Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - AXCESS

#1
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una operación policial internacional denominada "Operación Passionflower" ha cerrado MATRIX, una plataforma de mensajería cifrada utilizada por ciberdelincuentes para coordinar actividades ilegales mientras evaden a la policía.

Cabe señalar que MATRIX es una entidad diferente del protocolo de comunicaciones seguro, descentralizado, de código abierto y en tiempo real con el mismo nombre, cuyo uso es perfectamente legal.

La operación se llevó a cabo en toda Europa, incluidos Francia, los Países Bajos, Italia, Lituania, España y Alemania, y estuvo coordinada por Europol y Eurojust.

Un facilitador del crimen


La policía localizó a MATRIX tras recuperar el teléfono de un tirador que intentó asesinar al periodista Peter R. de Vries en julio de 2021.

Tras analizar el teléfono, descubrieron que estaba personalizado para conectarse a un servicio de mensajería encriptado llamado Matrix.

Un equipo de investigación conjunto (JIT) entre las autoridades holandesas y francesas permitió a la policía monitorear e interceptar 2,3 millones de mensajes en 33 idiomas diferentes enviados a través de los dispositivos. Sin embargo, no se proporcionaron detalles técnicos sobre cómo podrían hacerlo.

"Durante tres meses, las autoridades pudieron monitorear los mensajes de posibles delincuentes, que ahora se utilizarán para respaldar otras investigaciones", se lee en un comunicado de Europol.

"Durante una operación coordinada con el apoyo de Eurojust y Europol, el servicio de mensajería fue desmantelado por las autoridades holandesas y francesas y sus homólogos italianos, lituanos y españoles ejecutaron acciones de seguimiento".

Los 40 servidores de MATRIX repartidos por toda Europa facilitaron las comunicaciones de al menos 8.000 cuentas de usuarios, que pagaron entre 1.350 y 1.700 dólares en criptomonedas por un dispositivo basado en Google Pixel y una suscripción de seis meses al servicio instalado en el teléfono.

MATRIX también se vendió bajo los nombres de Mactrix, Totalsec, X-quantum y Q-safe, pero todos utilizaban la misma infraestructura.

MATRIX también ofrece la posibilidad de realizar videollamadas cifradas, realizar un seguimiento de las transacciones y navegar por Internet de forma anónima.

Decomisos y arrestos

Las fuerzas de seguridad llevaron a cabo redadas y registros simultáneos en cuatro países esta mañana, lo que dio como resultado el cierre de 40 servidores en Francia y Alemania y el arresto de cinco sospechosos en España y Francia.

Se sospecha que uno de los arrestados, un hombre lituano de 52 años, es el propietario y operador principal de MATRIX.

Las autoridades también han incautado 970 teléfonos encriptados, 145.000 euros (152.500 dólares) en efectivo, 500.000 euros (525.000 dólares) en criptomonedas y cuatro vehículos.

El cartel de incautación publicado en el sitio web de MATRIX advierte a los usuarios del servicio que sus comunicaciones han sido expuestas y que la investigación continuará.

En un comunicado aparte, la policía holandesa señaló que todos los usuarios de MATRIX que eligieron el servicio por su privacidad y anonimato y no se involucraron en actividades delictivas deben enviar un correo electrónico a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta para solicitar una exención de las investigaciones.

El desmantelamiento de MATRIX se produce a pesar de la sofisticación técnica de sus operadores y la creencia de que era superior a los servicios telefónicos encriptados desmantelados anteriormente.

Sin embargo, operaciones policiales anteriores que desmantelaron servicios telefónicos encriptados similares, como Ghost, EncroChat, Exclu y Sky ECC, muestran que una vez que las fuerzas del orden conocen su infraestructura, pueden reunir evidencia significativa de actos delictivos al monitorear los mensajes interceptados o a través de servidores confiscados.

Esta evidencia ha llevado al arresto de miles de traficantes de drogas, traficantes de armas, delincuentes organizados, asesinos y blanqueadores de dinero.

Fuente
:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#2
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La policía de Corea del Sur ha arrestado a un director ejecutivo y a cinco empleados por fabricar más de 240.000 receptores de satélite precargados o actualizados posteriormente para incluir la funcionalidad de ataque DDoS a petición de un comprador.

Aunque no se ha identificado a ninguna de las empresas, las dos llevan operando desde 2017. En noviembre de 2018, la empresa compradora realizó una solicitud especial para incluir la funcionalidad DDoS, y el fabricante surcoreano accedió.

Supuestamente, la funcionalidad era necesaria para contrarrestar los ataques de una entidad competidora.

No se especificó cómo se aprovechó exactamente la funcionalidad DDoS en los dispositivos, pero estos ataques siempre son ilegales cuando se dirigen a sistemas externos.

Además, los usuarios de los receptores satelitales participaban involuntariamente en los ataques y podrían haber experimentado una reducción del rendimiento del dispositivo durante estos incidentes.

Desde enero de 2019 hasta septiembre de 2024, el fabricante de los dispositivos envió 240.000 receptores satelitales, 98.000 de los cuales tenían un módulo DDoS preinstalado. El resto recibió la funcionalidad a través de una actualización de firmware posterior.

La policía coreana descubrió el plan malicioso tras recibir información de inteligencia de Interpol, mientras que la acción también afectó a un sospechoso que fue incluido en una lista internacional de personas buscadas.

En julio, la Interpol proporcionó información que sugería que "una empresa de radiodifusión ilegal (la empresa A, con sede en el extranjero) importa receptores de satélite equipados con funciones de ataque DDoS de una empresa coreana (la empresa B)", se lee en el anuncio.

"Un análisis del equipo reveló que la funcionalidad DDoS se estaba instalando durante las actualizaciones de firmware".

Los seis individuos que fueron arrestados en Corea ahora enfrentan cargos relacionados con violaciones de la Ley de Promoción de la Utilización de Redes de Información y Comunicaciones y Protección de la Información.

Además, el tribunal también ha aprobado la incautación de los activos de la empresa y la confiscación de 61 mil millones de KRW ( 4.350.000 dólares ), la cantidad que la firma estima que ganó con la venta de los receptores de satélite maliciosos.

Los operadores de la empresa que compraron el equipo siguen libres, y la policía coreana busca la cooperación internacional para rastrearlos y detenerlos.

Fuente
:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#3
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Alemania ha desmantelado el mayor mercado de cibercrimen en línea del país, llamado "Crimenetwork", y ha detenido a su administrador por facilitar la venta de drogas, datos robados y servicios ilegales.

La operación de aplicación de la ley fue llevada a cabo el lunes por la Fiscalía de Frankfurt am Main, la Oficina Central de Lucha contra el Cibercrimen (ZIT) y la Oficina Federal de Policía Criminal (BKA).

Crimenetwork era el mayor mercado en lengua alemana en el que los delincuentes publicaban datos robados y drogas para su venta y ofrecían servicios como falsificación de documentos.

Fundada en 2012, la plataforma contaba con más de 100 vendedores registrados y 100.000 usuarios cuando fue cerrada, la mayoría de los cuales se encontraban en países de habla alemana.

"La plataforma, considerada el mayor mercado en línea de habla alemana para la economía sumergida, había estado activa durante muchos años", se lee en el anuncio de BKA.

"Como parte de la investigación, los servidores que constituían la infraestructura técnica de la plataforma fueron desconectados".

Los usuarios de Crimenetwork podían pagar bienes y servicios utilizando Bitcoin o la criptomoneda Monero (XMR), difícil de rastrear.

BKA afirma que, entre 2018 y 2024, las transacciones en la plataforma ascendieron a 1.000 Bitcoin y más de 20.000 Monero, valoradas actualmente en aproximadamente 93.000.000 euros (98.000.000 dólares).

Crimenetwork obtuvo un porcentaje del 5% de esas transacciones, además de una tarifa de suscripción mensual de los vendedores e ingresos por publicidad. Esto significa que los operadores del mercado ganaron al menos 5.000.000 de dólares desde 2018.

El administrador arrestado es un sospechoso de 29 años conocido en Internet como "Techmin", que se cree que trabajó como experto técnico para Crimenetwork durante varios años.

Ahora se enfrenta a cargos relacionados con la Sección 127 del Código Penal alemán relacionado con el funcionamiento de mercados en línea delictivos y también a delitos previstos en las Secciones 29a y 30a de la Ley de Estupefacientes.

La BKA también dijo que ha obtenido información sobre los miembros registrados de la plataforma de delitos cibernéticos, por lo que podrían producirse más arrestos en el futuro.

"Como parte de la operación, se obtuvieron amplios datos de usuarios y transacciones, lo que proporcionó pistas valiosas para desentrañar aún más las estructuras criminales detrás de la plataforma", advirtió la BKA.

El cierre de Crimenetwork se produce poco después de otras operaciones notables contra el cibercrimen en Alemania, como la incautación de la plataforma de revisión de DDoS No tienes permitido ver enlaces. Registrate o Entra a tu cuenta el 1 de noviembre de 2024.

Esa acción, que fue parte de la "Operación PowerOFF", también implicó dos arrestos, incluido el de una persona que se cree que es el administrador del sitio.

A mediados de septiembre, las fuerzas de seguridad alemanas incautaron 47 servicios de intercambio de criptomonedas alojados en el país, lo que facilitaba actividades ilegales de lavado de dinero para los ciberdelincuentes, incluidas las bandas de ransomware.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#4
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Veeam lanzó hoy actualizaciones de seguridad para abordar dos vulnerabilidades de Service Provider Console (VSPC), incluida una ejecución de código remoto (RCE) crítica descubierta durante una prueba interna.

VSPC, descrita por la empresa como una plataforma BaaS (Backend como servicio) y DRaaS (Recuperación ante desastres como servicio) administrada de forma remota, es utilizada por los proveedores de servicios para monitorear el estado y la seguridad de las copias de seguridad de los clientes, así como para administrar sus cargas de trabajo virtuales, de Microsoft 365 y de nube pública protegidas por Veeam.

La primera falla de seguridad corregida hoy (identificada como CVE-2024-42448 y calificada con una puntuación de gravedad de 9,9/10) permite a los atacantes ejecutar código arbitrario en servidores sin parches desde la máquina del agente de administración de VSPC.

Veeam también ha reparado una vulnerabilidad de alta gravedad ( CVE-2024-42449 ) que puede permitir a los atacantes robar el hash NTLM de la cuenta de servicio del servidor VSPC y utilizar el acceso obtenido para eliminar archivos en el servidor VSPC.

Sin embargo, como explicó la empresa en un aviso de seguridad publicado hoy, estas dos vulnerabilidades solo se pueden explotar con éxito si el agente de administración está autorizado en el servidor de destino.

Las fallas afectan a VPSC 8.1.0.21377 y todas las versiones anteriores, incluidas las compilaciones 8 y 7, pero las versiones de productos no compatibles también se ven afectadas y "deberían considerarse vulnerables", aunque no se hayan probado.

"Alentamos a los proveedores de servicios que utilizan versiones compatibles de Veeam Service Provider Console ( versiones 7 y 8 ) a que actualicen al último parche acumulativo", dijo Veeam.

"Se recomienda encarecidamente a los proveedores de servicios que utilizan versiones no compatibles que actualicen a la última versión de Veeam Service Provider Console".

La reciente explotación de vulnerabilidades de Veeam ha demostrado que es crucial aplicar parches a los servidores vulnerables lo antes posible para bloquear posibles ataques.

Como revelaron los responsables de la respuesta a incidentes de Sophos X-Ops el mes pasado, una falla de RCE (CVE-2024-40711) en el software de Backup & Replication (VBR) de Veeam, divulgada en septiembre, ahora se está explotando para implementar el ransomware Frag.

La misma vulnerabilidad también se utiliza para obtener ejecución remota de código en servidores VBR vulnerables en ataques de ransomware Akira y Fog.

Veeam afirma que sus productos son utilizados por más de 550.000 clientes en todo el mundo, incluido el 74% de todas las empresas de Global 2.000 y el 82% de Fortune 500.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#5
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se ha publicado una prueba de concepto (PoC) para explotar una falla de ejecución remota de código de gravedad crítica en Progress WhatsUp Gold, por lo que es fundamental instalar las últimas actualizaciones de seguridad lo antes posible.

La falla se conoce como CVE-2024-8785 ( puntuación CVSS v3.1: 9,8 ) y fue descubierta por Tenable a mediados de agosto de 2024. Existe en el proceso NmAPI.exe en las versiones de WhatsUp Gold desde 2023.1.0 y anteriores a 24.0.1.

Manipulación del Registro de Windows

Cuando se ejecuta, NmAPI.exe proporciona una interfaz API de administración de red para WhatsUp Gold, que escucha y procesa las solicitudes entrantes.

Debido a la validación insuficiente de los datos entrantes, los atacantes podrían enviar solicitudes especialmente diseñadas para modificar o sobrescribir claves de registro de Windows confidenciales que controlan desde dónde se leen los archivos de configuración de WhatsUp Gold.

"Un atacante remoto no autenticado puede invocar la operación UpdateFailoverRegistryValues a través de un netTcpBinding en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta", se lee en el informe de Tenable.

"A través de la operación UpdateFailoverRegistryValues, el atacante puede cambiar un valor de registro existente o crear uno nuevo para cualquier ruta de registro en HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\".

"En concreto, el atacante puede cambiar HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\Network Monitor\WhatsUp Gold\Setup\InstallDir a una ruta UNC que apunte a un host controlado por el atacante (es decir, \\<ip del atacante>\share\WhatsUp)."

La próxima vez que se reinicie el servicio Ipswitch Service Control Manager, leerá varios archivos de configuración del recurso compartido remoto controlado por el atacante, que se pueden utilizar para iniciar cualquier ejecutable remoto que el atacante desee en el sistema vulnerable WhatsUp Gold.

Aparte de los riesgos obvios que surgen de un escenario de este tipo, la capacidad de modificar el registro del sistema también proporciona al ataque excelentes capacidades de persistencia, como realizar cambios en las claves de inicio para que se ejecute el código malicioso al iniciar el sistema.

La explotación de CVE-2024-8785 no requiere autenticación y, dado que el servicio NmAPI.exe es accesible a través de la red, el riesgo es significativo.

Actualice WhatsUp Gold ahora

Los administradores de sistemas que gestionan implementaciones de WhatsUp Gold deben actualizar a la versión 24.0.1 lo antes posible.

Progress Software lanzó actualizaciones de seguridad que abordan CVE-2024-8785 y cinco fallas más el 24 de septiembre de 2024, y publicó el boletín relacionado aquí, que contiene instrucciones de instalación.

WhatsUp Gold ha sido nuevamente blanco de ataques de piratas informáticos recientemente, y los actores de amenazas aprovecharon exploits disponibles públicamente para atacar puntos finales vulnerables.

A principios de agosto, los actores de amenazas utilizaron PoC públicos para una falla crítica de RCE de WhatsUp Gold para obtener acceso inicial a redes corporativas.

En septiembre, los piratas informáticos utilizaron exploits públicos para dos vulnerabilidades críticas de inyección SQL en WhatsUp Gold, lo que les permitió tomar el control de cuentas de administrador sin conocer la contraseña.

Dado el historial reciente de actores de amenazas que explotan vulnerabilidades críticas en la popular solución de monitoreo de red de Progress Software, es imperativo aplicar rápidamente las actualizaciones de seguridad disponibles.

Fuente
:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#6
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los dominios 'No tienes permitido ver enlaces. Registrate o Entra a tu cuenta' y 'No tienes permitido ver enlaces. Registrate o Entra a tu cuenta' de Cloudflare, utilizados para implementar páginas web y facilitar la computación sin servidor, están siendo cada vez más utilizados por cibercriminales para realizar phishing y otras actividades maliciosas.

Según la firma de ciberseguridad Fortra, el abuso de estos dominios ha aumentado entre un 100% y un 250% en comparación con 2023.

Los investigadores creen que el uso de estos dominios tiene como objetivo mejorar la legitimidad y la eficacia de estas campañas maliciosas, aprovechando la marca de confianza de Cloudflare, la fiabilidad del servicio, los bajos costes de uso y las opciones de proxy inverso que complican la detección.

Abuso de Cloudflare Pages


Cloudflare Pages es una plataforma diseñada para que los desarrolladores front-end creen, implementen y alojen sitios web rápidos y escalables directamente en la red de distribución de contenido (CDN) global de Cloudflare.

Cuenta con alojamiento de sitios estáticos, admite una variedad de marcos de implementación de aplicaciones web modernas y ofrece cifrado SSL/TLS de forma predeterminada, lo que garantiza conexiones HTTPS sin necesidad de configuración adicional.

Fortra informa que Cloudflare Pages se ha convertido en una herramienta para los cibercriminales que abusan de ella al alojar páginas de phishing intermediarias que redirigen a las víctimas a sitios maliciosos, como páginas de inicio de sesión falsas de Microsoft Office365.

Las víctimas son conducidas a través de enlaces incrustados en archivos PDF fraudulentos o en el cuerpo de los correos electrónicos de phishing, que no son detectados por los productos de seguridad gracias a la reputación de Cloudflare.

"El equipo de SEA de Fortra ha observado un aumento del 198 % en los ataques de phishing en las páginas de Cloudflare, pasando de 460 incidentes en 2023 a 1370 incidentes a mediados de octubre de 2024", informa Fortra.

"Con un promedio de aproximadamente 137 incidentes por mes, se espera que el volumen total de ataques supere los 1600 para fin de año, lo que representa un aumento interanual proyectado del 257 %".

Abuso de páginas de Cloudflare en cifras
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fortra también señala que los actores de amenazas utilizan la táctica "bccfoldering" para ocultar la escala de sus campañas de distribución de correo electrónico.

"A diferencia del campo cc, que muestra los destinatarios, bccfoldering oculta los destinatarios agregándolos solo al sobre del correo electrónico, no a los encabezados", explica Fortra.

"Esto hace que los destinatarios sean indetectables a menos que el servidor esté configurado para revelarlos. Esta táctica es utilizada por el adversario para ocultar la escala de la campaña de phishing, ya que los destinatarios ocultos pueden dificultar la detección de cuán grande es la campaña de phishing".

Correo electrónico de phishing que contiene un enlace a un dominio de Cloudflare Pages
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Abuso de Cloudflare Workers

Cloudflare Workers es una plataforma informática sin servidor que permite a los desarrolladores escribir e implementar aplicaciones y scripts ligeros directamente en la red de borde de Cloudflare.

Sus usos legítimos incluyen la implementación de API, la optimización de contenido, la implementación de CAPTCHA y firewall personalizados, la automatización de tareas y la creación de microservicios.

Fortra también ha visto un aumento en el abuso, incluso para llevar a cabo ataques de denegación de servicio distribuido (DDoS), implementar sitios de phishing, inyectar scripts dañinos en el navegador del objetivo y forzar las contraseñas de las cuentas.

En un caso destacado por los investigadores, se abusa de Cloudflare Workers para alojar un paso de verificación humana en un proceso de phishing para agregar legitimidad.

Paso de verificación utilizado en una campaña de phishing
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"Hemos sido testigos de un aumento del 104% en los ataques de phishing en esta plataforma [Cloudflare Workers], pasando de 2.447 incidentes en 2023 a 4.999 incidentes en lo que va de año", se lee en el informe de Fortra.

"Con un promedio actual de 499 incidentes por mes, se espera que el volumen total alcance casi 6.000 para fin de año, lo que refleja un aumento proyectado del 145% en comparación con el año anterior".

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los usuarios pueden defenderse del phishing que abusa de servicios legítimos verificando la autenticidad de las URL en las que se encuentran cuando se les pide que ingresen información confidencial.

Por último, activar medidas de seguridad de cuenta adicionales, como la autenticación de dos factores, puede ayudar a prevenir robos de identidad incluso cuando las credenciales están comprometidas.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#7
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores de ciberseguridad de FortiGuard Labs de Fortinet han descubierto una serie de nuevos ataques de malware dirigidos a empresas de Taiwán. Los ataques, que se han vinculado al malware SmokeLoader, han afectado a sectores que van desde la fabricación y la atención sanitaria hasta la informática y más allá.

SmokeLoader, conocido por su capacidad para distribuir otras cargas útiles maliciosas, está asumiendo un papel más directo en esta campaña, utilizando sus propios complementos para ejecutar ataques y robar datos confidenciales.

Según la investigación de FortiGuard Labs, los ataques comenzaron con correos electrónicos de phishing que contenían archivos adjuntos maliciosos, diseñados para explotar vulnerabilidades en Microsoft Office. Entre ellas se encontraban CVE-2017-0199, que permitía que documentos maliciosos descargaran y ejecutaran automáticamente cargas útiles dañinas, y CVE-2017-11882, que explotaba una vulnerabilidad en el editor de ecuaciones de Microsoft Office para la ejecución remota de código.

Los correos electrónicos, según la publicación del blog de FortiGuard Labs compartida con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, se enteraron de esta publicación el lunes, escritos en taiwanés nativo, eran convincentes pero contenían inconsistencias, como diferentes esquemas de fuente y color, que sugerían que el texto había sido copiado de otro lugar.

Una vez que se abrió el archivo adjunto malicioso, se descargó y ejecutó el malware SmokeLoader, lo que le permitió comunicarse con su servidor de comando y control (C2). Desde allí, el malware descargó varios complementos, cada uno diseñado para apuntar a aplicaciones específicas y extraer información confidencial.

Se descubrió que los complementos utilizados por SmokeLoader apuntaban a navegadores web populares, clientes de correo electrónico y software de protocolo de transferencia de archivos (FTP), incluidos Internet Explorer, Firefox, Chrome, Opera, Outlook, Thunderbird y FileZilla. El malware pudo extraer credenciales de inicio de sesión, datos de llenado automático e incluso direcciones de correo electrónico de estas aplicaciones.

Uno de los complementos, conocido como Plugin 4, fue diseñado para borrar las cookies de los navegadores seleccionados, lo que obliga a las víctimas a volver a ingresar sus credenciales de inicio de sesión. Otro complemento, Plugin 8, se utilizó para inyectar código keylogger en explorer.exe, lo que le permitió al malware capturar las entradas del teclado y el contenido del portapapeles.

También se descubrió que el malware SmokeLoader utiliza técnicas avanzadas para evadir la detección, incluida la ofuscación de código, la antidepuración y la evasión de sandbox. Su diseño modular le permite adaptarse a diferentes escenarios de ataque, lo que lo convierte en una amenaza formidable para las organizaciones.

Flujo de ataque y los correos electrónicos de phishing utilizados en el ataque (vía: FortiGuard Labs de Fortinet)
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

FortiGuard Labs ha detectado y bloqueado el malware, asignándole un nivel de gravedad "Alto". La empresa también ha proporcionado protección a sus clientes, incluidas firmas antivirus y reglas IPS para detectar y prevenir el malware.

En un comentario a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, Casey Ellis, fundador y asesor de Bugcrowd, un líder con sede en San Francisco, California, en ciberseguridad colaborativa, sugiere que el uso de SmokeLoader se alinea con un patrón global más amplio de actores cibernéticos que se preparan para futuros ataques infiltrándose en los sistemas con anticipación.

"Dado el entorno geopolítico, Taiwán no es ajeno a pensar en amenazas persistentes avanzadas (APT) y el uso de SmokeLoader parece seguir el ejemplo de la tendencia general de preposicionamiento que hemos visto en otras partes del mundo".

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#8
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En un esfuerzo global coordinado, las fuerzas del orden de 40 países han desmantelado con éxito una vasta red de cibercriminales, lo que ha llevado al arresto de más de 5.500 personas y a la confiscación de más de 400 millones de dólares en fondos ilícitos.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Este avance se produce tras el reciente éxito de la agencia con la "Operación Serengeti", que arrestó a más de 1.000 cibercriminales y desmanteló importantes redes de delitos cibernéticos en varios países africanos la semana pasada.

La Operación HAECHI V, la quinta iteración de una exitosa iniciativa de cibervigilancia patrocinada por el gobierno de Corea del Sur, fue una operación de cinco meses que se extendió desde julio hasta noviembre de 2024. Se centró en una variedad de fraudes cibernéticos, incluidos el phishing de voz, las estafas románticas, la sextorsión en línea, el fraude de inversiones, los juegos de azar en línea ilegales, la vulneración del correo electrónico empresarial y el fraude en el comercio electrónico.

La iniciativa de Intervención Rápida Mundial de Pagos (I-GRIP) de INTERPOL fue fundamental para interceptar fondos robados y llevar a los delincuentes ante la justicia. La agencia también emitió una Notificación Púrpura, alertando a los países sobre un nuevo fraude de criptomonedas que involucraba monedas estables y se advirtió a los países miembros sobre una estafa emergente de aprobación de tokens USDT.

Uno de los logros más significativos de la operación fue el desmantelamiento de un sindicato de phishing de voz en expansión que operaba en el este de Asia con esfuerzos colaborativos de agencias de Corea del Sur y China. Este sindicato, responsable de estafar a más de 1.900 víctimas por una suma asombrosa de 1.100 millones de dólares, empleó tácticas sofisticadas, como hacerse pasar por agentes de la ley y utilizar documentos de identidad falsos.

I-GRIP ayudó a las agencias a interceptar fondos robados enviados a ciberdelincuentes, lo que evitó pérdidas y condujo al arresto de más sospechosos. En un caso notable, la Fuerza de Policía de Singapur, en colaboración con las autoridades de Timor Oriental, interceptó con éxito 39,3 millones de dólares de una suma de 42,3 millones de dólares robada a una empresa de Singapur mediante un fraude de correo electrónico comercial comprometido (BEC).

Además, en las Islas del Canal del Reino Unido, la Unidad de Inteligencia Financiera de Guernsey interceptó 2 millones de libras (2,5 millones de dólares) en fondos también robados mediante BEC a través de una solicitud I-GRIP a Portugal. Esto demuestra la eficacia de I-GRIP en la lucha contra el cibercrimen transfronterizo.

El arresto de más de 5.500 personas es sin duda un logro loable, pero es probable que los operadores de centros de llamadas de nivel inferior se dirijan a menos víctimas para obtener pagos más pequeños, dijo Toby Lewis, director global de análisis de amenazas en Darktrace.

"Estos grupos se dirigen a grandes volúmenes de víctimas para obtener pagos más pequeños, en lugar de los pagos más grandes de ransomware que vemos de actores más sofisticados", explicó Toby. "Se trata de operaciones que normalmente operan a gran escala, robando miles de dólares a la vez, que luego se suman, en lugar de un número menor de operaciones a gran escala como el ransomware, que pueden generar cientos de miles de dólares por objetivo".

"Las estafas románticas con monedas estables muestran a los delincuentes adaptando la ingeniería social clásica a la era de las criptomonedas, combinando la manipulación emocional con la complejidad de las criptomonedas para engañar a las víctimas y conseguir que les concedan acceso a la cuenta", afirmó Lewis, compartiendo su respuesta sobre la Operación HAECHI V.

Sin embargo, tendrá un impacto positivo en la reducción de los delitos cibernéticos. El éxito de la operación se puede atribuir a los esfuerzos de colaboración de los organismos encargados de hacer cumplir la ley en todo el mundo, así como al uso eficaz de la iniciativa I-GRIP de Interpol.

El Secretario General de INTERPOL, Valdecy Urquiza, destacó la importancia de la cooperación internacional para abordar la creciente amenaza de la ciberdelincuencia. "La naturaleza sin fronteras de la ciberdelincuencia significa que la cooperación policial internacional es esencial", afirmó. "El éxito de esta operación demuestra lo que se puede lograr cuando los países trabajan juntos".

Lee Jun Hyeong, Director de la Oficina Central Nacional de INTERPOL en Corea en Seúl, elogió la dedicación y el profesionalismo de los agentes de las fuerzas del orden en todo el mundo. "Nuestros esfuerzos no solo llevaron a los delincuentes ante la justicia, sino que también lograron avances significativos en la interceptación y recuperación de fondos ilícitos", señaló Hyeong en el comunicado de prensa de Interpol.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#9
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha actualizado su página sobre el uso de Windows 11 en hardware no compatible. Si el sistema operativo detecta que su PC no está a la altura, agregará una marca de agua para advertirte al respecto. Además, como se anunció en la página de soporte, ahora hay esta exención de responsabilidad:

"Este PC no cumple con los requisitos mínimos del sistema para ejecutar Windows 11: estos requisitos ayudan a garantizar una experiencia más confiable y de mayor calidad. No se recomienda instalar Windows 11 en esta PC y puede generar problemas de compatibilidad. Si continúa con la instalación de Windows 11, su PC ya no tendrá soporte y no tendrá derecho a recibir actualizaciones. Los daños a su PC debido a la falta de compatibilidad no están cubiertos por la garantía del fabricante. Al seleccionar Aceptar, reconoce que leyó y comprende esta declaración."

Por lo tanto, parece que Microsoft está redoblando sus esfuerzos para que las personas actualicen sus PC o compren uno nuevo. Y con la fecha de finalización de la vida útil de Windows 10 acercándose, los usuarios pueden estar atrapados entre la espada y la pared.

Fuente
:
msn News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#10
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Coinbase anunció este lunes una integración con Apple Pay, lo que permite a los creadores de aplicaciones crear la capacidad de comprar criptomonedas con Apple Pay directamente en sus aplicaciones.

La integración es parte de Coinbase Onramp, que ofrece a los creadores de aplicaciones una forma para que los clientes conviertan sus monedas tradicionales, como el dólar estadounidense, en criptomonedas. Ese proceso ha sido históricamente difícil, ya que requería que los usuarios pagaran tarifas adicionales y visitaran varios sitios web o aplicaciones.

Con la integración de Apple Pay, Coinbase continúa impulsando sus productos hacia el consumidor promedio al hacer que las compras de criptomonedas sean más accesibles.

Apple parece estar adoptando las criptomonedas con esta integración, al menos, más de lo que solía hacerlo, lo que quizás marca un giro en la espinosa relación del fabricante del iPhone con la industria de las criptomonedas.

El posible cambio de actitud se produce en un momento político interesante. El presidente electo Trump ha señalado que su administración entrante sería más amable con la industria de las criptomonedas que los líderes anteriores, lo que sin duda ha elevado el precio del bitcoin a casi 100.000 dólares. El presidente de la Comisión de Bolsa y Valores, Gary Gensler, anunció recientemente que dimitiría cuando Trump asuma el cargo, lo que marca el fin de su ofensiva de años contra las criptomonedas.

El director ejecutivo de Coinbase, Brian Armstrong, criticó anteriormente a Apple por no llevarse bien con la industria de las criptomonedas, alegando en 2022 que podría haber problemas antimonopolio para el fabricante del iPhone. En ese momento, Armstrong dijo que Apple había prohibido ciertas funciones de la aplicación de Coinbase.

Cuando Apple lanzó su tarjeta de crédito en 2019, la empresa dijo que no permitiría a los clientes utilizar las tarjetas para comprar criptomonedas. Apple tiene un historial de expulsar aplicaciones de criptomonedas, blockchain y NFT de su App Store. A principios de este año, la empresa con sede en Cupertino retiró a Binance, Kraken y varios de los intercambios de criptomonedas más grandes del mundo de su App Store en India.

Fuente:
TechCrunch
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#11
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Durante los últimos años, el gobierno polaco de Donald Tusk ha estado investigando el uso (y supuesto abuso) del software espía para teléfonos Pegasus por parte del gobierno anterior.

El lunes, Piotr Pogonowski, exdirector de la agencia de seguridad interna de Polonia, fue arrestado y llevado a la fuerza a testificar ante el parlamento, como parte de la investigación del gobierno actual sobre el supuesto abuso del software espía llevado a cabo en los últimos años bajo la administración anterior del partido Ley y Justicia (PiS), según el Financial Times.

Según se informa, Pogonowski ignoró tres citaciones para testificar ante el comité parlamentario polaco.

En 2021, Citizen Lab y Amnistía Internacional concluyeron que el software espía Pegasus de NSO Group se utilizó contra tres críticos del anterior gobierno polaco, incluido un senador que supuestamente fue hackeado decenas de veces antes de las elecciones parlamentarias de 2019. En 2023, el Senado polaco concluyó que el uso de Pegasus en el país era ilegal.

Fuente:
TechCrunch
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#12
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

A continuación se agrega una actualización sobre este bootkit creado por estudiantes del programa de capacitación en ciberseguridad Best of the Best (BoB) de Corea.

El bootkit UEFI para Linux 'Bootkitty', descubierto recientemente, explota la falla LogoFAIL, identificada como CVE-2023-40238, para atacar computadoras que ejecutan firmware vulnerable.

Esto lo confirma la empresa de seguridad de firmware Binarly, que descubrió LogoFAIL en noviembre de 2023 y advirtió sobre su potencial uso en ataques reales.

Conexión de Bootkitty y LogoFAIL

Bootkitty fue descubierto por ESET, que publicó un informe la semana pasada, en el que señalaba que se trata del primer bootkit UEFI dirigido específicamente a Linux. Sin embargo, en este momento, se trata más de un malware UEFI en desarrollo que solo funciona en versiones específicas de Ubuntu, en lugar de una amenaza generalizada.

LogoFAIL es un conjunto de fallas en el código de análisis de imágenes de firmware UEFI utilizadas por varios proveedores de hardware, explotables mediante imágenes o logotipos maliciosos instalados en la Partición del Sistema EFI (ESP).

"Cuando se analizan estas imágenes durante el arranque, se puede activar la vulnerabilidad y se puede ejecutar arbitrariamente una carga útil controlada por el atacante para secuestrar el flujo de ejecución y eludir las funciones de seguridad como el Arranque Seguro, incluidos los mecanismos de Arranque Verificado basados en hardware", explicó Binarly anteriormente.

Según el último informe de Binarly, Bootkitty integra shellcode dentro de archivos BMP ('logofail.bmp' y 'logofail_fake.bmp') para eludir las protecciones de arranque seguro inyectando certificaciones falsas en la variante MokList.

Archivos de imagen maliciosos
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El archivo 'logofail.bmp' incorpora un shellcode al final, y un valor de altura negativo (0xfffffd00) activa la vulnerabilidad de escritura fuera de límites durante el análisis.

La lista MokList legítima se reemplaza con un certificado falso, lo que autoriza efectivamente un cargador de arranque malicioso ('bootkit.efi').

Después de desviar la ejecución al shellcode, Bootkitty restaura las ubicaciones de memoria sobrescritas en la función vulnerable (RLE8ToBlt) con instrucciones originales, por lo que se borran todos los signos de manipulación obvia.

Descripción general del ataque Bootkitty
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Impacto en hardware específico

Binarly afirma que Bootkitty podría afectar a cualquier dispositivo que no haya sido parcheado contra LogoFAIL, pero su shellcode actual espera código específico utilizado en módulos de firmware que se encuentran en computadoras Acer, HP, Fujitsu y Lenovo.

El análisis del archivo bootkit.efi realizado por el investigador determinó que los dispositivos Lenovo basados en Insyde son los más susceptibles, ya que Bootkitty hace referencia a nombres de variables y rutas específicas utilizadas por esta marca. Sin embargo, esto podría indicar que el desarrollador solo está probando el bootkit en su propia computadora portátil y agregará soporte para una gama más amplia de dispositivos más adelante.

Algunos dispositivos ampliamente utilizados cuyo firmware más reciente aún es vulnerable a exploits de LogoFAIL incluyen IdeaPad Pro 5-16IRH8, Lenovo IdeaPad 1-15IRU7, Lenovo Legion 7-16IAX7, Lenovo Legion Pro 5-16IRX8 y Lenovo Yoga 9-14IRP8.

"Ha pasado más de un año desde que hicimos sonar la alarma sobre LogoFAIL y, sin embargo, muchas partes afectadas siguen siendo vulnerables a una o más variantes de las vulnerabilidades de LogoFAIL", advierte Binarly.

"Bootkitty sirve como un duro recordatorio de las consecuencias de no abordar adecuadamente estas vulnerabilidades o de no implementar las correcciones correctamente en los dispositivos en el campo".

Si está utilizando un dispositivo sin actualizaciones de seguridad disponibles para mitigar el riesgo de LogoFAIL, limite el acceso físico, habilite el Arranque seguro, proteja con contraseña la configuración UEFI/BIOS, deshabilite el arranque desde medios externos y solo descargue las actualizaciones de firmware desde el sitio web oficial del OEM.

Actualización 2/12/24: ESET actualizó hoy su artículo original sobre BootKitty, indicando que el proyecto fue creado por estudiantes de ciberseguridad en el programa de capacitación Best of the Best (BoB) de Corea.

"El objetivo principal de este proyecto es generar conciencia dentro de la comunidad de seguridad sobre los riesgos potenciales y fomentar medidas proactivas para prevenir amenazas similares", dijo el programa a ESET.

"Desafortunadamente, se dieron a conocer pocas muestras del bootkit antes de la presentación planificada en la conferencia".

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#13
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las autoridades rusas han condenado a cadena perpetua al líder del grupo criminal que está detrás de la plataforma de la dark web Hydra Market, ahora clausurada. Además, más de una docena de cómplices han sido condenados por su participación en la producción y venta de casi una tonelada de drogas.

Stanislav Moiseyev, el "organizador" del grupo, que fue condenado a cadena perpetua, también recibió una multa de 4 millones de rublos, como informó por primera vez el grupo de medios ruso RBC.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Sus co-conspiradores (Alexander Chirkov, Andrey Trunov, Evgeny Andreyev, Ivan Koryakin, Vadim Krasninsky, Georgy Georgobiani, Artur Kolesnikov, Nikolay Bilyk, Alexander Khramov, Kirill Gusev, Anton Gaykin, Alexey Gukalin, Mikhail Dombrovsky, Alexander Aminov y Sergey Chekh) recibieron penas de prisión de entre 8 y 23 años, con multas por un total de 16 millones de rublos.

El tribunal ha indicado que los acusados cumplirán la pena de prisión en colonias penales especiales y de régimen estricto.

"El tribunal ha establecido que desde 2015 hasta octubre de 2018, el grupo criminal actuó en varias regiones de la Federación de Rusia y de la República de Belarús", ha informado el lunes la fiscalía de Moscú.

"En total, durante los registros de las residencias de los acusados, de las casas adaptadas para laboratorios de producción de sustancias prohibidas, de los garajes utilizados para el almacenamiento y de los coches equipados con escondites especiales, los agentes del orden se incautaron de casi una tonelada de estupefacientes y sustancias psicotrópicas en varias entidades constitutivas de la Federación de Rusia".

Antes de que la policía alemana confiscara los servidores de Hydra Market en una acción conjunta con Estados Unidos en abril de 2022, desmantelando efectivamente toda la operación, Hydra Market era el mercado de la darknet más grande del mundo para la venta de drogas y el lavado de dinero.

Esta plataforma rusa de la dark web fue utilizada por delincuentes para vender drogas y blanquear dinero, y facturó 1.350 millones de dólares en 2020, 19.000 cuentas de vendedor registradas y atendió al menos a 17 millones de clientes en todo el mundo.

Hydra también ofrecía bases de datos robadas, documentos falsificados y servicios de piratería informática a sueldo. Cuando confiscó sus servidores, la policía alemana también confiscó 543 bitcoins de sus ganancias (actualmente valen más de 51 millones de dólares).

Como anunció en su momento la Oficina Federal de Policía Criminal de Alemania (BKA), Hydra Market tenía su propio Bitcoin Bank Mixer, que se utilizaba para ofuscar todas las transacciones de criptomonedas realizadas en la plataforma, lo que dificultaba mucho a las fuerzas del orden rastrear los fondos obtenidos de actividades ilegales.

La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos también sancionó a Hydra Market en abril de 2022 como parte del esfuerzo internacional coordinado para interrumpir los servicios del mercado ruso de la dark web. También identificó más de 100 direcciones de criptomonedas vinculadas con las operaciones de Hydra en transacciones ilícitas.

Desde entonces, la OFAC ha añadido varios otros bancos rusos y bolsas de criptomonedas acusados de facilitar operaciones de lavado de dinero para los "clientes" de Hydra, incluidos Garantex, Bitpapa y Netexchange.

El viernes, las fuerzas del orden rusas también arrestaron y acusaron al conocido afiliado del ransomware Mikhail Pavlovich Matveev (también conocido como Wazawaka, Uhodiransomwar, m1x y Boriselcin) por desarrollar malware y su participación en varios grupos de piratería.

La reciente condena de los ciberdelincuentes rusos es inusual para el país, que normalmente hace la vista gorda ante los actores de amenazas que operan dentro de sus fronteras siempre que no ataquen a organizaciones e individuos rusos.

Fuente
:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#14
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El sitio web en español de Samsung ha compartido detalles oficiales sobre la próxima actualización de One UI 7.

Estamos esperando con gran expectación que Samsung lance One UI 7 para dispositivos Galaxy, pero la compañía se ha mantenido sorprendentemente callada sobre la actualización de Android 15. Ahora, la compañía ha compartido oficialmente detalles sobre la actualización de One UI 7, aunque parece un lanzamiento prematuro.

El filtrador Chunvn8888 en X (antes conocido como Twitter) vio el sitio web en español de Samsung hablando oficialmente sobre One UI 7. Como Samsung revela en su sitio web oficial, One UI 7 se centrará fuertemente en Galaxy AI, con "IA potenciando cada paso" y una "nueva apariencia sofisticada".

Samsung muestra los nuevos íconos, el centro de notificaciones inteligente y la nueva pantalla de bloqueo con una vista rápida de las actividades en curso en este video oficial:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Samsung también destaca que se puede usar IA para transformar un boceto en una imagen increíble. La función Sketch to Image ya está disponible en los dispositivos Galaxy recientes, pero One UI 7 traerá más opciones como Dibujos animados en 3D, Bocetos y Acuarela. Míralo en el video oficial a continuación:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La letra pequeña menciona que Sketch to Image requiere una conexión de red y un inicio de sesión en una cuenta Samsung. Al editar una imagen, se obtendrá una imagen redimensionada de hasta 12 MP y se le agregará una marca de agua visible para indicar que se generó con IA.

Con la función Portrait Studio de One UI 7, puedes usar IA para convertir tus retratos en fotos de perfil artísticas con temas como cómic, dibujos animados en 3D y bocetos. Portrait Studio también requiere una conexión de red y un inicio de sesión en una cuenta Samsung y da como resultado una imagen de 9 MP con una marca de agua visible para IA.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La función Live Effects de One UI 7 te permite añadir profundidad a tus fotos y darles perspectiva.

Samsung parece estar añadiendo algunas funciones de seguridad para niños a lo que parece ser la Galaxy Store en One UI 7. Al comprar aplicaciones, las cuentas de los niños necesitarán el permiso de las cuentas de los tutores.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Otras funciones de las que habla la página oficial de One UI 7 de Samsung España son las capacidades de Circle to Search, Live Translate y AI Zoom. Sin embargo, estas funciones ya están disponibles en One UI 6.1.1, por lo que no estamos seguros de qué novedades se destacan aquí. De manera similar, la página oficial de One UI 7 también destaca la función Energy Score, pero esta se agregó con el One UI 6 Watch basado en Wear OS 5 para relojes inteligentes Galaxy, por lo que no es una función de One UI 7 en sí.

En la letra pequeña del sitio web se indica que las funciones de Galaxy AI se ofrecerán de forma gratuita en los dispositivos Samsung Galaxy compatibles hasta finales de 2025. Además, las funciones de Galaxy AI estarán disponibles en estos dispositivos en el cuarto trimestre de 2024 (aunque en la letra pequeña también se menciona que los modelos compatibles pueden variar según la función):

Serie Galaxy S24
Serie Galaxy S23
Serie Galaxy S22
Galaxy Z Fold6 y Z Flip6
Galaxy Z Fold5 y Z Flip5
Galaxy Z Fold4 y Z Flip4
Galaxy Tab S10 Plus y S10 Ultra
Galaxy Tab S9, S9 Plus y S9 Ultra
Galaxy Tab S8, S8 Plus y S8 Ultra

Curiosamente, Samsung no ha compartido ninguna fecha de lanzamiento ni información sobre la implementación, lo que nos lleva a sospechar que esta página se ha publicado antes de tiempo.

Fuente:
Android Authority
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#15
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una filtración de datos colosal ha dejado al descubierto una base de datos que contiene mil millones de combinaciones de nombres de usuario y contraseñas basadas en URL.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se dice que el conjunto de datos filtrado, que al parecer se compartió en BreachForums y se distribuyó a través de plataformas en la nube y canales de Telegram, es recién recopilado.

Esta filtración aumenta significativamente los riesgos para los usuarios, especialmente aquellos que reutilizan las credenciales en múltiples plataformas.

Fuente:
DailyDarkWeb
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#16
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo ataque de phishing abusa de la función de recuperación de archivos de Word de Microsoft al enviar documentos de Word dañados como archivos adjuntos de correo electrónico, lo que les permite eludir el software de seguridad debido a su estado dañado, pero aún así ser recuperables por la aplicación.

Los actores de amenazas buscan constantemente nuevas formas de eludir el software de seguridad de correo electrónico y hacer que sus correos electrónicos de phishing lleguen a las bandejas de entrada de los objetivos.

Una nueva campaña de phishing descubierta por la empresa de búsqueda de malware No tienes permitido ver enlaces. Registrate o Entra a tu cuenta utiliza documentos de Word dañados intencionalmente como archivos adjuntos en correos electrónicos que simulan ser de departamentos de nóminas y recursos humanos.

Phishing email
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Estos archivos adjuntos utilizan una amplia gama de temas, todos relacionados con los beneficios y bonificaciones de los empleados. incluyendo:

Beneficios_anuales_y_bonificaciones_para_[nombre]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx

Beneficios_anuales_y_bonificaciones_para_[nombre]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

Beneficios_y_bonificaciones_para_[nombre]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

Due_&_Payment_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

Beneficios_y_bonificaciones_para_[nombre]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

Todos los documentos de esta campaña incluyen la cadena codificada en base64 "IyNURVhUTlVNUkFORE9NNDUjIw", que se decodifica como "##TEXTNUMRANDOM45##".

Al abrir los archivos adjuntos, Word detectará que el archivo está dañado y dirá que "encontró contenido ilegible" en el archivo, preguntándole si desea recuperarlo.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Estos documentos de phishing están dañados de tal manera que son fácilmente recuperables, mostrando un documento que le indica al objetivo que escanee un código QR para recuperar un documento. Como puede ver a continuación, estos documentos están marcados con los logotipos de la empresa atacada, como la campaña dirigida al Daily Mail que se muestra a continuación.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Al escanear el código QR, el usuario será llevado a un sitio de phishing que pretende ser un inicio de sesión de Microsoft e intenta robar las credenciales del usuario.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Si bien el objetivo final de este ataque de phishing no es nada nuevo, el uso de documentos de Word dañados es una táctica novedosa que se utiliza para evadir la detección.

"Aunque estos archivos funcionan correctamente dentro del sistema operativo, la mayoría de las soluciones de seguridad no los detectan debido a que no se aplican los procedimientos adecuados para sus tipos de archivos", explica No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

"Se cargaron en VirusTotal, pero todas las soluciones antivirus devolvieron el resultado "limpio" o "Elemento no encontrado" porque no pudieron analizar el archivo correctamente".

Estos archivos adjuntos han tenido bastante éxito en lograr su objetivo.

De los archivos adjuntos compartidos con BleepingComputer y utilizados en esta campaña, casi todos tienen cero detecciones en VirusTotal, y solo algunos fueron detectados por 2 proveedores.

Al mismo tiempo, esto también podría deberse al hecho de que no se haya agregado ningún código malicioso a los documentos y simplemente muestren un código QR.

Las reglas generales aún se aplican para protegerse contra este ataque de phishing.

Si recibe un correo electrónico de un remitente desconocido, especialmente si contiene archivos adjuntos, debe eliminarlo inmediatamente o confirmarlo con un administrador de red antes de abrirlo.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#17
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una importante filtración de datos afectó al sitio web del gobierno colombiano, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, lo que dio lugar a la exposición de información sensible.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Esta filtración plantea importantes preocupaciones sobre la seguridad de los sistemas gubernamentales y la protección de los datos de los ciudadanos. La base de datos filtrada, que ahora circula, puede contener información crítica que podría explotarse con fines maliciosos.

Se ha instado a las autoridades a investigar el incidente y tomar medidas rápidas para abordar las vulnerabilidades de sus sistemas.

Fuente:
DailyDarkWeb
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#18
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La compañía de ciberseguridad Hackmanac, especializada en análisis de amenazas desde hace 13 años, ha publicado el supuesto secuestro (ransomware) de datos de la Agencia Tributaria de España (AEAT) mediante un programa de extorsión denominado Trinity.

Según ha informado en la red X, los delincuentes reclaman 38 millones de dólares a cambio de datos que suman 560 GB, la capacidad de un disco duro medio.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La fecha límite para evitar la publicación de la información supuestamente robada es el próximo 31 de diciembre.

La entidad del Gobierno español ha negado el ataque e informado del funcionamiento habitual de todos los servicios. "No se ha detectado ningún indicio de posibles equipos cifrados o salidas de datos", afirma.

Hackmanac no ha aportado más datos que la publicación en X de la captura de pantalla de la extorsión publicada en la dark web, la zona de internet a la que no se puede acceder por motores de búsqueda convencionales y que se caracteriza por el uso de redes anónimas para ocultar la identidad del usuario y la ubicación del sitio. A menudo se asocia con actividades ilegales.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La Agencia Tributaria ha asegurado que "evalúa la situación, que permanece bajo vigilancia", pero que, hasta el momento, no han identificado brecha alguna.

Trinity es un programa de secuestro y extorsión dirigido especialmente contra infraestructuras críticas, como hospitales o centros de gestión económica y administrativa.

Este programa utiliza varios métodos de ataque para infiltrarse y tomar el control de los sistemas o robar la información: correos electrónicos falsos con apariencia de ser corporativos (phishing), páginas maliciosas y explotación de vulnerabilidades de la programación.

Según el centro de seguridad estadounidense HC3, El ransomware Trinity es un actor de amenazas relativamente nuevo, similar a 2023Lock y Venus, que utiliza el algoritmo de cifrado ChaCha20. Los archivos cifrados se etiquetan con la extensión ".trinitylock".

Fuente:
El País
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#19
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una importante filtración de datos ha afectado a Certified InfoSec, una plataforma especializada en formación y certificación en seguridad de la información.

El incidente ha provocado la exposición de sus bases de datos, revelando información confidencial de los usuarios, como datos personales y, posiblemente, credenciales de cuentas.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La filtración plantea importantes riesgos de privacidad y seguridad para los usuarios de la plataforma, incluido el posible uso indebido de los datos comprometidos.

Los expertos en ciberseguridad recomiendan encarecidamente que los usuarios afectados actualicen inmediatamente sus contraseñas y habiliten la autenticación multifactor para proteger sus cuentas. Además, se recomienda supervisar actividades inusuales, como transacciones no autorizadas o intentos de phishing.

Esta filtración subraya la importancia de contar con medidas de seguridad sólidas, incluso para las plataformas dedicadas a la ciberseguridad.

Fuente:
DailyDarkWeb
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


#20
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El jueves, funcionarios ugandeses confirmaron que el banco central nacional sufrió una violación de seguridad por parte de actores de amenazas con motivaciones financieras. El Departamento de Investigaciones Criminales de la policía y el Auditor General están investigando el incidente.

Un alto funcionario del gobierno en el Ministerio de Finanzas confirmó que los atacantes comprometieron algunas cuentas del banco central.

"Es cierto que nuestras cuentas fueron pirateadas, pero no en la medida de lo que se informa. Cuando esto sucedió, instituimos una auditoría y, al mismo tiempo, una investigación", dijo el jueves el ministro de Estado de Finanzas, Henry Musasizi, al parlamento. "Para evitar la tergiversación de los hechos, deseo pedirle a la Cámara que tengamos paciencia y que, cuando finalice la auditoría, que ahora está en su fase final, venga e informe".

El Banco de Uganda declaró el jueves que se basa en una investigación policial sobre los informes de piratas informáticos en el extranjero que robaron 62 mil millones de chelines (16,8 millones de dólares) de sus cuentas.

Los medios locales informaron que los actores de amenazas que se hacen llamar "Waste" son responsables del ataque. Comprometieron los sistemas del Banco de Uganda y transfirieron los fondos a principios de noviembre.

El grupo Waste parece tener su base en el sudeste asiático y transfirió parte de los fondos robados a Japón. El banco central de Uganda ya había recuperado más de la mitad del dinero robado.

El periódico Daily Monitor informó de que los atacantes robaron 47.800 millones de chelines y que los fondos robados se transfirieron a cuentas en Japón y el Reino Unido.

Las autoridades británicas congelaron 7 millones de dólares, aunque retiraron una parte. Según el Monitor, el sindicato recibió 6 millones de dólares en Japón.

"Me alarmó porque se trata de nuestro banco central", dijo el jueves el opositor Joel Ssenyonyi a sus compañeros parlamentarios. "Pensé que el gobierno debería ayudarnos a entenderlo; es importante que sepamos exactamente qué está pasando".

Fuente:
SecurityAffairs
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#21
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se descubrió en Google Play un nuevo conjunto de 15 aplicaciones de malware para Android de SpyLoan con más de 8 millones de instalaciones, dirigidas principalmente a usuarios de Sudamérica, el sudeste asiático y África.

McAfee, miembro de la "App Defense Alliance", descubrió las aplicaciones y ahora se han eliminado de la tienda de aplicaciones oficial de Android.

Sin embargo, su presencia en Google Play es un indicio de la persistencia de los actores de la amenaza, ya que ni siquiera las recientes acciones de las fuerzas del orden contra los operadores de SpyLoan han podido frenar el problema, afirma McAfee.

La última gran "limpieza de SpyLoan" en Google Play fue en diciembre de 2023, cuando se eliminaron más de una docena de aplicaciones que habían acumulado 12 millones de descargas.

Modus operandi de SpyLoan


Las aplicaciones de SpyLoan son herramientas promocionadas como herramientas financieras que ofrecen a los usuarios préstamos a través de un proceso de aprobación rápido bajo términos engañosos y a menudo falsos.

Una vez que las víctimas instalan esas aplicaciones, se las valida mediante una contraseña de un solo uso (OTP) para garantizar que estén ubicadas en la región de destino. Luego se les solicita que envíen documentos de identificación confidenciales, información de empleados y datos de cuentas bancarias.

Además, las aplicaciones hacen un mal uso de sus permisos en el dispositivo para recopilar una gran cantidad de datos confidenciales, incluido el acceso a las listas de contactos, SMS, cámara, registro de llamadas y ubicación del usuario, para usarlos en el proceso de extorsión.

McAfee señala que las agresivas tácticas de recopilación de datos de estas aplicaciones se extienden a la exfiltración de todos los mensajes SMS en el dispositivo de la víctima, así como la ubicación del GPS/red, la información del dispositivo, los detalles del sistema operativo y los datos del sensor.

Código para exfiltrar todos los SMS. Fuente: McAfee
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una vez que un usuario obtiene un préstamo a través de la aplicación, se ve obligado a pagar intereses elevados y los operadores lo acosan y chantajean regularmente utilizando los datos robados de sus teléfonos. En algunos casos, los estafadores llaman a los familiares del prestatario para acosarlos también.

8 millones de descargas en Google Play

La investigación de McAfee identificó 15 aplicaciones maliciosas de SpyLoan, que se han instalado más de 8 millones de veces solo a través de Play Store.

A continuación se muestra una lista de los ocho más populares:

 Préstamo Seguro-Rápido, Seguro: 1.000.000 de descargas, principalmente dirigido a México

 Préstamo Rápido-Credit Easy - 1.000.000 de descargas, principalmente dirigido a Colombia

 ได้บาทง่ายๆ-สินเชื่อด่วน - 1.000.000 de descargas, principalmente dirigidas a Senegal

 RupiahKilat-Dana cair: 1.000.000 de descargas, principalmente dirigido a Senegal

 ยืมอย่างมีความสุข – เงินกู้: 1.000.000 de descargas, principalmente dirigidas a Tailandia

 เงินมีความสุข – สินเชื่อด่วน - 1.000.000 de descargas, principalmente dirigidas a Tailandia

 KreditKu-Uang Online: 500.000 descargas, principalmente dirigido a Indonesia

 Dana Kilat-Pinjaman kecil: 500.000 descargas, principalmente dirigida a Indonesia

SpyLoan apps
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

A pesar de los mecanismos de revisión de aplicaciones de Google para bloquear el software que viola los términos de Play Store, las aplicaciones de SpyLoan siguen pasando desapercibidas.

Para protegerse contra este riesgo, lea las opiniones de los usuarios, verifique la reputación del desarrollador, limite los permisos otorgados a las aplicaciones al instalarlas y asegúrese de que Google Play Protect esté activo en el dispositivo.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#22
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se han publicado parches de seguridad no oficiales gratuitos a través de la plataforma 0patch para solucionar una vulnerabilidad de día cero introducida hace más de dos años en el mecanismo de seguridad Mark of the Web (MotW) de Windows.

Windows agrega automáticamente marcas Mark of the Web (MotW) a todos los documentos y ejecutables descargados de fuentes no confiables. Estas etiquetas MotW informan al sistema operativo Windows, Microsoft Office, navegadores web y otras aplicaciones que el archivo debe tratarse con precaución.

Como resultado, se advierte a los usuarios que abrir dichos archivos podría provocar un comportamiento potencialmente peligroso, como la instalación de malware en sus dispositivos.

Según Mitja Kolsek, cofundador del servicio de micropatching 0patch, este fallo puede permitir a los atacantes evitar que Windows aplique etiquetas (MotW) en algunos tipos de archivos descargados de Internet.

"Nuestros investigadores descubrieron una vulnerabilidad previamente desconocida en Windows Server 2012 y Server 2012 R2 que permite a un atacante eludir un control de seguridad que Mark of the Web aplica de otro modo en ciertos tipos de archivos", afirmó Mitja Kolsek, cofundador del servicio de micropatching 0patch.

"Nuestro análisis reveló que esta vulnerabilidad se introdujo en Windows Server 2012 hace más de dos años y permaneció sin detectar -o al menos sin corregir- hasta hoy. Incluso está presente en servidores completamente actualizados con Actualizaciones de seguridad extendidas".

ACROS Security, la empresa detrás de 0Patch, no divulgará información sobre esta vulnerabilidad hasta que Microsoft publique parches de seguridad oficiales que bloqueen posibles ataques dirigidos a servidores vulnerables.

Estos parches no oficiales están disponibles de forma gratuita tanto para las versiones antiguas de Windows como para las completamente actualizadas:

Windows Server 2012 actualizado a octubre de 2023

Windows Server 2012 R2 actualizado a octubre de 2023

Windows Server 2012 completamente actualizado con actualizaciones de seguridad extendidas

Windows Server 2012 R2 completamente actualizado con actualizaciones de seguridad extendidas

Para instalar estos microparches en sus sistemas Windows Server 2012, registre una cuenta 0patch e instale su agente. Si no hay políticas de parches personalizadas para bloquearlos, se implementarán automáticamente después de iniciar el agente (sin necesidad de reiniciar el sistema).

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"Vulnerabilidades como estas se descubren con regularidad y los atacantes las conocen todas", agregó Kolsek hoy.

"Si utilizas sistemas Windows que ya no reciben actualizaciones de seguridad oficiales, 0patch se asegurará de que estas vulnerabilidades no se exploten en tus equipos, y ni siquiera tendrás que saberlo ni preocuparte por ello".

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#23
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El Proyecto Tor ha hecho un llamamiento urgente a la comunidad de privacidad pidiendo voluntarios para ayudar a desplegar 200 nuevos puentes WebTunnel antes de finales de año para luchar contra la censura gubernamental.

Actualmente, el Proyecto Tor opera 143 puentes WebTunnel, que ayudan a los usuarios de regiones con una fuerte censura a eludir las restricciones de acceso a Internet y los bloqueos de sitios web.

Esto se produce como respuesta a la creciente censura en Rusia, que según Tor afecta actualmente a los mecanismos de elusión de la censura integrados en el navegador, incluidas las conexiones obfs4 y Snowflake.

El Proyecto Tor cree que establecer más puentes WebTunnel es la mejor respuesta a esta escalada de censura, ya que analizar nuevas tácticas y desarrollar soluciones alternativas lleva tiempo, dejando a los usuarios vulnerables y aislados de la Internet libre.

"Recientes informes de usuarios de Tor en Rusia indican una escalada de la censura en línea con el objetivo de bloquear el acceso a Tor y otras herramientas de evasión. Esta nueva ola incluye intentos de bloquear puentes Tor y transportes conectables desarrollados por el Proyecto Tor, eliminación de aplicaciones de evasión de las tiendas y ataques a proveedores de alojamiento populares, reduciendo el espacio para eludir la censura. A pesar de estas acciones en curso, Tor sigue siendo eficaz.

Una tendencia alarmante es el bloqueo selectivo de proveedores de alojamiento populares por parte de Roscomnadzor. Como muchas herramientas de evasión las están utilizando, esta acción hizo que algunos puentes Tor fueran inaccesibles para muchos usuarios en Rusia. Como Roscomnadzor y los proveedores de servicios de Internet en Rusia están aumentando sus esfuerzos de bloqueo, la necesidad de más puentes WebTunnel se ha vuelto urgente
".

❖ El Proyecto Tor

Cómo los WebTunnels ayudan a eludir los bloqueos

Los WebTunnels son un nuevo tipo de puente introducido por el Proyecto Tor en marzo de 2024, diseñado específicamente para mezclar el tráfico de Tor con el tráfico web normal, lo que dificulta que los censores lo detecten y bloqueen.

El sistema logra esto al ejecutarse sobre un servidor web con un certificado SSL/TLS válido, camuflando el tráfico de Tor como tráfico HTTPS normal.

A diferencia de los puentes Tor estándar que utilizan protocolos específicos, como obfs4, lo que facilita su identificación, los puentes WebTunnel "se ocultan a simple vista". Esto les permite ser resistentes a la censura agresiva.

Tor lanzó una nueva campaña que se extenderá hasta el 10 de marzo de 2025, en la que se pide a los voluntarios que instalen y mantengan nuevos puentes WebTunnel.

Aquellos que respondan instalando cinco o más puentes WebTunnel durante este período recibirán una camiseta como regalo de "agradecimiento" de la organización.

Los requisitos para participar son los siguientes:

Un puente WebTunnel por IPv4; se permiten subdominios o dominios distintos.

Proporcionar un correo electrónico válido para la confirmación.

Mantener los puentes en funcionamiento durante al menos 1 año.

Asegurar un tiempo de funcionamiento casi 24 horas al día, 7 días a la semana; se permiten reinicios para actualizaciones.

Los puentes deben permanecer en funcionamiento durante la campaña.

Evitar el alojamiento con Hetzner.

Para ofrecerse como voluntario, todo lo que se necesita es una dirección IPv4 estática, un sitio web alojado por uno mismo, un certificado SSL/TLS válido y al menos 1 TB/mes de ancho de banda.

Una vez que los puentes estén configurados y en funcionamiento, los operadores pueden enviar un correo electrónico a '[email protected]' con los detalles para registrar su participación en la campaña.

Para obtener más información sobre cómo configurar y ejecutar puentes WebTunnel, los voluntarios pueden consultar esta guía oficial:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


Fuente
:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#24
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los actores de amenazas están utilizando exploits públicos para una falla crítica de omisión de autenticación en ProjectSend para cargar webshells y obtener acceso remoto a servidores.

La falla, identificada como CVE-2024-11680, es un error de autenticación crítico que afecta a las versiones de ProjectSend anteriores a r1720, lo que permite a los atacantes enviar solicitudes HTTP especialmente diseñadas a 'options.php' para cambiar la configuración de la aplicación.

La explotación exitosa permite la creación de cuentas no autorizadas, la implantación de webshells y la incrustación de código JavaScript malicioso.

Aunque la falla se solucionó el 16 de mayo de 2023, no se le asignó un CVE hasta recién, lo que dejó a los usuarios sin saber su gravedad y la urgencia de aplicar la actualización de seguridad.

Según VulnCheck, que ha detectado una explotación activa, el ritmo de aplicación de parches ha sido abismal hasta ahora, y el 99 % de las instancias de ProjectSend siguen ejecutando una versión vulnerable.

Miles de instancias expuestas

ProjectSend es una aplicación web de código abierto para compartir archivos diseñada para facilitar transferencias de archivos privadas y seguras entre un administrador de servidor y los clientes.

Es una aplicación moderadamente popular utilizada por organizaciones que prefieren soluciones alojadas en el propio servidor en lugar de servicios de terceros como Google Drive y Dropbox.

Censys informa que hay aproximadamente 4000 instancias de ProjectSend públicas en línea, la mayoría de las cuales son vulnerables, dice VulnCheck.

En concreto, los investigadores informan de que, según los datos de Shodan, el 55 % de las instancias expuestas ejecutan la versión r1605, publicada en octubre de 2022, el 44 % utiliza una versión sin nombre de abril de 2023 y solo el 1 % utiliza la versión r1750, la versión parcheada.

VulnCheck informa de que ha visto una explotación activa de CVE-2024-11680 que va más allá de las pruebas, incluida la alteración de la configuración del sistema para permitir el registro de usuarios, la obtención de acceso no autorizado y la implementación de webshells para mantener el control sobre los servidores comprometidos.

Esta actividad aumentó desde septiembre de 2024, cuando Metasploit y Nuclei publicaron exploits públicos para CVE-2024-11680.

"VulnCheck notó que los servidores ProjectSend de acceso público habían comenzado a cambiar los títulos de sus páginas de destino por cadenas largas y aleatorias", se lee en el informe.

"Estos nombres largos y aleatorios coinciden con la forma en que tanto Nuclei como Metasploit implementan su lógica de prueba de vulnerabilidades".

"Ambas herramientas de explotación modifican el archivo de configuración de la víctima para alterar el nombre del sitio (y, por lo tanto, el título HTTP) con un valor aleatorio".

GreyNoise enumera 121 IP vinculadas a esta actividad, lo que sugiere intentos generalizados en lugar de una fuente aislada.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

VulnCheck advierte que los webshells se almacenan en el directorio 'upload/files', con nombres generados a partir de una marca de tiempo POSIX, el hash SHA1 del nombre de usuario y el nombre/extensión del archivo original.

El acceso directo a estos archivos a través del servidor web indica una explotación activa.

Los investigadores advierten que es fundamental actualizar a la versión r1750 de ProjectSend lo antes posible, ya que es probable que los ataques ya estén generalizados.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#25
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se ha descubierto el primer bootkit UEFI dirigido específicamente a sistemas Linux, lo que marca un cambio en las amenazas de bootkit sigilosas y difíciles de eliminar que antes se centraban en Windows.

El malware para Linux, denominado "Bootkitty", es una prueba de concepto que funciona solo en algunas versiones y configuraciones de Ubuntu, en lugar de ser una amenaza completa implementada en ataques reales.

Los bootkits son malware diseñados para infectar el proceso de arranque de un equipo, cargándose antes que el sistema operativo y permitiéndole obtener el control de un sistema a un nivel muy bajo.

La ventaja de esta práctica es que los bootkits pueden evadir las herramientas de seguridad que se ejecutan a nivel del sistema operativo y modificar los componentes del sistema o inyectar código malicioso sin correr el riesgo de ser detectados.

Los investigadores de ESET que descubrieron Bootkitty advierten que su existencia es una evolución significativa en el espacio de amenazas de bootkit UEFI a pesar de las implicaciones actuales en el mundo real.

Un bootkit de Linux en desarrollo

ESET descubrió Bootkitty después de examinar un archivo sospechoso (bootkit.efi) cargado en VirusTotal en noviembre de 2024.

Tras el análisis, ESET confirmó que este era el primer caso de un bootkit UEFI de Linux que elude la verificación de la firma del kernel y precarga componentes maliciosos durante el proceso de arranque del sistema.

Bootkitty se basa en un certificado autofirmado, por lo que no se ejecutará en sistemas con Arranque seguro habilitado y solo se dirige a ciertas distribuciones de Ubuntu.

Además, las compensaciones codificadas y la coincidencia simplista de patrones de bytes hacen que solo se pueda usar en versiones específicas de GRUB y kernel, por lo que no es adecuado para una implementación generalizada.

ESET también advierte que el malware contiene muchas funciones no utilizadas y maneja deficientemente la compatibilidad de versiones del kernel, lo que a menudo provoca fallas del sistema.

La naturaleza defectuosa del malware y el hecho de que la telemetría de ESET no muestra señales de Bootkitty en los sistemas en vivo llevaron a los investigadores a concluir que se encuentra en una etapa temprana de desarrollo.

Capacidades de Bootkitty

Durante el arranque, Bootkitty se conecta a los protocolos de autenticación de seguridad UEFI (EFI_SECURITY2_ARCH_PROTOCOL y EFI_SECURITY_ARCH_PROTOCOL) para eludir las comprobaciones de integridad de Secure Boot, lo que garantiza que el bootkit se cargue independientemente de las políticas de seguridad.

A continuación, se conecta a varias funciones de GRUB como 'start_image' y 'grub_verifiers_open' para manipular las comprobaciones de integridad del cargador de arranque para los binarios, incluido el kernel de Linux, desactivando la verificación de firmas.

A continuación, Bootkitty intercepta el proceso de descompresión del kernel de Linux y se conecta a la función 'module_sig_check'. Esto lo obliga a devolver siempre éxito durante las comprobaciones de módulos del kernel, lo que permite que el malware cargue módulos maliciosos.

Además, reemplaza la primera variable de entorno con 'LD_PRELOAD=/opt/injector.so' para que la biblioteca maliciosa se inyecte en los procesos al iniciar el sistema.

Parte del flujo de ejecución de Bootkitty. Fuente: ESET
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Todo este proceso deja atrás varios artefactos, algunos intencionados y otros no, explica ESET, lo que es otro indicio de la falta de refinamiento de Bootkitty.

Los investigadores también observaron que el mismo usuario que subió Bootkitty a VT también subió un módulo de kernel sin firmar llamado 'BCDropper', pero la evidencia disponible vincula débilmente a ambos.

BCDropper suelta un archivo ELF llamado 'BCObserver', un módulo de kernel con funcionalidad de rootkit que oculta archivos, procesos y abre puertos en el sistema infectado.

El descubrimiento de este tipo de malware ilustra cómo los atacantes están desarrollando malware para Linux que antes estaba aislado de Windows a medida que la empresa adopta cada vez más Linux.

Los indicadores de compromiso (IoC) asociados con Bootkitty se han compartido en este repositorio de GitHub:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#26
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Se celebra:

30 de noviembre de 2024

30 de noviembre de 2025

Proclama:

Association for Computing Machinery (ACM)

Desde cuando se celebra
: 1988

El 30 de noviembre se celebra el Día Internacional de la Seguridad de la Información, o del inglés Computer Security Day.
Una celebración que surgió en el año 1988, como consecuencia del primer caso de malware de propagación en red que se registró en el mundo, conocido bajo el nombre de "Gusanos de Morris", el cual afecto al 10% de las maquinas conectadas a Internet en aquel entonces, que era Aparnet.

A raíz de esta situación la Association for Computing Machinery (ACM), decreto que cada 30 de noviembre, se recordaría a todas las personas la obligación y necesidad que tienen de proteger sus datos de cualquier tipo de acción corrupta que puede ocurrir en el plano digital.

Actividades que se realizaron en el Foro:
 
Un profesional del ramo enseñando sobre seguridad informática
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cliente testeando el antivirus
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Descubriendo los secretos del hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Pero ya para el 1 de diciembre:
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
DiaInternacionalde
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#27
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El 30 de octubre, un hacker, Alexander Moucka, fue arrestado y el segundo, Conor Riley Moucka, se encuentra actualmente preso en Turquía. Ambos fueron arrestados por extorsionar a docenas de víctimas, incluidas empresas relacionadas con la empresa de almacenamiento Snowflake.

A pesar de estos exitosos desmantelamientos, un tercer actor sigue suelto. Este hacker prolífico, conocido como Kiberphant0m, bien podría ser un miembro del ejército estadounidense destinado en Corea del Sur.

Lo que resulta intrigante es la complejidad de cómo un bandido así sigue libre y cuál podría ser su motivo. Como escribe el destacado periodista Brian Krebs en su blog, aparentemente Moucka encargó a Kiberphant0m que descargara datos de los clientes de Snowflake que se negaron a pagar el rescate exigido inicialmente.

El tipo de datos disponibles, ya sean personales o corporativos, los hace especialmente atractivos y lucrativos para un ciberterrorista de este tipo. Aunque es complejo, un proceso típico implica la exfiltración de datos seguida de exigencias de rescate o la venta de los datos.

Esto significa que podría filtrarse información comercial confidencial, lo que provocaría una pérdida de ingresos o daños a la reputación. Además, las personas podrían ser víctimas de fraudes de identidad y estafas de phishing.

El hecho de que Kiberphant0m esté suelto puede resultar complicado de investigar para los federales, dada la naturaleza laberíntica de los sistemas militares, mientras que los desafíos jurisdiccionales podrían complicar aún más las cosas.

Para ponerlo en contexto, en enero de 2024, Kiberphant0m supuestamente se unió a BreachForums y publicó más de 4000 mensajes en un esfuerzo por reclutar personas para implementar malware.

Luego, en junio de 2024, usando el alter ego "Buttholio", se volvió activo en los canales de Telegram y Discord, alardeando regularmente de violar los canales de telecomunicaciones. También reveló que era un soldado e hizo referencia al juego de Escape from Tarkov.

Esto, junto con el hecho de que Kiberphant0m extorsionó previamente datos de las empresas de telecomunicaciones Verizon y AT&T, significa que podría no pasar mucho tiempo antes de que lo atrapen, especialmente considerando los arrestos de sus cómplices.

Por otro lado, dado que Kiberphant0m probablemente usó "herramientas de grado militar" en estos ataques, su conocimiento de la arquitectura cibernética gubernamental podría hacerlo más difícil de localizar.

Otro de sus alter egos, Reverseshell, publicó una foto de su uniforme militar en un foro de Telegram llamado Cecilio en noviembre de 2022.

También se hacía llamar Boxfan y publicó un sentimiento anticoreano en Breachforums en enero de 2024 "A nadie le gusta tu mier... kpop, malditos malvados. Quien pueda deshacerse de esta base de datos, felicitaciones. Yo no tengo ganas de hacerlo, así que lo publicaré en el foro".

Finalmente, KrebsonSecurity logró compartir una infografía con todos sus mensajes escandalosos en varios perfiles. Después de ponerse en contacto con él en Telegram, Kiberphant0m afirmó que estaba troleando y usando una personalidad ficticia.

Incluso afirmó: "Literalmente no me pueden atrapar...", citando su residencia fuera de los EE. UU. como la razón. Por ahora, esta actitud arrogante se mantiene, pero aún está por verse cuánto tiempo durará.

Fuente
:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#28
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los influencers de las redes sociales, también conocidos como creadores de contenido digital, necesitan ayuda urgente para verificar sus datos antes de publicar o transmitir a sus seguidores porque podrían estar difundiendo información errónea, advirtió la UNESCO.

Un nuevo informe de la organización educativa, científica y cultural de las Naciones Unidas dice que dos tercios de los creadores de contenido no verifican la exactitud del contenido que publican. Esto, por supuesto, los hace a ellos y a sus seguidores vulnerables a la desinformación.

Los preocupantes hallazgos llegan en un momento crítico en el que los influencers de las redes sociales se han convertido en fuentes primarias de noticias e información cultural para el público mundial, dijo la UNESCO. Casi cuatro de cada diez adultos estadounidenses menores de 30 años se informan a través de influencers de las redes sociales.

La encuesta "Detrás de las pantallas" de la UNESCO encuestó a 500 influencers en 45 países y expuso "lagunas críticas" en las prácticas de verificación de contenido.

Por ejemplo, el 42% de los influencers encuestados utilizan métricas de redes sociales como "me gusta" y "compartir" como marcadores principales de credibilidad, mientras que el 21% comparte contenido basándose únicamente en la "confianza en los amigos" que lo compartieron.

Los medios de comunicación tradicionales, a pesar de su experiencia, ocupan un lugar bajo como recurso, ya que solo el 36,9% de los creadores utilizan el periodismo convencional para la verificación, según el estudio.

Por eso resulta bastante irónico que la mayoría de estos creadores (68,7%) crean que promueven el pensamiento crítico y la alfabetización digital entre sus audiencias, aunque una gran proporción de ellos no realice una verificación exhaustiva de los hechos ni una evaluación de las fuentes.

"Los creadores de contenido digital han adquirido un lugar importante en el ecosistema de la información, involucrando a millones de personas con noticias culturales, sociales o políticas. Pero muchos están luchando contra la desinformación y el discurso de odio en línea y piden más capacitación", dijo la Directora General de la UNESCO, Audrey Azoulay.

Además, casi el 60% de los creadores operan sin comprender los marcos regulatorios básicos y las normas internacionales, lo que los deja vulnerables a los riesgos legales y al acoso en línea.

Si bien un tercio informa haber experimentado discurso de odio, solo el 20,4% sabe cómo informar adecuadamente estos incidentes a las plataformas.

Sin embargo, la cuestión es la siguiente. Algunos influencers pueden ser perfectamente conscientes de que no están contando toda la historia porque no es eso lo que quieren: su objetivo principal es convencer a sus seguidores de que lo que están diciendo es la forma correcta de abordar un tema.

Además, si el 52,6 % de los creadores de contenido encuestados participan activamente en la creación de contenido patrocinado o en la promoción de marcas y productos, ¿por qué no difundirían "hechos patrocinados"?

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#29
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

SL Data Services/Propertyrec, un proveedor de investigación de información que opera al menos 16 sitios web diferentes y ofrece datos de propiedad de bienes raíces e información de búsqueda de antecedentes penales, dejó 713 GB de datos confidenciales accesibles sin contraseña y sin cifrar.

La base de datos expuesta públicamente contenía 644.869 archivos PDF, incluidos registros judiciales, registros de vehículos (matrícula y VIN) e informes de propiedad. Fue descubierta por el investigador de ciberseguridad Jeremiah Fowler, quien informó los hallazgos a Website Planet.

"Alrededor del 95% de la muestra limitada de documentos que vi estaban etiquetados como 'verificaciones de antecedentes'", dijo Fowler.

Los documentos expuestos incluían nombres completos, direcciones de domicilio, números de teléfono, direcciones de correo electrónico, empleo, miembros de la familia, cuentas de redes sociales e historial de antecedentes penales, lo que proporciona un perfil completo de las personas afectadas.

Según el investigador, la base de datos expuesta pertenece a SL Data Services, LLC. Sin embargo, las carpetas dentro estaban nombradas con 16 dominios de sitios web separados, uno de ellos es Propertyrec, que anuncia datos de investigación de propiedades y bienes raíces.

El investigador reveló responsablemente el incidente de seguridad de los datos y se cerró el acceso. Sin embargo, Fowler no recibió una respuesta de la empresa. En una semana desde el descubrimiento inicial hasta que se restringió el acceso público, la base de datos creció de 513.876 a 664.934 registros.

La empresa supuestamente ofrecía verificaciones de antecedentes y otros datos a los clientes por tan solo $1 por búsqueda, pero los usuarios a menudo se inscribían sin saberlo en suscripciones recurrentes en lugar de un pago único.

"Es probable que estas verificaciones de antecedentes se realicen sin el conocimiento o el consentimiento de la persona bajo revisión. En los Estados Unidos, los registros judiciales y la condición de delincuente sexual generalmente se consideran registros públicos", dijo Fowler.

El investigador advierte sobre posibles riesgos de robo de identidad, phishing y suplantación de identidad. Si actores maliciosos accedieran a los datos, podrían reconstruir perfiles completos de personas, sus asociados, empleadores o familiares.

Este descubrimiento marca la segunda gran exposición de datos liderada por un corredor de datos desde agosto de 2024, cuando National Public Data sufrió una violación que comprometió miles de millones de registros y expuso a millones de personas. Después del incidente, la empresa se declaró en quiebra.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#30
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se cree que Mikhail Pavlovich Matveev, conocido por sus alias en línea Wazawaka, Uhodiransomwar, m1x y Boriselcin, fue arrestado en Rusia, lo que podría ser un punto de inflexión potencial en la lucha contra el cibercrimen, ya que el hacker es buscado por el FBI (Oficina Federal de Investigaciones).

Matveev es un personaje importante en el submundo de la dark web. Se lo ha vinculado a algunos de los ataques de ransomware más dañinos de los últimos años que han tenido como objetivo infraestructuras críticas, agencias gubernamentales y empresas de todo el mundo. Su presunta participación con grupos como Hive, LockBit y Babuk lo ha convertido en una poderosa amenaza para la ciberseguridad en todo el mundo.

Los informes sugieren que estuvo involucrado en un ataque de bloqueo al Departamento de Policía Metropolitana de Washington D.C. por parte de Babuk en abril de 2021 y en un ataque de ransomware de Hive, dirigido a una ONG de atención médica en Nueva Jersey en 2022.

Cabe destacar que, a principios de 2023, la banda de ransomware Hive fue desmantelada por el FBI, Europol, agencias alemanas y holandesas, confiscando su sitio web de la dark web, el sitio Hive Leak, impidiendo que la banda atacara y extorsionara a las víctimas.

Además, en 2022, LockBit infectó los sistemas informáticos de 1.400 víctimas, incluido un hotel Holiday Inn en Turquía, probablemente involucrando a Matveev. El Departamento de Justicia (DoJ) sospecha que extrajo al menos 75 millones de dólares en pagos de rescate.

Los investigadores alegan que, en enero el acusado desarrolló un software malicioso especializado para cifrar archivos y datos sin el consentimiento del usuario, con la intención de usarlo para cifrar datos de organizaciones comerciales y recibir rescates por el descifrado.

El gobierno de Estados Unidos ha estado buscando a Matveev y ha ofrecido una recompensa de 10 millones de dólares por información que conduzca a su arresto. El Departamento de Justicia había presentado anteriormente cargos penales contra él, acusándolo de lanzar ataques contra las fuerzas del orden y las organizaciones sanitarias estadounidenses.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


Aunque las autoridades rusas no han confirmado oficialmente el arresto, la agencia de noticias estatal rusa PИA Hoвocти informó de que el Ministerio del Interior de Kaliningrado y los fiscales rusos han enviado un caso contra "un programador acusado de crear un programa malicioso a los tribunales", y una fuente anónima confirmó que Matveev es el programador detenido. Los cargos contra él incluyen la creación de software malicioso diseñado para cifrar archivos y datos, con la intención de extorsionar a las víctimas para que paguen un rescate.

El arresto de Matveev, si se confirma, podría tener implicaciones importantes. Podría interrumpir potencialmente las actividades de varios grupos de ransomware y disuadir futuros ataques. Sin embargo, la cuestión de si Estados Unidos podrá extraditarlo sigue siendo incierta, dadas las complejas tensiones geopolíticas entre los dos países.

Fuente
:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#31
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Check Point Research (CPR) ha publicado su última investigación sobre una novedosa técnica multiplataforma empleada por cibercriminales para explotar el popular motor de juegos de código abierto Godot y entregar una carga útil maliciosa recién descubierta denominada GodLoader después de eludir las medidas de seguridad tradicionales.

El aspecto preocupante es la funcionalidad multiplataforma de GodLoader, lo que lo hace efectivo en macOS, Windows, Linux, iOS y Android. Aunque está diseñado para Windows, se puede utilizar en Linux y macOS con ajustes mínimos. Según se informa, el malware se distribuye a través de Stargazers Ghost Network en GitHub, utilizando más de 200 repositorios y 225 cuentas entre septiembre y octubre de 2024.

"El actor de amenazas detrás de este malware lo ha estado utilizando desde el 29 de junio de 2024, infectando más de 17.000 máquinas", y un ataque puede poner en riesgo a 1,2 millones de usuarios de juegos desarrollados por Godot, señalaron los investigadores en la publicación del blog.

Según la investigación de CPR, los cibercriminales explotan la flexibilidad del lenguaje de programación de Godot, GDScript, e incorporan código malicioso en los recursos del juego, ejecutándolo cuando se inicia el juego. Se trata de un enfoque sigiloso que permite a los atacantes eludir la detección de antivirus y comprometer los sistemas sin hacer sonar las alarmas.

Investigaciones posteriores revelaron que utiliza la detección de máquinas virtuales y sandbox, así como exclusiones de Microsoft Defender, para evitar ser detectado. El malware se alojó en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y se distribuyó en cuatro oleadas de ataques, con cargas útiles iniciales que incluían RedLine Stealer y mineros de criptomonedas XMRig.

Para su información, Godot es una poderosa herramienta para el desarrollo de juegos que permite a los desarrolladores agrupar recursos y scripts del juego en archivos .pck, que contienen los recursos del juego, incluidas imágenes, sonidos y scripts. Al inyectar código GDScript malicioso en estos archivos .pck, los atacantes pueden engañar al motor del juego para que ejecute comandos dañinos.

Tan pronto como el juego carga el archivo .pck infectado, el script oculto entra en acción, descargando e implementando cargas útiles de malware adicionales en el dispositivo de la víctima.

El flujo de ataque (Vía CPR)
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Declaración de Godot Engine

El equipo de desarrollo de Godot Engine, en respuesta, emitió una declaración, explicando que GodLoader no explota una debilidad específica en Godot en sí mismo porque, como cualquier lenguaje de programación (por ejemplo, Python o Ruby), Godot también permite la creación de programas buenos y malos. Aunque el malware explota el lenguaje de scripting de Godot (GDScript) para entregar su carga útil, esto no hace que Godot sea inherentemente inseguro.

El equipo también señaló que no se trata de un exploit de un solo clic porque el malware GodLoader engaña a los usuarios para que descarguen/ejecuten un archivo aparentemente inofensivo (normalmente un archivo .pck disfrazado de un crack de software). Este archivo no funcionaría por sí solo y los atacantes también deben proporcionar el entorno de ejecución de Godot (archivo .exe) por separado para que tenga éxito. Esto significa que los usuarios tienen que realizar varios pasos para instalar el malware, lo que hace que sea menos probable que sea un exploit de un solo clic.

No obstante, el equipo de Godot enfatiza la importancia de adoptar buenos hábitos de seguridad y de descargar archivos de fuentes confiables, como sitios web oficiales, plataformas de distribución establecidas o personas de confianza. Los usuarios de Windows y macOS deben verificar que los archivos ejecutables estén firmados y certificados por una entidad de confianza, y evitar usar software pirateado, ya que es un objetivo común para los actores maliciosos.

Fuente
:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#32
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores de ciberseguridad de ESET han descubierto una campaña maliciosa del grupo RomCom, vinculado a Rusia, que combinaba dos vulnerabilidades (de día cero) previamente desconocidas para comprometer sistemas específicos, incluidos Windows y Firefox.

La cadena de ataques, detectada por primera vez el 8 de octubre, comenzó con una vulnerabilidad en Mozilla Firefox, Thunderbird y Tor Browser ( CVE-2024-9680, puntuación CVSS 9.8 ). Si un usuario con un navegador vulnerable visitaba una página web personalizada, el código malicioso podía ejecutarse dentro del entorno restringido del navegador sin ninguna interacción del usuario. Esta vulnerabilidad, un error de "uso después de liberación" en la función de animación de Firefox, fue rápidamente solucionada por Mozilla dentro de las 24 horas posteriores a la notificación por parte de ESET.

Sin embargo, el ataque no se detuvo allí. RomCom encadenó esta vulnerabilidad del navegador con otra falla de día cero en Windows ( CVE-2024-49039, puntuación CVSS 8.8 ) para eludir el "sandbox" de seguridad del navegador. Esta segunda vulnerabilidad permitió a los atacantes ejecutar código con los privilegios del usuario conectado, tomando el control del sistema. Microsoft publicó una solución para este problema el 12 de noviembre.

La cadena de exploits funcionaba primero redirigiendo a los usuarios a sitios web falsos, que utilizaban dominios diseñados para parecer legítimos e incluían los nombres de otras organizaciones, antes de enviarlos a un servidor que alojaba el código de exploit.

Estos sitios falsos a menudo usaban el prefijo o sufijo "redir" o "red" para dirigirse a un dominio legítimo, y la redirección al final del ataque llevaba a las víctimas al sitio web legítimo, ocultando el ataque. Una vez que el exploit se ejecutaba con éxito, instalaba la puerta trasera personalizada de RomCom, lo que les daba a los atacantes acceso remoto y control sobre la máquina infectada.

Flujo del exploit

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La investigación de ESET muestra que RomCom apuntó a varios sectores, incluidas las entidades gubernamentales en Ucrania, la industria farmacéutica en los EE. UU. y el sector legal en Alemania, tanto con fines de espionaje como de cibercrimen. El grupo, también conocido como Storm-0978, Tropical Scorpius o UNC2596, es conocido tanto por sus ataques oportunistas como por su espionaje selectivo.

Desde el 10 de octubre hasta el 4 de noviembre, los datos de ESET mostraron que los usuarios que visitaron estos sitios web maliciosos se encontraban principalmente en Europa y América del Norte, y que el número de víctimas oscilaba entre una y hasta 250 en algunos países.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#33
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un general retirado de Estados Unidos ha revelado que los espías chinos le habían puesto un dispositivo oculto en una etiqueta con su nombre que le habían dado en una conferencia.

El teniente general Anthony Crutchfield llevaba la identificación sin saber que cada uno de sus movimientos estaba siendo rastreado mientras prestaba servicio en el Indo-Pacífico.

El teniente general Crutchfield se basó en su experiencia para ilustrar cómo "siempre hay alguien que te está espiando", ya sea un supermercado o un estado-nación.

Según se informa, la vigilancia estatal china de objetivos del Reino Unido ha incluido esconder un dispositivo de escucha en una tetera que le dieron a un funcionario que salía de Pekín y colocar un dispositivo de rastreo en un coche del gobierno.

El teniente general Crutchfield reveló otro uso de software espía que fue detectado posteriormente por sus agentes de contrainteligencia.

Dijo: "Hubo una ocasión en la que fui allí [China] y pasé unos días y era un general de tres estrellas".

"Sabían que era un general de tres estrellas y fui a una conferencia y cuando regresé de esa conferencia, mi gente de contrainteligencia me dijo: "Señor, necesitamos ver todo lo que se llevó.

"Queremos ver sus maletas, todo
".

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"Hicieron su evaluación, desmontaron mi placa de identificación, ¿sabes la pequeña placa que tienes que dice mi nombre es lo que sea?

"Cuando la desmontaron, había un chip que conocía todos mis movimientos, sabía cuándo venía, cuándo iba, sabía dónde estaba.

"Así que no puedes ser ingenuo con ese tipo de cosas y nos están sucediendo a nosotros –no quiero sonar paranoico– pero nos están sucediendo
".

El teniente general Crutchfield, que ahora ocupa un alto cargo en Boeing, habría sido un objetivo de vigilancia valioso para los espías chinos.

Sirvió en el ejército de los EE. UU. durante más de 34 años, comandando unidades en prácticamente todos los niveles, y su última asignación antes de jubilarse fue como comandante adjunto del vasto comando del Pacífico de los EE. UU.

El mandato del teniente general Crutchfield incluía dirigir operaciones militares conjuntas en Asia Pacífico, que abarca el 52% de la superficie de la Tierra.

El área es el comando de combate geográfico estadounidense más grande del planeta y se extiende desde Nueva Zelanda hasta el norte de China.

La región incluye a Taiwán, con el que Pekín ha prometido "reunificarse" y al que sigue atacando con una actividad militar agresiva y una retórica belicosa.

El ex piloto de Apache no entró en detalles sobre el incidente de escuchas clandestinas, ya que lo utilizó como ejemplo de cómo el mundo digital permite a las entidades recopilar datos sobre las personas a cada paso.

Dijo: "Entiendan que a lo largo de su vida, ciertamente con las redes sociales y las conexiones que tenemos hoy, alguien, ya sea con fines delictivos o comerciales, siempre está recopilando información sobre ustedes. Si compran en el supermercado en línea, alguien está recopilando información sobre lo que les gusta.

"En el caso del marketing, que puede ser bueno o malo, dependiendo de qué lado esté, están mirando las cosas que a ustedes les gustan para presentárselas en otro momento en el futuro.

"Eso es recopilación de información, es información que se utiliza con fines de marketing
".

La revelación del general, realizada en Spycast, el podcast del Museo Internacional del Espionaje en Washington DC, llega poco después de las advertencias del Reino Unido sobre la magnitud del espionaje y la piratería informática del gobierno chino.

El ministro del gabinete, Pat McFadden, dijo el lunes que el país es una de las mayores amenazas en línea, junto con Rusia, Corea del Norte e Irán.

El FBI ha descrito al gobierno autoritario chino y al Partido Comunista Chino como una "grave amenaza" para la economía y la democracia de Estados Unidos.

La agencia ha descrito la confrontación con la amenaza como su principal prioridad de contrainteligencia.

Informes anteriores de espionaje estatal chino incluyen uno de un dispositivo de escucha escondido en una tetera entregada como regalo a un trabajador de la embajada del Reino Unido que salía de Beijing. El software espía, que no se cree que haya recopilado ninguna información privada, fue encontrado cuando la cerámica se rompió después de que el destinatario se la llevara a casa en Gran Bretaña, según el informe en septiembre de 2023.

Una fuente le dijo al Sun que el dispositivo solo se encontró cuando la "muy hermosa" tetera se rompió mientras alguien lavaba los platos.

En otro caso, se dice que se encontró un dispositivo de seguimiento en un automóvil del gobierno del Reino Unido después de que los funcionarios de inteligencia desmontaran los vehículos en respuesta a las crecientes preocupaciones sobre el software espía.

Fuente
:
Metro
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#34
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores de ciberseguridad de Aqua Nautilus han descubierto una nueva campaña de denegación de servicios distribuidos (DDoS) lanzada por un actor de amenazas conocido como Matrix, que explota herramientas fácilmente disponibles y una experiencia técnica mínima.

Según la investigación de Aqua Nautilus, compartida con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, Matrix, que los investigadores han etiquetado como script kiddies, tiene como objetivo una gran red de dispositivos conectados a Internet, incluidos dispositivos IoT, cámaras, enrutadores, DVR y sistemas empresariales, lo que marca una transformación en el enfoque de los ataques DDoS.

Los atacantes utilizan diferentes técnicas, asignadas al marco MITRE ATT&CK, que se basan principalmente en ataques de fuerza bruta, explotando credenciales predeterminadas débiles y configuraciones erróneas para obtener acceso inicial.

Una vez comprometidos, los dispositivos se incorporan a una red de bots más grande. Los atacantes también utilizan varios scripts y herramientas públicos para escanear sistemas vulnerables, implementar malware y ejecutar ataques.

Según la publicación del blog de Aqua Nautilus, a pesar de los indicios iniciales de afiliación rusa, la falta de objetivos ucranianos sugiere un enfoque principal en el beneficio económico en lugar de objetivos políticos. Matrix ha creado un bot de Telegram, Kraken Autobuy, para vender servicios de ataques DDoS dirigidos a ataques de capa 4 (capa de transporte) y capa 7 (capa de aplicación), enfatizando aún más la comercialización de esta campaña.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La campaña explota una combinación de vulnerabilidades recientes y antiguas, incluidas las siguientes:

CVE-2014-8361
CVE-2017-17215
CVE-2018-10562
CVE-2022-30525
CVE-2024-27348
CVE-2018-10561
CVE-2018-9995
CVE-2018-9995
CVE-2017-18368
CVE-2017-17106


Estas vulnerabilidades, combinadas con el uso generalizado de credenciales débiles, crean una superficie de ataque significativa para los actores maliciosos. La mayor parte de la actividad (alrededor del 95 %) ocurre durante los días de semana, lo que sugiere un enfoque más estructurado.

Matrix utiliza una cuenta de GitHub para almacenar y administrar herramientas y scripts maliciosos, escritos principalmente en Python, Shell y Golang.

"Se ha puesto un enfoque significativo en repositorios como scanner, gggggsgdfhgrehgregswegwe, musersponsukahaxuidfdffdf y DHJIF. Estos repositorios albergan varias herramientas diseñadas para escanear, explotar e implementar malware (principalmente Mirai y otras herramientas relacionadas con DDoS) en dispositivos y servidores de IoT", señalaron los investigadores.

Por otro lado, Virus Total identificó varias herramientas que se utilizan para lanzar ataques DDoS, entre ellas DDoS Agent, SSH Scan Hacktool, PyBot, PYnet, DiscordGo Botnet, HTTP/HTTPS Flood Attack y Homo Network. Estas herramientas permiten controlar dispositivos comprometidos, lanzar ataques DDoS a gran escala contra objetivos seleccionados y utilizar Discord para la comunicación y el control remoto.

El impacto potencial de esta campaña es significativo, ya que millones de dispositivos conectados a Internet son potencialmente vulnerables a la explotación. "Casi 35 millones de dispositivos son vulnerables. Si el 1% se ve comprometido, la botnet podría alcanzar los 350.000 dispositivos; con el 5%, podría crecer hasta los 1,7 millones, rivalizando con los principales ataques del pasado", señalaron los investigadores.

El principal impacto es la denegación de servicio a los servidores, lo que interrumpe las operaciones comerciales y en línea. Los servidores comprometidos pueden provocar la desactivación del proveedor de servicios, lo que afecta a las empresas que dependen de ellos. Se observó una operación limitada de minería de criptomonedas dirigida a ZEPHYR, que generó una ganancia financiera mínima.

Para mantenerse a salvo, las organizaciones deben priorizar prácticas de seguridad sólidas como la aplicación regular de parches, políticas de contraseñas sólidas, segmentación de la red, sistemas de detección de intrusiones, firewalls de aplicaciones web y auditorías de seguridad periódicas para reducir su exposición a ataques DDoS y otras amenazas cibernéticas.


Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#35
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Según se informa, una filtración de datos que afectó a BMW en Chile dio como resultado que se filtrara información confidencial en línea.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se dice que los datos expuestos incluyen registros de clientes y detalles operativos, lo que podría comprometer la privacidad del usuario y la seguridad corporativa. Estos incidentes ponen de relieve los crecientes desafíos de ciberseguridad que enfrentan las empresas automotrices, ya que manejan grandes cantidades de información confidencial.

La filtración plantea serias preocupaciones sobre las medidas de protección de datos en la región y el posible uso indebido de la información filtrada para fraude o robo de identidad. Las organizaciones del sector automotriz deben priorizar protocolos de ciberseguridad sólidos para protegerse contra tales vulnerabilidades y mantener la confianza de los clientes.

Fuente:
DailyDarkWeb
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#36
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


Los algoritmos de aprendizaje profundo (sistemas que ahora son sinónimo de inteligencia artificial) se están convirtiendo, de hecho, cada vez más en oficiales capaces de tomar decisiones estratégicas, elegir qué objetivos atacar (y cuántos) e incluso identificar los puntos débiles del ejército enemigo. En resumen, la inteligencia artificial está escalando en las jerarquías militares.

El ejemplo más conocido es el denominado Proyecto Lavender, empleado por las Fuerzas de Defensa de Israel (IDF) para identificar y atacar el mayor número posible de objetivos durante el conflicto de Gaza. Un sistema que la revista israelí +972 (que reveló su existencia el pasado mes de abril) calificó de "una fábrica de asesinatos en masa".

Lavender no es un arma. Se trata más bien de un software de gestión basado en inteligencia artificial, que analiza la enorme cantidad de datos que le proporciona el ejército: los nombres y características de cada persona que vive en Gaza (obtenidos a través de la vigilancia masiva llevada a cabo sobre la población), imágenes recibidas desde drones, mensajes interceptados, análisis de redes sociales, y mucho más. Cruzando toda esta información, Lavender evalúa si un individuo forma parte o no de Hamás o de otros grupos armados palestinos, determina dónde y cuándo hay más probabilidades de alcanzarlo y transmite toda esta información al ejército, que en la mayoría de los casos ordena un ataque aéreo para matar al objetivo.

Según el ex jefe de las FDI Aviv Kochavi, este sistema es capaz de detectar hasta 100 objetivos al día: "Para dar una perspectiva", explicó Kochavi a The Guardian, "en el pasado solíamos obtener 50 objetivos al año. Dado el número de objetivos obtenidos, no es de extrañar que (como señala una publicación nada propalestina como Foreign Policy, "la mayoría de estos ataques se hayan dirigido hasta ahora contra los rangos inferiores de Hamás, considerados objetivos legítimos como combatientes, pero de escasa importancia estratégica".

Como escribe Alice Civitella en la página web de la Sociedad Italiana de Derecho Internacional, "Lavender analiza la información recogida previamente por un sistema de vigilancia masiva sobre ciudadanos palestinos, y luego les asigna una puntuación del 1 al 100 según la probabilidad de que sean militantes de Hamás o de la Yihad Islámica".

Confiar de este modo en un sistema informático plantea varios aspectos problemáticos, en primer lugar, continúa explicando Civitella, debido a la vaguedad de los datos proporcionados al sistema durante la fase de entrenamiento, Lavender cometió varios errores en la identificación de personas, confundiendo a policías y trabajadores de la defensa civil con militantes de Hamás o indicando objetivos erróneos debido a una homonimia banal.

Errores, por lo demás, imputables solo en parte al sistema: al informar sobre los objetivos que deben ser alcanzados, Lavender indica cuál es el umbral de precisión de su predicción. A continuación, corresponde al ejército israelí decidir qué tasa de error está dispuesto a aceptar: cuanto más alta sea, mayor será el riesgo de alcanzar a inocentes.

Según Foreign Policy, el porcentaje de error tolerado por el ejército se ha fijado en el 10%. Los objetivos que superan este porcentaje son revisados rápidamente por un equipo de analistas humanos. El enorme número de objetivos identificados, el hecho de que en la mayoría de los casos se les alcance cuando están en sus casas y que a menudo se utilicen ataques aéreos para llevar a cabo las matanzas tiene una consecuencia obvia y trágica: el enorme número de víctimas civiles.

Según fuentes oídas por +972, el ejército israelí considera aceptable matar hasta 15 civiles por cada combatiente de Hamás de los rangos inferiores. Esta cifra llega hasta 100 en el caso de comandantes u otros miembros destacados de la milicia palestina.

Dado que los objetivos seleccionados por Lavender son (presuntos) combatientes, esta modalidad parecería respetar el derecho internacional y en particular, explica Foreign Policy, la "doctrina del doble efecto", que "permite daños colaterales previsibles pero no intencionados, siempre que la consecución del objetivo no dependa de que se produzcan estos daños colaterales, como es el caso de un ataque aéreo contra un objetivo legítimo que se produciría de todos modos, en presencia o ausencia de civiles".

En resumen, el ejército israelí seguiría en sus acciones la denominada "lógica operativa de los asesinatos selectivos", a pesar de que (debido al enorme número de objetivos señalados por el sistema Lavender) sus acciones se asemejan a menudo a bombardeos en alfombra, prohibidos por el derecho internacional.

Dilemas éticos y jurídicos

Por un lado, por tanto, el uso de estos sistemas corre el riesgo de provocar el llamado "sesgo de automatización": la tendencia de los seres humanos a aceptar las indicaciones de la máquina (considerada un sistema objetivo, ya que actúa sobre una base estadística) incluso en circunstancias en las que, de otro modo, habrían actuado de forma diferente (por ejemplo, ignorando el riesgo de un intercambio de personas). Por otro lado, el uso de programas informáticos como Lavender elimina al menos parte de la responsabilidad de los agentes que se basan en ellos.

Según leemos en la página web de la red italiana de Desarme por la Paz (que forma parte de la campaña internacional Stop Killer Robots, que promueve la prohibición de las armas autónomas), el uso de estos sistemas suscita "serias preocupaciones por el creciente uso de la inteligencia artificial en los conflictos, los sesgos inherentes a las formas de automatización, la deshumanización digital y la pérdida de control humano en el uso de la fuerza".

También son preocupantes, explica el sitio, "los informes sobre la aprobación general por parte de los oficiales de la adopción de las listas de asesinatos de Lavender, sin ninguna obligación de investigar a fondo por qué la máquina tomó esas decisiones o de examinar los datos de inteligencia brutos en los que se basaban".

Aún más preocupante es el hecho de que el ejército israelí no es el único que utiliza este tipo de software, que (por el contrario) se está extendiendo rápidamente. Aparte del conocido caso de China, que utiliza desde hace tiempo sistemas de inteligencia artificial en la provincia de Xinjiang para identificar y encontrar a miembros de la minoría uigur sospechosos de actividades subversivas, otras herramientas de inteligencia artificial del tipo DSS (Decision Support System, que apoyan así el proceso de toma de decisiones del operador humano) se utilizan también en los teatros de guerra de Occidente.

La empresa líder en nuestra parte del mundo es Palantir, la compañía estadounidense de análisis de datos fundada por Peter Thiel que está desempeñando un papel importante en el conflicto entre Rusia y Ucrania. Según leemos en Time, la plataforma desarrollada por Palantir y empleada por las fuerzas ucranianas "es capaz de integrar datos de múltiples y diversas fuentes (satélites, drones e inteligencia) y luego cruzarlos para proporcionar a los militares información relevante. [...] El algoritmo de Palantir puede, por ejemplo, ser extraordinariamente hábil para identificar un centro de mando enemigo".

Palantir no revela oficialmente cómo se utiliza su software en el campo de batalla, pero se cree que el ejército ucraniano emplea los sistemas de inteligencia artificial, por ejemplo, para identificar vulnerabilidades a lo largo de las líneas del frente ruso o para maximizar los daños. En declaraciones a Time, un comandante ucraniano dio un ejemplo de cómo el ejército utiliza los sistemas desarrollados por Palantir: "Cuando lanzamos numerosos ataques a lo largo de toda la línea del frente, Rusia se ve obligada a sacar a la luz fuerzas de reserva, que podemos vigilar en tiempo real utilizando imágenes de satélite y de drones, así como algoritmos de reconocimiento de imágenes, para golpearlas con una rapidez y precisión sin precedentes".

Otro sistema, denominado Kropyva, permite al ejército ruso introducir las coordenadas del objetivo en una tablet, tras lo cual el software calcula automáticamente la distancia y la dirección en la que dirigir el fuego. Al mismo tiempo, la plataforma de Palantir sugiere al operador humano qué armas debe utilizar para completar la tarea y, por último, evalúa los daños causados, cuyos resultados analiza el algoritmo para mejorar aún más su eficacia. Desde que el algoritmo identifica los objetivos hasta que los alcanza, transcurren como máximo dos o tres minutos, mientras que antes, explica Time de nuevo, se tardaba hasta seis horas.

Independientemente de que sean utilizados por las fuerzas aliadas o enemigas, por quienes se defienden de una invasión o por quienes la perpetran, el hecho de que este software de ayuda a la toma de decisiones permita alcanzar una enorme cantidad de objetivos en muy poco tiempo solo significa una cosa: más combates, más bombardeos y, por tanto, más muertes, entre soldados y civiles.

Si antes se pensaba que incluso conduciría a la paz universal, ahora sabemos que (entre armas autónomas y sistemas de apoyo a la toma de decisiones) la inteligencia artificial está, si cabe, haciendo la guerra aún más letal.

Fuente:
Wired
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#37
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Según se informa, una filtración de datos que involucra a Emserpa, una empresa de servicios públicos de Colombia, ha filtrado información confidencial en línea.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se cree que los datos expuestos incluyen detalles personales de clientes, así como registros operativos, lo que genera importantes preocupaciones sobre la seguridad de la infraestructura de servicios públicos. Estas filtraciones podrían dar lugar a robo de identidad, fraude y posibles interrupciones en la prestación de servicios.

Las autoridades aún no han publicado una declaración oficial que detalle el alcance de la filtración o las medidas que se están tomando para mitigar su impacto. Este incidente subraya la necesidad urgente de contar con protocolos de ciberseguridad sólidos para proteger los sistemas de servicios públicos y salvaguardar los datos confidenciales de los usuarios.

Fuente
:
DailyDarkWeb
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#38
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Meta Platforms, Microsoft y el Departamento de Justicia de Estados Unidos (DoJ) han anunciado acciones independientes para abordar el cibercrimen e interrumpir los servicios que permiten estafas, fraudes y ataques de phishing.

Con ese fin, la Unidad de Delitos Digitales (DCU) de Microsoft dijo que confiscó 240 sitios web fraudulentos asociados con un facilitador de delitos cibernéticos con sede en Egipto llamado Abanoub Nady (también conocido como MRxC0DER y mrxc0derii), que anunciaba la venta de un kit de phishing llamado ONNX. Se dice que la operación criminal de Nady se remonta a 2017.

"Numerosos cibercriminales y actores de amenazas en línea compraron estos kits y los usaron en campañas de phishing generalizadas para eludir las medidas de seguridad adicionales y entrar en las cuentas de los clientes de Microsoft", dijo Steven Masada de la DCU de Microsoft.

"Si bien todos los sectores están en riesgo, la industria de servicios financieros ha sido un objetivo importante debido a los datos y transacciones confidenciales que maneja. En estos casos, un phishing exitoso puede tener consecuencias devastadoras en el mundo real para las víctimas".

ONNX, que se ofrece bajo el modelo de phishing como servicio (PhaaS) por entre 150 dólares al mes y 550 dólares durante seis meses, fue documentado a principios de junio por EclecticIQ, que detalla la capacidad del kit de phishing para ofrecer códigos QR incrustados en archivos PDF que, en última instancia, dirigen a las víctimas a páginas de inicio de sesión falsas de Microsoft 365.

Vale la pena señalar que la identidad de Nady fue expuesta por DarkAtlas casi al mismo tiempo, lo que los llevó a cesar abruptamente sus actividades. Microsoft ha estado rastreando al propietario y operador de ONNX bajo el apodo de Storm-0867.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Posteriormente, también fue objeto de una alerta de la Autoridad Reguladora de la Industria Financiera de EE. UU. (FINRA), que advirtió que las instituciones financieras estaban siendo atacadas por el kit ONNX, afirmando que puede eludir la autenticación de dos factores (2FA) interceptando solicitudes de 2FA.

Según Microsoft, la plataforma PhaaS también tenía otros nombres como Caffeine y FUHRER, lo que permitía a los clientes realizar campañas de phishing a gran escala. Los kits, promocionados, vendidos y configurados casi exclusivamente a través de Telegram, contenían plantillas de phishing y la infraestructura técnica asociada.

El gigante tecnológico dijo que obtuvo una orden judicial civil en el Distrito Este de Virginia para neutralizar la infraestructura técnica maliciosa, cortando efectivamente el acceso de los actores de amenazas y evitando que estos dominios se utilicen para ataques de phishing en el futuro.

El codemandante de Microsoft en su lucha legal es LF (Linux Foundation) Projects, LLC, que es el propietario de la marca registrada ONNX, abreviatura de Open Neural Network Exchange, un entorno de ejecución de código abierto para representar modelos de aprendizaje automático.

El desarrollo se produce cuando el Departamento de Justicia publicitó el cierre de PopeyeTools, un mercado que incursionó en la venta de tarjetas de crédito robadas y otras herramientas para llevar a cabo fraudes financieros. Al mismo tiempo, se han revelado cargos contra tres de sus administradores de Pakistán y Afganistán: Abdul Ghaffar, de 25 años; Abdul Sami, de 35; y Javed Mirza, de 37.

Los tres individuos han sido acusados de conspiración para cometer fraude de dispositivos de acceso, tráfico de dispositivos de acceso y solicitud de otra persona con el fin de proporcionar dispositivos de acceso. Si son condenados, se enfrentan a una pena máxima de 10 años de prisión por cada uno de los tres delitos relacionados con dispositivos de acceso.

El mercado (www.PopeyeTools.com, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta), según el Departamento de Justicia, funcionó como un centro en línea para la venta de datos financieros confidenciales y otras herramientas ilícitas desde 2016, atrayendo a miles de usuarios de todo el mundo, incluidos aquellos asociados con la actividad de ransomware.

Se estima que PopeyeTools vendió los dispositivos de acceso y la información de identificación personal (PII) de al menos 227.000 personas y generó al menos $1,7 millones en ingresos. Su lema era "Creemos en la calidad, no en la cantidad".

Algunos de los servicios publicitados incluían datos de tarjetas de pago no autorizados para realizar transacciones fraudulentas, información de cuentas bancarias robadas, listas de correo no deseado, plantillas de estafa, guías educativas y tutoriales.

"Para atraer a miembros al mercado, PopeyeTools supuestamente prometió reembolsar o reemplazar las tarjetas de crédito compradas que ya no eran válidas en el momento de la venta", dijo el Departamento de Justicia. "Además, en diferentes momentos, PopeyeTools proporcionó a los clientes acceso a servicios que podían usarse para verificar la validez de los números de cuenta bancaria, tarjeta de crédito o tarjeta de débito ofrecidos a través del sitio web".

El departamento dijo además que obtuvo autorización judicial para incautar aproximadamente 283.000 dólares en criptomonedas de una cuenta de criptomonedas administrada por Sami.

En coincidencia con las incautaciones de ONNX y PopeyeTools, Meta anunció que había cerrado más de dos millones de cuentas asociadas a centros de estafa en Camboya, Myanmar, Laos, Emiratos Árabes Unidos y Filipinas que se utilizaban para llevar a cabo esquemas de "matanza de cerdos".

Las operaciones fraudulentas, que tienen lugar en complejos de estafas en el sudeste asiático, están dirigidas por sindicatos del crimen organizado y, a menudo, implican el establecimiento de relaciones personales y románticas de confianza en línea con posibles objetivos de todo el mundo mediante plataformas de redes sociales y aplicaciones de citas, manipulándolos para que depositen sus fondos duramente ganados en inversiones falsas.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"Estos centros de estafas criminales atraen a solicitantes de empleo, a menudo desprevenidos, con anuncios de empleo demasiado buenos para ser ciertos en bolsas de trabajo locales, foros y plataformas de contratación para luego obligarlos a trabajar como estafadores en línea, a menudo bajo la amenaza de abuso físico", dijo Meta.

En mayo, la empresa se asoció con Coinbase, Ripple y Match Group, propietario de Tinder y Hinge, para formar una coalición llamada Tech Against Scams, cuyo objetivo es idear formas de contrarrestar la amenaza transnacional y otras formas de fraude en línea. Google, por su parte, se ha asociado con la Global Anti-Scam Alliance (GASA) y la DNS Research Federation (DNS RF) con objetivos similares en mente.

Fuente:
The Hacker News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#39
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se ha observado que el actor de amenazas persistentes avanzadas (APT) aliado de China, conocido como Gelsemium, utiliza una nueva puerta trasera de Linux denominada WolfsBane como parte de ciberataques que probablemente tengan como objetivo el este y el sudeste de Asia.

Así lo indican los hallazgos de la empresa de ciberseguridad ESET basados en múltiples muestras de Linux cargadas en la plataforma VirusTotal desde Taiwán, Filipinas y Singapur en marzo de 2023.

Se ha evaluado que WolfsBane es una versión para Linux de la puerta trasera Gelsevirine de dicho actor de amenazas; un malware para Windows que se utilizó en 2014. La empresa también descubrió otro implante no documentado anteriormente llamado FireWood que está conectado a un conjunto de herramientas de malware diferente conocido como Project Wood.

FireWood se ha atribuido a Gelsemium con poca confianza, dada la posibilidad de que pueda ser compartido por varios equipos de piratas informáticos vinculados a China.

"El objetivo de las puertas traseras y las herramientas descubiertas es el espionaje cibernético dirigido a datos confidenciales como información del sistema, credenciales de usuario y archivos y directorios específicos", dijo el investigador de ESET Viktor Šperka en un informe compartido con The Hacker News.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"Estas herramientas están diseñadas para mantener un acceso persistente y ejecutar comandos de forma sigilosa, lo que permite una recopilación prolongada de información mientras se evade la detección".

No se conoce la vía de acceso inicial exacta utilizada por los actores de la amenaza, aunque se sospecha que los actores de la amenaza explotaron una vulnerabilidad de aplicación web desconocida para instalar web shells para un acceso remoto persistente, utilizándola para entregar la puerta trasera WolfsBane por medio de un dropper.

Además de utilizar el rootkit de código abierto modificado BEURK para ocultar sus actividades en el host Linux, es capaz de ejecutar comandos recibidos de un servidor controlado por el atacante. De manera similar, FireWood emplea un módulo rootkit de controlador de kernel llamado usbdev.ko para ocultar procesos y ejecutar varios comandos emitidos por el servidor.

El uso de WolfsBane y FireWood es el primer uso documentado de malware para Linux por parte de Gelsemium, lo que indica una expansión del enfoque de ataque.

"La tendencia de que el malware se desplace hacia los sistemas Linux parece estar en aumento en el ecosistema APT", afirmó Šperka. "Desde nuestra perspectiva, este desarrollo se puede atribuir a varios avances en la seguridad del correo electrónico y de los puntos finales".

"La adopción cada vez mayor de soluciones EDR, junto con la estrategia predeterminada de Microsoft de deshabilitar las macros VBA, están generando un escenario en el que los adversarios se ven obligados a buscar otras posibles vías de ataque".

Fuente:
The Hacker News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#40
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las buenas tiendas de aplicaciones se basan en el descubrimiento, ¿no? Se supone que deben exponerte a lanzamientos nuevos e interesantes, tanto para intentar conectarte con aplicaciones que se alineen con tus preferencias existentes como para presentarte otras nuevas que quizás no hayas considerado antes. Pero esto también tiene su lado negativo, y a veces una tienda de aplicaciones querrá ocultarte intencionalmente una aplicación, tal vez una que no sea compatible con ninguno de tus dispositivos, por ejemplo. Hoy estamos investigando una nueva opción curiosa que se está desarrollando para la forma en que Google Play Store filtra las aplicaciones.

El verano pasado, Play Store les dio a los usuarios algunas herramientas nuevas y excelentes para controlar el tipo de aplicaciones que el servicio destaca para ellos, con el debut de los filtros de intereses. Pero al echar un vistazo al código de la nueva versión 43.7.19-31 de la aplicación, logramos descubrir que se está trabajando en una opción de filtro independiente que parece estar basada en el comportamiento de la aplicación. Cuando la activamos, debajo de los controles para administrar los filtros de intereses en la configuración de Play Store, obtenemos un nuevo interruptor que nos permite "filtrar aplicaciones que se vinculan a aplicaciones externas".

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

¿A qué se dirige exactamente? Bueno, esa es una muy buena pregunta. El enlace "Más información" de Google aún no se ha conectado a una nueva página de soporte, por lo que no tenemos ninguna información oficial sobre por qué está haciendo lo que va a hacer.

¿Podría tratarse de Android App Links, que permite a los desarrolladores crear enlaces que apunten a contenido dentro de otras aplicaciones? ¿Qué tal algún tipo de reacción a los temores de que Play Store se vea obligada a ofrecer tiendas de aplicaciones alternativas? Probablemente no sea, ya que cualquier tribunal vería a través de este filtro un intento de eludir la orden.

Parece que podría estar relacionado con la seguridad (no quieres que una aplicación te redirija a otra aplicación de una manera de la que no eres consciente), pero si ese es realmente el caso, ¿por qué Google no refinaría sus reglas sobre el comportamiento aceptable de las aplicaciones? Si realmente existe un problema de seguridad, podría ser un poco irresponsable abordarlo solo de una manera que parece opcional como esta. ¿Y qué se entiende por "externo" aquí? ¿Podría ser esta una herramienta para equipos de desarrollo que esté conectada con el soporte de Play Store para compartir aplicaciones internas?

En definitiva, no estamos muy seguros de qué pensar sobre esta opción de filtro en desarrollo en este momento, y es posible que tengamos que esperar a verla en acción antes de tener una mejor idea de a qué se dirige y por qué.

Fuente
:
AndroidAuthority
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta