínima, los atacantes experimentados podrían crear fácilmente un exploit capaz de comprometer de forma remota los dispositivos vulnerables sin llamar la atención de los objetivos.

"Debido a una combinación muy rara de nivel de acceso que proporcionan estas vulnerabilidades y la velocidad con la que creemos que se podría elaborar un exploit operativo confiable, hemos decidido hacer una excepción de política para retrasar la divulgación de las cuatro vulnerabilidades que permiten la ejecución remota de código de Internet a banda base", dijo Willis.

Las 14 fallas restantes (incluidas CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 y otras nueve en espera de CVE-ID) no son tan críticas, pero aún representan un riesgo. La explotación exitosa requiere acceso local o un operador de red móvil malicioso.

Según la lista de chipsets afectados proporcionada por Samsung, la lista de dispositivos afectados incluye, entre otros:

• Dispositivos móviles de Samsung, incluidos los de las series S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 y A04;
• Dispositivos móviles de Vivo, incluidos los de las series S16, S15, S6, X70, X60 y X30;
• Las series de dispositivos Pixel 6 y Pixel 7 de Google;
• cualquier wearable que utilice el chipset Exynos W920; y
• cualquier vehículo que utilice el chipset Exynos Auto T5123.

Solución disponible para los dispositivos afectados

Si bien Samsung ya ha proporcionado actualizaciones de seguridad que abordan estas vulnerabilidades en los chipsets afectados a otros proveedores, los parches no son públicos y no pueden ser aplicados por todos los usuarios afectados.

La línea de tiempo de parches de cada fabricante para sus dispositivos será diferente, pero, por ejemplo, Google ya ha abordado CVE-2023-24033 para los dispositivos Pixel afectados en sus actualizaciones de seguridad de marzo de 2023.


Sin embargo, hasta que los parches estén disponibles, los usuarios pueden frustrar los intentos de explotación de RCE de banda base dirigidos a los chipsets Exynos de Samsung en su dispositivo deshabilitando las llamadas Wi-Fi y Voice-over-LTE (VoLTE) para eliminar el vector de ataque.

Samsung también confirmó la solución de Project Zero, diciendo que "los usuarios pueden deshabilitar las llamadas WiFi y VoLTE para mitigar el impacto de esta vulnerabilidad".

"Como siempre, alentamos a los usuarios finales a actualizar sus dispositivos lo antes posible, para asegurarse de que están ejecutando las últimas compilaciones que corrigen las vulnerabilidades de seguridad divulgadas y no reveladas", agregó Willis.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El grupo de ransomware BianLian ha cambiado su enfoque de cifrar los archivos de sus víctimas a solo exfiltrar datos encontrados en redes comprometidas y usarlos para extorsión.

Este desarrollo operativo en BianLian fue reportado por la compañía de ciberseguridad Redacted, que ha visto signos de que el grupo de amenazas intenta elaborar sus habilidades de extorsión y aumentar la presión sobre las víctimas.

BianLian es una operación de ransomware que apareció por primera vez en la naturaleza en julio de 2022, violando con éxito múltiples organizaciones de alto perfil.

En enero de 2023, Avast lanzó un descifrador gratuito para ayudar a las víctimas a recuperar archivos cifrados por el ransomware.

Ataques recientes de BianLian

Los operadores de BianLian han mantenido sus técnicas iniciales de acceso y movimiento lateral iguales y continúan implementando una puerta trasera personalizada basada en Go que les brinda acceso remoto en el dispositivo comprometido, aunque una versión ligeramente mejorada del mismo.

Los actores de amenazas publican a sus víctimas en forma enmascarada tan pronto como 48 horas después de la violación en su sitio de extorsión, dándoles aproximadamente diez días para pagar el rescate.

A partir del 13 de marzo de 2023, BianLian ha enumerado un total de 118 organizaciones de víctimas en su portal de extorsión, y la gran mayoría (71%) son empresas con sede en los Estados Unidos.


La principal diferencia observada en los ataques recientes es que BianLian intenta monetizar sus infracciones sin cifrar los archivos de la víctima. En cambio, ahora se basa únicamente en amenazar con filtrar los datos robados.

"El grupo promete que después de que se les pague, no filtrarán los datos robados ni revelarán el hecho de que la organización víctima ha sufrido una violación. BianLian ofrece estas garantías basadas en el hecho de que su "negocio" depende de su reputación", menciona Redacted en el informe.

"En varios casos, BianLian hizo referencia a los problemas legales y regulatorios que enfrentaría una víctima si se hiciera público que la organización había sufrido una violación. El grupo también ha ido tan lejos como para incluir referencias específicas a las subsecciones de varias leyes y estatutos.

Redacted ha encontrado que en muchos casos, las referencias legales hechas por los operadores de BianLian eran aplicables en la región de la víctima, lo que indica que los actores de amenazas están perfeccionando sus habilidades de extorsión al analizar los riesgos legales de una víctima para formular argumentos sólidos.

Se desconoce si BianLian abandonó la táctica de cifrado porque Avast rompió su cifrado o porque este evento les ayudó a darse cuenta de que no necesitaban esa parte de la cadena de ataque para extorsionar a las víctimas para que pagaran rescates.

Cabe mencionar que cuando Avast lanzó su descifrador gratuito, BianLian minimizó su importancia, diciendo que solo funcionaría en versiones tempranas del "verano de 2022" del ransomware y corrompería los archivos cifrados por todas las compilaciones posteriores.

Extorsión sin cifrado

El cifrado de archivos, el robo de datos y la amenaza de filtrar archivos robados se conoce como una táctica de "doble extorsión", que sirve como una forma adicional de coerción para las bandas de ransomware que buscan aumentar la presión sobre sus víctimas.

Sin embargo, a través del intercambio natural entre los actores de amenazas y las víctimas, las bandas de ransomware se dieron cuenta de que, en muchos casos, la fuga de datos confidenciales era un incentivo de pago aún más fuerte para las víctimas.

Esto dio lugar a operaciones de ransomware sin cifrado, como Babuk y SnapMC, y operaciones de extorsión que afirman no participar en el cifrado de archivos ellos mismos (o en absoluto), como RansomHouse, Donut y Karakurt.

Aún así, la mayoría de los grupos de ransomware continúan utilizando cargas útiles de cifrado en sus ataques, ya que la interrupción del negocio causada por el cifrado de dispositivos ejerce una presión aún mayor sobre muchas víctimas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El colapso del Silicon Valley Bank (SVB) el 10 de marzo de 2023 ha enviado ondas de turbulencia en todo el sistema financiero global, pero para los piratas informáticos, estafadores y campañas de phishing, se está convirtiendo en una excelente oportunidad.

Como informan varios investigadores de seguridad, los actores de amenazas ya están registrando dominios sospechosos, realizando páginas de phishing y preparándose para ataques de compromiso de correo electrónico empresarial (BEC).

Estas campañas tienen como objetivo robar dinero, robar datos de cuentas o infectar objetivos con malware.

SVB va a desaparecer

SVB fue un banco comercial con sede en Estados Unidos, el 16º más grande del país y el banco más grande por depósitos en Silicon Valley, California.

El 10 de marzo de 2023, el banco quebró después de una corrida en sus depósitos. Esta quiebra fue la más grande de cualquier banco desde la crisis financiera de 2007-2008 y la segunda más grande en la historia de Estados Unidos.

Este evento ha impactado a muchas empresas y personas en las industrias de tecnología, ciencias de la vida, atención médica, capital privado, capital de riesgo y vino premium que fueron clientes de SVB.

La situación caótica empeora aún más por los elementos prevalecientes de urgencia, incertidumbre y las cantidades significativas de dinero depositadas en el banco.

Los estafadores aprovechan la oportunidad

El investigador de seguridad Johannes Ulrich informó ayer que los actores de amenazas están aprovechando la oportunidad, registrando dominios sospechosos relacionados con SVB que es muy probable que se utilicen en ataques.


Algunos de los ejemplos dados en un informe publicado en el sitio web de SANS ISC incluyen:

• login-svb[.] .com
• SVBBalberout[.] .com
• svbcertificates[.] .com
• svbclaim[.] .com
• svbcollapse[.] .com
• svbdeposits[.] .com
• svbhelp[.] .com
• svblawsuit[.] .com

Ulrich advirtió que los estafadores podrían intentar ponerse en contacto con antiguos clientes de SVB para ofrecerles un paquete de apoyo, servicios legales, préstamos u otros servicios falsos relacionados con el colapso del banco.

Un ataque que ya se ha visto en la naturaleza es de actores de amenazas BEC que se hacen pasar por clientes de SVB y les dicen a los clientes que necesitan pagos enviados a una nueva cuenta bancaria después del colapso del banco.

Sin embargo, estas cuentas bancarias pertenecen a los actores de amenazas, que roban pagos destinados a ir a la empresa legítima.


La firma de inteligencia cibernética Cyble publicó hoy un informe similar que explora el desarrollo de amenazas temáticas SVB, advirtiendo sobre estos dominios adicionales:

• svbdebt[.] .com
• svbclaims[.] red
• SVB-USDC[.] .com
• SVB-USDC[.] red
• svbi[.] Io
• banksvb[.] .com
• svbank[.] .com
• svblogin[.] .com

Muchos de estos sitios se registraron el día del colapso del banco, el 10 de marzo de 2023, y ya están alojando estafas de criptomonedas.

Estas páginas fraudulentas les dicen a los clientes de SVB que el banco está distribuyendo USDC como parte de un programa de "reembolso".

"13 de marzo de 2023 - Silicon Valley Bank está distribuyendo activamente USDC como parte del programa SVB USDC payback a los titulares elegibles de USDC. Los pagos de USDC solo se pueden reclamar una vez por billetera ", afirma la estafa de criptomonedas.

Sin embargo, al hacer clic en el botón 'Haga clic aquí para reclamar' del sitio, aparece un código QR que intenta comprometer las billeteras criptográficas Metamask, Exodus y Trust Wallet cuando se escanean.


En otro caso, los actores de amenazas detrás de "cash4svb.com" intentan suplantar la información de contacto de los antiguos clientes de SVB que son acreedores comerciales o prestamistas, prometiéndoles un rendimiento entre el 65% y el 85%.


Estafas de círculos

La firma de pagos peer-to-peer Circle, que administra la popular moneda estable USDC, tenía una reserva de efectivo de $ 3.3 mil millones en el banco SVB. Sin embargo, el colapso de SVB ha creado incertidumbre a pesar de las garantías de la empresa sobre la liquidez del USDC.

Esta incertidumbre ha llevado a la creación de una red de sitios de estafa de criptomonedas que utilizan dominios de sitios web como:

• círculo redimido[.] .com
• círculo-reservas[.] .com
• circleusdcoin[.] .com
• círculo-mintusdc[.] .com
• svb-círculo[.] .com
• circle.web3claimer[.] red
• USD-Circle[.] .com

Estos sitios web no tienen ninguna afiliación real con Circle, y su único propósito es robar las billeteras, activos digitales o datos personales de sus visitantes.

La firma de seguridad de correo electrónico Proofpoint también ha detectado estafas de Circle derivadas de los eventos SVB, compartiendo en Twitter una muestra de correos electrónicos de phishing enviados a objetivos.


Si usted es un antiguo cliente de SVB, lo mejor que puede hacer es mantener la calma y seguir los canales de comunicación oficiales del gobierno de los Estados Unidos y la FDIC.

Ignore cualquier correo electrónico de dominios inusuales y verifique tres veces cualquier solicitud de supuestos clientes bancarios de SVB que le soliciten que cambie los detalles de la cuenta bancaria para los pagos.

El mejor método para confirmar los cambios de pago es comunicarse con su contacto por teléfono, no por correo electrónico, ya que las cuentas de correo electrónico pueden verse comprometidas durante estos ataques.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha parcheado una vulnerabilidad de día cero de Outlook (CVE-2023-23397) explotada por un grupo de piratería vinculado al servicio de inteligencia militar ruso GRU para atacar organizaciones europeas.

La vulnerabilidad de seguridad fue explotada en ataques para atacar y violar las redes de menos de 15 organizaciones gubernamentales, militares, energéticas y de transporte entre mediados de abril y diciembre de 2022.

El grupo de piratería (rastreado como APT28, STRONTIUM, Sednit, Sofacy y Fancy Bear) envió notas y tareas maliciosas de Outlook para robar hashes NTLM a través de solicitudes de negociación NTLM al obligar a los dispositivos de los objetivos a autenticarse en recursos compartidos SMB controlados por el atacante.

Las credenciales robadas se usaron para el movimiento lateral dentro de las redes de las víctimas y para cambiar los permisos de la carpeta de buzón de Outlook, una táctica que permite la exfiltración de correo electrónico para cuentas específicas.

Microsoft compartió esta información en un informe privado de análisis de amenazas visto por BleepingComputer y disponible para los clientes con suscripciones de Microsoft 365 Defender, Microsoft Defender para empresas o Microsoft Defender para Endpoint Plan 2.

EoP crítica en Outlook para Windows

La vulnerabilidad (CVE-2023-23397) fue reportada por CERT-UA (el Equipo de Respuesta a Emergencias Informáticas para Ucrania), y es una falla crítica de seguridad de privilegios de elevación de Outlook explotable sin interacción del usuario en ataques de baja complejidad.

Los actores de amenazas pueden aprovecharlo enviando mensajes con propiedades MAPI extendidas que contienen rutas de acceso UNC a un recurso compartido SMB (TCP 445) bajo su control.

"El atacante podría explotar esta vulnerabilidad mediante el envío de un correo electrónico especialmente diseñado que se activa automáticamente cuando es recuperado y procesado por el cliente de Outlook. Esto podría llevar a la explotación ANTES de que el correo electrónico se vea en el Panel de vista previa", dice Microsoft en un aviso de seguridad publicado hoy.

"La conexión al servidor SMB remoto envía el mensaje de negociación NTLM del usuario, que el atacante puede luego transmitir para la autenticación contra otros sistemas que admiten la autenticación NTLM", explica Redmond en una publicación de blog separada.

CVE-2023-23397 afecta a todas las versiones compatibles de Microsoft Outlook para Windows, pero no afecta a las versiones de Outlook para Android, iOS o macOS.

Además, dado que los servicios en línea como Outlook en la web y Microsoft 365 no admiten la autenticación NTLM, no son vulnerables a los ataques que aprovechan esta vulnerabilidad de retransmisión NTLM.

Microsoft recomienda aplicar inmediatamente la revisión de CVE-2023-23397 para mitigar esta vulnerabilidad y frustrar cualquier ataque entrante.

La compañía también aconseja agregar usuarios al grupo Usuarios protegidos en Active Directory y bloquear SMB saliente (puerto TCP 445) si la aplicación de parches no es posible de inmediato, lo que podría limitar el impacto de CVE-2023-23397.

Script de detección de mitigación y segmentación disponible

Microsoft insta a los clientes a parchear inmediatamente sus sistemas contra CVE-2023-23397 o agregar usuarios al grupo Usuarios protegidos en Active Directory y bloquear SMB saliente (puerto TCP 445) como una mitigación temporal para minimizar el impacto de los ataques.

Redmond también lanzó un script de PowerShell dedicado para ayudar a los administradores a comprobar si algún usuario en su entorno de Exchange ha sido atacado mediante esta vulnerabilidad de Outlook.

"Comprueba los elementos de mensajería de Exchange (correo, calendario y tareas) para ver si una propiedad se rellena con una ruta UNC", señala Microsoft.

"Si es necesario, los administradores pueden usar este script para limpiar la propiedad en busca de elementos maliciosos o incluso eliminar los elementos de forma permanente".

Esta secuencia de comandos también permite modificar o eliminar mensajes potencialmente malintencionados si se encuentran en el servidor Exchange auditado cuando se ejecutan en modo de limpieza.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de ciberseguridad han descubierto la primera campaña ilícita de minería de criptomonedas utilizada para acuñar Dero desde principios de febrero de 2023.

"La novedosa operación de cryptojacking de Dero se concentra en localizar clústeres de Kubernetes con acceso anónimo habilitado en una API de Kubernetes y escuchar en puertos no estándar accesibles desde Internet", dijo CrowdStrike en un nuevo informe compartido con The Hacker News.

El desarrollo marca un cambio notable de Monero, que es una criptomoneda frecuente utilizada en tales campañas. Se sospecha que puede tener que ver con el hecho de que Dero "ofrece recompensas más grandes y proporciona las mismas o mejores funciones de anonimato".

Los ataques, atribuidos a un actor desconocido motivado financieramente, comienzan con el escaneo de clústeres de Kubernetes con autenticación establecida como --anonymous-auth=true, que permite que las solicitudes anónimas al servidor eliminen las cargas útiles iniciales de tres direcciones IP diferentes con sede en EE.

Esto incluye la implementación de un DaemonSet de Kubernetes llamado "proxy-api", que, a su vez, se utiliza para colocar un pod malicioso en cada nodo del clúster de Kubernetes para poner en marcha la actividad minera.


Con ese fin, el archivo YAML de DaemonSet está orquestado para ejecutar una imagen de Docker que contiene un binario de "pausa", que en realidad es el minero de monedas Dero.

"En una implementación legítima de Kubernetes, Kubernetes utiliza contenedores de 'pausa' para arrancar un pod", señaló la compañía. "Los atacantes pueden haber usado este nombre para mezclarse y evitar la detección obvia".

La compañía de ciberseguridad dijo que identificó una campaña paralela de minería de Monero también dirigida a clústeres de Kubernetes expuestos al intentar eliminar el DaemonSet "proxy-api" existente asociado con la campaña Dero.

Esta es una indicación de la lucha en curso entre los grupos de cryptojacking que compiten por los recursos de la nube para tomar y retener el control de las máquinas y consumir todos sus recursos.

"Ambas campañas están tratando de encontrar superficies de ataque Kubernetes no descubiertas y están luchando", dijeron los investigadores de amenazas de CrowdStrike Benjamin Grap y Manoj Ahuje.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un actor de amenazas previamente indocumentado llamado YoroTrooper ha estado apuntando a organizaciones gubernamentales, energéticas e internacionales en toda Europa como parte de una campaña de espionaje cibernético que ha estado activa desde al menos junio de 2022.

"La información robada de compromisos exitosos incluye credenciales de múltiples aplicaciones, historiales y cookies del navegador, información del sistema y capturas de pantalla", dijeron los investigadores de Cisco Talos Asheer Malhotra y Vitor Ventura en un análisis del martes.

Los países prominentes afectados incluyen Azerbaiyán, Tayikistán, Kirguistán, Turkmenistán y otras naciones de la Comunidad de Estados Independientes (CEI).

Se cree que el actor de la amenaza es de habla rusa debido a los patrones de victimología y la presencia de fragmentos cirílicos en algunos de los implantes.

Dicho esto, se ha descubierto que el conjunto de intrusión YoroTrooper exhibe superposiciones tácticas con el equipo PoetRAT que se documentó en 2020 como un apalancamiento de cebos con temas de coronavirus para atacar a los sectores gubernamentales y energéticos en Azerbaiyán.

Los objetivos de recopilación de datos de YoroTrooper se realizan a través de una combinación de malware robador de productos básicos y de código abierto como Ave Maria (también conocido como Warzone RAT), LodaRAT, Meterpreter y Stink, con las cadenas de infección utilizando archivos de acceso directo maliciosos (LNK) y documentos señuelo envueltos en archivos ZIP o RAR que se propagan a través de spear-phishing.


Los archivos LNK funcionan como simples descargadores para ejecutar un archivo HTA recuperado de un servidor remoto, que luego se utiliza para mostrar un documento PDF de señuelo, mientras se lanza sigilosamente un cuentagotas para entregar un ladrón personalizado que utiliza Telegram como canal de exfiltración.

El uso de LodaRAT es notable, ya que indica que el malware está siendo empleado por múltiples operadores a pesar de su atribución a otro grupo llamado Kasablanka, que también se ha observado distribuyendo Ave Maria en campañas recientes dirigidas a Rusia.

Otras herramientas auxiliares implementadas por YoroTrooper consisten en shells inversos y un keylogger personalizado basado en C que es capaz de grabar pulsaciones de teclas y guardarlas en un archivo en el disco.

"Vale la pena señalar que, si bien esta campaña comenzó con la distribución de malware de productos básicos como Ave Maria y LodaRAT, ha evolucionado significativamente para incluir malware basado en Python", dijeron los investigadores.

"Esto destaca un aumento en los esfuerzos que el actor de la amenaza está realizando, probablemente derivados de violaciones exitosas durante el curso de la campaña".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La función de túnel privado Meshnet de NordVPN para Windows, macOS y Linux ahora es gratuita para todos, incluso para los usuarios que no tienen una suscripción a NordVPN.

Meshnet fue lanzado por primera vez por NordVPN en junio de 2022 como una función paga, que permite a los usuarios crear túneles privados y cifrados entre dispositivos en los que confían para pasar el tráfico de red, esencialmente creando sus propios servidores VPN (red privada virtual).

Por ejemplo, Meshnet permite a alguien enrutar su tráfico de red desde su teléfono inteligente a través de la computadora de su hogar mientras está de vacaciones, haciendo que parezca que están navegando desde su ubicación habitual.

El tráfico del usuario también puede pasar a través de un túnel seguro en la computadora de un amigo o familiar, siempre y cuando esté utilizando la aplicación Meshnet y haya sido invitado a la Mesh de su amigo.


Esta función puede ayudar a los usuarios a acceder a plataformas restringidas geográficamente y proteger los datos del usuario cuando utilizan puntos de acceso WiFi peligrosos y no seguros.

Aún más útil, la función de túnel privado Meshnet le permite acceder a dispositivos internos mientras está de vacaciones, viajando por trabajo o simplemente en la carretera como si estuviera en su oficina u hogar sin abrir puertos en su firewall.

Por ejemplo, la función Escritorio remoto de Windows es útil para acceder a su computadora mientras está fuera de su hogar u oficina. Sin embargo, nunca debe exponer Remote Desktop a Internet, ya que se explota comúnmente para ataques de ransomware, y para los usuarios domésticos, no siempre es fácil implementar una VPN dedicada.

Sin embargo, con Meshnet, puede instalar el software NordVPN tanto en la computadora de escritorio remoto como en una computadora portátil y configurarlos para que formen parte de la misma Mesh. Luego, desde su computadora portátil, puede conectarse a la dirección IP asignada al servidor RDP por MeshNet y acceder a la computadora de Escritorio remoto como si estuviera dentro de la red.

BleepingComputer probó esta función para hacer exactamente eso hoy, y funcionó bien y fue fácil de configurar.

MeshNet no solo es útil para el trabajo sino también para los juegos, ya que puede invitar a amigos a su Mesh para que puedan acceder a servidores de juegos internos y privados, sin importar la distancia física entre ellos, y sin abrir puertos en su firewall.

Todos los usuarios de Meshnet pueden restringir el acceso que otros tienen a su red, proporcionando un control decente, pero no perfecto, sobre los recursos compartidos. Sin embargo, sería mejor si NordVPN agregara permisos de seguridad más granulares, como direcciones IP específicas y puertos a los que se puede acceder y límites de ancho de banda.


Hoy, NordVPN ha anunciado que el sistema estará disponible para todos de forma gratuita, mientras que el cliente Linux para el servicio es de código abierto para una mayor transparencia.

Para celebrar este movimiento, los ingenieros de NordVPN también introdujeron una nueva característica en Meshnet que permite a los usuarios compartir archivos de tamaño ilimitado con sus amigos de forma segura.

Además, ambos usuarios deben dar su consentimiento para la transferencia para que el sistema minimice el riesgo de transferencias de archivos maliciosos no deseados.

La biblioteca utilizada para compartir archivos, Libdrop, y la biblioteca utilizada para las comunicaciones de red, Libtelio, también han sido de código abierto.

NordVPN dice que no eres el producto

NordVPN es uno de los mayores proveedores de servicios VPN con un historial casi perfecto en seguridad. Sin embargo, algunas personas aún pueden tener dificultades para confiar sus datos de red a una empresa privada.

Las preocupaciones se magnifican aún más cuando el producto ofrecido es gratuito, pero NordVPN asegura que los usuarios de Meshnet no son el producto.

Como explica la compañía en el comunicado de prensa, Meshnet es barato de operar, requiriendo una pequeña parte de la infraestructura global masiva de la compañía (5,000 servidores en 59 países).

Por lo tanto, ponerlo a disposición de todos no resultará en una carga financiera notable para NordVPN.

"Abrirlo a un público más amplio no requiere que desarrollemos nuevos sistemas e invirtamos más de lo que ya tenemos", dice el anuncio de NordVPN.

Al mismo tiempo, NordVPN dice que este movimiento se alinea con su valor central de ayudar a hacer de Internet un lugar más seguro para todos los usuarios, independientemente de si pueden pagar una suscripción a sus productos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha descubierto que una extensión falsa del navegador Chrome de la marca ChatGPT viene con capacidades para secuestrar cuentas de Facebook y crear cuentas de administrador deshonestas, destacando uno de los diferentes métodos que los ciberdelincuentes están utilizando para distribuir malware.

"Al secuestrar cuentas comerciales de Facebook de alto perfil, el actor de amenazas crea un ejército de élite de bots de Facebook y un aparato de medios pagados maliciosos", dijo la investigadora de Guardio Labs Nati Tal en un informe técnico.

"Esto le permite impulsar los anuncios pagados de Facebook a expensas de sus víctimas de una manera similar a un gusano que se propaga a sí misma".

La extensión "Acceso rápido a Chat GPT", que se dice que ha atraído 2.000 instalaciones por día desde el 3 de marzo de 2023, ha sido retirada por Google de Chrome Web Store a partir del 9 de marzo de 2023.

El complemento del navegador se promociona a través de publicaciones patrocinadas por Facebook, y aunque ofrece la posibilidad de conectarse al servicio ChatGPT, también está diseñado para recolectar subrepticiamente cookies y datos de la cuenta de Facebook utilizando una sesión ya activa y autenticada.

Esto se logra haciendo uso de dos aplicaciones falsas de Facebook, portal y msg_kig, para mantener el acceso de puerta trasera y obtener un control total de los perfiles objetivo. El proceso de agregar las aplicaciones a las cuentas de Facebook está totalmente automatizado.

Las cuentas comerciales de Facebook secuestradas se utilizan para anunciar el malware, propagando así el esquema aún más y expandiendo efectivamente la colección de cuentas comprometidas.


El desarrollo se produce cuando los actores de amenazas están capitalizando la popularidad masiva de ChatGPT de OpenAI desde su lanzamiento a fines del año pasado para crear versiones falsas del chatbot de inteligencia artificial y engañar a los usuarios desprevenidos para que los instalen.

El mes pasado, Cyble reveló una campaña de ingeniería social que se basaba en una página de redes sociales no oficial de ChatGPT para dirigir a los usuarios a dominios maliciosos que descargan ladrones de información, como RedLine, Lumma y Aurora.

También se han detectado aplicaciones fraudulentas de ChatGPT distribuidas a través de Google Play Store y otras tiendas de aplicaciones Android de terceros que empujan el malware SpyNote a los dispositivos de las personas.

"Desafortunadamente, el éxito de la herramienta viral de IA también ha atraído la atención de los estafadores que utilizan la tecnología para realizar estafas de inversión altamente sofisticadas contra usuarios de Internet incautos", reveló Bitdefender la semana pasada.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los actores de amenazas se han observado cada vez más utilizando videos de YouTube generados por IA para propagar una variedad de malware ladrón como Raccoon, RedLine y Vidar.

"Los videos atraen a los usuarios fingiendo ser tutoriales sobre cómo descargar versiones descifradas de software como Photoshop, Premiere Pro, Autodesk 3ds Max, AutoCAD y otros productos que son productos con licencia disponibles solo para usuarios pagos", dijo el investigador de CloudSEK Pavan Karthick M.

Así como el panorama del ransomware comprende desarrolladores principales y afiliados que están a cargo de identificar objetivos potenciales y llevar a cabo los ataques, el ecosistema de ladrones de información también consiste en actores de amenazas conocidos como traffers que son reclutados para propagar el malware utilizando diferentes métodos.

Uno de los canales populares de distribución de malware es YouTube, con CloudSEK presenciando un aumento del 200-300% mes a mes en videos que contienen enlaces a malware ladrón en la sección de descripción.

Estos enlaces a menudo se ofuscan usando acortadores de URL como Bitly y Cuttly, o alternativamente alojados en MediaFire, Google Drive, Discord, GitHub y No tienes permitido ver los links. Registrarse o Entrar a mi cuenta de Telegram.

En varios casos, los actores de amenazas aprovechan las fugas de datos y la ingeniería social para secuestrar cuentas legítimas de YouTube y enviar malware, a menudo apuntando a cuentas populares para llegar a una gran audiencia en un corto período de tiempo.



"Subir a tales cuentas también le da legitimidad al video", explicó Karthick. "Sin embargo, tales Youtubers reportarán a su tomador de cuenta a YouTube y obtendrán acceso a sus cuentas en unas pocas horas. Pero en unas pocas horas, cientos de usuarios podrían haber caído presa".


Más ominosamente, entre cinco y 10 videos de descarga de crack se cargan en la plataforma de video cada hora, y los actores de amenazas emplean técnicas de envenenamiento de optimización de motores de búsqueda (SEO) para hacer que los videos aparezcan en la parte superior de los resultados.

También se ha observado que los actores de amenazas agregan comentarios falsos a los videos cargados para engañar y atraer a los usuarios a descargar el software pirateado.

El desarrollo se produce en medio de un aumento en las nuevas variantes de robo de información como SYS01stealer, S1deload, Stealc, Titan, ImBetter, WhiteSnake y Lumma que se ofrecen a la venta y vienen con capacidades para saquear datos confidenciales bajo la apariencia de aplicaciones y servicios populares.

Los hallazgos también siguen al descubrimiento de un kit de herramientas listo para usar llamado R3NIN Sniffer que puede permitir a los actores de amenazas desviar datos de tarjetas de pago de sitios web de comercio electrónico comprometidos.

Para mitigar los riesgos que plantea el malware ladrón, se recomienda a los usuarios que habiliten la autenticación multifactor, se abstengan de hacer clic en enlaces desconocidos y eviten descargar o usar software pirateado.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Reserva Federal ha anunciado el cierre de otro banco. El Signature Bank, el mayor criptobanco de los Estados Unidos, ha sido cerrado por el regulador estadounidense. Y los argumentos no pueden ser más directos. Tras el colapso del Silicon Valley Bank, se teme un "riesgo sistémico".

La FED promete que "el contribuyente no asumirá las pérdidas" y todos los depósitos se devolverán al completo. El mensaje es que los clientes que tienen su dinero en este banco están protegidos, no así ciertos accionistas y deudores no garantizados.


El cierre de Signature Bank supone un duro golpe para el sector bancario más ligado al mundo cripto. En menos de dos semanas, Estados Unidos ha visto como sus dos criptobancos más importantes han dejado de estar accesibles. Primero fue Silvergate y ahora ha sido Signature Bank, ubicado en Nueva York.

El caso de Signature Bank es representativo de lo que desde la Reserva Federal quieren vigilar. El 90% de los depósitos no están asegurados por la FDIC (Corporación Federal de Seguro de Depósitos) y más del 20% de todo el capital es cripto.

Según sus propios datos financieros de finales de año, el Signature Bank disponía activos por valor de unos 110.000 millones de dólares, con un valor de mercado del banco de unos 4.400 millones de dólares.

El criptobanco disponía de más de 1.800 empleados. La caída de Signature Bank se considera la tercera mayor en la historia bancaria de los Estados Unidos, únicamente superada por la propia del Silicon Valley Bank y el Washington Mutual Bank, durante la crisis de 2008.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

GitHub comenzará a requerir que los desarrolladores activos habiliten la autenticación de dos factores (2FA) en sus cuentas a partir de la próxima semana, el 13 de marzo.

Una vez expandido a toda la base de usuarios de la compañía, el requisito de inscripción 2FA ayudará a asegurar las cuentas de más de 100 millones de usuarios.

El lanzamiento gradual comenzará la próxima semana con GitHub llegando a grupos más pequeños de administradores y desarrolladores por correo electrónico y se acelerará a medida que se acerque el final del año para garantizar que la incorporación sea perfecta y que los usuarios tengan tiempo para resolver cualquier problema.

"GitHub ha diseñado un proceso de implementación destinado a minimizar las interrupciones inesperadas y la pérdida de productividad para los usuarios y evitar bloqueos de cuentas", dijeron el gerente de producto de personal Hirsch Singhal y la directora de marketing de productos Laura Paine.

"Se les pedirá a los grupos de usuarios que habiliten 2FA a lo largo del tiempo, cada grupo seleccionado en función de las acciones que han realizado o el código al que han contribuido".

Si su cuenta es seleccionada para la inscripción, recibirá un correo electrónico y verá un banner en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta solicitándole que se inscriba en el programa de autenticación de dos factores (2FA).

Luego, tendrá 45 días para configurar 2FA en su cuenta, durante los cuales puede seguir usando su cuenta de GitHub como de costumbre, excepto recordatorios ocasionales.

GitHub lo mantendrá actualizado sobre su fecha límite de habilitación, y una vez que haya pasado, se le pedirá que habilite 2FA la primera vez que acceda a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y se le bloqueará el acceso a algunas funciones hasta que se active 2FA.


Esto sigue a dos anuncios anteriores de mayo y diciembre de que todos los desarrolladores que contribuyan con código en la plataforma deberán habilitar 2FA para fines de 2023.

GitHub proporciona instrucciones detalladas sobre cómo configurar 2FA para su cuenta y recuperar cuentas al perder credenciales de 2FA.

Los desarrolladores pueden usar una o más opciones de 2FA, incluidas las claves de seguridad físicas, las claves de seguridad virtuales integradas en dispositivos móviles como teléfonos inteligentes y computadoras portátiles, las aplicaciones de autenticación de contraseña de un solo uso basada en el tiempo (TOTP) o la aplicación GitHub Mobile (después de configurar TOTP o SMS 2FA).

Aunque 2FA basado en mensajes de texto también es una opción (en algunos países), GitHub está instando a los usuarios a cambiar a claves de seguridad o aplicaciones TOTP porque los actores de amenazas pueden omitir SMS 2FA o robar tokens de autenticación SMS 2FA para secuestrar las cuentas de los desarrolladores.

Asegurar la cadena de suministro de software

Habilitar 2FA en cuentas de GitHub aumenta la resiliencia contra la toma de control de cuentas al bloquear los intentos de usar contraseñas reutilizadas o credenciales robadas en ataques de secuestro.

Este es el último movimiento de la compañía para asegurar la cadena de suministro de software al alejarse de la autenticación básica basada en contraseña.

Anteriormente, la plataforma de alojamiento de código implementaba la verificación de dispositivos basada en correo electrónico y eliminaba gradualmente las contraseñas de cuenta para la autenticación de operaciones de Git.

Además, GitHub deshabilitó la autenticación de contraseña a través de la API REST en noviembre de 2020 e introdujo soporte para claves de seguridad FIDO2 para asegurar las operaciones SSH Git en mayo de 2021.

A lo largo de los años, GitHub ha mejorado las medidas de seguridad de su cuenta al incorporar autenticación de dos factores, alertas de inicio de sesión, bloquear el uso de contraseñas comprometidas y brindar soporte para WebAuthn.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

AT&T está notificando a aproximadamente 9 millones de clientes que parte de su información fue expuesta después de que un proveedor de marketing fue pirateado en enero.

"La información de red patentada del cliente de algunas cuentas inalámbricas fue expuesta, como la cantidad de líneas en una cuenta o plan de tarifas inalámbricas", dijo AT&T a BleepingComputer.

"La información no contenía información de tarjeta de crédito, número de seguro social, contraseñas de cuentas u otra información personal confidencial. Estamos notificando a los clientes afectados".

Si bien la notificación de violación de datos no comparte el número de clientes afectados, AT&T le dijo a BleepingComputer que "aproximadamente 9 millones de cuentas inalámbricas tenían acceso a su información de red patentada del cliente".

Los datos de CPNI expuestos incluyen nombres de clientes, números de cuenta de servicio móvil, números de teléfono móvil y direcciones de correo electrónico.

"Un pequeño porcentaje de clientes afectados también tuvo exposición al nombre del plan de tarifas, monto vencido, monto de pago mensual, varios cargos mensuales y / o minutos utilizados. La información tenía varios años", dijo AT&T.

La compañía agregó que sus sistemas no se vieron comprometidos en el incidente de seguridad del proveedor y que los datos expuestos están asociados principalmente con la elegibilidad para actualizar el dispositivo.

La policía alertó de la violación

"Hemos notificado a la policía federal sobre el acceso no autorizado de su CPNI según lo requerido por la Comisión Federal de Comunicaciones", dice AT&T en las cartas de notificación de violación de CPNI, detectadas por primera vez por No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y enviadas desde No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

"Nuestro informe a la policía no contiene información específica sobre su cuenta, solo que se produjo el acceso no autorizado".

Se aconseja a los clientes que desactiven el intercambio de datos de CPNI en sus cuentas haciendo una solicitud de restricción de CPNI para reducir los riesgos de exposición en el futuro si AT&T lo usa para fines de marketing de proveedores externos.

Un portavoz de AT&T aún no ha respondido a un correo electrónico solicitando más información sobre qué información específica fue expuesta en el incidente y qué proveedor fue violado para que estos datos sean expuestos.

En agosto de 2021, AT&T negó una violación de datos después de que un notorio actor de amenazas pusiera a la venta una base de datos que contenía lo que afirmaba ser la información personal de 70 millones de clientes de AT&T.

Actualización 09 de marzo, 14:59 EST: Se agregaron más detalles sobre la información expuesta del cliente.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una nueva variante del troyano bancario Android llamado Xenomorph ha surgido en la naturaleza, revelan los últimos hallazgos de ThreatFabric.

Nombrado "Xenomorph 3rd generation" por Hadoken Security Group, el actor de amenazas detrás de la operación, la versión actualizada viene con nuevas características que le permiten realizar fraudes financieros de manera fluida.

"Esta nueva versión del malware agrega muchas capacidades nuevas a un banquero de Android ya rico en funciones, sobre todo la introducción de un motor de tiempo de ejecución muy extenso impulsado por los servicios de accesibilidad, que es utilizado por los actores para implementar un marco ATS completo", dijo la firma de seguridad holandesa en un informe compartido con The Hacker News.

Xenomorph salió a la luz por primera vez hace un año, en febrero de 2022, cuando se descubrió que apuntaba a 56 bancos europeos a través de aplicaciones de cuentagotas publicadas en Google Play Store.

En contraste, la última iteración del banquero, que tiene un sitio web dedicado que anuncia sus características, está diseñada para apuntar a más de 400 instituciones bancarias y financieras, incluidas varias billeteras de criptomonedas.


ThreatFabric dijo que detectó muestras distribuidas a través de Content Delivery Network (CDN) de Discord, una técnica que ha experimentado un aumento desde 2020. Dos de las aplicaciones con Xenomorph se enumeran a continuación:

• Juega a Proteger (com.great.calm)
• Play Protect (meritoriousness.mollah.presser)

"Xenomorph v3 es desplegado por una aplicación Zombinder 'vinculada' a un convertidor de moneda legítimo, que descarga como una 'actualización' una aplicación que se hace pasar por Google Protect", explicó ThreatFabric.

Zombinder se refiere a un servicio de enlace APK anunciado en la web oscura desde marzo de 2022, en el que el malware se entrega a través de versiones troyanizadas de aplicaciones legítimas. Desde entonces, la oferta ha sido cerrada.

Los objetivos de la última campaña van más allá de su enfoque europeo (es decir, España, Italia y Portugal) para incluir entidades financieras belgas y canadienses.

Se sabe que Xenomorph, al igual que otro malware bancario, abusa de los Servicios de accesibilidad para realizar fraudes a través de ataques de superposición. También incluye capacidades para completar automáticamente transacciones fraudulentas en dispositivos infectados, una técnica llamada Sistema de transferencia automatizado (ATS).


Con los bancos alejándose de SMS para la autenticación de dos factores (2FA) a las aplicaciones de autenticación, el troyano Xenomorph incorpora un módulo ATS que le permite iniciar la aplicación y extraer los códigos de autenticación.

El malware de Android se jacta además de las funciones de robo de cookies, lo que permite a los actores de amenazas realizar ataques de adquisición de cuentas.

"Con estas nuevas características, Xenomorph ahora puede automatizar completamente toda la cadena de fraude, desde la infección hasta la exfiltración de fondos, lo que lo convierte en uno de los troyanos de malware de Android más avanzados y peligrosos en circulación", dijo la compañía.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La autenticación multifactor (MFA) se ha convertido hace mucho tiempo en una práctica de seguridad estándar. Con un amplio consenso sobre su capacidad para defenderse de más del 99% de los ataques de adquisición de cuentas, no es de extrañar por qué los arquitectos de seguridad lo consideran imprescindible en sus entornos. Sin embargo, lo que parece ser menos conocido son las limitaciones de cobertura inherentes de las soluciones MFA tradicionales. Si bien son compatibles con la conexión RDP y los inicios de sesión de escritorio local, no ofrecen protección para herramientas de acceso de línea de comandos remotos como PsExec, PowerShell remoto y similares.

En la práctica, significa que las estaciones de trabajo y los servidores siguen siendo tan vulnerables al movimiento lateral, la propagación de ransomware y otras amenazas de identidad a pesar de tener una solución MFA completamente funcional. Para el adversario, es solo cuestión de tomar la ruta de la línea de comandos en lugar del RDP para iniciar sesión como si no hubiera protección instalada en absoluto. En este artículo exploraremos este punto ciego, comprenderemos su causa raíz e implicaciones, y veremos las diferentes opciones que los equipos de seguridad pueden superar para mantener sus entornos protegidos.

El propósito principal de MFA: evitar que los adversarios accedan a sus recursos con credenciales comprometidas

MFA la medida de seguridad más eficiente de nuevo toma de control de la cuenta. La razón por la que tenemos MFA en primer lugar para evitar que los adversarios accedan a nuestros recursos con credenciales comprometidas. Entonces, incluso si un atacante pudiera apoderarse de nuestro nombre de usuario y contraseña, que es un escenario más que plausible, aún no podrá aprovecharlos para el acceso malicioso en nuestro nombre. Por lo tanto, es la última línea de defensa contra el compromiso de credenciales, que tiene como objetivo anular este compromiso de cualquier ganancia.

El punto ciego: MFA no es compatible con las herramientas de acceso de línea de comandos en el entorno de Active Directory

Si bien MFA puede cubrir completamente el acceso a SaaS y aplicaciones web, es significativamente más limitado cuando se trata del entorno administrado de Active Directory. Esto se debe a que los protocolos de autenticación de claves que se usan en este entorno, NTLM y Kerberos, se escribieron mucho antes de que existiera MFA y no lo admiten de forma nativa. Lo que significa es que todos los métodos de autenticación que implementan estos protocolos no se pueden proteger con MFA. Eso incluye todas las herramientas de acceso remoto basadas en CMD y PowerShell, de las cuales las más destacadas son PsExec y PowerShell remoto. Estas son las herramientas predeterminadas que utilizan los administradores para conectarse de forma remota a las máquinas de los usuarios con fines de solución de problemas y mantenimiento, y por lo tanto se encuentran en prácticamente cualquier entorno de AD.

Las implicaciones de seguridad cibernética: el movimiento lateral y los ataques de ransomware no encuentran resistencia.

Esta ruta de conexión remota convencional está, por definición, desprotegida de un escenario de credenciales comprometidas y, como resultado, se utiliza en la mayoría de los movimientos laterales y ataques de propagación de ransomware. No importa que haya una solución MFA que proteja la conexión RDP y evite que se abuse de ellos. Para un atacante, pasar de la máquina de paciente cero a otras estaciones de trabajo en el entorno con PsExec o PowerShell remoto es tan fácil como hacerlo con RDP. Es solo cuestión de usar una puerta en lugar de la otra.

La dura verdad: La protección parcial de MFA no es protección en absoluto

Por lo tanto, si ha pasado por el dolor de instalar agentes MFA en todos sus servidores y estaciones de trabajo críticos, lo más probable es que haya logrado poco para protegerlos de las amenazas de identidad. Este es uno de los casos en los que no se puede llegar a mitad de camino. O estás protegido o no lo estás. Cuando hay un agujero en el fondo del barco, no importa que todo el resto sea madera maciza. Y de la misma manera, si los atacantes pueden moverse lateralmente en su entorno proporcionando credenciales comprometidas a las herramientas de acceso de línea de comandos, ya no importa que tenga protección MFA para RDP e inicio de sesión de escritorio.

Las limitaciones de MFA en el entorno local también ponen en riesgo sus recursos en la nube

A pesar del cambio a la nube, más del 90% de las organizaciones mantienen una infraestructura de identidad híbrida con estaciones de trabajo y servidores administrados por AD, así como aplicaciones SaaS y cargas de trabajo en la nube. Por lo tanto, no solo los recursos básicos locales, como las aplicaciones heredadas y los recursos compartidos de archivos, están expuestos al uso de credenciales comprometidas debido a la falta de protección MFA, sino también las aplicaciones SaaS.

La práctica común hoy en día es sincronizar contraseñas entre todos estos recursos, por lo que se utiliza el mismo nombre de usuario y contraseña para acceder tanto a un servidor de archivos local como a una aplicación SaaS de la organización. Esto significa que cualquier ataque local que incluya el compromiso y el uso de las credenciales de los usuarios puede pivotar fácilmente para acceder a los recursos SaaS directamente desde las máquinas atacadas.

El cambio de paradigma: del AMF tradicional a la protección unificada de la identidad

La brecha que hemos descrito se deriva de cómo se diseña e implementa el MFA tradicional. La limitación clave es que las soluciones MFA de hoy se conectan al proceso de autenticación de cada recurso individual, por lo que si el software que realiza esta autenticación no admite MFA, como en las herramientas de acceso de línea de comandos de AD, no puede haber protección en blanco.

Sin embargo, hoy en día hay un nuevo enfoque que cambia el enfoque de colocar MFA en cada recurso individual al directorio, superando así la barrera por completo.

Silverfort es pionera en la primera plataforma de Protección de Identidad Unificada que puede extender MFA a cualquier recurso, independientemente de si admite MFA de forma nativa o no. Utilizando una tecnología sin agente y sin proxy, Silverfort se integra directamente con AD. Con esta integración, cada vez que AD recibe una solicitud de acceso, espera su veredicto y la envía a Silverfort. Silverfort luego analiza la solicitud de acceso y, si es necesario, desafía al usuario con MFA. En función de la respuesta del usuario, Silverfort determina si confiar en el usuario o no y pasa el veredicto a AD que otorga o deniega el acceso, respectivamente.

La innovación en este enfoque es que ya no importa si esta solicitud de acceso se realizó a través de RDP o línea de comandos y si admite MFA o no. Siempre que se haya hecho a AD, AD puede pasarlo a Silverfort. Por lo tanto, al pasar de la protección MFA a nivel de recursos a la protección MFA en el nivel de directorio, el punto ciego del que los adversarios están abusando durante años finalmente se resuelve y se protege.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fortinet ha lanzado correcciones para abordar 15 fallas de seguridad, incluida una vulnerabilidad crítica que afecta a FortiOS y FortiProxy que podría permitir a un actor de amenazas tomar el control de los sistemas afectados.

El problema, rastreado como CVE-2023-25610, tiene una calificación de 9.3 sobre 10 para la gravedad y fue descubierto internamente e informado por sus equipos de seguridad.

"Una vulnerabilidad de suscripción de búfer ('desbordamiento de búfer') en la interfaz administrativa de FortiOS y FortiProxy puede permitir que un atacante remoto no autenticado ejecute código arbitrario en el dispositivo y / o realice un DoS en la GUI, a través de solicitudes específicamente diseñadas", dijo Fortinet en un aviso.

Los errores de desbordamiento, también llamados subrecorridos de búfer, ocurren cuando los datos de entrada son más cortos que el espacio reservado, lo que provoca un comportamiento impredecible o la fuga de datos confidenciales de la memoria.

Otras posibles consecuencias incluyen la corrupción de la memoria que podría ser utilizada como arma para inducir un bloqueo o ejecutar código arbitrario.

Fortinet dijo que no tiene conocimiento de ningún intento de explotación maliciosa contra la falla. Pero dado que las fallas anteriores en el software han sido objeto de abuso activo en la naturaleza, es esencial que los usuarios se muevan rápidamente para aplicar los parches.

Las siguientes versiones de FortiOS y FortiProxy se ven afectadas por la vulnerabilidad:

• FortiOS versión 7.2.0 a 7.2.3
• FortiOS versión 7.0.0 a 7.0.9
• FortiOS versión 6.4.0 a 6.4.11
• FortiOS versión 6.2.0 a 6.2.12
• FortiOS 6.0 todas las versiones
• FortiProxy versión 7.2.0 a 7.2.2
• FortiProxy versión 7.0.0 a 7.0.8
• FortiProxy versión 2.0.0 a 2.0.11
• FortiProxy 1.2 todas las versiones
• FortiProxy 1.1 todas las versiones

Las correcciones están disponibles en las versiones 6.2.13, 6.4.12, 7.0.10, 7.2.4 y 7.4.0 de FortiOS; FortiOS-6K7K versiones 6.2.13, 6.4.12 y 7.0.10; y FortiProxy versiones 2.0.12, 7.0.9 y 7.0.9.

Como solución alternativa, Fortinet recomienda que los usuarios deshabiliten la interfaz administrativa HTTP / HTTPS o limiten las direcciones IP que pueden alcanzarla.

La divulgación se produce semanas después de que la compañía de seguridad de red emitiera correcciones para 40 vulnerabilidades, dos de las cuales están clasificadas como críticas e impactan los productos FortiNAC (CVE-2022-39952) y FortiWeb (CVE-2021-42756).

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los actores patrocinados por el estado iraní continúan participando en campañas de ingeniería social dirigidas a los investigadores haciéndose pasar por un grupo de expertos estadounidense.

"En particular, los objetivos en este caso fueron todas las mujeres que participan activamente en asuntos políticos y derechos humanos en la región de Medio Oriente", dijo la Unidad de Contraamenaza de Secureworks (CTU) en un informe compartido con The Hacker News.

La compañía de ciberseguridad atribuyó la actividad a un grupo de piratería que rastrea como Cobalt Illusion, y que también se conoce con los nombres APT35, Charming Kitten, ITG18, Phosphorus, TA453 y Yellow Garuda.

La persecución de académicos, activistas, diplomáticos, periodistas, políticos e investigadores por parte del actor de amenazas ha sido bien documentada a lo largo de los años.

Se sospecha que el grupo opera en nombre del Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC) y ha exhibido un patrón de uso de personas falsas para establecer contacto con personas que son de interés estratégico para el gobierno.

"Es común que Cobalt Illusion interactúe con sus objetivos varias veces a través de diferentes plataformas de mensajería", dijo SecureWorks. "Los actores de amenazas primero envían enlaces y documentos benignos para construir una buena relación. Luego envían un enlace o documento malicioso a las credenciales de phishing para los sistemas a los que Cobalt Illusion busca acceder.

La principal de sus tácticas incluye aprovechar la recolección de credenciales para obtener el control de los buzones de correo de las víctimas, así como emplear herramientas personalizadas como HYPERSCRAPE (también conocido como EmailDownloader) para robar datos de las cuentas de Gmail, Yahoo! y Microsoft Outlook utilizando las contraseñas robadas.

Otro malware a medida vinculado al grupo es una herramienta de "captura" de Telegram basada en C ++ que facilita la recolección de datos a gran escala de las cuentas de Telegram después de obtener las credenciales del objetivo.

La última actividad involucra al adversario haciéndose pasar por un empleado del Consejo Atlántico, un grupo de expertos con sede en Estados Unidos, y contactando a investigadores de asuntos políticos y derechos humanos con el pretexto de contribuir a un informe.

Para hacer que la artimaña fuera convincente, las cuentas de redes sociales asociadas con la persona fraudulenta "Sara Shokouhi" (@SaShokouhi en Twitter y @sarashokouhii en Instagram) afirmaron tener un doctorado en política de Medio Oriente.

Además, se dice que las fotos de perfil en estas cuentas, según SecureWorks, fueron tomadas de una cuenta de Instagram perteneciente a un psicólogo y lector de cartas del tarot con sede en Rusia.

No está claro de inmediato si el esfuerzo resultó en algún ataque de phishing exitoso. La cuenta de Twitter, creada en octubre de 2022, permanece activa hasta la fecha al igual que la cuenta de Instagram.

"El phishing y la recopilación masiva de datos son tácticas centrales de Cobalt Illusion", dijo Rafe Pilling, investigador principal y líder temático de Irán en SecureWorks CTU, en un comunicado.

"El grupo lleva a cabo la recopilación de inteligencia, a menudo inteligencia centrada en el ser humano, como extraer el contenido de buzones de correo, listas de contactos, planes de viaje, relaciones, ubicación física, etc. Esta información probablemente se mezcla con otras fuentes y se utiliza para informar las operaciones militares y de seguridad de Irán, extranjeras y nacionales".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La función de autocompletar credenciales de Bitwarden contiene un comportamiento arriesgado que podría permitir que los iframes maliciosos incrustados en sitios web de confianza roben las credenciales de las personas y las envíen a un atacante.

El problema fue reportado por analistas de Flashpoint, quienes dijeron que Bitwarden se enteró del problema por primera vez en 2018, pero optó por permitirle acomodar sitios legítimos que usan iframes.

Aunque la función de autocompletar está deshabilitada en Bitwarden de forma predeterminada, y las condiciones para explotarla no son abundantes, Flashpoint dice que todavía hay sitios web que cumplen con los requisitos donde los actores de amenazas motivados pueden intentar explotar estos defectos.

Autocompletado (in)condicional

Bitwarden es un popular servicio de administración de contraseñas de código abierto con una extensión de navegador web que almacena secretos como nombres de usuario y contraseñas de cuentas en una bóveda cifrada.

Cuando sus usuarios visitan un sitio web, la extensión detecta si hay un inicio de sesión almacenado para ese dominio y ofrece completar las credenciales. Si la opción de autocompletar está habilitada, los rellena automáticamente al cargar la página sin que el usuario tenga que hacer nada.

Mientras analizaban Bitwarden, los investigadores de Flashpoint descubrieron que la extensión también rellena automáticamente formularios definidos en iframes incrustados, incluso aquellos de dominios externos.


"Si bien el iframe incrustado no tiene acceso a ningún contenido en la página principal, puede esperar la entrada al formulario de inicio de sesión y reenviar las credenciales ingresadas a un servidor remoto sin más interacción del usuario", explica Flashpoint.

Flashpoint investigó con qué frecuencia se incrustan los iframes en las páginas de inicio de sesión de sitios web de alto tráfico e informó que el número de casos de riesgo era muy bajo, lo que disminuyó significativamente el riesgo.

Sin embargo, un segundo problema descubierto por Flashpoint mientras investigaba el problema de los iframes es que Bitwarden también completará automáticamente las credenciales en los subdominios del dominio base que coincidan con un inicio de sesión.

Esto significa que un atacante que aloja una página de phishing bajo un subdominio que coincide con un inicio de sesión almacenado para un dominio base determinado capturará las credenciales cuando la víctima visite la página si la función de autocompletar está habilitada.

"Algunos proveedores de alojamiento de contenido permiten alojar contenido arbitrario bajo un subdominio de su dominio oficial, que también sirve a su página de inicio de sesión", explica Flashpoint en el informe.

"Como ejemplo, si una empresa tiene una página de inicio de sesión en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.tld y permite a los usuarios servir contenido bajo https://<nombre de cliente>.empresa.tld, estos usuarios pueden robar credenciales de las extensiones de Bitwarden".

No siempre es posible registrar un subdominio que coincida con el dominio base de un sitio web legítimo, por lo que se reduce la gravedad del problema.

Sin embargo, algunos servicios permiten a los usuarios crear subdominios para alojar contenido, como servicios de alojamiento gratuitos, y el ataque aún es posible a través del secuestro de subdominios.

Respuesta de Bitwarden

Bitwarden destaca que la función de autocompletar es un riesgo potencial e incluso incluye una advertencia destacada en su documentación, mencionando específicamente la probabilidad de que los sitios comprometidos abusen de la función de autocompletar para robar credenciales.


Este riesgo salió a la luz por primera vez en una evaluación de seguridad fechada en noviembre de 2018, por lo que Bitwarden ha sido consciente del problema de seguridad desde hace algún tiempo.

Sin embargo, dado que los usuarios necesitan iniciar sesión en los servicios utilizando iframes integrados de dominios externos, los ingenieros de Bitwarden decidieron mantener el comportamiento sin cambios y agregar una advertencia en la documentación del software y el menú de configuración relevante de la extensión.


En respuesta al segundo informe de Flashpoint sobre el manejo de URI y cómo el autocompletado trata los subdominios, Bitwarden prometió bloquear el autocompletado en el entorno de alojamiento reportado en una actualización futura, pero no planea cambiar la funcionalidad del iframe.

Cuando BleepingComputer contactó a Bitwarden sobre el riesgo de seguridad, confirmaron que conocían este problema desde 2018, pero no han cambiado la funcionalidad, ya que los formularios de inicio de sesión en sitios legítimos usan iframes.

"Bitwarden acepta el relleno automático de iframe porque muchos sitios web populares usan este modelo, por ejemplo, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta usa un iframe de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta", dijo Bitwarden a BleepingComputer en un comunicado.

"Así que hay casos de uso perfectamente válidos en los que los formularios de inicio de sesión están en un iframe bajo un dominio diferente".

"La función descrita para autocompletar en la publicación del blog NO está habilitada de forma predeterminada en Bitwarden y hay un mensaje de advertencia en esa función exactamente por esta razón dentro del producto y dentro de la documentación de ayuda. No tienes permitido ver los links. Registrarse o Entrar a mi cuenta".



Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los actores de amenazas vinculados a la operación de ransomware IceFire ahora apuntan activamente a los sistemas Linux en todo el mundo con un nuevo cifrado dedicado.

Los investigadores de seguridad de SentinelLabs descubrieron que la pandilla ha violado las redes de varios medios y organizaciones de entretenimiento de todo el mundo en las últimas semanas, a partir de mediados de febrero, según un informe compartido de antemano con BleepingComputer.

Una vez dentro de sus redes, los atacantes despliegan su nueva variante de malware para cifrar los sistemas Linux de las víctimas.

Cuando se ejecuta, IceFire ransomware cifra los archivos, agrega la extensión '.ifire' al nombre del archivo, y luego cubre sus pistas eliminándose y eliminando el binario.

También es importante tener en cuenta que IceFire no cifra todos los archivos en Linux. El ransomware evita estratégicamente cifrar rutas específicas, lo que permite que las partes críticas del sistema permanezcan operativas.

Este enfoque calculado está destinado a evitar un apagado completo del sistema, lo que podría causar daños irreparables y una interrupción aún más significativa.

Aunque activo desde al menos marzo de 2022 y en su mayoría inactivo desde finales de noviembre, el ransomware IceFire regresó a principios de enero en nuevos ataques, como lo demuestran las presentaciones en la plataforma ID-Ransomware.



Destino de IBM Aspera Faspex

Los operadores de IceFire explotan una vulnerabilidad de deserialización en el software de intercambio de archivos IBM Aspera Faspex (rastreado como CVE-2022-47986) para piratear los sistemas vulnerables de los objetivos y desplegar sus cargas útiles de ransomware.

Esta vulnerabilidad RCE previa a la autenticación de alta gravedad fue parcheada por IBM en enero y ha sido explotada en ataques desde principios de febrero [1, 2] después de que la firma de gestión de superficies de ataque Assetnote publicara un informe técnico que contenía código de explotación.

CISA también agregó la falla de seguridad a su catálogo de vulnerabilidades explotadas en la naturaleza en febrero de 2021, ordenando a las agencias federales que parcheen sus sistemas hasta el 14 de marzo.

"En comparación con Windows, es más difícil implementar ransomware contra Linux, particularmente a escala. Muchos sistemas Linux son servidores: los vectores de infección típicos como el phishing o la descarga drive-by son menos efectivos", dice SentinelLabs.

"Para superar esto, los actores recurren a la explotación de vulnerabilidades de aplicaciones, como lo demostró el operador de IceFire al implementar cargas útiles a través de una vulnerabilidad de IBM Aspera".

Shodan muestra más de 150 servidores Aspera Faspex expuestos en línea, la mayoría en los Estados Unidos y China.


La mayoría de las cepas de ransomware cifran los servidores Linux

El movimiento del ransomware IceFire para expandir la orientación de Linux después de centrarse previamente en atacar solo los sistemas Windows es un cambio estratégico que se alinea con otros grupos de ransomware que también han comenzado a atacar los sistemas Linux en los últimos años.

Su movimiento coincide con una tendencia en la que las empresas hicieron la transición a máquinas virtuales VMware ESXi con Linux, que cuentan con una administración de dispositivos mejorada y un manejo de recursos mucho más eficiente.

Después de implementar su malware en hosts ESXi, los operadores de ransomware pueden usar un solo comando para cifrar los servidores Linux de las víctimas en masa.

Si bien el ransomware IceFire no se dirige específicamente a las máquinas virtuales VMware ESXi, su cifrado de Linux es igual de eficiente, como lo demuestran los archivos cifrados de las víctimas enviados a la plataforma ID-Ransomware para su análisis.

"Esta evolución para IceFire fortalece que el ransomware dirigido a Linux continúa creciendo en popularidad hasta 2023", dice SentinelLabs.

"Si bien se sentaron las bases en 2021, la tendencia de ransomware de Linux se aceleró en 2022 cuando grupos ilustres agregaron cifradores de Linux a su arsenal".

Encriptadores similares han sido lanzados por muchas otras bandas de ransomware, incluyendo Conti, LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX y Hive.

El CTO de Emsisoft, Fabian Wosar, dijo anteriormente a BleepingComputer que otras bandas de ransomware (además de las que ya hemos informado), incluidas Babuk, GoGoogle, Snatch, PureLocker, Mespinoza, RansomExx / Defray y DarkSide, han desarrollado e implementado sus propios cifradores de Linux en ataques.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Google ha lanzado actualizaciones de seguridad de marzo de 2023 para Android, corrigiendo un total de 60 fallas y, entre ellas, dos vulnerabilidades de ejecución remota de código (RCE) de gravedad crítica que afectan a los sistemas Android que ejecutan las versiones 11, 12 y 13.

Las fallas corregidas esta vez se entregan a través de dos niveles de parches de seguridad separados, a saber, 2023-03-01 y 2023-03-05. El primer paquete contiene 31 correcciones para componentes principales de Android como Framework, System y Google Play.

"El más grave de estos problemas es una vulnerabilidad de seguridad crítica en el componente del sistema que podría conducir a la ejecución remota de código sin privilegios de ejecución adicionales necesarios", se lee en el boletín de seguridad.

"La interacción del usuario no es necesaria para la explotación".

Las dos fallas se rastrean como CVE-2023-20951 y CVE-2023-20954, mientras que Google ha retenido toda la información sobre ellas para evitar ayudar a los atacantes a participar en la explotación activa antes de que los usuarios puedan aplicar las actualizaciones disponibles.

Las 29 correcciones restantes en el primer nivel de parche se refieren a la escalada de privilegios de alta gravedad, la divulgación de información y los problemas de denegación de servicio.

El nivel de parche 2023-03-05 contiene 29 correcciones para el kernel de Android y componentes de proveedores de terceros de MediaTek, Unisoc y Qualcomm.

Los problemas más graves solucionados este mes son dos fallas de gravedad crítica en los componentes de código cerrado de Qualcomm, rastreados como CVE-2022-33213 y CVE-2022-33256.

El resto de los defectos para este nivel de parche son vulnerabilidades de alta gravedad de tipo indefinido.

Para actualizar su dispositivo Android, diríjase a Configuración → Actualización del sistema → del sistema y haga clic en el botón "Buscar actualizaciones". Alternativamente, puede navegar a Configuración → Seguridad y privacidad → actualizaciones → Seguridad update.

Si utilizas Android 10 o una versión anterior, tu dispositivo ha llegado al final de su vida útil (EoL) desde septiembre de 2022 (para v10) y no recibirá correcciones por los defectos anteriores.

Sin embargo, algunas correcciones de seguridad importantes pueden llegar a ellos a través de las actualizaciones del sistema de Google Play, accesibles a través de Configuración → Actualizaciones de seguridad y privacidad → → actualización del sistema de Google Play.

Se recomienda a los usuarios de dispositivos más antiguos que aún funcionan que cambien a una distribución activa de Android de terceros, como LineageOS o GrapheneOS, que ofrece imágenes actualizadas del sistema operativo para dispositivos que ya no son compatibles con sus OEM.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El gigante informático taiwanés Acer confirmó que sufrió una violación de datos después de que los actores de amenazas piratearan un servidor que alojaba documentos privados utilizados por técnicos de reparación.

Sin embargo, la compañía dice que los resultados de su investigación hasta ahora no indican que este incidente de seguridad haya afectado los datos de los clientes.

La confirmación de una violación de datos se produce después de que un actor de amenazas comenzó a vender en un popular foro de piratería lo que afirman son 160 GB de datos robados de Acer a mediados de febrero de 2023.


El actor de amenazas afirma que los datos robados contienen manuales técnicos, herramientas de software, detalles de infraestructura de backend, documentación del modelo de producto para teléfonos, tabletas y computadoras portátiles, imágenes de BIOS, archivos ROM, archivos ISO y claves de producto digital de reemplazo (RDPK).

Como prueba de que robaron datos, el actor de amenazas compartió capturas de pantalla de esquemas técnicos para la pantalla Acer V206HQL, documentos, definiciones de BIOS y documentos confidenciales.

El póster de los datos decía que estaban vendiendo todo el conjunto de datos al mejor postor, aclarando que solo aceptarían la criptomoneda difícil de rastrear Monero (XMR) como forma de pago.

Después de contactar a Acer sobre la violación de datos, un portavoz de la compañía confirmó a BleepingComputer que sufrió una violación en uno de sus servidores de documentos.

"Recientemente hemos detectado un incidente de acceso no autorizado a uno de nuestros servidores de documentos para técnicos de reparación.

Si bien nuestra investigación está en curso, actualmente no hay indicios de que se hayan almacenado datos de consumidores en ese servidor".

Esta violación se produce después de que Acer sufriera otros incidentes de seguridad en los últimos años.

En marzo de 2021, el fabricante de computadoras fue golpeado por la pandilla de ransomware REvil, exigiendo un pago de rescate récord de $ 50,000,000 a cambio de un descifrador mientras amenazaba con filtrar documentos financieros confidenciales.

En octubre de 2021, Acer confirmó que sus sistemas de posventa en India habían sido violados. Más de 60 GB de datos fueron robados de sus servidores, incluidos los registros de decenas de miles de clientes, distribuidores y minoristas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un grupo sospechoso de amenaza persistente avanzada (APT) alineado con Pakistán conocido como Transparent Tribe ha sido vinculado a una campaña de espionaje cibernético en curso dirigida a usuarios de Android indios y paquistaníes con una puerta trasera llamada CapraRAT.

"Transparent Tribe distribuyó la puerta trasera de Android CapraRAT a través de aplicaciones de mensajería segura y llamadas troyanizadas con la marca MeetsApp y MeetUp", dijo ESET en un informe compartido con The Hacker News.

Se estima que hasta 150 víctimas, probablemente con inclinaciones militares o políticas, han sido atacadas, con el malware (com.meetup.app) disponible para descargar de sitios web falsos que se hacen pasar por los centros de distribución oficiales de estas aplicaciones.

Se sospecha que los objetivos son atraídos a través de una estafa romántica de trampa de miel en la que el actor de amenazas se acerca a las víctimas a través de otra plataforma y las persuade para que instalen las aplicaciones con malware con el pretexto de mensajes y llamadas "seguras".

Sin embargo, las aplicaciones, además de ofrecer la funcionalidad prometida, vienen implantadas con CapraRAT, una versión modificada del código abierto AndroRAT que fue documentada por primera vez por Trend Micro en febrero de 2022 y que exhibe superposiciones con un malware de Windows conocido como CrimsonRAT.


La puerta trasera está repleta de un amplio conjunto de características que le permiten tomar capturas de pantalla y fotos, grabar llamadas telefónicas y audio circundante, y filtrar otra información confidencial. También puede hacer llamadas, enviar mensajes SMS y recibir comandos para descargar archivos.

Dicho esto, los usuarios también deben crear una cuenta vinculando sus números de teléfono y completando un paso de verificación por SMS para acceder a las funcionalidades de la aplicación.

La compañía eslovaca de ciberseguridad declaró que la campaña está estrechamente dirigida y que no encontró evidencia que indique que las aplicaciones estaban disponibles en Google Play Store.

Transparent Tribe, también conocida como APT36, Operación C-Major y Mythic Leopard, se atribuyó recientemente a otro conjunto de ataques dirigidos a organizaciones gubernamentales indias con versiones maliciosas de una solución de autenticación de dos factores llamada Kavach.

Los hallazgos también llegan semanas después de que la firma de ciberseguridad ThreatMon detallara una campaña de spear-phishing por parte de actores de SideCopy dirigida a entidades gubernamentales indias con el objetivo de implementar una versión actualizada de una puerta trasera conocida como ReverseRAT.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una versión anterior de la aplicación Android de Shein sufría de un error que periódicamente capturaba y transmitía el contenido del portapapeles a un servidor remoto.

El equipo de investigación de Microsoft 365 Defender dijo que descubrió el problema en la versión 7.9.2 de la aplicación que se lanzó el 16 de diciembre de 2021. Desde entonces, el problema se ha abordado a partir de mayo de 2022.

Shein, originalmente llamado ZZKKO, es un minorista chino de moda rápida en línea con sede en Singapur. La aplicación, que actualmente está en la versión 9.0.0, tiene más de 100 millones de descargas en Google Play Store.

El gigante tecnológico dijo que no es "específicamente consciente de ninguna intención maliciosa detrás del comportamiento", pero señaló que la función no es necesaria para realizar tareas en la aplicación.


Además, señaló que el lanzamiento de la aplicación después de copiar cualquier contenido al portapapeles del dispositivo activó automáticamente una solicitud HTTP POST que contenía los datos al servidor "api-service[.] shein[.] com."

Para mitigar tales riesgos de privacidad, Google ha realizado mejoras adicionales en Android en los últimos años, incluida la visualización de mensajes del sistema cuando una aplicación accede al portapapeles y la prohibición de que las aplicaciones obtengan los datos a menos que se estén ejecutando activamente en primer plano.

"Teniendo en cuenta que los usuarios móviles a menudo usan el portapapeles para copiar y pegar información confidencial, como contraseñas o información de pago, el contenido del portapapeles puede ser un objetivo atractivo para los ataques cibernéticos", dijeron los investigadores Dimitrios Valsamaras y Michael Peck.

"Aprovechar los portapapeles puede permitir a los atacantes recopilar información del objetivo y filtrar datos útiles".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft dice que su cliente de correo electrónico y calendario Outlook para Mac ahora está disponible de forma gratuita, y ya no requerirá una licencia de Office o una suscripción a Microsoft 365 para ser utilizado.

Outlook para Mac viene con soporte para Microsoft 365, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (incluidos Hotmail y MSN), Gmail, Yahoo Mail, iCloud, IMAP y cuentas POP, de acuerdo con su página de Mac App Store.

También ha sido rediseñado para que coincida con la interfaz de usuario de macOS, y aprovechará toda la potencia que viene con los chips basados en Arm de Apple.

"El nuevo Outlook está optimizado para Apple Silicon, con un rendimiento ágil y velocidades de sincronización más rápidas que las versiones anteriores", dijo el primer ministro de Outlook, Jeremy Perdue.

"Con nuestra nueva función Handoff, puede retomar tareas donde las dejó entre dispositivos iOS y Mac, para que pueda levantarse e irse sin perder el ritmo".

Outlook para Mac también le permite realizar un seguimiento de sus recordatorios a través del Centro de notificaciones de macOS y viene con un widget dedicado para ayudarlo a ver su agenda diaria.

Sin embargo, algunas funciones, como Handoff, requieren que inicie sesión en sus dispositivos iOS y macOS con el mismo ID de Apple.


Microsoft presentó el nuevo Outlook rediseñado para Mac en noviembre de 2019 cuando se puso a disposición de los Insiders en el anillo rápido, con experiencias actualizadas de Mail, Búsqueda y Calendario y un rendimiento mejorado.

En julio de 2020, el nuevo Outlook para Mac alcanzó el anillo Insider Slow, lo que permite a los evaluadores usar un interruptor "Nuevo Outlook" en la esquina superior derecha de la ventana para habilitar la nueva experiencia.

Casi dos años después, a mediados de febrero de 2022, el nuevo Outlook para Mac se convirtió en la experiencia predeterminada para los usuarios nuevos y existentes.

"Hay más por hacer y muchas más características que estamos entusiasmados de traer a la experiencia de Outlook Mac", dijo Perdue hoy.

Una nueva campaña de phishing se dirige a organizaciones en países de Europa del Este con el malware Remcos RAT con la ayuda de un antiguo bypass de Control de cuentas de usuario de Windows descubierto hace más de dos años.

El uso de directorios de confianza simulados para eludir el Control de cuentas de usuario de Windows se destaca en el ataque, ya que se conoce desde 2020, pero sigue siendo efectivo hoy en día.

La última campaña de Remcos fue observada y analizada por investigadores de SentinelOne, quienes documentaron sus hallazgos en un informe publicado hoy.

Comienza con una factura falsa
Los correos electrónicos de la campaña de phishing se envían desde dominios de nivel superior que coinciden con el país del destinatario y, por lo general, se enmascaran como facturas, documentos de licitación y otros documentos financieros.

Los correos electrónicos no contienen mucho texto aparte de lo que se requiere para dirigir la atención del destinatario al archivo adjunto, un archivo tar.lz que contiene el ejecutable DBatLoader.


Una elección tan inusual del formato de archivo reduce las posibilidades de que las víctimas abran con éxito el archivo adjunto, pero también ayuda a evadir la detección del software antivirus y las herramientas de seguridad del correo electrónico.

La carga útil de la primera etapa del cargador de malware se disfraza como un documento de Microsoft Office, LibreOffice o PDF utilizando extensiones dobles e iconos de aplicaciones para engañar a la víctima para que lo abra.

Al iniciar el cargador de malware, se obtiene una carga útil de segunda etapa de un servicio de nube pública, como Microsoft OneDrive o Google Drive.

Sentinel One informa que en un caso, se abusó del servicio en la nube para alojar DBatLoader durante más de un mes, aunque no está claro si los actores de amenazas usaron su propia cuenta o una cuenta comprometida con un historial limpio.

Abusar de carpetas "de confianza" simuladas

Antes de cargar Remcos RAT, DBatLoader crea y ejecuta un script por lotes de Windows para abusar de un método de omisión de UAC de Windows documentado en 2020.

El método, demostrado por primera vez en Windows 10 por el investigador de seguridad Daniel Gebert, implica el uso de una combinación de secuestro de DLL y directorios de confianza simulados para omitir UAC y ejecutar código malicioso sin preguntar al usuario.

Windows UAC es un mecanismo de protección que Microsoft introdujo en Windows Vista, pidiendo a los usuarios que confirmen la ejecución de aplicaciones de alto riesgo.

Windows confía en algunas carpetas, como C:\Windows\System32\, lo que permite que los ejecutables se eleven automáticamente sin mostrar un mensaje de UAC.

Un directorio simulado es un directorio de imitación con un espacio final. Por ejemplo, "C:\Windows\System32" es una carpeta legítima y se considera una ubicación de confianza en Windows. Un directorio simulado se vería como "C:\Windows \System32", con un espacio adicional después de C:\Windows\.

El problema es que algunos programas de Windows, como el Explorador de archivos, tratan "C:\Windows" y "C:\Windows" como la misma carpeta, engañando así al sistema operativo para que piense que C:\Windows\System32 es una carpeta de confianza y debería tener sus archivos auto-elevados sin un mensaje de UAC.

El script utilizado por DBatLoader, en este caso, crea directorios de confianza simulados de la misma manera, creando una carpeta "C:\Windows \System32" y copiando ejecutables legítimos ("easinvoker.exe") y archivos DLL maliciosos ("netutils.dll").


"easinvoker.exe es susceptible al secuestro de DLL que permite la ejecución de netutils maliciosos.dll en su contexto", explica Sentinel One

"easinvoker.exe es un ejecutable autoelevado, lo que significa que Windows eleva automáticamente este proceso sin emitir un mensaje de UAC si se encuentra en un directorio de confianza: el directorio simulado %SystemRoot%\System32 garantiza que se cumplan estos criterios".

El cargador de malware agrega el script malicioso ("KDECO.bat") que se oculta en la DLL a la lista de exclusión de Defender de Microsoft y luego establece la persistencia para Remcos creando una nueva clave de registro.

Eventualmente, Remcos se ejecuta a través de la inyección de procesos, configurada con capacidades de registro de teclas y captura de pantalla.


Sentinel One sugiere que los administradores del sistema configuren Windows UAC para "Notificar siempre", aunque esto podría ser demasiado obstructivo y ruidoso.

Los administradores también deben supervisar la creación de archivos sospechosos o las ejecuciones de procesos en rutas de sistemas de archivos de confianza con espacios finales, especialmente carpetas que contengan la cadena "\Windows".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un grupo de investigadores ha revelado lo que dice es una vulnerabilidad en una implementación específica de CRYSTALS-Kyber, uno de los algoritmos de cifrado elegidos por el gobierno de Estados Unidos como resistente a la cuántica el año pasado.

El exploit se relaciona con "ataques de canal lateral en implementaciones enmascaradas de hasta quinto orden de CRYSTALS-Kyber en CPU ARM Cortex-M4", dijeron Elena Dubrova, Kalle Ngo, y Joel Gärtner del KTH Royal Institute of Technology en un artículo.

CRYSTALS-Kyber es uno de los cuatro algoritmos postcuánticos seleccionados por el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos después de un riguroso esfuerzo de varios años para identificar los estándares de cifrado de próxima generación que pueden soportar grandes saltos en la potencia informática.

Un ataque de canal lateral, como su nombre lo indica, implica extraer secretos de un criptosistema a través de la medición y el análisis de parámetros físicos. Algunos ejemplos de tales parámetros incluyen corriente de suministro, tiempo de ejecución y emisión electromagnética.

La idea subyacente es que los efectos físicos introducidos como resultado de una implementación criptográfica se pueden utilizar para decodificar y deducir información confidencial, como texto cifrado y claves de cifrado.

Una de las contramedidas populares para endurecer las implementaciones criptográficas contra ataques físicos es el enmascaramiento, que aleatoriza el cálculo y separa la información del canal lateral de las variables criptográficas dependientes de secretos.

"El principio básico del enmascaramiento es dividir cada variable intermedia sensible del algoritmo criptográfico en múltiples acciones utilizando el intercambio secreto, y realizar cálculos en estas acciones", explicó otro grupo de investigadores en 2016.

"Desde el momento en que se divide la entrada hasta que se libera la salida compartida del algoritmo criptográfico, las acciones de las variables intermedias sensibles nunca se combinan de manera que estas variables se desenmascaren, es decir, las variables sensibles no compartidas nunca se revelan. Solo después de que el cálculo haya finalizado, la salida compartida se reconstruye para revelar su valor desenmascarado.

El método de ataque ideado por los investigadores implica un método de entrenamiento de redes neuronales llamado aprendizaje recursivo para ayudar a recuperar bits de mensajes con una alta probabilidad de éxito.

"Los ataques de canal lateral basados en el aprendizaje profundo pueden superar las contramedidas convencionales, como el enmascaramiento, el barajado, la inserción de retrasos aleatorios, la codificación de peso constante, el polimorfismo de código y el reloj aleatorio", dijeron los investigadores.

Los investigadores también desarrollaron un nuevo método de recuperación de mensajes llamado rotación cíclica que manipula los textos cifrados para aumentar la fuga de bits de mensajes, aumentando así la tasa de éxito de la recuperación de mensajes.

"Tal método nos permite entrenar redes neuronales que pueden recuperar un bit de mensaje con una probabilidad superior al 99% de implementaciones enmascaradas de alto orden", agregaron.

Cuando se contactó para hacer comentarios, NIST le dijo a The Hacker News que el enfoque no rompe el algoritmo en sí y que los hallazgos no afectan el proceso de estandarización de CRYSTALS-Kyber.

"El trabajo de canal lateral fue parte de la evaluación, y continuará siendo estudiado en el futuro", dijo Dustin Moody del NIST a Inside Quantum Technology (IQT) News. "Destaca la necesidad de tener implementaciones protegidas".

"Existen documentos que atacan casi todos los algoritmos criptográficos utilizando canales laterales. Se desarrollan contramedidas, y muchos de los ataques no son realistas o prácticos en escenarios del mundo real".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los actores maliciosos pueden aprovechar la visibilidad forense "insuficiente" en Google Cloud Platform (GCP) para filtrar datos confidenciales, según una nueva investigación.

"Desafortunadamente, GCP no proporciona el nivel de visibilidad en sus registros de almacenamiento que se necesita para permitir cualquier investigación forense efectiva, lo que hace que las organizaciones sean ciegas ante posibles ataques de exfiltración de datos", dijo la firma de respuesta a incidentes en la nube Mitiga en un informe.

El ataque se basa en el requisito previo de que el adversario pueda obtener el control de una entidad de gestión de identidad y acceso (IAM) en la organización objetivo mediante métodos como la ingeniería social para acceder al entorno de GCP.

El quid del problema es que los registros de acceso de almacenamiento de GCP no proporcionan la transparencia adecuada con respecto al posible acceso a archivos y eventos de lectura, sino que los agrupan todos como una sola actividad de "Obtención de objetos".

"El mismo evento se usa para una amplia variedad de tipos de acceso, que incluyen: leer un archivo, descargar un archivo, copiar un archivo a un servidor externo [y] leer los metadatos del archivo", dijo la investigadora de Mitiga Veronica Marinov.

Esta falta de distinción podría permitir a un atacante recopilar datos confidenciales sin ser detectado, principalmente porque no hay forma de diferenciar entre la actividad del usuario malicioso y legítimo.


En un ataque hipotético, un actor de amenazas puede usar la interfaz de línea de comandos de Google (gsutil) para transferir datos valiosos de los depósitos de almacenamiento de la organización víctima a un depósito de almacenamiento externo dentro de la organización atacante.

Desde entonces, Google ha proporcionado recomendaciones de mitigación, que van desde controles de servicio de nube privada virtual (VPC) hasta el uso de encabezados de restricción de la organización para limitar las solicitudes de recursos en la nube.

La revelación se produce cuando Sysdig descubrió una sofisticada campaña de ataque llamada SCARLETEEL que se dirige a entornos en contenedores para perpetrar el robo de datos y software propietarios.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un sigiloso kit de arranque de la Interfaz de firmware extensible unificada (UEFI) llamado BlackLotus se ha convertido en el primer malware conocido públicamente capaz de eludir las defensas de arranque seguro, lo que lo convierte en una potente amenaza en el panorama cibernético.

"Este bootkit puede ejecutarse incluso en sistemas Windows 11 totalmente actualizados con UEFI Secure Boot habilitado", dijo la compañía eslovaca de ciberseguridad ESET en un informe compartido con The Hacker News.

Los bootkits UEFI se implementan en el firmware del sistema y permiten un control total sobre el proceso de arranque del sistema operativo (SO), lo que permite deshabilitar los mecanismos de seguridad a nivel del sistema operativo e implementar cargas arbitrarias durante el inicio con altos privilegios.

Ofrecido a la venta a $ 5,000 (y $ 200 por nueva versión posterior), el kit de herramientas potente y persistente está programado en Assembly y C y tiene un tamaño de 80 kilobytes. También cuenta con capacidades de geofencing para evitar infectar computadoras en Armenia, Bielorrusia, Kazajstán, Moldavia, Rumania, Rusia y Ucrania.

Los detalles sobre BlackLotus surgieron por primera vez en octubre de 2022, y el investigador de seguridad de Kaspersky Sergey Lozhkin lo describió como una solución sofisticada de crimeware.

"Esto representa un poco de un 'salto' adelante, en términos de facilidad de uso, escalabilidad, accesibilidad y, lo que es más importante, el potencial de mucho más impacto en las formas de persistencia, evasión y / o destrucción", señaló Scott Scheferman de Eclypsium.

BlackLotus, en pocas palabras, explota una falla de seguridad rastreada como CVE-2022-21894 (también conocida como Baton Drop) para sortear las protecciones de arranque seguro UEFI y configurar la persistencia. La vulnerabilidad fue abordada por Microsoft como parte de su actualización Patch Tuesday de enero de 2022.

Una explotación exitosa de la vulnerabilidad, según ESET, permite la ejecución de código arbitrario durante las primeras fases de arranque, lo que permite a un actor de amenazas llevar a cabo acciones maliciosas en un sistema con UEFI Secure Boot habilitado sin tener acceso físico a él.


"Este es el primer abuso públicamente conocido de esta vulnerabilidad", dijo el investigador de ESET, Martin Smolár. "Su explotación aún es posible ya que los binarios afectados y firmados válidamente aún no se han agregado a la lista de revocación de UEFI".

"BlackLotus se aprovecha de esto, trayendo sus propias copias de binarios legítimos, pero vulnerables, al sistema para explotar la vulnerabilidad", allanando efectivamente el camino para los ataques Bring Your Own Vulnerable Driver (BYOVD).

Además de estar equipado para desactivar mecanismos de seguridad como BitLocker, integridad de código protegida por hipervisor (HVCI) y Windows Defender, también está diseñado para eliminar un controlador de kernel y un descargador HTTP que se comunica con un servidor de comando y control (C2) para recuperar malware adicional en modo usuario o kernel.

El modus operandi exacto utilizado para implementar el bootkit aún se desconoce, pero comienza con un componente de instalación que es responsable de escribir los archivos en la partición del sistema EFI, deshabilitar HVCI y BitLocker y, a continuación, reiniciar el host.

El reinicio es seguido por la militarización de CVE-2022-21894 para lograr la persistencia e instalar el bootkit, después de lo cual se ejecuta automáticamente en cada inicio del sistema para implementar el controlador del kernel.

Mientras que el controlador tiene la tarea de iniciar el descargador HTTP en modo usuario y ejecutar cargas útiles en modo kernel de la siguiente etapa, este último es capaz de ejecutar comandos recibidos del servidor C2 a través de HTTPS.

Esto incluye descargar y ejecutar un controlador de kernel, DLL o un ejecutable normal; Obtener actualizaciones de bootkit e incluso desinstalar el bootkit del sistema infectado.

"Muchas vulnerabilidades críticas que afectan la seguridad de los sistemas UEFI se han descubierto en los últimos años", dijo Smolár. "Desafortunadamente, debido a la complejidad de todo el ecosistema UEFI y los problemas relacionados con la cadena de suministro, muchas de estas vulnerabilidades han dejado a muchos sistemas vulnerables incluso mucho tiempo después de que se hayan solucionado las vulnerabilidades, o al menos después de que nos dijeron que se solucionaron".

"Era solo cuestión de tiempo antes de que alguien aprovechara estas fallas y creara un kit de arranque UEFI capaz de operar en sistemas con UEFI Secure Boot habilitado".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cisco lanzó el miércoles actualizaciones de seguridad para abordar una falla crítica que afecta a sus productos IP Phone 6800, 7800, 7900 y 8800 Series.

La vulnerabilidad, rastreada como CVE-2023-20078, tiene una calificación de 9.8 sobre 10 en el sistema de puntuación CVSS y se describe como un error de inyección de comandos en la interfaz de administración basada en web que surge debido a una validación insuficiente de la entrada proporcionada por el usuario.

La explotación exitosa del error podría permitir a un atacante remoto no autenticado inyectar comandos arbitrarios que se ejecutan con los privilegios más altos en el sistema operativo subyacente.

"Un atacante podría explotar esta vulnerabilidad enviando una solicitud elaborada a la interfaz de administración basada en la web", dijo Cisco en una alerta publicada el 1 de marzo de 2023.

También parcheado por la compañía es una vulnerabilidad de denegación de servicio (DoS) de alta gravedad que afecta al mismo conjunto de dispositivos, así como el Cisco Unified IP Conference Phone 8831 y Unified IP Phone 7900 Series.

CVE-2023-20079 (puntuación CVSS: 7,5), también como resultado de una validación insuficiente de la entrada proporcionada por el usuario en la interfaz de administración basada en web, podría ser abusada por un adversario para causar una condición DoS.

Si bien Cisco ha lanzado Cisco Multiplatform Firmware versión 11.3.7SR1 para resolver CVE-2023-20078, la compañía dijo que no planea arreglar CVE-2023-20079, ya que ambos modelos de teléfono de conferencia IP unificado han entrado en el final de su vida útil (EoL).

La compañía dijo que no tiene conocimiento de ningún intento de explotación maliciosa dirigida a la falla. También dijo que las fallas fueron descubiertas durante las pruebas de seguridad interna.

El aviso se produce cuando Aruba Networks, una subsidiaria de Hewlett Packard Enterprise, lanzó una actualización de ArubaOS para remediar múltiples fallas de inyección de comandos no autenticadas y desbordamiento de búfer basado en pila (desde CVE-2023-22747 hasta CVE-2023-22752, puntuaciones CVSS: 9. que podrían resultar en la ejecución de código.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Aruba Networks publicó un aviso de seguridad para informar a los clientes sobre seis vulnerabilidades de gravedad crítica que afectan a múltiples versiones de ArubaOS, su sistema operativo de red patentado.

Las fallas afectan a Aruba Mobility Conductor, Aruba Mobility Controllers y Gateways WLAN y SD-WAN Gateways administrados por Aruba.

Aruba Networks es una subsidiaria con sede en California de Hewlett Packard Enterprise, especializada en redes informáticas y soluciones de conectividad inalámbrica.

Las fallas críticas abordadas por Aruba esta vez se pueden separar en dos categorías: fallas de inyección de comandos y problemas de desbordamiento de búfer basados en pila en el protocolo PAPI (protocolo de gestión de puntos de acceso de Aruba Networks).

Todas las fallas fueron descubiertas por el analista de seguridad Erik de Jong, quien las informó al proveedor a través del programa oficial de recompensas de errores.

Las vulnerabilidades de inyección de comandos se rastrean como CVE-2023-22747, CVE-2023-22748, CVE-2023-22749 y CVE-2023-22750, con una clasificación CVSS v3 de 9.8 de 10.0.

Un atacante remoto no autenticado puede aprovecharlos enviando paquetes especialmente diseñados al PAPI a través del puerto UDP 8211, lo que resulta en la ejecución de código arbitrario como usuario privilegiado en ArubaOS.

Los errores de desbordamiento de búfer basados en pila se rastrean como CVE-2023-22751 y CVE-2023-22752, y también tienen una clasificación CVSS v3 de 9.8.

Estas fallas son explotables mediante el envío de paquetes especialmente diseñados al PAPI a través del puerto UDP 8211, lo que permite a los atacantes remotos no autenticados ejecutar código arbitrario como usuarios privilegiados en ArubaOS.

Las versiones afectadas son:

• ArubaOS 8.6.0.19 y versiones anteriores
• ArubaOS 8.10.0.4 y versiones anteriores
• ArubaOS 10.3.1.0 y versiones anteriores
• SD-WAN 8.7.0.0-2.3.0.8 y versiones anteriores

Las versiones de actualización de destino, según Aruba, deberían ser:

• ArubaOS 8.10.0.5 y superior
• ArubaOS 8.11.0.0 y superior
• ArubaOS 10.3.1.1 y superior
• SD-WAN 8.7.0.0-2.3.0.9 y superior

Desafortunadamente, varias versiones del producto que han llegado al final del ciclo de vida (EoL) también se ven afectadas por estas vulnerabilidades y no recibirán una actualización de reparación. Estos son:

• ArubaOS 6.5.4.x
• ArubaOS 8.7.x.x
• ArubaOS 8.8.x.x
• ArubaOS 8.9.x.x
• SD-WAN 8.6.0.4-2.2.x.x

Una solución para los administradores de sistemas que no pueden aplicar las actualizaciones de seguridad o que utilizan dispositivos EoL es habilitar el modo "Seguridad PAPI mejorada" utilizando una clave no predeterminada.

Sin embargo, la aplicación de las mitigaciones no aborda otras 15 vulnerabilidades de gravedad alta y ocho de gravedad media enumeradas en el aviso de seguridad de Aruba, que están corregidas por las nuevas versiones.

Aruba afirma que no tiene conocimiento de ninguna discusión pública, código de explotación o explotación activa de estas vulnerabilidades a partir de la fecha de lanzamiento del aviso, 28 de febrero de 2022.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha lanzado 'Decider', una herramienta de código abierto que ayuda a los defensores y analistas de seguridad a generar rápidamente informes de mapeo MITRE ATT&CK.

El marco MITRE ATT&CK es un estándar para identificar y rastrear tácticas y técnicas adversarias basadas en observaciones de ataques cibernéticos, lo que permite a los defensores ajustar su postura de seguridad en consecuencia.

Al tener un estándar común, las organizaciones pueden compartir rápidamente información completa y precisa sobre amenazas recién descubiertas o emergentes y ayudar a obstaculizar su efectividad.

CISA publicó recientemente una guía de "mejores prácticas" sobre el mapeo MITRE ATT&CK, destacando la importancia de usar el estándar.

Decider fue desarrollado en asociación con el Instituto de Ingeniería y Desarrollo de Sistemas de Seguridad Nacional y MITRE y se puso a disposición de forma gratuita a través del repositorio GitHub de CISA.

"Hoy, CISA lanzó Decider, una herramienta gratuita para ayudar a la comunidad de ciberseguridad a mapear el comportamiento de los actores de amenazas al marco MITRE ATT&CK", se lee en un anuncio de CISA.

"Creado en asociación con el Instituto de Ingeniería y Desarrollo de Sistemas de Seguridad Nacional (HSSEDI) y MITRE, Decider ayuda a que el mapeo sea rápido y preciso a través de preguntas guiadas, una poderosa función de búsqueda y filtro, y una funcionalidad de carrito que permite a los usuarios exportar resultados a formatos de uso común".

La herramienta hace preguntas guiadas por el usuario sobre la actividad observada del adversario y genera el correspondiente informe MITRE ATT&CK.


Por ejemplo, una pregunta podría ser "¿Qué está tratando de hacer el adversario?", a lo que una posible respuesta es "Obtener un punto de apoyo inicial dentro del entorno", que corresponde a la táctica de acceso inicial.

Las preguntas continuarán hasta que se alcance una subtécnica para todas las tácticas, o al menos una técnica, en caso de que ninguna subtécnica se ajuste a la actividad en particular.


El defensor puede usar el informe MITRE ATT&CK generado para desarrollar tácticas de defensa específicas o exportarlo en formatos comunes y compartirlo con otros en la industria para evitar la proliferación de la amenaza identificada.

Como explica CISA en una hoja informativa publicada junto con el lanzamiento de Decider, los informes de mapeo de MITRE ATT&CK pueden ayudar a pasar a las siguientes etapas de respuesta a amenazas, que incluyen:

- Visualización de los hallazgos en ATT&CK Navigator
- Compartir los hallazgos con otros mediante la publicación de informes de inteligencia de amenazas
- Encontrar sensores y análisis para detectar esas técnicas
- Descubrir mitigaciones que ayudan a evitar que las técnicas funcionen en primer lugar
- Compilación de planes de emulación de amenazas para validar las defensas

CISA insta a la comunidad de ciberseguridad a descargar y usar Decider y enviar sus comentarios, informes de errores o incluso sugerencias de características.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta