Mostrar Mensajes

Esta sección te permite ver todos los posts escritos por este usuario. Ten en cuenta que sólo puedes ver los posts escritos en zonas a las que tienes acceso en este momento.

Temas - AXCESS

Páginas: [1] 2 3 ... 24
1


Microsoft ha informado de una vulnerabilidad Zero-Day identificada como CVE-2021-40444, cuya explotación permite la ejecución remota de código malicioso en el sistema operativo de las víctimas. Y, lo que es peor, los ciberdelincuentes ya están utilizando la vulnerabilidad para atacar a los usuarios de Microsoft Office. Por lo tanto, Microsoft recomienda que los administradores de red Windows empleen una solución alternativa temporal hasta que la empresa pueda implementar un parche. Diferentes expertos lograron reproducir el ataque en la última versión de Office 2019/Office 365 en equipos con Windows 10 tratándose de un fallo lógico y realmente peligroso.

En esta ocasión, la vulnerabilidad CVE-2021-40444 se ha catalogado como importante con una severidad de 8.8 sobre 10 afectando a Windows Server desde 2008 hasta 2019, y a los sistemas operativos Windows desde la versión 8 a la 10. Los usuarios más vulnerables a este tipo de ataques son los que operan con cuentas con derechos administrativos.
 
La vulnerabilidad está en MSHTML, el motor de Internet Explorer y, aunque ya son pocos los que utilizan IE (incluso Microsoft recomienda encarecidamente cambiarse a su nuevo navegador, Edge), el viejo navegador sigue siendo parte de los sistemas operativos modernos y algunos otros programas utilizan este motor para gestionar el contenido web. En particular, las aplicaciones de Microsoft como Word y PowerPoint dependen de él.
 
Microsoft ha prometido investigar y, si fuera necesario, liberar un parche oficial. Dicho esto, no esperamos que este parche esté listo antes del 14 de septiembre, el próximo martes de Parches. En circunstancias normales, la empresa no anunciaría una vulnerabilidad antes de liberar la solución, pero dado que los ciberdelincuentes ya están explotando la CVE-2021-40444, Microsoft recomienda emplear un método alternativo de inmediato.

Esta alternativa consiste en prohibir la instalación de nuevos controles ActiveX. Esto lo puedes hacer al añadir unas cuantas claves al registro del sistema. Microsoft proporciona información detallada sobre la vulnerabilidad, incluida una sección de alternativas (en la que también puedes aprender cómo deshabilitarla una vez que ya no la necesites). De acuerdo con Microsoft, esta alternativa no debería afectar el desempeño de los controles ActiveX que ya están instalados.

A continuación, se incluye un resumen de algunos de los acontecimientos que ocurrieron:

•   Microsoft ha actualizado su aviso para informar cómo desactivar la vista previa en el Explorador de Windows y ofrecer una opción de directiva de grupo.
•   La detección del exploit por parte de Defender utiliza un dominio codificado. Esto podría prevenir este actor de amenaza específico y esa campaña específica, pero no detecta completamente la amenaza en sí.
•   Rich Warren ha señalado que la técnica RTF no es nueva y puede usarse como parte de otros trucos.
•   Los investigadores están compartiendo nuevas técnicas de detección y exploits.
•   El investigador Kevin Beaumont está considerando publicar la prueba de conceptos no maliciosa "pop calc" para realizar mejores pruebas.
•   Existen muchas reglas de detección de exploit.

Fuente:
Kaspersky
https://www.kaspersky.es/blog/cve-2021-40444-vulnerability-mshtml/25950/

Vía:
Hacking Land
https://www.hacking.land/2021/09/zero-day-cr-en-mshtml-e-incrustados-en.html


--------------------------------------------------------------------------------------------------------------------------------------

Una frase para animarle:

"No te subestimes. Tienes la capacidad de despertar hoy y cambiarte".


2
Noticias Informáticas / Y una vez más… WhatsApp socaba su privacidad
« en: Septiembre 13, 2021, 04:11:30 pm »


Facebook tiene bajo contrato a más de 1.000 empleados que "continuamente leen y moderan millones de mensajes, imágenes y videos privados" enviados a través de su servicio filial de WhatsApp, según un informe publicado este martes por el portal ProPublica.
 
Cuando Zuckerberg dio a conocer una nueva "visión centrada en la privacidad" para Facebook en marzo de 2019, citó el servicio de mensajería global de la empresa, WhatsApp, como modelo.

Reconociendo que:

 "actualmente no tenemos una sólida reputación en la creación de servicios de protección de la privacidad, pero creo que el futuro de la comunicación cambiará cada vez más a servicios privados y cifrados en los que las personas puedan confiar en lo que se dicen entre sí. Y sus mensajes y contenido no se quedarán para siempre. Este es el futuro que espero que ayudemos a lograr. Planeamos construir esto de la forma en que hemos desarrollado WhatsApp".

Entretanto, WhatsApp continúa promocionando sus políticas de privacidad y enfatiza que los mensajes cursados entre usuarios no pueden ser descifrados por la empresa.

 El director ejecutivo de Facebook, Mark Zuckerberg, aseguró durante su testimonio ante el Senado de EE.UU. en 2018:
"No vemos nada del contenido en WhatsApp".

Sin embargo, de acuerdo con un nuevo informe basado en documentos internos y entrevistas con moderadores, resulta que no es así.
 
"WhatsApp tiene más de 1.000 trabajadores contratados, que llenan pisos de edificios de oficinas en Austin, Texas, Dublín y Singapur. [...] Emiten juicios sobre cualquier cosa que aparezca en su pantalla, reclamos de todo, desde fraude o spam hasta pornografía infantil y posibles conspiraciones terroristas, generalmente en menos de un minuto", escribió ProPublica.



Estos moderadores no son empleados directos de WhatsApp o Facebook, sino que son contratistas que trabajan por 16,50 dólares la hora y están obligados a guardar silencio sobre su labor, bajo acuerdos de no divulgación.
 
En conjunto, los trabajadores analizan millones de piezas de contenido de WhatsApp cada semana.

Cada revisor maneja más de 600 tickets al día, lo que les da menos de un minuto por ticket. WhatsApp se negó a revelar cuántos trabajadores contratados se emplean para la revisión de contenido, pero una lista parcial de personal revisada por ProPublica sugiere que, solo en Accenture, hay más de 1.000.

Se espera que los moderadores de WhatsApp, como sus contrapartes de Facebook e Instagram, cumplan con las métricas de rendimiento en cuanto a velocidad y precisión, que son auditadas por Accenture.

¿Qué contenidos ven los moderadores?

Según el portal, los contenidos a los que deben estar atentos esos contratistas son mensajes reportados por los usuarios o marcados por inteligencia artificial. Así, cuando un internauta presiona 'reportar', el mensaje en cuestión, así como los cuatro anteriores en el chat respectivo, se descifran y se envían a uno de esos moderadores para su revisión.

Los mensajes seleccionados por la inteligencia artificial se examinan con base en datos no cifrados recopilados por WhatsApp, como "los nombres y las imágenes de perfil de los grupos de WhatsApp de los usuarios, sus números de teléfono, fotos de perfil, mensajes de estado, nivel de batería del teléfono, idioma y zona horaria, identificación única del teléfono móvil y dirección IP, intensidad de la señal inalámbrica y sistema operativo del teléfono, así como una lista de sus dispositivos electrónicos, cualquier cuenta de Facebook e Instagram relacionada, la última vez que usaron la aplicación y cualquier historial previo de violaciones".


De otra parte, algunos de los mensajes revisados por los moderadores fueron marcados por error. WhatsApp cuenta con 2.000 millones de usuarios que hablan cientos de idiomas, y el personal a veces tiene que confiar en la herramienta de traducción de Facebook para analizar los mensajes marcados. Según un empleado, esa herramienta es "horrible" para decodificar la jerga local y el contenido político.


La negación de WhatsApp de que modera el contenido es notablemente diferente de lo que dice Facebook Inc. sobre los hermanos corporativos de WhatsApp, Instagram y Facebook.



La compañía ha dicho que unos 15.000 moderadores examinan el contenido de Facebook e Instagram, ninguno de los cuales está encriptado. Publica informes trimestrales de transparencia que detallan cuántas cuentas de Facebook e Instagram han "actuado" para varias categorías de contenido abusivo. No existe tal informe para WhatsApp.

Los informes indican, además, que WhatsApp comparte ciertos datos privados con agencias de aplicación de la ley, como el Departamento de Justicia de EE.UU. A manera de ejemplo, ProPublica denuncia que datos de los usuarios de WhatsApp ayudaron a los fiscales a construir un caso contra una exempleada del Departamento del Tesoro, Natalie Edwards, que supuestamente filtró a BuzzFeed News informes bancarios confidenciales sobre transacciones sospechosas.

La implementación de un ejército de revisores de contenido es solo una de las formas en que Facebook Inc. ha comprometido la privacidad de los usuarios de WhatsApp. Juntas, las acciones de la compañía han dejado a WhatsApp, la aplicación de mensajería más grande del mundo, con dos mil millones de usuarios, mucho menos privada de lo que sus usuarios probablemente entienden o esperan. Una investigación de ProPublica, basada en datos, documentos y docenas de entrevistas con empleados y contratistas actuales y anteriores, revela cómo, desde que compró WhatsApp en 2014, Facebook ha socavado silenciosamente sus amplias garantías de seguridad de múltiples maneras.


Dos artículos recientes señalan la existencia de moderadores de WhatsApp, pero se centraron en sus condiciones de trabajo y pago en lugar de su efecto en la privacidad de los usuarios. Este artículo es el primero en revelar los detalles y el alcance de la capacidad de la empresa para analizar los mensajes y los datos de los usuarios, y examinar qué hace la empresa con esa información.

Respuesta de WhatsApp

El director de comunicaciones de WhatsApp, Carl Woog, reconoció que sus contratistas revisan los mensajes para identificar y eliminar a "los peores" abusadores, y aseveró que la compañía no considera que ese trabajo sea una moderación de contenidos. "En realidad, no solemos usar este término para WhatsApp", dijo Woog a ProPublica.
 

"WhatsApp es un salvavidas para millones de personas en todo el mundo. Las decisiones que tomamos, sobre cómo creamos nuestra aplicación, se centran en la privacidad de nuestros usuarios, manteniendo un alto grado de confiabilidad y previniendo el abuso", aseguraron desde la empresa.

Más Información en Detalle:

ProPublica
https://www.propublica.org/article/how-facebook-undermines-privacy-protections-for-its-2-billion-whatsapp-users
https://time.com/6080450/facebook-whatsapp-content-moderators/


Fuente:
ProPublica
https://www.propublica.org/article/how-facebook-undermines-privacy-protections-for-its-2-billion-whatsapp-users

Vía:
Hacking Land
https://www.hacking.land/2021/09/as-facebook-socava-la-privacidad-de-sus.html


--------------------------------------------------------------------------------------------------------------------------------------

Una frase para animarle:

Encuentra tu pasión y la motivación será automática ...



3
Noticias Informáticas / Nuevas vulnerabilidades graves en paquetes de Node.js
« en: Septiembre 11, 2021, 04:43:35 pm »


GitHub ha resuelto numerosas vulnerabilidades en los paquetes tar y @ npmcli/arborist de Node.js. Las mismas permiten sobrescribir archivos y ejecutar código arbitrario. El pasado miércoles, GitHub anunció que la compañía de fallas y errores de seguridad que afectan los mencionados paquetes.

Estos reportes se efectuaron entre el 21 de julio y el 13 de agosto por Robert Chen y Philip Papurt, quienes, a través de los programas de recompensas, que otorgan a los investigadores crédito y recompensas financieras, por revelar de manera responsable las vulnerabilidades al vendedor.

El director de seguridad de GitHub, Mike Hanley, confirmó que estos informes llevaron a GitHub a realizar su propia revisión de lo reportado, lo que llevó al descubrimiento de problemas de seguridad adicionales.
 
El paquete tar se usa para imitar el sistema de archivo tar en Unix, mientras que @npmcli/arborist se ha desarrollado para administrar árboles node_modules. Tar es una dependencia central de npm para la extracción de paquetes npm, y @npmcli / arborist es una dependencia central de npm CLI.

Node-tar ha representado 22.390.735 descargas semanales, al momento de escribir este artículo, mientras que @npmcli/arborist se ha descargado 405.551 veces durante la semana pasada. En total, se han verificado 7 (siete) vulnerabilidades a través de los informes de recompensas de errores y el equipo de seguridad en los hallazgos de GitHub:

CVE-2021-32803
https://github.com/npm/node-tar/security/advisories/GHSA-r628-mhmh-qjhw

CVE-2021-32804
https://github.com/npm/node-tar/security/advisories/GHSA-3jfq-g458-7qm9

CVE-2021-37701
https://github.com/npm/node-tar/security/advisories/GHSA-9r2w-394v-53qc

CVE-2021-37712
https://github.com/npm/node-tar/security/advisories/GHSA-qq89-hq3f-393p

CVE-2021-37713
https://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jh

Vulnerabilidades @npmcli/arborist:

CVE-2021-39134
https://github.com/npm/arborist/security/advisories/GHSA-2h3h-q99f-3fhc

CVE-2021-39135

https://github.com/npm/arborist/security/advisories/GHSA-gmw6-94gg-2rc2

"CVE-2021-32804CVE-2021-37713, CVE-2021-39134 y CVE-2021-39135 tienen un impacto específico en la seguridad de la CLI de npm cuando se procesa la instalación de un paquete de npm malicioso o que no es de confianza", dice GitHub. "Algunos de estos problemas pueden resultar en la ejecución de código arbitrario, incluso si está utilizando --ignore-scripts para evitar el procesamiento de los scripts del ciclo de vida del paquete".

Para que los desarrolladores estén al tanto de estos errores, GitHub creó 16,7 millones de alertas de Dependabot y lanzó 1,8 millones de notificaciones.

GitHub ha solicitado a los dueños de proyectos que usen la CLI de npm y la descarguen directamente para actualizar a v6.14.15, v7.21.0 o más reciente. Si Node.js está en uso, la organización recomienda una actualización a las últimas versiones de Node 12, 14 o 16, todas las cuales contienen parches para resolver las fallas de seguridad. Los usuarios de Tar ahora pueden actualizar a las versiones 4.4.19, 5.0.11 y 6.1.10. La última versión disponible de @ npmcli / arborist es 2.8.3.

Chen y Papurt han recibido una recompensa combinada de U$S14.500 por sus informes.

Fuente:
Hacking Land
https://www.hacking.land/2021/09/nuevas-vulnerabilidades-graves-en.html

4


El proveedor de servicios de correo electrónico cifrado de extremo a extremo ProtonMail ha recibido críticas después de que cedió a una solicitud legal y compartió la dirección IP de activistas contra la gentrificación con las autoridades policiales, lo que llevó a sus arrestos en Francia.

La compañía con sede en Suiza dijo que recibió una "orden legalmente vinculante del Departamento Federal de Justicia de Suiza" relacionada con un colectivo llamado Youth for Climate, que estaba "obligada a cumplir", obligándola a entregar la dirección IP y la información relacionada al tipo de dispositivo utilizado por el grupo para acceder a la cuenta de ProtonMail.

En su sitio web, ProtonMail anuncia que:

"No se requiere información personal para crear su cuenta de correo electrónico segura. De forma predeterminada, no guardamos ningún registro de IP que pueda vincularse a su cuenta de correo electrónico anónimo. Su privacidad es lo primero".



A pesar de sus afirmaciones de que no hay registros de IP, la compañía reconoció que si bien es ilegal que la compañía cumpla con las solicitudes de las autoridades policiales no suizas, se le pedirá que lo haga si las agencias suizas aceptan ayudar a los servicios extranjeros como Europol en sus investigaciones.

"No había posibilidad de apelar o rechazar esta solicitud en particular porque de hecho se llevó a cabo un acto contrario a la ley suiza (y esta fue también la determinación final del Departamento Federal de Justicia que hace una revisión legal de cada caso)", el dijo la compañía en una larga respuesta publicada en Reddit.

En pocas palabras, ProtonMail no solo tendrá que cumplir con las órdenes del gobierno suizo, sino que se verá obligado a entregar datos relevantes cuando las personas utilicen el servicio para realizar actividades que se consideren ilegales en el país. Esto incluye monitorear las direcciones IP de los usuarios en "casos criminales extremos", según su informe de transparencia.

"Proton debe cumplir con la ley suiza. Tan pronto como se comete un delito, las protecciones de privacidad pueden suspenderse y la ley suiza nos exige que respondamos a las solicitudes de las autoridades suizas", tuiteó el fundador y director ejecutivo de ProtonMail, Andy Yen, y agregó: "Es deplorable que Las herramientas legales para delitos graves se están utilizando de esta manera. Pero por ley, [ProtonMail] debe cumplir con las investigaciones penales suizas. Obviamente, esto no se hace por defecto, sino solo si es legalmente forzado ".

En todo caso, los usuarios de ProtonMail que estén preocupados por la visibilidad de sus direcciones IP deben usar una VPN o acceder al servicio de correo electrónico a través de la red Tor para obtener anonimato adicional.

"El procesamiento en este caso parece bastante agresivo. Desafortunadamente, este es un patrón que hemos visto cada vez más en los últimos años en todo el mundo (por ejemplo, en Francia, donde las leyes contra el terrorismo se utilizan de manera inapropiada)", dijo la compañía.

Update


En una publicación de blog titulada "Aclaraciones importantes sobre el arresto de un activista climático", Andy Yen dijo que la empresa "puede verse obligada a recopilar información sobre las cuentas de los usuarios bajo investigación criminal suiza.
 
Obviamente, esto no se hace de forma predeterminada, pero solo si Proton obtiene un orden legal para una cuenta específica
".

Además, en una revisión de su política de privacidad, ProtonMail ahora explica explícitamente que se verá obligado a registrar las direcciones IP de los usuarios si se encuentra en violación de las leyes suizas:

"De forma predeterminada, no mantenemos registros de IP permanentes en relación con su uso de los Servicios. Sin embargo, los registros de IP pueden mantenerse temporalmente para combatir el abuso y el fraude, y su dirección IP puede conservarse permanentemente si participa en actividades que infringen nuestros términos y condiciones (spam, ataques DDoS contra nuestra infraestructura, ataques de fuerza bruta, etc.). La base legal de este procesamiento es nuestro interés legítimo en proteger nuestros Servicios contra actividades nefastas. Si está infringiendo la ley suiza, ProtonMail puede ser legalmente obligado para registrar su dirección IP como parte de una investigación criminal suiza”.

Nota: el título del artículo se ha revisado para reflejar que ProtonMail puede permitir el registro de direcciones IP de conformidad con las órdenes judiciales suizas.

Fuente:
The Hacker News
https://thehackernews.com/2021/09/protonmail-shares-activists-ip-address.html

5


SAN FRANCISCO, 26 ago (Reuters) - Microsoft  advirtió el jueves a miles de sus clientes de computación en la nube, incluidas algunas de las empresas más grandes del mundo, que los intrusos podrían tener la capacidad de leer, cambiar o incluso eliminar sus principales bases de datos. según una copia del correo electrónico y un investigador de seguridad cibernética.

La vulnerabilidad está en la base de datos insignia Cosmos DB de Microsoft Azure. Un equipo de investigación de la empresa de seguridad Wiz descubrió que podía acceder a las claves que controlan el acceso a las bases de datos de miles de empresas. Ami Luttwak, directora de tecnología de Wiz, es una ex directora de tecnología del Cloud Security Group de Microsoft.

Debido a que Microsoft no puede cambiar esas claves por sí mismo, envió un correo electrónico a los clientes el jueves diciéndoles que crearan nuevas. Microsoft acordó pagarle a Wiz 40.000 dólares por encontrar la falla e informarla, según un correo electrónico que envió a Wiz.

"Solucionamos este problema de inmediato para mantener a nuestros clientes seguros y protegidos. Agradecemos a los investigadores de seguridad por trabajar bajo la divulgación coordinada de vulnerabilidades", dijo Microsoft a Reuters.

El correo electrónico de Microsoft a los clientes decía que no había evidencia de que la falla hubiera sido explotada. "No tenemos indicios de que entidades externas fuera del investigador (Wiz) tuvieran acceso a la clave primaria de lectura y escritura", decía el correo electrónico.

Esta es la peor vulnerabilidad en la nube que pueda imaginar. ”, dijo Luttwak a Reuters. "Esta es la base de datos central de Azure y pudimos acceder a cualquier base de datos de clientes que quisiéramos".

El equipo de Luttwak encontró el problema, denominado ChaosDB, el 9 de agosto y notificó a Microsoft el 12 de agosto, dijo Luttwak.

La falla estaba en una herramienta de visualización llamada Jupyter Notebook, que ha estado disponible durante años, pero estaba habilitada de manera predeterminada en Cosmos a partir de febrero. Después de que Reuters informara sobre la falla, Wiz detalló el problema en una publicación de blog.

Luttwak dijo que incluso los clientes que no han sido notificados por Microsoft podrían haber tenido sus claves robadas por los atacantes, dándoles acceso hasta que se cambien esas claves. Microsoft solo les dijo a los clientes cuyas claves estaban visibles este mes, cuando Wiz estaba trabajando en el problema.

Microsoft dijo a Reuters que "los clientes que pueden haber sido afectados recibieron una notificación de nuestra parte", sin dar más detalles.

La divulgación se produce después de meses de malas noticias de seguridad para Microsoft. La empresa fue violada por los mismos presuntos piratas informáticos del gobierno ruso que se infiltraron en SolarWinds, que robaron el código fuente de Microsoft. Luego, una gran cantidad de piratas informáticos irrumpieron en los servidores de correo electrónico de Exchange mientras se desarrollaba un parche.

Una solución reciente para una falla de la impresora que permitía la toma de control de computadoras tuvo que rehacerse repetidamente. Otra falla de Exchange la semana pasada provocó una advertencia urgente del gobierno de EE. UU. de que los clientes deben instalar parches emitidos hace meses porque las bandas de ransomware ahora lo están explotando.

Los problemas con Azure son especialmente preocupantes, porque Microsoft y los expertos en seguridad externos han estado presionando a las empresas para que abandonen la mayor parte de su propia infraestructura y confíen en la nube para obtener más seguridad.

Pero aunque los ataques a la nube son más raros, pueden ser más devastadores cuando ocurren. Es más, algunos nunca se publicitan.

Un laboratorio de investigación contratado por el gobierno federal rastrea todas las fallas de seguridad conocidas en el software y las clasifica por gravedad. Pero no existe un sistema equivalente para los agujeros en la arquitectura de la nube, por lo que muchas vulnerabilidades críticas permanecen sin revelar a los usuarios, dijo Luttwak.

Fuente:
Reuters
https://www.reuters.com/technology/exclusive-microsoft-warns-thousands-cloud-customers-exposed-databases-emails-2021-08-26/

6
Hacking / Bombardero de Emails
« en: Agosto 25, 2021, 01:23:42 pm »


También es conocido como: Email Bomber, Email Spammer, Email Knockout, etc.

Estos son scripts o programas (también existen servicios al respecto y cobran por ello), que de manera automatizada derriban un email, inundándolos de mensajes no deseados (conocidos como spam).

Avala:
Hotmail / Outlook – [100%]
Gmail – [100%]
Proton Mail – [100%]
GMX Mail – [100%]
AOL Mail – [100%]
Entre muchos otros…

#1
Email Boomber para SO Linux (actualizado)


Para los amantes de sistemas Linux; se recomienda muy en especial Ubuntu actualizado, y tener en cuenta sus dependencias:
•   pip3
•   python3



Descarga:

[**] [Link Oculto]

Permite: Spammear múltiples cuentas al mismo tiempo; 50 Threads / accounts con velocidad de 300 /min.

#2
Uso de Spammers sobre Internet


Suele suceder que, no se desee usar un script bombardero de emails, y que sean otros los que incordien y realicen el trabajo sucio de spammear.

Siempre esta opción atañe pasiones y motivos personales, que establecen una vendetta, desquite u oscura razón que satisfaga.
Para ello se entrega el email de la víctima a distintos sitios en internet, que en aras de obtener clientes u “victimas”  atacarán al email (algunos son hackers), y desbordaran en publicidad (la mayoría desagradables de índole sexual y contraria a la sexualidad de la víctima, si se sabe escoger al abrir las cuentas), o de phishing u malware.

Les dejo un listado limitado en edición (se omiten sitios de hackers o en la deep web) de spammer sobre internet que abarca sitios comerciales y sexuales.

Suficiente para enturbiarle de manera desagradable e implacentera el email a un usuario.

Descarga:

[**] [Link Oculto]
Password:
[**] [Link Oculto]

#3
Otras Plataformas


En un pasado fueron populares (entre otros tantos):

Para Windows:





Descarga:

[**] [Link Oculto]

Servicio Web:



[**] [Link Oculto]

A día de hoy, desconozco su efectividad y si han mantenido la actualización. Pero es interesante el tenerlos en cuenta, por la variedad de plataforma.

Aspectos a tener en cuenta

Se debe entender cómo es que funcionan estos programas o servicios. Y es que hacen uso de una cuenta de email legítima y perteneciente a una compañía, la cual se integra. Esta cuenta si es gratuita, ejemplo Gmail, al usarse como spammer es baneada casi al instante.
Se recomienda el uso de una cuenta de pago (Premium), que aún no exenta de baneo, sí toleraría cierto uso para tal fin.

Siempre el dinero ha sido llave de muchas puertas.

Por otro lado está el aspecto ético.

Este tipo de ataque, y actividad históricamente ha sido muy censurado y mal visto. Se consideran a los spammer “los parias” del mundo de las comunicaciones y de la informática. Y todos aquellos que hacen uso de esta técnica siempre son catalogados como ruines cobardes y oportunistas, que usan un método pasivo para incordiar y canalizar aquello que no pueden realizar de manera frontal, por falta de conocimientos o recursos. Método muy usado por los denominados despectivamente “script kiddie” o “lammer”.

No obstante se derriba un email con múltiples fines.

Muchas veces el propósito es que un usuario abandone un email gratuito tomado bajo cierto nombre, el cual como está en uso no está disponible. Ejemplo: [email protected], y como se desea ese email (no es lo mismo [email protected]), obligo al usuario a borrar y abrirse otro, a base de spamearlo.

Este es una de las razones, existen muchas otras, con fines más sofisticados así como de intereses elevados.

Recordar que no existe cosa mala que buen uso no tenga, y viceversa, así este tipo de ataque será productivo según su empleo.

[**]

[Link oculto disponible para usuarios VIP como estímulo por sus aportes; contactar al Sr. @ANTRAX; o ver información al respecto en el Foro: “Miembros VIP”]
[O para usuarios distinguidos en el tiempo por sus contribuciones al Foro. También disponible para miembros destacados de Hirana o por asociación a webs promocionales. Contactar a la Srta. @Gabriela; al Sr. @DtxdF o al Sr. @Alex en Hirana.net]

7


En un informe reciente, Fox News ha citado fuentes que mencionan un ciberataque ocurrido recientemente en el Departamento de Estado de EE. UU.

Como se reveló, también se enteraron de una violación de datos a través de notificaciones emitidas por el Comando Cibernético del Departamento de Defensa. Actualmente no está claro cuándo y cómo ocurrió el incidente.
 
Sin embargo, compartiendo detalles en una serie de tuits, Jacqui Heinrich mencionó que el Departamento pudo haber sufrido el ataque “hace un par de semanas”. Por ahora, no han surgido detalles en línea de fuentes oficiales a medida que continúan las investigaciones.

Según el portavoz del Departamento de Estado de los EE. UU.:

El Departamento se toma muy en serio su responsabilidad de salvaguardar su información y continuamente toma medidas para garantizar que la información esté protegida.
Por razones de seguridad, no estamos en condiciones de discutir la naturaleza o el alcance de los supuestos incidentes de ciberseguridad en este momento.


Sin embargo, las actualizaciones recientes aclaran que este ha sido un incidente "aislado" sin impacto en otras agencias. Tampoco afectó ninguna operación o sistemas clasificados expuestos.

En particular, el incidente ocurrió poco después de que un informe del Comité de Seguridad Nacional del Senado destacara las debilidades en la estructura de seguridad del Departamento de Estado.
 
Mencionó con precisión el uso de sistemas obsoletos y sin soporte sin gestión del ciclo de vida del software, la falta de reparación oportuna de las vulnerabilidades, el inventario de TI inadecuado (tanto software como hardware) y la protección de datos ineficaz en la estructura del Departamento de Estado.
 
Si bien la identidad de los atacantes actualmente sigue sin estar clara, las fuentes apuntan a la participación de agentes de amenazas extranjeros.

Quizás, más detalles sobre el ataque puedan aparecer en línea en los próximos días.

Esta no es la primera vez que el Departamento de Estado de EE. UU. Sufre un incidente de ciberseguridad. También ocurrió un incidente similar en 2018 cuando una violación de correo electrónico expuso los datos de los empleados del Departamento.

Fuente:
Latest Hacking News
https://latesthackingnews.com/2021/08/23/us-state-department-reportedly-suffered-cyber-attack/

8


El proveedor de vigilancia israelí NSO Group abusó de un exploit "zero-click" no revelado previamente en iMessage de Apple para eludir las protecciones de seguridad de iOS y apuntar a nueve activistas de Bahrein.

"Los activistas pirateados incluían a tres miembros de Waad (una sociedad política laica de Bahréin), tres miembros del Centro de Derechos Humanos de Bahréin, dos disidentes de Bahréin exiliados y un miembro de Al Wefaq (una sociedad política chiíta de Bahréin)", investigadores de la Universidad del Citizen Lab de Toronto, dijo en un informe publicado hoy, con cuatro de los objetivos pirateados por un actor al que rastrea como LULU y se cree que es el gobierno de Bahrein.

Citizen Lab llamó a la nueva cadena de exploits "FORCEDENTRY".

El desarrollo se produce poco más de un mes después de que una extensa investigación llevada a cabo por un consorcio de 17 organizaciones de medios revelara el uso generalizado del "software espía de grado militar" Pegasus de NSO Group por parte de regímenes autoritarios para facilitar las violaciones de derechos humanos mediante la vigilancia de jefes de estado, activistas, periodistas y abogados de todo el mundo.

Desde entonces, la compañía ha bloqueado temporalmente a varios clientes gubernamentales en todo el mundo para que no utilicen su tecnología mientras investiga su posible uso indebido, al tiempo que reconoce que "cerró el acceso de cinco clientes en los últimos años después de realizar una auditoría de derechos humanos, y que había terminado con los lazos" , según el Washington Post.

La última divulgación es significativa, no solo porque el ataque de zero- clic funciona con éxito contra las últimas versiones de iOS, sino también por el hecho de que omite una nueva función de seguridad de software llamada BlastDoor que Apple incorporó a iOS 14 para evitar tales intrusiones mediante el filtrado de datos que no son de confianza enviados a través de iMessage.

El investigador de Google Project Zero, Samuel GroB, detalló el servicio de espacio aislado a principios de enero, y señaló que está "escrito en Swift, un lenguaje (en su mayoría) seguro para la memoria que hace que sea significativamente más difícil introducir vulnerabilidades clásicas de corrupción de memoria en la base del código". BlastDoor inspecciona los mensajes entrantes en un entorno seguro y aislado, lo que evita que cualquier código malicioso dentro de un mensaje interactúe con el resto del sistema operativo o acceda a los datos del usuario.

Pero el mes siguiente después de que su existencia salió a la luz, Citizen Lab dijo que observó que NSO Group implementaba FORCEDENTRY, que Amnistía Internacional denominó "Megalodon", contra las versiones 14.4 y 14.6 de iOS como un día cero diseñado expresamente para sortear la función BlastDoor “crasheando”  IMTranscoderAgent, un servicio responsable de transcodificar y previsualizar imágenes en iMessage, para descargar y renderizar elementos del servidor de infección de Pegasus.

"A pesar de media década de estar implicados en abusos contra los derechos humanos, NSO Group afirma regularmente que, de hecho, están comprometidos con la protección de los derechos humanos", dijeron los investigadores. “La compañía incluso ha publicado una 'Política de derechos humanos', un 'Informe de transparencia y responsabilidad' y afirmó suscribirse a los Principios rectores de las Naciones Unidas sobre empresas y derechos humanos.

"La venta de Pegasus a Bahrein es particularmente atroz, considerando que hay evidencia significativa, duradera y documentada del uso indebido en serie de los productos de vigilancia de Bahrein, incluidos Trovicor, FinFisher, Cellebrite y, ahora, NSO Group", agregó el equipo de Citizen Lab.

Fuente:
The Hacker News
https://thehackernews.com/2021/08/bahraini-activists-targeted-using-new.html

9


Datos que se incluyen:

Email, Nombre, Apellido, Móvil, ID  de usuario de Instagram



Descarga directa: Cloudfare IPFS:

https://cloudflare-ipfs.com/ipfs/QmTsRx5Ctrq3ofDHcqEW5UjfQXjkjrtthAmoekxN32GG5p?filename=INSTAGRAM-5-MILLION.rar

Importante!!!:

Se ha debatido sobre la autenticidad de la lista.
 
Si se observa en detalle los email” (en su mayoría son una combinación del nombre y apellidos del usuario), parece ser que alguien la alteró (introdujo deditos) para agrandarla a modo de imitación.
No obstante se observan válidos según corroboración personal, aunque también es notoria la ausencia del dominio
outlook.com:

https://ipfs.io/ipfs/QmWi6LsrGs23AB7zD4jmubpbzegF69fXQE2jkzHTufixa5?filename=doxagram%20domains.txt

Estas cosas suceden cuando se desea obtener ganancias vendiendo una lista que se ha filtrado y compartido de manera gratuita.

Para bien o para mal, Uds. juzgarán conveniencias e intereses.

10
Análisis y desarrollo de malwares / Código Fuente del Spyware Pegasus
« en: Agosto 24, 2021, 02:44:18 pm »


Este es un compendio del código fuente del célebre Spyware Pegasus.

Ha sido obtenido a través de filtraciones y sobre todo por ingeniería inversa (el código fuente original es propiedad de una compañía).
Contiene ejemplos de archivos para su análisis y para trabajo como spyware.

Código fuente

https://github.com/jonathandata1/pegasus_spyware

Información sobre el spyware

Pegasus fue un notorio spyware creado para el espionaje de móviles y perteneciente a la compañía NSO. Es capaz de leer mensajes de texto, rastrear llamadas, recopilar contraseñas, rastrear la ubicación del teléfono y recopilar información de las aplicaciones tanto para Android como para IOS.

Dadas sus capacidades fue denominado como el ataque hacia los teléfonos inteligentes más "sofisticado" de la historia. Y el primero de su tipo en realizar un jailbreak remoto a un dispositivo Iphone.
 
Detalles de su funcionamiento

No es necesario que el usuario haga clic en ningún enlace, Pegasus habilita secretamente un jailbreak explotando vulnerabilidades en el dispositivo y puede leer mensajes de texto, rastrear llamadas, recopilar contraseñas, rastrear la ubicación del teléfono, así como recopilar información de aplicaciones que incluyen (entre otras) iMessage, Gmail, Viber, Facebook, WhatsApp, Telegram y Skype.

Vulnerabilidades que explota

•   CVE-2016-4655: Fuga de información en el kernel: una vulnerabilidad de mapeo de la base del kernel que filtra información al atacante y le permite calcular la ubicación del kernel en la memoria.

•   CVE-2016-4656: La corrupción de la memoria del núcleo lleva a Jailbreak: vulnerabilidades a nivel de kernel de iOS de 32 y 64 bits que permiten al atacante liberar en secreto el dispositivo e instalar un software de vigilancia.

•   CVE-2016-4657: Corrupción de la memoria en Webkit: una vulnerabilidad en Safari WebKit que permite al atacante poner en peligro el dispositivo cuando el usuario hace clic en un enlace.

Parche

Apple lanzó la versión 9.3.5 de iOS para teléfonos inteligentes iPhone en agosto de 2016.

11
Hacking / Cómo se bloquean los perfiles de Instagram
« en: Agosto 22, 2021, 01:44:27 pm »


Los detractores o la competencia pueden pagar una tarifa (la cantidad depende del vendedor, o incluso de la cantidad de seguidores) para que bloqueen tu perfil.

Dichos ataques comenzaron el pasado otoño, pero últimamente han adquirido un alto perfil.  Recientemente, la revista en línea Motherboard se conectó con un grupo de cibercriminales y aprendieron cómo se aprovechan de la política de Instagram para hacer dinero mediante ofertas de inhabilitación como servicio.

La táctica favorita del grupo es la queja falsa de suplantación de identidad, la cual involucra cuentas verificadas, identificables por la marca azul junto al nombre de usuario. Los atacantes utilizan cuentas verificadas para crear una copia íntegra del perfil de la víctima, hasta el avatar y la descripción. Entonces presentan una queja contra la cuenta original en donde acusan al propietario de suplantación de identidad. Si la cuenta de la víctima no está verificada, el servicio de soporte inhabilita a la víctima.

El segundo método de bloqueo es inundar el soporte técnico con mensajes que alegan que el perfil de la víctima contiene imágenes de suicidio o automutilación. En muchos casos, Instagram toma el camino fácil, bloquea las cuentas con fundamento en estas quejas sin antes verificar su contenido real.

A diferencia del phishing y otras estratagemas similares que todavía requieren la acción de la víctima (hacer clic en un enlace peligroso, por ejemplo) un ataque de inhabilitación funciona sin ninguna participación de la víctima. El objetivo, quien ni siquiera soñaría con violar los términos de uso, solo se encuentra con su cuenta bloqueada.

De acuerdo con los reporteros de Motherboard, el servicio no es costoso, oscila entre 5 y 60 dólares, por lo que los cibercriminales tienen un buen flujo de clientes.

Sin embargo, no todos los usuarios que abusan de las prácticas de moderación de Instagram lo hacen por dinero. Hay scripts maliciosos disponibles sin costo, y cualquier vándalo en línea puede utilizarlos para saldar una cuenta personal o silenciar a un blogger que le parezca molesto.

Pago por desbloqueo de Instagram

De hecho, el bloqueo de cuentas de Instagram abre otra ventana de capitalización: restaurar las cuentas. Desbloquearlas tiene una tarifa mucho más alta que bloquearlas; se dice que de hasta 3,500-4,000 dólares.



Aunque por ahora no queda claro si son las mismas personas detrás de los servicios de inhabilitación y de desbloqueo, o si es una simbiosis accidental. Sin embargo, algunos usuarios sí reciben una oferta para restaurar sus cuentas solo unos minutos después del bloqueo, y dichas ofertas, con frecuencia, vienen de los seguidores de las cuentas de donde se derivó la queja original.

Hasta el momento no hay solución: “Business on The Rise

Fuente:
Blog de kaspersky
https://latam.kaspersky.com/blog/instagram-ban-attacks/22613/

12


El Consorcio de Sistemas de Internet (ISC) abordó una falla de denegación de servicio (DoS) de alta gravedad (CVE-2021-25218) que afecta al software BIND DNS.

La vulnerabilidad afecta solo a las versiones 9.16.19, 9.17.16 y 9.16.19-S1 de BIND 9 de BIND Supported Preview Edition. ISC también proporcionó soluciones para esta vulnerabilidad.

Un atacante podría aprovechar la falla, en circunstancias específicas, para desencadenar una condición DoS al hacer que el proceso del servidor de nombres BIND (named) se bloquee.

"Si named intenta responder a través de UDP con una respuesta que es mayor que la unidad de transmisión máxima de interfaz efectiva (MTU) actual, y si la limitación de la tasa de respuesta (RRL) está activa, se activa una falla de aserción (lo que da como resultado la terminación de la proceso del servidor).

Hay dos formas de que named supere la MTU de la interfaz:

    - Configuración directa en named.conf estableciendo max-udp-size en un valor mayor que la MTU de la interfaz, o
    - Detección de ruta MTU (PMTUD) que informa a la pila de IP que debe usar una MTU más pequeña para la interfaz y el destino que el valor predeterminado de tamaño máximo de udp de 1232. Algunos sistemas operativos permiten que los paquetes recibidos a través de otros protocolos afecten los valores de PMTUD para DNS sobre UDP
".

ICS señaló que la falla puede desencadenarse por una configuración incorrecta o por explotación deliberada, también puede desencadenarse durante las condiciones normales de funcionamiento,

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha publicado un aviso de seguridad para advertir de esta vulnerabilidad.

El Consorcio de Sistemas de Internet (ISC) ha publicado un aviso de seguridad que aborda una vulnerabilidad que afecta a múltiples versiones del dominio de nombres de Internet de ISC Berkeley (BIND).
Un atacante remoto podría aprovechar esta vulnerabilidad para provocar una condición de denegación de servicio
".
 
"CISA anima a los usuarios y administradores a revisar el aviso de ISC CVE-2021-25218 y aplicar las actualizaciones o soluciones necesarias".

En el momento de escribir este artículo, ICS no tiene conocimiento de ataques en la naturaleza que explote el defecto anterior.

Fuente:
Security Affairs
https://securityaffairs.co/wordpress/121316/security/bind-dns-dos-flaw.html

13


Solo unos días después de la filtración de datos de T-Mobile, el mismo actor de amenazas está vendiendo 70 millones de registros de usuarios de AT&T.
 
El proveedor de servicios móviles negó el reclamo de fuga de datos, diciendo que los datos no provenían de ninguno de sus sistemas.

ShinyHunters, el mismo grupo de actores de amenazas que puso a la venta los datos de los usuarios de T-Mobile hace apenas unos días, ahora vende 70 millones de registros que supuestamente pertenecen a otro proveedor de servicios móviles: AT&T.

La muestra de datos a la venta incluye los nombres completos, números de seguro social, direcciones de correo electrónico y fechas de nacimiento de los usuarios de AT&T.

ShinyHunters está vendiendo la base de datos por un precio inicial de 200.000 dólares.

AT&T negó la afirmación de que los datos se filtraron, lo que sugiere que no son auténticos o que se obtuvieron de otras fuentes.

Según nuestra investigación de hoy, la información que apareció en una sala de chat de Internet no parece provenir de nuestros sistemas”, citó MarketWatch al operador de telefonía celular.

AT&T ha sufrido una violación de datos antes.
 
En 2015, la compañía acordó pagar una multa de $ 25 millones por una violación de información privilegiada. De hecho, en mayo, un actor de amenazas estaba buscando contratar a un empleado de T-Mobile y / o AT&T, presumiblemente para ayudarlos a organizar un ataque interno contra su empleador.

El reclamo de otra enorme base de datos de usuarios se produce solo unos días después de que otro proveedor de servicios móviles, T-Mobile, confirmara una violación de datos. Según su última declaración, un atacante accedió ilegalmente a una base de datos que contiene información sobre más de 40 millones de usuarios pasados, actuales y potenciales de T-Mobile US.

A fines de la semana pasada, se informó a T-Mobile sobre las afirmaciones en un foro en línea de que un actor de amenazas ha comprometido los sistemas de T-Mobile. La empresa anunció que había localizado y cerrado de inmediato el punto de acceso que podría haber sido utilizado para obtener acceso ilegal a los servidores de la organización.

Nuestro análisis preliminar es que aproximadamente 7.8 millones de información actual de cuentas de clientes de pospago de T-Mobile parece estar contenida en los archivos robados, así como un poco más de 40 millones de registros de clientes anteriores o potenciales que previamente habían solicitado crédito con T-Mobile. Es importante destacar que ningún número de teléfono, número de cuenta, PIN, contraseñas o información financiera se vio comprometida en ninguno de estos archivos de clientes o posibles clientes”, dijo la compañía en un comunicado de prensa.

Los expertos con los que hablamos insistieron en que estos datos podrían usarse para ingeniería social y robo de identidad.

ShinyHunters es un grupo de actores de amenazas notorio y es responsable de múltiples violaciones importantes de datos. Según HackRead, se han dirigido a empresas como Mashable, 123RF, Minted, Couchsurfing, Animal Jam y otras.

Fuente:
CyberNews
https://cybernews.com/news/att-database-of-70-million-users-sold-on-hacker-forum/

14


La empresa de infraestructura web y seguridad de sitios web Cloudflare reveló el jueves que mitigó el mayor ataque volumétrico distribuido de denegación de servicio (DDoS) registrado hasta la fecha.

Se dice que el ataque, lanzado a través de una botnet Mirai, tuvo como objetivo a un cliente anónimo en la industria financiera el mes pasado.
 
"En cuestión de segundos, la botnet bombardeó el borde de Cloudflare con más de 330 millones de solicitudes de ataque", señaló la compañía, que en un momento alcanzó un récord de 17.2 millones de solicitudes por segundo (rps), lo que la hace tres veces más grande que el HTTP de ataques DDoS reportado anteriormente.

Los ataques DDoS volumétricos están diseñados para apuntar a una red específica con la intención de abrumar su capacidad de ancho de banda y, a menudo, utilizan técnicas de amplificación reflectante para escalar su ataque y causar la mayor interrupción operativa posible.

Por lo general, también se originan en una red de sistemas infectados con malware, que consta de computadoras, servidores y dispositivos de IoT, lo que permite a los actores de amenazas tomar el control y co-operar las máquinas en una botnet capaz de generar una afluencia de tráfico basura dirigido contra la víctima.

En este incidente específico, el tráfico se originó en más de 20.000 bots en 125 países de todo el mundo, y casi el 15% del ataque se originó en Indonesia, seguido de India, Brasil, Vietnam y Ucrania.
 
Además, los 17,2 millones de rps por sí solos representaron el 68% de la tasa de rps promedio del tráfico HTTP legítimo procesado por Cloudflare en el segundo trimestre de 2021, que es de 25 millones de rps HTTP.

Esta está lejos de ser la primera vez que se detectan ataques similares en las últimas semanas.
 
Cloudflare señaló que la misma botnet Mirai se usó para atacar a un proveedor de alojamiento con un ataque HTTP DDoS que alcanzó un máximo un poco por debajo de los 8 millones de rps.

Por otra parte, se observó que una botnet variante de Mirai lanzaba más de una docena de ataques DDoS basados en UDP y TCP que alcanzaron su punto máximo varias veces por encima de 1 Tbps.

La compañía dijo que los ataques fallidos estaban dirigidos a una compañía de juegos y un importante proveedor de servicios de Internet, telecomunicaciones y hospedaje con sede en Asia Pacífico.

"Si bien la mayoría de los ataques son pequeños y breves, seguimos viendo que este tipo de ataques volumétricos surgen con mayor frecuencia", dijo Cloudflare.
 
"Es importante tener en cuenta que estos ataques volumétricos de ráfagas cortas pueden ser especialmente peligrosos para los sistemas de protección DDoS heredados u organizaciones sin una protección activa y permanente basada en la nube".

Fuente:
The Hacker News
https://thehackernews.com/2021/08/cloudflare-mitigated-one-of-largest.html

15


El grupo de investigación Qualys detectó una vulnerabilidad en el sistema de archivos de Linux que permite a los atacantes una elevación de privilegios. Ha sido denominada Sequoia.

La vulnerabilidad ha recibido este nombre debido a la forma en que se realiza la explotación del sistema de ficheros, creando una estructura de más de un millón de carpetas anidadas, haciendo la analogía al crecimiento de una secuoya.

Se ha verificado que esta vulnerabilidad afecta a las versiones 20.04, 20.10 y 21.04 de Ubuntu, Debian 11 y Fedora 34 Workstation. Otras distribuciones de Linux son vulnerables y probablemente explotables.

La metodología de ataque requiere que un usuario sin privilegios cree una estructura profunda de alrededor de un millón de directorios anidados, y posteriormente montar y desmontar un dispositivo.
 
Para más información detallada de la explotación, consultar la seccción de Explotation overview explicada por el grupo de investigación Qualys.

https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-privilege-escalation-linux.txt

El día 20 de Julio se lanzó un parche en la versión 5.13.4 del kernel de Linux que soluciona la vulnerabilidad.

Este grupo de investigación también ha detectado otra vulnerabilidad en los últimos días con el identificador CVE-2021-33910. Esta vulnerabilidad afecta a systemd que permite una denegación de servicio.

Fuentes:
Qualys
https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-privilege-escalation-linux.txt
https://blog.qualys.com/vulnerabilities-threat-research/2021/07/20/sequoia-a-local-privilege-escalation-vulnerability-in-linuxs-filesystem-layer-cve-2021-33909

Vía:
Hacking Land
https://www.hacking.land/2021/08/nueva-vulnerabilidad-cr-en-linux.html

16


18 ago (Reuters) - Es posible que Facebook no levante su prohibición a los talibanes incluso si Estados Unidos deja de imponer sanciones al grupo, que rápidamente ha tomado el control de Afganistán, dijo el miércoles el jefe de políticas de la compañía de medios sociales.

El Departamento de Estado de Estados Unidos no incluye a los talibanes afganos como una organización terrorista extranjera como lo hace con los talibanes paquistaníes. Pero Washington sanciona al grupo como un grupo "terrorista global especialmente designado", lo que congela los activos estadounidenses de los que figuran en la lista negra y prohíbe a los estadounidenses trabajar con ellos.

"No se permitirán mientras estén prescritos por la ley de EE. UU. E incluso si no fueron prescritos por la ley de EE. UU., Tendríamos que hacer un análisis de política sobre si, no obstante, violan o no nuestra política de organizaciones peligrosas", dijo el vicepresidente de Facebook de política de contenido, dijo Monika Bickert en una llamada con los periodistas sobre el último informe de cumplimiento de los estándares comunitarios de la compañía.

Facebook dice que designa a los talibanes como un grupo terrorista y lo prohíbe en sus plataformas. Bickert dijo que la prohibición estaba vigente antes de que ella se uniera a la compañía en 2012.

Las principales empresas de tecnología se han enfrentado a un escrutinio sobre cómo manejarán al grupo que ha tomado el control en Afganistán tras la retirada de las tropas estadounidenses. YouTube de Alphabet Inc dijo que prohíbe al grupo debido a las sanciones de Estados Unidos, pero Twitter ha permitido que el grupo tenga presencia.

"En 2001, cuando Estados Unidos invadió Afganistán, estas empresas no existían", dijo Rose Jackson, directora de Democracy & Tech Initiative en el Laboratorio de Investigación Forense Digital del Atlantic Council, y ahora enfrentan decisiones consecuentes similares a las determinaciones estatales de los gobiernos.

Los talibanes se han vuelto expertos en tecnología digital y ahora utilizan una amplia gama de plataformas de redes sociales y servicios de mensajería como WhatsApp y Telegram de Facebook para comunicarse con los ciudadanos afganos y la comunidad internacional.

Fuente:
Reuters
https://www.reuters.com/technology/facebook-says-it-would-not-automatically-allow-taliban-if-us-changed-designation-2021-08-18/

17


Una campaña de malware utiliza un indicador captcha inteligente para engañar a los usuarios para que eludan las advertencias de los navegadores y descarguen el troyano bancario Gozi (también conocido como Ursnif).

Ayer, el investigador de seguridad MalwareHunterTeam compartió una URL sospechosa que descarga un archivo cuando intenta ver un video incrustado en YouTube sobre una prisión de mujeres de Nueva Jersey.



Al hacer clic en el botón de reproducción, el navegador descargará un archivo llamado  “console-play.exe” y el sitio mostrará una imagen falsa de reCaptcha en la pantalla.

Como este archivo es un ejecutable, Google Chrome advierte automáticamente que el archivo puede ser malicioso y le pregunta si desea 'Conservar' o 'Descartar' el archivo.

Para evitar esta advertencia, los actores de amenazas muestran una imagen de reCaptcha falsa que solicita al usuario que presione los botones B, S, Tab, A, F y Enter en su teclado, como se muestra a continuación.



Mientras presiona las teclas B, S, A y F no hace nada, presionar la tecla Tab hará que el botón 'Mantener' se enfoque, y luego presionar la tecla 'Enter' actuará como un clic en el botón, lo que hará que navegador para descargar y guardar el archivo en la computadora.

Como se puede ver, este mensaje de captcha falso es una forma inteligente de engañar a un usuario para que descargue un archivo malicioso que el navegador advierte que podría ser malicioso.

Después de un cierto período de tiempo, el video se reproducirá automáticamente, lo que podría hacer que los usuarios piensen que el 'captcha' exitoso lo permitió.

El sitio distribuye el troyano de robo de información Ursnif

Si un usuario ejecuta el ejecutable, creará una carpeta en% AppData% \ Bouncy para .NET Helper e instalará numerosos archivos. Todos estos archivos son un señuelo, aparte del ejecutable BouncyDotNet.exe, que se inicia.



Mientras se ejecuta, BouncyDotNet.exe leerá varias cadenas del Registro de Windows que se utilizan para iniciar los comandos de PowerShell.



Estos comandos de PowerShell compilarán una aplicación .NET utilizando el compilador CSC.exe incorporado que lanza una DLL para el troyano bancario Ursnif.

Una vez que se ejecute, Gozi robará las credenciales de la cuenta, descargará más malware en la computadora y ejecutará los comandos emitidos de forma remota por los actores de la amenaza.

Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/malware-campaign-uses-clever-captcha-to-bypass-browser-warning/

18


Y, como los investigadores de Crowdstrike descubrieron el mes pasado, el magnífico Ransomware Gang ahora está utilizando PrintNightmare exploits para estos fines exactos en los ataques contra las víctimas de Corea del Sur.

"El 13 de julio, se detectó Crowdstrike con éxito y evitó los intentos de explotar la vulnerabilidad PrintNightmare, protegiendo a los clientes antes de que ocurra cualquier cifrado", dijo Liviu Arsene, director de investigación de amenazas e informes de Crowdstrike.

Después de comprometer los servidores sin parchear contra PrintNightmare, Magniber lanza un DLL ofuscado, que se inyecta por primera vez en un proceso y, posteriormente, desempaquetado para lanzarse localmente sobre archivos locales y cifrarlos en el dispositivo comprometido.

A principios de febrero, 2021, Crowdstrike observó que Magniber se entregó a través de Magnitude Exploit Kit (EK) en los dispositivos surcoreanos que ejecutan Internet Explorer sin parchear contra la vulnerabilidad CVE-2020-0968.

Magna Ransomware ha estado activo desde octubre de 2017, cuando se implementó a través de Malvertising utilizando Magnitude Exploit Kit (EK) como el sucesor de Cerber Ransomware.

Si bien inicialmente se centró en las víctimas de Corea del Sur, la pandilla de Magniber pronto amplió sus operaciones en todo el mundo, cambiando objetivos a otros países, incluidos China, Taiwán, Hong Kong, Singapur, Malasia y más.

Magniber ha sido sorprendentemente activo durante los últimos 30 días, con casi 600 presentaciones en la plataforma ID Ransomware.

Se espera que más grupos de amenazas agreguen PrintNightmare a sus arsenales

En este momento, solo tenemos evidencia de que la pandilla de Ransomware Magniber está utilizando Exploits PrintNightmare en la naturaleza para apuntar a las posibles víctimas.

Sin embargo, otros atacantes (incluidos los grupos de ransomware) probablemente se unirán a (si aún no lo han hecho), viendo que hay otros informes  "in-the-wild" sobre la explotación de PrintNightmare.

"Crowdstrike estima que la vulnerabilidad de PrintNightmare, junto con el despliegue del ransomware, probablemente seguirá siendo explotado por otros actores de amenaza", concluyó Arsene.

Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/ransomware-gang-uses-printnightmare-to-breach-windows-servers/

19


Una lista de vigilancia secreta de terroristas con 1,9 millones de registros, incluidos registros clasificados como “no-fly”, fue expuesta en Internet.

La lista se dejó accesible en un clúster de Elasticsearch que no tenía contraseña.

Millones de personas en listas de vigilancia de prohibición de vuelos y terror expuestas

En julio de este año, el investigador de Security Discovery Bob Diachenko se encontró con una gran cantidad de registros JSON en un clúster de Elasticsearch expuesto que despertó su interés.

El conjunto de registros de 1,9 millones contenía información confidencial sobre personas, incluidos sus nombres, ciudadanía del país, sexo, fecha de nacimiento, detalles del pasaporte y estado “no-fly”.

El servidor expuesto fue indexado por los motores de búsqueda Censys y ZoomEye, lo que indica que Diachenko puede no haber sido la única persona que se encontró con la lista.

El investigador declaró que dada la naturaleza de los campos expuestos (por ejemplo, detalles del pasaporte y "no_fly_indicator") parecía ser una lista de vigilancia de terroristas prohibidos o similar.

Además, el investigador también notó algunos campos oblicuos como "etiqueta", "tipo de nominación" e "indicador de selección", que él no entendió de inmediato.

"Esa fue la única suposición válida dada la naturaleza de los datos, además de que había un campo específico llamado 'TSC_ID'", dijo Diachenko, que le insinuó que la fuente del conjunto de registros podría ser el Terrorist Screening Center (TSC).

El TSC del FBI es utilizado por varias agencias federales para administrar y compartir información consolidada con fines antiterroristas.

La agencia mantiene la lista de vigilancia clasificada llamada Base de datos de detección de terroristas, a veces también conocida como la "lista de exclusión aérea".

Estas bases de datos se consideran de naturaleza sumamente sensible, teniendo en cuenta el papel fundamental que desempeñan en la asistencia en las tareas de seguridad nacional y aplicación de la ley.

Los terroristas o sospechosos razonables que representan un riesgo para la seguridad nacional son "nominados" para ser incluidos en la lista de vigilancia secreta a discreción del gobierno.

Las aerolíneas y múltiples agencias como el Departamento de Estado, el Departamento de Defensa, la Autoridad de Seguridad del Transporte (TSA) y la Oficina de Aduanas y Protección Fronteriza (CBP) hacen referencia a la lista para verificar si un pasajero puede volar, si es inadmisible a los EE. UU. O evaluar su riesgo para otras actividades diversas.

Servidor desconectado 3 semanas después de la notificación al DHS

El investigador descubrió la base de datos expuesta el 19 de julio, curiosamente, en un servidor con una dirección IP de Bahrein, no una de EE. UU.

Sin embargo, el mismo día, se apresuró a reportar la filtración de datos al Departamento de Seguridad Nacional de los Estados Unidos (DHS).

"Descubrí los datos expuestos el mismo día y los informé al DHS".

"El servidor expuesto fue retirado unas tres semanas después, el 9 de agosto de 2021".

"No está claro por qué tomó tanto tiempo, y no sé con certeza si alguna parte no autorizada accedió", escribe Diachenko en su informe.

El investigador considera que esta filtración de datos es seria, considerando que las listas de vigilancia pueden incluir a personas sospechosas de una actividad ilícita pero que no necesariamente están acusadas de ningún delito.

También no se confirma si el servidor que filtró la lista pertenecía a una agencia del gobierno de los EE. UU. o una entidad de terceros.

Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/secret-terrorist-watchlist-with-2-million-records-exposed-online/

20


T-Mobile está investigando activamente una violación de datos después de que un actor de amenazas afirma haber pirateado los servidores de T-Mobile y robado bases de datos que contienen los datos personales de aproximadamente 100 millones de clientes.

La supuesta violación de datos apareció por primera vez en un foro de piratería ayer después de que el actor de la amenaza afirmó estar vendiendo una base de datos por seis bitcoins (~ $ 280K) que contiene fechas de nacimiento, números de licencia de conducir y números de seguro social para 30 millones de personas.



Si bien la publicación del foro no indica el origen de los datos, el actor de amenazas declaró que lo tomaron de T-Mobile en una violación masiva del servidor.

El actor de amenazas afirma haber pirateado los servidores de producción, preparación y desarrollo de T-Mobile hace dos semanas, incluido un servidor de base de datos Oracle que contiene datos de clientes.

Estos datos robados supuestamente contienen los datos de aproximadamente 100 millones de clientes de T-Mobile y pueden incluir IMSI, IMEI, números de teléfono, nombres de clientes, PIN de seguridad, números de seguro social, números de licencia de conducir y fecha de nacimiento de los clientes.

"Toda su base de datos de historial de IMEI que se remonta al 2004 fue robada", dijo el pirata informático.

Un IMEI (identidad internacional de equipo móvil) es un número único que se utiliza para identificar teléfonos móviles, mientras que un IMSI (identidad internacional de abonado móvil) es un número único asociado con un usuario en una red celular.

Como prueba de que violaron los servidores de T-Mobile, los actores de amenazas compartieron una captura de pantalla de una conexión SSH a un servidor de producción que ejecuta Oracle.

La firma de inteligencia de ciberseguridad Cyble también declaró ayer que el actor de amenazas afirma haber robado varias bases de datos por un total de aproximadamente 106 GB de datos, incluida la base de datos de gestión de relaciones con el cliente (CRM) de T-Mobile.

Motherboard, quien informó por primera vez sobre esta violación, dijo que podían verificar que las muestras de datos proporcionadas por el actor de amenazas pertenecían a clientes de T-Mobile.

Cuando se les preguntó si intentaron rescatar los datos robados a T-Mobile, los actores de amenazas dijeron que nunca contactaron a la compañía y decidieron venderlos en foros donde ya tenían compradores interesados.

Cuando contactamos a T-Mobile sobre la venta de estos datos, dijeron que lo están investigando activamente.

"Estamos al tanto de las afirmaciones hechas en un foro clandestino y hemos estado investigando activamente su validez. No tenemos ninguna información adicional para compartir en este momento", dijo T-Mobile.

Fuentes:
BleepingComputer
https://www.bleepingcomputer.com/news/security/hacker-claims-to-steal-data-of-100-million-t-mobile-customers/

Reuters
https://www.reuters.com/business/media-telecom/t-mobile-investigating-claims-customer-data-breach-vice-2021-08-15/


Páginas: [1] 2 3 ... 24