El fabricante líder de cajeros automáticos de Bitcoin, General Bytes, reveló que los piratas informáticos robaron criptomonedas de la compañía y sus clientes utilizando una vulnerabilidad de día cero en su plataforma de gestión BATM.

General Bytes fabrica cajeros automáticos de Bitcoin que permiten a las personas comprar o vender más de 40 criptomonedas. Los clientes pueden implementar sus cajeros automáticos utilizando servidores de administración independientes o el servicio en la nube General Bytes.

Durante el fin de semana, la compañía reveló que los piratas informáticos explotaron una vulnerabilidad de día cero rastreada como BATM-4780 para cargar de forma remota una aplicación Java a través de la interfaz de servicio maestro de ATM y ejecutarla con privilegios de usuario 'batm'.

"El atacante escaneó el espacio de direcciones IP de alojamiento en la nube de Digital Ocean e identificó servicios CAS en ejecución en los puertos 7741, incluido el servicio General Bytes Cloud y otros operadores de cajeros automáticos de GB que ejecutan sus servidores en Digital Ocean (nuestro proveedor de alojamiento en la nube recomendado)", explicó General Bytes en una divulgación de incidentes de seguridad.

La compañía recurrió a Twitter para instar a los clientes a "tomar medidas inmediatas" e instalar las últimas actualizaciones para proteger sus servidores y fondos de los atacantes.


Después de cargar la aplicación Java, los actores de amenazas pudieron realizar las siguientes acciones en dispositivos comprometidos:

• Posibilidad de acceder a la base de datos.
• Capacidad para leer y descifrar claves API utilizadas para acceder a fondos en billeteras calientes e intercambios.
• Envía fondos desde billeteras calientes.
• Descargue los nombres de usuario, sus hashes de contraseña y desactive 2FA.
• Capacidad para acceder a los registros de eventos del terminal y escanear cualquier instancia en la que los clientes escanearon claves privadas en el cajero automático. Las versiones anteriores del software ATM registraban esta información.

General Bytes advirtió que sus clientes y su propio servicio en la nube fueron violados durante los ataques.

"El servicio GENERAL BYTES Cloud fue violado, así como los servidores independientes de otros operadores", destaca el comunicado.

Aunque la compañía reveló cuánto dinero robó el atacante, proporcionaron una lista de direcciones de criptomonedas utilizadas por el pirata informático durante el ataque.

Estas direcciones muestran que el hacker comenzó a robar criptomonedas de los servidores de cajeros automáticos de Bitcoin el 17 de marzo, y la dirección de Bitcoin del atacante recibió 56.28570959 BTC, por un valor aproximado de $ 1,589,000, y 21.79436191 Ethereum, por un valor aproximado de $ 39,000.

Si bien la billetera Bitcoin todavía contiene la criptomoneda robada, los actores de amenazas parecen haber utilizado Uniswap para convertir el Ethereum robado en USDT.

Actualizar servidores ahora

Se insta a los administradores de CAS (Crypto Application Server) a examinar sus archivos de registro "maestros.log" y "admin.log" para detectar cualquier brecha de tiempo sospechosa causada por el atacante que elimina las entradas de registro para ocultar sus acciones en el dispositivo.

El informe del general Byte también advirtió que las aplicaciones JAVA maliciosas cargadas aparecerían en la carpeta "/batm/app/admin/standalone/deployments/" como archivos .war y .war.deployed con nombres aleatorios, como se muestra a continuación.

La compañía señala que los nombres de los archivos son probablemente diferentes por víctima.


Aquellos sin signos de una violación aún deben considerar todas sus contraseñas CAS y claves API comprometidas e invalidarlas inmediatamente y generar otras nuevas. Todas las contraseñas de usuario también deben restablecerse.

Las instrucciones detalladas paso a paso para todos los operadores de servidores sobre la protección de sus puntos finales se incluyen en la declaración de la compañía.

Cerrar el servicio en la nube

General Bytes dice que están cerrando su servicio en la nube, afirmando que le resulta "teóricamente (y prácticamente) imposible" protegerlo de los malos actores cuando debe proporcionar acceso simultáneamente a múltiples operadores.

La compañía proporcionará soporte con la migración de datos a aquellos que deseen instalar su propio CAS independiente, que ahora debe colocarse detrás de un firewall y VPN.

General Byte también ha publicado una corrección de seguridad CAS que corrige la vulnerabilidad explotada, proporcionada en dos parches, 20221118.48 y 20230120.44.

También destaca que el sistema violado se sometió a múltiples auditorías de seguridad desde 2021, pero ninguna identificó la vulnerabilidad explotada.

Además, los investigadores del intercambio de criptomonedas Kraken encontraron múltiples vulnerabilidades en los cajeros automáticos de General Bytes en 2021, que la compañía solucionó rápidamente.

Sin embargo, incluso con estas auditorías de seguridad, en agosto de 2022, General Bytes tuvo un incidente de seguridad donde los piratas informáticos explotaron una vulnerabilidad de día cero en sus servidores de cajeros automáticos para robar criptomonedas de sus clientes.

La compañía dice que planea realizar numerosas auditorías de seguridad de sus productos por parte de múltiples compañías en un corto período de tiempo para descubrir y corregir otras fallas potenciales antes de que los malos actores las encuentren.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ferrari ha revelado una violación de datos luego de una demanda de rescate recibida después de que los atacantes obtuvieron acceso a algunos de los sistemas de TI de la compañía.

"Lamentamos informarle de un incidente cibernético en Ferrari, donde un actor de amenazas pudo acceder a un número limitado de sistemas en nuestro entorno de TI", dice Ferrari en las cartas de notificación de incumplimiento enviadas a los clientes.

El fabricante italiano de autos deportivos de lujo dice que la información del cliente expuesta en el incidente incluye nombres, direcciones, direcciones de correo electrónico y números de teléfono.

Hasta ahora, Ferrari aún no ha encontrado evidencia de que se haya accedido o robado detalles de pago, números de cuentas bancarias u otra información de pago confidencial.

"Ferrari N.V. anuncia que Ferrari S.p.A., su filial italiana de propiedad absoluta, fue contactada recientemente por un actor de amenazas con una demanda de rescate relacionada con ciertos datos de contacto del cliente", dijo la compañía en un comunicado.

"Al recibir la demanda de rescate, inmediatamente comenzamos una investigación en colaboración con una empresa líder mundial de ciberseguridad de terceros".


Sin impacto en las operaciones de Ferrari

Ferrari ha tomado medidas para asegurar los sistemas comprometidos y dice que el ataque no ha tenido ningún impacto en las operaciones de la compañía.

Después de descubrir la violación, Ferrari también informó del ataque a las autoridades pertinentes y está trabajando con una empresa de ciberseguridad para investigar el alcance del impacto.

"Como política, Ferrari no será secuestrado, ya que pagar tales demandas financia la actividad criminal y permite a los actores de amenazas perpetuar sus ataques", agregó la compañía.

"En cambio, creímos que el mejor curso de acción era informar a nuestros clientes y, por lo tanto, hemos notificado a nuestros clientes sobre la posible exposición de datos y la naturaleza del incidente".

Un portavoz de Ferrari no estuvo disponible de inmediato para hacer comentarios cuando fue contactado por BleepingComputer el día de hoy.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Amazon Linux 2023 es la nueva versión de la distribución desarrollada por el gigante detrás del conocido bazar y de Amazon Web Services (AWS), que en esta ocasión llega con algunas novedades importantes que profundizan en la adopción de Fedora como base en lugar de Red Hat Enteprise Linux (RHEL).

Amazon Linux, como es de esperar para quienes conozcan las diversas facetas que abarca el gigante fundado por Jeff Bezos, es una distribución desarrollada por y para AWS. La propia compañía dice que es la preferida por sus clientes debido a la ausencia de costes de licencia y sobre todo por "la estrecha integración con herramientas y capacidades específicas de AWS", así como por facilitar un "acceso inmediato a nuevas innovaciones de AWS y una experiencia de soporte de un solo proveedor".

La corporación explica que Amazon Linux 2023 (AL2023) "está diseñado para proporcionar un entorno seguro, estable y de alto rendimiento para desarrollar y ejecutar sus aplicaciones en la nube". Entre las novedades que ofrece en comparación con Amazon Linux 2, nos encontramos con que SELinux se encuentra activado en modo permisivo y con IMDSv2 habilitado por defecto junto a la capacidad de parchear el kernel en caliente. Otras características mencionadas son "una integración perfecta con varios servicios y herramientas de desarrollo de AWS" y "un rendimiento optimizado para las instancias basadas en Graviton de Amazon Elastic Compute Cloud (EC2) y AWS Support sin costo de licencia adicional".

Profundizando un poco en otra de las características, Amazon explica que, con las "actualizaciones deterministas a través de repositorios versionados, puede bloquear una versión específica del repositorio de paquetes de Amazon Linux, lo que le brinda control sobre cómo y cuándo absorbe las actualizaciones. Con esta capacidad, puede cumplir con las mejores prácticas operativas de manera más eficiente al garantizar la coherencia entre las versiones de los paquetes y las actualizaciones en todo su entorno".

El gigante responsable del conocido bazar ha explicado que a partir de AL2023 habrá una nueva versión mayor de Amazon Linux que será publicada cada dos años y que cada lanzamiento contará con hasta cinco años de soporte. Con una cadencia clara y fija, se brinda un ciclo de lanzamiento predecible que debería facilitar la planificación por parte de los usuarios y los administradores de sistema.

La cadencia de lanzamientos y el tiempo máximo de soporte anunciados ponen en evidencia que Amazon Linux 2023 no se ajusta ni va en sincronía con ninguna versión de Fedora en particular. "Amazon Linux 2023 mantiene sus propios ciclos de vida y soporte independientes de Fedora. AL2023 proporciona versiones actualizadas de software de código abierto, una mayor variedad de paquetes y lanzamientos frecuentes."

"AL2023 GA incluye componentes de Fedora 34, 35 y 36. Algunos de los componentes son los mismos que los componentes de Fedora y algunos están modificados. Otros componentes se parecen más a los de CentOS 9 Stream o se desarrollaron de forma independiente".

En Phoronix han comparado Amazon Linux 2023 y Amazon Linux 2 para descubrir que el primero, según sus pruebas, rinde aproximadamente un 14% más que el segundo, lo que muestra que al menos en este sentido el cambio de base a Fedora ha sido un éxito. Todos los detalles sobre el lanzamiento que protagoniza esta entada pueden ser consultados a través del anuncio oficial y la documentación.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La situación de Docker no es idílica desde hace tiempo. La empresa detrás del conocido motor de contenedores ha tomado en los últimos tiempos decisiones que han sembrado cierta desconfianza, pero la última puede que sea la que colme el vaso, ya que al parecer las cuentas que operan organizaciones de forma gratuita podrían desaparecer de Docker Hub, lo que puede terminar impactando negativamente en proyectos de código abierto.

Alex Ellis, fundador de OpenFaaS, cuenta en su blog personal que Docker ha enviado emails a usuarios de Docker Hub que han creado organizaciones que operan de forma gratuita para decirles que, si no pasan por caja en treinta días, sus cuentas serán eliminadas junto a todas sus imágenes después de un periodo de retención de otros treinta días. Las críticas que empezaron a aparecer a través de las redes hicieron que Docker suavizara un poco el mensaje, pero parece que, al menos por ahora, están decididos a seguir adelante con la eliminación de las cuentas que hayan creado una organización que opera bajo el plan gratuito.

Alex Ellis explica que, si bien no se opone que Docker pueda generar dinero, el último movimiento realizado por la compañía podría acarrear algunos problemas. Para empezar, las organizaciones que quieran almacenar imágenes públicas en Docker Hub tendrán que pagar 420 dólares anuales, estima.

Aquí nos encontramos con que muchos proyectos de código abierto están desarrollados y mantenidos por una única persona o por pequeñas organizaciones que no tienen el músculo económico suficiente como para pasar por caja. Ellis expone que entendería que esto se aplicara a los repositorios privados o a las nuevas organizaciones, pero no a las que están presentes.

Muchos proyectos de código abierto han publicado sus imágenes en Docker Hub durante años de forma pública, gratuita y a través de una organización. Alex Ellis expone que esta vía abre la puerta a que cualquiera pueda «ciberocupar» las imágenes para publicar contenido malicioso. Debido a eso, las imágenes comunitarias y gratuitas de OpenFaaS ahora son publicadas en el registro de contenedores de GitHub.

El último problema señalado por Ellis es que "Docker tiene una definición hostil y fuera de contacto de lo que está permitido para su programa de código abierto. Descarta todo lo que no sean proyectos de tiempo libre o proyectos que hayan sido totalmente donados a una fundación de código abierto", denuncia.

¿Qué se puede hacer en caso de estar empleando una organización en Docker Hub que opera de forma gratuita? El fundador de OpenFaaS recomienda a los usuarios legítimos, en caso de ser viable la eliminación completa de la organización, ciberocupar las imágenes antes de que lo haga un actor malicioso. Para ello habría que crear una nueva cuenta personal en Docker Hub, hacer una réplica de todas las imágenes y etiquetas hacia dicha cuenta nueva, eliminar la organización y renombrar la nueva cuenta de usuario personal para que coincida con el que tenía la organización.

Por ahora parece que los usuarios individuales sí podrán seguir operando de forma gratuita, pues el plan de suscripción gratuito no desaparece, aunque se dirige solo a individuos. La otra vía es publicar las imágenes en el Registro de Contenedores de GitHub, el cual ofrece almacenamiento gratuito. Alex Ellis avisa que esta solución no es una panacea, ya que "GitHub también perjudicó a los desarrolladores de código abierto fue cuando canceló todos los patrocinios a los mantenedores a los que se les pagaba a través de PayPal".

Ellis recalca que, a pesar de sus críticas hacia la decisión de Docker, no se considera como una persona que piense que todo el software y todos los servicios deban ser gratuitos y es más, él mismo emplea una cuenta personal de pago en Docker Hub para obtener las imágenes base como las de Go y Node.js como parte su trabajo en torno al código abierto. Eso sí, lo de publicar imágenes es ya otro asunto.

Veremos qué pasa con Docker Hub en un futuro si la empresa responsable decide mantenerse firme en su decisión. El propio Alex Ellis ha enlazado en su blog los ingresos que Docker, los cuales han aumentado mucho en los últimos años.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha publicado un script para facilitar la revisión de una vulnerabilidad de seguridad de omisión de BitLocker en el Entorno de recuperación de Windows (WinRE).

Este script de PowerShell (KB5025175) simplifica el proceso de proteger las imágenes de WinRE contra los intentos de aprovechar el error CVE-2022-41099 que permite a los atacantes omitir los dispositivos de almacenamiento del sistema de la característica de cifrado de dispositivos de BitLocker.

La explotación exitosa de esto permite a los actores de amenazas con acceso físico acceder a datos cifrados en ataques de baja complejidad.

Según Microsoft, la vulnerabilidad no se puede explotar si el usuario ha habilitado la protección TPM + PIN de BitLocker.

"El script de ejemplo de PowerShell fue desarrollado por el equipo de producto de Microsoft para ayudar a automatizar la actualización de imágenes WinRE en dispositivos Windows 10 y Windows 11", dice Microsoft en un documento de soporte publicado el jueves.

"Ejecute el script con credenciales de administrador en PowerShell en los dispositivos afectados. Hay dos scripts disponibles: el script que debe usar depende de la versión de Windows que esté ejecutando.

La versión de script recomendada es PatchWinREScript_2004plus.ps1, que ayuda a aplicar las actualizaciones de seguridad en sistemas que ejecutan Windows 10 2004 y versiones posteriores (incluido Windows 11).

El otro script de PowerShell (PatchWinREScript_General.ps1) es menos robusto y debe usarse en Windows 10 1909 y versiones anteriores (aunque se ejecutará en todos los sistemas Windows 10 y Windows 11).


Cómo utilizar el script de revisión de WinRE

Los scripts de revisión CVE-2022-41099 se pueden ejecutar desde Windows PowerShell y permiten a los administradores especificar la ruta de acceso y el nombre del paquete de actualización dinámica de SO seguro que se debe usar para actualizar la imagen de WinRE.

Estos paquetes de actualización son específicos de la versión del sistema operativo y de la arquitectura del procesador, y deben descargarse previamente del Catálogo de Microsoft Update.

Los scripts también permiten pasar un parámetro workDir para seleccionar el espacio temporal que se utilizará durante el proceso de aplicación de parches (si no se especifica, el script utilizará la carpeta temporal predeterminada de Windows).

Una vez iniciado, el script seguirá los siguientes pasos:

• Monte la imagen de WinRE existente (WINRE. WIM).
• Actualice la imagen de WinRE con el paquete especificado de actualización dinámica de SO seguro (actualización de compatibilidad) disponible en el Catálogo de Windows Update (se recomienda la actualización más reciente disponible para la versión de Windows instalada en el dispositivo)
• Desmonte la imagen de WinRE.
• Si el protector TPM de BitLocker está presente, vuelve a configurar WinRE para el servicio BitLocker.

Después de ejecutar el script, no será necesario reiniciar el sistema para completar el proceso de revisión de imágenes de WinRE.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La NBA (Asociación Nacional de Baloncesto) está notificando a los fanáticos de una violación de datos después de que parte de su información personal, "en retención" de un servicio de boletín de terceros, fuera robada.

La NBA es una organización global de deportes y medios de comunicación que administra cinco ligas deportivas profesionales, incluidas la NBA, la WNBA, la Basketball Africa League, la NBA G League y la NBA 2K League.

La programación y los juegos de la NBA se transmiten en todo el mundo, en más de 215 países y territorios, abarcando más de 50 idiomas.

En los correos electrónicos de "Aviso de incidente de ciberseguridad" enviados a un número desconocido de fanáticos, la NBA dice que sus sistemas no fueron violados y que las credenciales de los fanáticos afectados no se vieron afectadas en este incidente. Sin embargo, la información personal de algunos fanáticos fue robada.


"Recientemente nos dimos cuenta de que un tercero no autorizado obtuvo acceso y obtuvo una copia de su nombre y dirección de correo electrónico, que estaba en manos de un proveedor de servicios externo que nos ayuda a comunicarnos por correo electrónico con los fanáticos que han compartido esta información con la NBA", dice la NBA.

"No hay indicios de que nuestros sistemas, su nombre de usuario, contraseña o cualquier otra información que haya compartido con nosotros se hayan visto afectados".

Después de ser informada del incidente, la NBA está trabajando con el proveedor de servicios externo como parte de una investigación en curso y ha contratado los servicios de expertos externos en ciberseguridad para analizar el alcance del impacto.

Se advierte a los fanáticos que tengan cuidado con los ataques de phishing

La NBA también advirtió que, debido a la naturaleza sensible de los datos involucrados, existe una mayor probabilidad de que las personas afectadas puedan ser blanco de ataques de phishing y varias estafas.

Se alentó encarecidamente a los fanáticos afectados a permanecer atentos al abrir correos electrónicos o comunicaciones sospechosas que puedan parecer originadas por la NBA o sus socios.

"Dada la naturaleza de la información, puede haber un mayor riesgo de que reciba correos electrónicos de 'phishing' de cuentas de correo electrónico que parecen estar afiliadas a la NBA, o de ser blanco de otros ataques llamados de 'ingeniería social' (donde un individuo busca engañar al objetivo para que comparta información confidencial o tome medidas contrarias a su propio interés, ", dijo la NBA.

Los correos electrónicos de notificación agregan que la NBA nunca solicitará la información de la cuenta de los fanáticos, incluidos nombres de usuario o contraseñas, por correo electrónico.

También se recomienda a los fans afectados que verifiquen que los correos electrónicos recibidos se envíen desde una dirección de correo electrónico legítima "@nba.com", que verifiquen que los enlaces incrustados apunten a un sitio web de confianza y que nunca abran archivos adjuntos de correo electrónico que no esperan recibir.

Un portavoz de la NBA no estuvo disponible para hacer comentarios cuando fue contactado por BleepingComputer el día de hoy.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La explotación de día cero de una falla de seguridad de gravedad media ahora parcheada en el sistema operativo Fortinet FortiOS se ha relacionado con un presunto grupo de piratería chino.

La firma de inteligencia de amenazas Mandiant, que hizo la atribución, dijo que el grupo de actividad es parte de una campaña más amplia diseñada para implementar puertas traseras en las soluciones de Fortinet y VMware y mantener el acceso persistente a los entornos de las víctimas.

La firma de inteligencia de amenazas y respuesta a incidentes propiedad de Google está rastreando la operación maliciosa bajo su apodo sin categorizar UNC3886, un actor de amenazas de nexo con China.

"UNC3886 es un grupo avanzado de ciberespionaje con capacidades únicas en la forma en que operan en la red, así como las herramientas que utilizan en sus campañas", dijeron los investigadores de Mandiant en un análisis técnico.

"UNC3886 se ha observado apuntando a tecnologías de firewall y virtualización que carecen de soporte EDR. Su capacidad para manipular el firmware del firewall y explotar un día cero indica que han seleccionado un nivel más profundo de comprensión de tales tecnologías".

Vale la pena señalar que el adversario estaba vinculado previamente a otro conjunto de intrusiones dirigido a servidores VMware ESXi y Linux vCenter como parte de una campaña de hiperjacking diseñada para eliminar puertas traseras como VIRTUALPITA y VIRTUALPIE.

La última revelación de Mandiant se produce cuando Fortinet reveló que las entidades gubernamentales y las grandes organizaciones fueron víctimas de un actor de amenazas no identificado al aprovechar un error de día cero en el software Fortinet FortiOS para provocar la pérdida de datos y la corrupción del sistema operativo y los archivos.

La vulnerabilidad, rastreada como CVE-2022-41328 (puntuación CVSS: 6.5), se refiere a un error de recorrido de ruta en FortiOS que podría conducir a la ejecución de código arbitrario. Fue parcheado por Fortinet el 7 de marzo de 2023.

Según Mandiant, los ataques montados por UNC3886 se dirigieron a los dispositivos FortiGate, FortiManager y FortiAnalyzer de Fortinet para implementar dos implantes diferentes como THINCRUST y CASTLETAP. Esto, a su vez, fue posible debido al hecho de que el dispositivo FortiManager estaba expuesto a Internet.


THINCRUST es una puerta trasera de Python capaz de ejecutar comandos arbitrarios, así como leer y escribir desde y hacia archivos en el disco.

La persistencia ofrecida por THINCRUST se aprovecha posteriormente para entregar scripts FortiManager que arman la falla transversal de ruta de FortiOS para sobrescribir archivos legítimos y modificar imágenes de firmware.

Esto incluye una carga útil recién agregada llamada "/ bin / fgfm" (conocida como CASTLETAP) que se dirige a un servidor controlado por actores para aceptar instrucciones entrantes que le permiten ejecutar comandos, obtener cargas útiles y filtrar datos del host comprometido.


"Una vez que CASTLETAP se implementó en los firewalls FortiGate, el actor de amenazas se conectó a las máquinas ESXi y vCenter", explicaron los investigadores. "El actor de amenazas implementó VIRTUALPITA y VIRTUALPIE para establecer la persistencia, permitiendo el acceso continuo a los hipervisores y las máquinas invitadas".

Alternativamente, en los dispositivos FortiManager que implementan restricciones de acceso a Internet, se dice que el actor de amenazas ha pivotado desde un firewall FortiGate comprometido con CASTLETAP para dejar caer una puerta trasera de shell inversa llamada REPTILE ("/ bin / klogd") en el sistema de administración de red para recuperar el acceso.

UNC3886 también emplea en esta etapa una utilidad denominada TABLEFLIP, un software de redirección de tráfico de red para conectarse directamente al dispositivo FortiManager independientemente de las reglas de lista de control de acceso (ACL) implementadas.

Esta está lejos de ser la primera vez que los colectivos adversarios chinos se han dirigido a equipos de red para distribuir malware a medida, con ataques recientes que aprovechan otras vulnerabilidades en dispositivos Fortinet y SonicWall.

La revelación también se produce cuando los actores de amenazas están desarrollando e implementando exploits más rápido que nunca, con hasta 28 vulnerabilidades explotadas dentro de los siete días posteriores a la divulgación pública, un aumento del 12% con respecto a 2021 y un aumento del 87% con respecto a 2020, según Rapid7.

Esto también es significativo, sobre todo porque los equipos de piratería alineados con China se han vuelto "particularmente competentes" en la explotación de vulnerabilidades de día cero y el despliegue de malware personalizado para robar credenciales de usuario y mantener el acceso a largo plazo a las redes objetivo.

"La actividad [...] es una prueba más de que los actores avanzados de amenazas de ciberespionaje están aprovechando cualquier tecnología disponible para persistir y atravesar un entorno objetivo, especialmente aquellas tecnologías que no admiten soluciones EDR", dijo Mandiant.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las autoridades policiales de Estados Unidos arrestaron a un hombre de Nueva York en relación con la gestión del infame foro de piratería BreachForums bajo el alias en línea "Pompompurin".

El desarrollo, reportado por primera vez por Bloomberg Law, se produce después de que News 12 Westchester, a principios de esta semana, dijera que los investigadores federales "pasaron horas dentro y fuera de una casa en Peekskill".

"En un momento dado, los investigadores fueron vistos sacando varias bolsas de evidencia de la casa", agregó el servicio local de noticias con sede en Nueva York.

Según una declaración jurada presentada por la Oficina Federal de Investigaciones (FBI), el sospechoso se identificó como Conor Brian Fitzpatrick y admitió ser el propietario del sitio web BreachForums.

"Cuando arresté al acusado el 15 de marzo de 2023, me declaró en sustancia y en parte que: a) su nombre era Conor Brian Fitzpatrick; b) usó el alias 'pompompurin', y c) era el propietario y administrador de 'BreachForums'", dijo el agente especial del FBI, John Longmire.

Fitzpatrick ha sido acusado de un cargo de conspiración para solicitar individuos con el propósito de vender dispositivos de acceso no autorizados.

El acusado fue liberado un día después con una fianza de $ 300,000 firmada por sus padres y está programado para comparecer ante el Tribunal de Distrito para el Distrito Este de Virginia el 24 de marzo de 2023.

Además de tener prohibido obtener un pasaporte u otro documento de viaje internacional, a Fitzpatrick se le ha restringido contactar a sus co-conspiradores y usar un narcótico u otras sustancias controladas a menos que sea recetado por un médico con licencia.

BreachForums surgió el año pasado, tres semanas después de que una operación coordinada de aplicación de la ley tomara el control de RaidForums en marzo de 2022.

"En el hilo de bienvenida del actor de amenazas, 'pompompurin' declaró que habían creado BreachForums como una alternativa a RaidForums, pero que 'no estaba afiliado a RaidForums en ninguna capacidad'", dijo la firma de ciberseguridad Flashpoint en ese momento.


Desde entonces, el foro ha atraído notoriedad por alojar bases de datos robadas pertenecientes a varias compañías, que a menudo incluyen información personal confidencial.

A raíz del arresto de Fitzpatrick, otro usuario del foro llamado Baphomet dijo que estaban tomando posesión del sitio web, señalando que no hay evidencia de "acceso o modificaciones a Breach".

"Mi única respuesta a [la policía], o a cualquier medio de comunicación es que no tengo preocupaciones por mí mismo en este momento", dijo Baphomet en el anuncio. "OPSEC ha sido mi enfoque desde el primer día, y afortunadamente no creo que ningún león de montaña me ataque en mi pequeño bote de pesca".

El desarrollo se produce cuando la Policía Cibernética de Ucrania anunció el arresto de un desarrollador de 25 años que creó un troyano de acceso remoto que infectó a más de 10,000 computadoras bajo la apariencia de aplicaciones de juegos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó el 15 de marzo una vulnerabilidad de seguridad que afecta a Adobe ColdFusion a su catálogo de vulnerabilidades explotadas conocidas (KEV), basándose en evidencia de explotación activa.

La falla crítica en cuestión es CVE-2023-26360 (puntuación CVSS: 8.6), que podría ser explotada por un actor de amenazas para lograr la ejecución de código arbitrario.

"Adobe ColdFusion contiene una vulnerabilidad de control de acceso incorrecta que permite la ejecución remota de código", dijo CISA.

La vulnerabilidad afecta a ColdFusion 2018 (Update 15 y versiones anteriores) y ColdFusion 2021 (Update 5 y versiones anteriores). Se ha abordado en las versiones Update 16 y Update 6, respectivamente, publicadas el 14 de marzo de 2023.

Vale la pena señalar que CVE-2023-26360 también afecta a las instalaciones de ColdFusion 2016 y ColdFusion 11, las cuales ya no son compatibles con la compañía de software ya que han llegado al final de su vida útil (EoL).

Si bien se desconocen los detalles exactos que rodean la naturaleza de los ataques, Adobe dijo en un aviso que es consciente de que la falla está siendo "explotada en la naturaleza en ataques muy limitados".

Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las actualizaciones antes del 5 de abril de 2023 para proteger sus redes contra posibles amenazas.

Charlie Arehart, un investigador de seguridad acreditado con el descubrimiento y la denuncia de la falla junto con Pete Freitag, lo describió como un problema "grave" que podría resultar en una "ejecución de código arbitrario" y una "lectura arbitraria del sistema de archivos".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una coalición de agencias policiales de toda Europa y Estados Unidos anunció la eliminación de ChipMixer, un mezclador de criptomonedas sin licencia que comenzó sus operaciones en agosto de 2017.

"El software ChipMixer bloqueó el rastro blockchain de los fondos, haciéndolo atractivo para los ciberdelincuentes que buscan lavar ganancias ilegales de actividades delictivas como el tráfico de drogas, el tráfico de armas, los ataques de ransomware y el fraude con tarjetas de pago", dijo Europol en un comunicado.

El ejercicio coordinado, además de desmantelar los sitios web clearnet y dark web asociados con ChipMixer, también resultó en la incautación de $ 47.5 millones en Bitcoin y 7 TB de datos.

Los mezcladores, también llamados vasos, ofrecen anonimato total por una tarifa al mezclar criptomonedas de diferentes usuarios, tanto fondos legítimos como derivados de la delincuencia, de una manera que dificulta el rastreo de los orígenes.

Esto se logra canalizando diferentes pagos en un solo grupo antes de dividir cada cantidad y transmitirlos a los destinatarios designados, convirtiéndolo así en una opción atractiva para los delincuentes que buscan cobrar y cambiar el dinero contaminado por moneda fiduciaria.

Según un informe de Chainalysis en enero de 2023, "los mezcladores procesaron un total de $ 7.8 mil millones en 2022, el 24% de los cuales provino de direcciones ilícitas", y "la gran mayoría del valor ilícito procesado por los mezcladores se compone de fondos robados, la mayoría de los cuales fueron robados por piratas informáticos vinculados a Corea del Norte".

Se estima que ChipMixer, el servicio centralizado de mezclador criptográfico más grande del mundo, ha lavado no menos de $ 3.75 mil millones en activos digitales (152,000 BTC) para promover una amplia gama de esquemas criminales.

La firma de análisis de blockchain Elliptic dijo que ChipMixer se ha utilizado para lavar más de $ 844 millones en Bitcoin que pueden vincularse directamente a actividades delictivas.

"ChipMixer fue uno de una variedad de mezcladores utilizados para lavar las ganancias de los hackeos perpetrados por el Grupo Lazarus de Corea del Norte", dijo el cofundador y científico jefe de Elliptic, Tom Robinson.

Esto comprende el robo de KuCoin en septiembre de 2020, así como los hacks Axie Infinity Ronin Bridge y Harmony Horizon Bridge que tuvieron lugar el año pasado.

El Grupo Lazarus está lejos de ser el único cliente infame que ha utilizado el servicio para ofuscar las pistas financieras. Los otros actores prominentes consisten en equipos de ransomware como LockBit, Sodinokibi (también conocido como REvil), Zeppelin, Mamba, Dharma y SunCrypt.

Además, se dice que ChipMixer ha atraído más de $ 200 millones en Bitcoin vinculados a compras originadas en los mercados de la red oscura, incluidos $ 60 millones de clientes de la ahora desaparecida Hydra.

La plataforma mezcladora, según el Departamento de Justicia de los Estados Unidos (DoJ), también procesó la criptomoneda utilizada por el grupo de piratería APT28 vinculado a Rusia (también conocido como Fancy Bear o Strontium) para adquirir la infraestructura empleada en relación con un malware llamado Drovorub.

Coincidiendo con la represión, el Departamento de Justicia acusó además a un ciudadano vietnamita de 49 años, Minh Quốc Nguyễn, por su papel en la creación y ejecución de la infraestructura en línea de ChipMixer y la publicidad de sus servicios.

"ChipMixer facilitó el lavado de criptomonedas, específicamente Bitcoin, a gran escala internacional, instigando a actores nefastos y criminales de todo tipo para evadir la detección", dijo la fiscal federal Jacqueline C. Romero.

"Plataformas como ChipMixer, que están diseñadas para ocultar las fuentes y destinos de cantidades asombrosas de ganancias criminales, socavan la confianza del público en las criptomonedas y la tecnología blockchain".

El desarrollo es el último de una serie de acciones de aplicación de la ley emprendidas por gobiernos de todo el mundo para abordar el delito cibernético, y se produce semanas después de que se iniciaran "procedimientos penales" contra presuntos miembros principales de la pandilla de ransomware DoppelPaymer.

ChipMixer es también el cuarto servicio de mezclador prohibido en los últimos años después de la interrupción de Bestmixer, Blender y Tornado Cash, los dos últimos de los cuales fueron sancionados por el Departamento del Tesoro de los Estados Unidos el año pasado por complicidad con Lazarus Group y otros actores de amenazas en el lavado de ganancias mal habidas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Project Zero, el equipo de búsqueda de errores de día cero de Google, descubrió e informó 18 vulnerabilidades de día cero en los conjuntos de chips Exynos de Samsung utilizados en dispositivos móviles, dispositivos portátiles y automóviles.

Las fallas de seguridad del módem Exynos se informaron entre finales de 2022 y principios de 2023. Cuatro de los dieciocho días cero fueron identificados como los más serios, permitiendo la ejecución remota de código desde Internet a la banda base.

Estos errores de ejecución remota de código (RCE) de Internet a banda base (incluidos CVE-2023-24033 y otros tres que aún esperan un CVE-ID) permiten a los atacantes comprometer dispositivos vulnerables de forma remota y sin ninguna interacción del usuario.

"El software de banda base no verifica adecuadamente los tipos de formato del atributo de tipo de aceptación especificado por el SDP, lo que puede conducir a una denegación de servicio o ejecución de código en el módem de banda base de Samsung", dice Samsung en un aviso de seguridad que describe la vulnerabilidad CVE-2023-24033.

La única información requerida para que los ataques se lleven a cabo es el número de teléfono de la víctima, según Tim Willis, jefe de Project Zero.

Para empeorar las cosas, con una investigación adicional mínima, los atacantes experimentados podrían crear fácilmente un exploit capaz de comprometer de forma remota los dispositivos vulnerables sin llamar la atención de los objetivos.

"Debido a una combinación muy rara de nivel de acceso que proporcionan estas vulnerabilidades y la velocidad con la que creemos que se podría elaborar un exploit operativo confiable, hemos decidido hacer una excepción de política para retrasar la divulgación de las cuatro vulnerabilidades que permiten la ejecución remota de código de Internet a banda base", dijo Willis.

Las 14 fallas restantes (incluidas CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 y otras nueve en espera de CVE-ID) no son tan críticas, pero aún representan un riesgo. La explotación exitosa requiere acceso local o un operador de red móvil malicioso.

Según la lista de chipsets afectados proporcionada por Samsung, la lista de dispositivos afectados incluye, entre otros:

• Dispositivos móviles de Samsung, incluidos los de las series S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 y A04;
• Dispositivos móviles de Vivo, incluidos los de las series S16, S15, S6, X70, X60 y X30;
• Las series de dispositivos Pixel 6 y Pixel 7 de Google;
• cualquier wearable que utilice el chipset Exynos W920; y
• cualquier vehículo que utilice el chipset Exynos Auto T5123.

Solución disponible para los dispositivos afectados

Si bien Samsung ya ha proporcionado actualizaciones de seguridad que abordan estas vulnerabilidades en los chipsets afectados a otros proveedores, los parches no son públicos y no pueden ser aplicados por todos los usuarios afectados.

La línea de tiempo de parches de cada fabricante para sus dispositivos será diferente, pero, por ejemplo, Google ya ha abordado CVE-2023-24033 para los dispositivos Pixel afectados en sus actualizaciones de seguridad de marzo de 2023.


Sin embargo, hasta que los parches estén disponibles, los usuarios pueden frustrar los intentos de explotación de RCE de banda base dirigidos a los chipsets Exynos de Samsung en su dispositivo deshabilitando las llamadas Wi-Fi y Voice-over-LTE (VoLTE) para eliminar el vector de ataque.

Samsung también confirmó la solución de Project Zero, diciendo que "los usuarios pueden deshabilitar las llamadas WiFi y VoLTE para mitigar el impacto de esta vulnerabilidad".

"Como siempre, alentamos a los usuarios finales a actualizar sus dispositivos lo antes posible, para asegurarse de que están ejecutando las últimas compilaciones que corrigen las vulnerabilidades de seguridad divulgadas y no reveladas", agregó Willis.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El grupo de ransomware BianLian ha cambiado su enfoque de cifrar los archivos de sus víctimas a solo exfiltrar datos encontrados en redes comprometidas y usarlos para extorsión.

Este desarrollo operativo en BianLian fue reportado por la compañía de ciberseguridad Redacted, que ha visto signos de que el grupo de amenazas intenta elaborar sus habilidades de extorsión y aumentar la presión sobre las víctimas.

BianLian es una operación de ransomware que apareció por primera vez en la naturaleza en julio de 2022, violando con éxito múltiples organizaciones de alto perfil.

En enero de 2023, Avast lanzó un descifrador gratuito para ayudar a las víctimas a recuperar archivos cifrados por el ransomware.

Ataques recientes de BianLian

Los operadores de BianLian han mantenido sus técnicas iniciales de acceso y movimiento lateral iguales y continúan implementando una puerta trasera personalizada basada en Go que les brinda acceso remoto en el dispositivo comprometido, aunque una versión ligeramente mejorada del mismo.

Los actores de amenazas publican a sus víctimas en forma enmascarada tan pronto como 48 horas después de la violación en su sitio de extorsión, dándoles aproximadamente diez días para pagar el rescate.

A partir del 13 de marzo de 2023, BianLian ha enumerado un total de 118 organizaciones de víctimas en su portal de extorsión, y la gran mayoría (71%) son empresas con sede en los Estados Unidos.


La principal diferencia observada en los ataques recientes es que BianLian intenta monetizar sus infracciones sin cifrar los archivos de la víctima. En cambio, ahora se basa únicamente en amenazar con filtrar los datos robados.

"El grupo promete que después de que se les pague, no filtrarán los datos robados ni revelarán el hecho de que la organización víctima ha sufrido una violación. BianLian ofrece estas garantías basadas en el hecho de que su "negocio" depende de su reputación", menciona Redacted en el informe.

"En varios casos, BianLian hizo referencia a los problemas legales y regulatorios que enfrentaría una víctima si se hiciera público que la organización había sufrido una violación. El grupo también ha ido tan lejos como para incluir referencias específicas a las subsecciones de varias leyes y estatutos.

Redacted ha encontrado que en muchos casos, las referencias legales hechas por los operadores de BianLian eran aplicables en la región de la víctima, lo que indica que los actores de amenazas están perfeccionando sus habilidades de extorsión al analizar los riesgos legales de una víctima para formular argumentos sólidos.

Se desconoce si BianLian abandonó la táctica de cifrado porque Avast rompió su cifrado o porque este evento les ayudó a darse cuenta de que no necesitaban esa parte de la cadena de ataque para extorsionar a las víctimas para que pagaran rescates.

Cabe mencionar que cuando Avast lanzó su descifrador gratuito, BianLian minimizó su importancia, diciendo que solo funcionaría en versiones tempranas del "verano de 2022" del ransomware y corrompería los archivos cifrados por todas las compilaciones posteriores.

Extorsión sin cifrado

El cifrado de archivos, el robo de datos y la amenaza de filtrar archivos robados se conoce como una táctica de "doble extorsión", que sirve como una forma adicional de coerción para las bandas de ransomware que buscan aumentar la presión sobre sus víctimas.

Sin embargo, a través del intercambio natural entre los actores de amenazas y las víctimas, las bandas de ransomware se dieron cuenta de que, en muchos casos, la fuga de datos confidenciales era un incentivo de pago aún más fuerte para las víctimas.

Esto dio lugar a operaciones de ransomware sin cifrado, como Babuk y SnapMC, y operaciones de extorsión que afirman no participar en el cifrado de archivos ellos mismos (o en absoluto), como RansomHouse, Donut y Karakurt.

Aún así, la mayoría de los grupos de ransomware continúan utilizando cargas útiles de cifrado en sus ataques, ya que la interrupción del negocio causada por el cifrado de dispositivos ejerce una presión aún mayor sobre muchas víctimas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El colapso del Silicon Valley Bank (SVB) el 10 de marzo de 2023 ha enviado ondas de turbulencia en todo el sistema financiero global, pero para los piratas informáticos, estafadores y campañas de phishing, se está convirtiendo en una excelente oportunidad.

Como informan varios investigadores de seguridad, los actores de amenazas ya están registrando dominios sospechosos, realizando páginas de phishing y preparándose para ataques de compromiso de correo electrónico empresarial (BEC).

Estas campañas tienen como objetivo robar dinero, robar datos de cuentas o infectar objetivos con malware.

SVB va a desaparecer

SVB fue un banco comercial con sede en Estados Unidos, el 16º más grande del país y el banco más grande por depósitos en Silicon Valley, California.

El 10 de marzo de 2023, el banco quebró después de una corrida en sus depósitos. Esta quiebra fue la más grande de cualquier banco desde la crisis financiera de 2007-2008 y la segunda más grande en la historia de Estados Unidos.

Este evento ha impactado a muchas empresas y personas en las industrias de tecnología, ciencias de la vida, atención médica, capital privado, capital de riesgo y vino premium que fueron clientes de SVB.

La situación caótica empeora aún más por los elementos prevalecientes de urgencia, incertidumbre y las cantidades significativas de dinero depositadas en el banco.

Los estafadores aprovechan la oportunidad

El investigador de seguridad Johannes Ulrich informó ayer que los actores de amenazas están aprovechando la oportunidad, registrando dominios sospechosos relacionados con SVB que es muy probable que se utilicen en ataques.


Algunos de los ejemplos dados en un informe publicado en el sitio web de SANS ISC incluyen:

• login-svb[.] .com
• SVBBalberout[.] .com
• svbcertificates[.] .com
• svbclaim[.] .com
• svbcollapse[.] .com
• svbdeposits[.] .com
• svbhelp[.] .com
• svblawsuit[.] .com

Ulrich advirtió que los estafadores podrían intentar ponerse en contacto con antiguos clientes de SVB para ofrecerles un paquete de apoyo, servicios legales, préstamos u otros servicios falsos relacionados con el colapso del banco.

Un ataque que ya se ha visto en la naturaleza es de actores de amenazas BEC que se hacen pasar por clientes de SVB y les dicen a los clientes que necesitan pagos enviados a una nueva cuenta bancaria después del colapso del banco.

Sin embargo, estas cuentas bancarias pertenecen a los actores de amenazas, que roban pagos destinados a ir a la empresa legítima.


La firma de inteligencia cibernética Cyble publicó hoy un informe similar que explora el desarrollo de amenazas temáticas SVB, advirtiendo sobre estos dominios adicionales:

• svbdebt[.] .com
• svbclaims[.] red
• SVB-USDC[.] .com
• SVB-USDC[.] red
• svbi[.] Io
• banksvb[.] .com
• svbank[.] .com
• svblogin[.] .com

Muchos de estos sitios se registraron el día del colapso del banco, el 10 de marzo de 2023, y ya están alojando estafas de criptomonedas.

Estas páginas fraudulentas les dicen a los clientes de SVB que el banco está distribuyendo USDC como parte de un programa de "reembolso".

"13 de marzo de 2023 - Silicon Valley Bank está distribuyendo activamente USDC como parte del programa SVB USDC payback a los titulares elegibles de USDC. Los pagos de USDC solo se pueden reclamar una vez por billetera ", afirma la estafa de criptomonedas.

Sin embargo, al hacer clic en el botón 'Haga clic aquí para reclamar' del sitio, aparece un código QR que intenta comprometer las billeteras criptográficas Metamask, Exodus y Trust Wallet cuando se escanean.


En otro caso, los actores de amenazas detrás de "cash4svb.com" intentan suplantar la información de contacto de los antiguos clientes de SVB que son acreedores comerciales o prestamistas, prometiéndoles un rendimiento entre el 65% y el 85%.


Estafas de círculos

La firma de pagos peer-to-peer Circle, que administra la popular moneda estable USDC, tenía una reserva de efectivo de $ 3.3 mil millones en el banco SVB. Sin embargo, el colapso de SVB ha creado incertidumbre a pesar de las garantías de la empresa sobre la liquidez del USDC.

Esta incertidumbre ha llevado a la creación de una red de sitios de estafa de criptomonedas que utilizan dominios de sitios web como:

• círculo redimido[.] .com
• círculo-reservas[.] .com
• circleusdcoin[.] .com
• círculo-mintusdc[.] .com
• svb-círculo[.] .com
• circle.web3claimer[.] red
• USD-Circle[.] .com

Estos sitios web no tienen ninguna afiliación real con Circle, y su único propósito es robar las billeteras, activos digitales o datos personales de sus visitantes.

La firma de seguridad de correo electrónico Proofpoint también ha detectado estafas de Circle derivadas de los eventos SVB, compartiendo en Twitter una muestra de correos electrónicos de phishing enviados a objetivos.


Si usted es un antiguo cliente de SVB, lo mejor que puede hacer es mantener la calma y seguir los canales de comunicación oficiales del gobierno de los Estados Unidos y la FDIC.

Ignore cualquier correo electrónico de dominios inusuales y verifique tres veces cualquier solicitud de supuestos clientes bancarios de SVB que le soliciten que cambie los detalles de la cuenta bancaria para los pagos.

El mejor método para confirmar los cambios de pago es comunicarse con su contacto por teléfono, no por correo electrónico, ya que las cuentas de correo electrónico pueden verse comprometidas durante estos ataques.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha parcheado una vulnerabilidad de día cero de Outlook (CVE-2023-23397) explotada por un grupo de piratería vinculado al servicio de inteligencia militar ruso GRU para atacar organizaciones europeas.

La vulnerabilidad de seguridad fue explotada en ataques para atacar y violar las redes de menos de 15 organizaciones gubernamentales, militares, energéticas y de transporte entre mediados de abril y diciembre de 2022.

El grupo de piratería (rastreado como APT28, STRONTIUM, Sednit, Sofacy y Fancy Bear) envió notas y tareas maliciosas de Outlook para robar hashes NTLM a través de solicitudes de negociación NTLM al obligar a los dispositivos de los objetivos a autenticarse en recursos compartidos SMB controlados por el atacante.

Las credenciales robadas se usaron para el movimiento lateral dentro de las redes de las víctimas y para cambiar los permisos de la carpeta de buzón de Outlook, una táctica que permite la exfiltración de correo electrónico para cuentas específicas.

Microsoft compartió esta información en un informe privado de análisis de amenazas visto por BleepingComputer y disponible para los clientes con suscripciones de Microsoft 365 Defender, Microsoft Defender para empresas o Microsoft Defender para Endpoint Plan 2.

EoP crítica en Outlook para Windows

La vulnerabilidad (CVE-2023-23397) fue reportada por CERT-UA (el Equipo de Respuesta a Emergencias Informáticas para Ucrania), y es una falla crítica de seguridad de privilegios de elevación de Outlook explotable sin interacción del usuario en ataques de baja complejidad.

Los actores de amenazas pueden aprovecharlo enviando mensajes con propiedades MAPI extendidas que contienen rutas de acceso UNC a un recurso compartido SMB (TCP 445) bajo su control.

"El atacante podría explotar esta vulnerabilidad mediante el envío de un correo electrónico especialmente diseñado que se activa automáticamente cuando es recuperado y procesado por el cliente de Outlook. Esto podría llevar a la explotación ANTES de que el correo electrónico se vea en el Panel de vista previa", dice Microsoft en un aviso de seguridad publicado hoy.

"La conexión al servidor SMB remoto envía el mensaje de negociación NTLM del usuario, que el atacante puede luego transmitir para la autenticación contra otros sistemas que admiten la autenticación NTLM", explica Redmond en una publicación de blog separada.

CVE-2023-23397 afecta a todas las versiones compatibles de Microsoft Outlook para Windows, pero no afecta a las versiones de Outlook para Android, iOS o macOS.

Además, dado que los servicios en línea como Outlook en la web y Microsoft 365 no admiten la autenticación NTLM, no son vulnerables a los ataques que aprovechan esta vulnerabilidad de retransmisión NTLM.

Microsoft recomienda aplicar inmediatamente la revisión de CVE-2023-23397 para mitigar esta vulnerabilidad y frustrar cualquier ataque entrante.

La compañía también aconseja agregar usuarios al grupo Usuarios protegidos en Active Directory y bloquear SMB saliente (puerto TCP 445) si la aplicación de parches no es posible de inmediato, lo que podría limitar el impacto de CVE-2023-23397.

Script de detección de mitigación y segmentación disponible

Microsoft insta a los clientes a parchear inmediatamente sus sistemas contra CVE-2023-23397 o agregar usuarios al grupo Usuarios protegidos en Active Directory y bloquear SMB saliente (puerto TCP 445) como una mitigación temporal para minimizar el impacto de los ataques.

Redmond también lanzó un script de PowerShell dedicado para ayudar a los administradores a comprobar si algún usuario en su entorno de Exchange ha sido atacado mediante esta vulnerabilidad de Outlook.

"Comprueba los elementos de mensajería de Exchange (correo, calendario y tareas) para ver si una propiedad se rellena con una ruta UNC", señala Microsoft.

"Si es necesario, los administradores pueden usar este script para limpiar la propiedad en busca de elementos maliciosos o incluso eliminar los elementos de forma permanente".

Esta secuencia de comandos también permite modificar o eliminar mensajes potencialmente malintencionados si se encuentran en el servidor Exchange auditado cuando se ejecutan en modo de limpieza.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de ciberseguridad han descubierto la primera campaña ilícita de minería de criptomonedas utilizada para acuñar Dero desde principios de febrero de 2023.

"La novedosa operación de cryptojacking de Dero se concentra en localizar clústeres de Kubernetes con acceso anónimo habilitado en una API de Kubernetes y escuchar en puertos no estándar accesibles desde Internet", dijo CrowdStrike en un nuevo informe compartido con The Hacker News.

El desarrollo marca un cambio notable de Monero, que es una criptomoneda frecuente utilizada en tales campañas. Se sospecha que puede tener que ver con el hecho de que Dero "ofrece recompensas más grandes y proporciona las mismas o mejores funciones de anonimato".

Los ataques, atribuidos a un actor desconocido motivado financieramente, comienzan con el escaneo de clústeres de Kubernetes con autenticación establecida como --anonymous-auth=true, que permite que las solicitudes anónimas al servidor eliminen las cargas útiles iniciales de tres direcciones IP diferentes con sede en EE.

Esto incluye la implementación de un DaemonSet de Kubernetes llamado "proxy-api", que, a su vez, se utiliza para colocar un pod malicioso en cada nodo del clúster de Kubernetes para poner en marcha la actividad minera.


Con ese fin, el archivo YAML de DaemonSet está orquestado para ejecutar una imagen de Docker que contiene un binario de "pausa", que en realidad es el minero de monedas Dero.

"En una implementación legítima de Kubernetes, Kubernetes utiliza contenedores de 'pausa' para arrancar un pod", señaló la compañía. "Los atacantes pueden haber usado este nombre para mezclarse y evitar la detección obvia".

La compañía de ciberseguridad dijo que identificó una campaña paralela de minería de Monero también dirigida a clústeres de Kubernetes expuestos al intentar eliminar el DaemonSet "proxy-api" existente asociado con la campaña Dero.

Esta es una indicación de la lucha en curso entre los grupos de cryptojacking que compiten por los recursos de la nube para tomar y retener el control de las máquinas y consumir todos sus recursos.

"Ambas campañas están tratando de encontrar superficies de ataque Kubernetes no descubiertas y están luchando", dijeron los investigadores de amenazas de CrowdStrike Benjamin Grap y Manoj Ahuje.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un actor de amenazas previamente indocumentado llamado YoroTrooper ha estado apuntando a organizaciones gubernamentales, energéticas e internacionales en toda Europa como parte de una campaña de espionaje cibernético que ha estado activa desde al menos junio de 2022.

"La información robada de compromisos exitosos incluye credenciales de múltiples aplicaciones, historiales y cookies del navegador, información del sistema y capturas de pantalla", dijeron los investigadores de Cisco Talos Asheer Malhotra y Vitor Ventura en un análisis del martes.

Los países prominentes afectados incluyen Azerbaiyán, Tayikistán, Kirguistán, Turkmenistán y otras naciones de la Comunidad de Estados Independientes (CEI).

Se cree que el actor de la amenaza es de habla rusa debido a los patrones de victimología y la presencia de fragmentos cirílicos en algunos de los implantes.

Dicho esto, se ha descubierto que el conjunto de intrusión YoroTrooper exhibe superposiciones tácticas con el equipo PoetRAT que se documentó en 2020 como un apalancamiento de cebos con temas de coronavirus para atacar a los sectores gubernamentales y energéticos en Azerbaiyán.

Los objetivos de recopilación de datos de YoroTrooper se realizan a través de una combinación de malware robador de productos básicos y de código abierto como Ave Maria (también conocido como Warzone RAT), LodaRAT, Meterpreter y Stink, con las cadenas de infección utilizando archivos de acceso directo maliciosos (LNK) y documentos señuelo envueltos en archivos ZIP o RAR que se propagan a través de spear-phishing.


Los archivos LNK funcionan como simples descargadores para ejecutar un archivo HTA recuperado de un servidor remoto, que luego se utiliza para mostrar un documento PDF de señuelo, mientras se lanza sigilosamente un cuentagotas para entregar un ladrón personalizado que utiliza Telegram como canal de exfiltración.

El uso de LodaRAT es notable, ya que indica que el malware está siendo empleado por múltiples operadores a pesar de su atribución a otro grupo llamado Kasablanka, que también se ha observado distribuyendo Ave Maria en campañas recientes dirigidas a Rusia.

Otras herramientas auxiliares implementadas por YoroTrooper consisten en shells inversos y un keylogger personalizado basado en C que es capaz de grabar pulsaciones de teclas y guardarlas en un archivo en el disco.

"Vale la pena señalar que, si bien esta campaña comenzó con la distribución de malware de productos básicos como Ave Maria y LodaRAT, ha evolucionado significativamente para incluir malware basado en Python", dijeron los investigadores.

"Esto destaca un aumento en los esfuerzos que el actor de la amenaza está realizando, probablemente derivados de violaciones exitosas durante el curso de la campaña".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La función de túnel privado Meshnet de NordVPN para Windows, macOS y Linux ahora es gratuita para todos, incluso para los usuarios que no tienen una suscripción a NordVPN.

Meshnet fue lanzado por primera vez por NordVPN en junio de 2022 como una función paga, que permite a los usuarios crear túneles privados y cifrados entre dispositivos en los que confían para pasar el tráfico de red, esencialmente creando sus propios servidores VPN (red privada virtual).

Por ejemplo, Meshnet permite a alguien enrutar su tráfico de red desde su teléfono inteligente a través de la computadora de su hogar mientras está de vacaciones, haciendo que parezca que están navegando desde su ubicación habitual.

El tráfico del usuario también puede pasar a través de un túnel seguro en la computadora de un amigo o familiar, siempre y cuando esté utilizando la aplicación Meshnet y haya sido invitado a la Mesh de su amigo.


Esta función puede ayudar a los usuarios a acceder a plataformas restringidas geográficamente y proteger los datos del usuario cuando utilizan puntos de acceso WiFi peligrosos y no seguros.

Aún más útil, la función de túnel privado Meshnet le permite acceder a dispositivos internos mientras está de vacaciones, viajando por trabajo o simplemente en la carretera como si estuviera en su oficina u hogar sin abrir puertos en su firewall.

Por ejemplo, la función Escritorio remoto de Windows es útil para acceder a su computadora mientras está fuera de su hogar u oficina. Sin embargo, nunca debe exponer Remote Desktop a Internet, ya que se explota comúnmente para ataques de ransomware, y para los usuarios domésticos, no siempre es fácil implementar una VPN dedicada.

Sin embargo, con Meshnet, puede instalar el software NordVPN tanto en la computadora de escritorio remoto como en una computadora portátil y configurarlos para que formen parte de la misma Mesh. Luego, desde su computadora portátil, puede conectarse a la dirección IP asignada al servidor RDP por MeshNet y acceder a la computadora de Escritorio remoto como si estuviera dentro de la red.

BleepingComputer probó esta función para hacer exactamente eso hoy, y funcionó bien y fue fácil de configurar.

MeshNet no solo es útil para el trabajo sino también para los juegos, ya que puede invitar a amigos a su Mesh para que puedan acceder a servidores de juegos internos y privados, sin importar la distancia física entre ellos, y sin abrir puertos en su firewall.

Todos los usuarios de Meshnet pueden restringir el acceso que otros tienen a su red, proporcionando un control decente, pero no perfecto, sobre los recursos compartidos. Sin embargo, sería mejor si NordVPN agregara permisos de seguridad más granulares, como direcciones IP específicas y puertos a los que se puede acceder y límites de ancho de banda.


Hoy, NordVPN ha anunciado que el sistema estará disponible para todos de forma gratuita, mientras que el cliente Linux para el servicio es de código abierto para una mayor transparencia.

Para celebrar este movimiento, los ingenieros de NordVPN también introdujeron una nueva característica en Meshnet que permite a los usuarios compartir archivos de tamaño ilimitado con sus amigos de forma segura.

Además, ambos usuarios deben dar su consentimiento para la transferencia para que el sistema minimice el riesgo de transferencias de archivos maliciosos no deseados.

La biblioteca utilizada para compartir archivos, Libdrop, y la biblioteca utilizada para las comunicaciones de red, Libtelio, también han sido de código abierto.

NordVPN dice que no eres el producto

NordVPN es uno de los mayores proveedores de servicios VPN con un historial casi perfecto en seguridad. Sin embargo, algunas personas aún pueden tener dificultades para confiar sus datos de red a una empresa privada.

Las preocupaciones se magnifican aún más cuando el producto ofrecido es gratuito, pero NordVPN asegura que los usuarios de Meshnet no son el producto.

Como explica la compañía en el comunicado de prensa, Meshnet es barato de operar, requiriendo una pequeña parte de la infraestructura global masiva de la compañía (5,000 servidores en 59 países).

Por lo tanto, ponerlo a disposición de todos no resultará en una carga financiera notable para NordVPN.

"Abrirlo a un público más amplio no requiere que desarrollemos nuevos sistemas e invirtamos más de lo que ya tenemos", dice el anuncio de NordVPN.

Al mismo tiempo, NordVPN dice que este movimiento se alinea con su valor central de ayudar a hacer de Internet un lugar más seguro para todos los usuarios, independientemente de si pueden pagar una suscripción a sus productos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha descubierto que una extensión falsa del navegador Chrome de la marca ChatGPT viene con capacidades para secuestrar cuentas de Facebook y crear cuentas de administrador deshonestas, destacando uno de los diferentes métodos que los ciberdelincuentes están utilizando para distribuir malware.

"Al secuestrar cuentas comerciales de Facebook de alto perfil, el actor de amenazas crea un ejército de élite de bots de Facebook y un aparato de medios pagados maliciosos", dijo la investigadora de Guardio Labs Nati Tal en un informe técnico.

"Esto le permite impulsar los anuncios pagados de Facebook a expensas de sus víctimas de una manera similar a un gusano que se propaga a sí misma".

La extensión "Acceso rápido a Chat GPT", que se dice que ha atraído 2.000 instalaciones por día desde el 3 de marzo de 2023, ha sido retirada por Google de Chrome Web Store a partir del 9 de marzo de 2023.

El complemento del navegador se promociona a través de publicaciones patrocinadas por Facebook, y aunque ofrece la posibilidad de conectarse al servicio ChatGPT, también está diseñado para recolectar subrepticiamente cookies y datos de la cuenta de Facebook utilizando una sesión ya activa y autenticada.

Esto se logra haciendo uso de dos aplicaciones falsas de Facebook, portal y msg_kig, para mantener el acceso de puerta trasera y obtener un control total de los perfiles objetivo. El proceso de agregar las aplicaciones a las cuentas de Facebook está totalmente automatizado.

Las cuentas comerciales de Facebook secuestradas se utilizan para anunciar el malware, propagando así el esquema aún más y expandiendo efectivamente la colección de cuentas comprometidas.


El desarrollo se produce cuando los actores de amenazas están capitalizando la popularidad masiva de ChatGPT de OpenAI desde su lanzamiento a fines del año pasado para crear versiones falsas del chatbot de inteligencia artificial y engañar a los usuarios desprevenidos para que los instalen.

El mes pasado, Cyble reveló una campaña de ingeniería social que se basaba en una página de redes sociales no oficial de ChatGPT para dirigir a los usuarios a dominios maliciosos que descargan ladrones de información, como RedLine, Lumma y Aurora.

También se han detectado aplicaciones fraudulentas de ChatGPT distribuidas a través de Google Play Store y otras tiendas de aplicaciones Android de terceros que empujan el malware SpyNote a los dispositivos de las personas.

"Desafortunadamente, el éxito de la herramienta viral de IA también ha atraído la atención de los estafadores que utilizan la tecnología para realizar estafas de inversión altamente sofisticadas contra usuarios de Internet incautos", reveló Bitdefender la semana pasada.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los actores de amenazas se han observado cada vez más utilizando videos de YouTube generados por IA para propagar una variedad de malware ladrón como Raccoon, RedLine y Vidar.

"Los videos atraen a los usuarios fingiendo ser tutoriales sobre cómo descargar versiones descifradas de software como Photoshop, Premiere Pro, Autodesk 3ds Max, AutoCAD y otros productos que son productos con licencia disponibles solo para usuarios pagos", dijo el investigador de CloudSEK Pavan Karthick M.

Así como el panorama del ransomware comprende desarrolladores principales y afiliados que están a cargo de identificar objetivos potenciales y llevar a cabo los ataques, el ecosistema de ladrones de información también consiste en actores de amenazas conocidos como traffers que son reclutados para propagar el malware utilizando diferentes métodos.

Uno de los canales populares de distribución de malware es YouTube, con CloudSEK presenciando un aumento del 200-300% mes a mes en videos que contienen enlaces a malware ladrón en la sección de descripción.

Estos enlaces a menudo se ofuscan usando acortadores de URL como Bitly y Cuttly, o alternativamente alojados en MediaFire, Google Drive, Discord, GitHub y No tienes permitido ver los links. Registrarse o Entrar a mi cuenta de Telegram.

En varios casos, los actores de amenazas aprovechan las fugas de datos y la ingeniería social para secuestrar cuentas legítimas de YouTube y enviar malware, a menudo apuntando a cuentas populares para llegar a una gran audiencia en un corto período de tiempo.



"Subir a tales cuentas también le da legitimidad al video", explicó Karthick. "Sin embargo, tales Youtubers reportarán a su tomador de cuenta a YouTube y obtendrán acceso a sus cuentas en unas pocas horas. Pero en unas pocas horas, cientos de usuarios podrían haber caído presa".


Más ominosamente, entre cinco y 10 videos de descarga de crack se cargan en la plataforma de video cada hora, y los actores de amenazas emplean técnicas de envenenamiento de optimización de motores de búsqueda (SEO) para hacer que los videos aparezcan en la parte superior de los resultados.

También se ha observado que los actores de amenazas agregan comentarios falsos a los videos cargados para engañar y atraer a los usuarios a descargar el software pirateado.

El desarrollo se produce en medio de un aumento en las nuevas variantes de robo de información como SYS01stealer, S1deload, Stealc, Titan, ImBetter, WhiteSnake y Lumma que se ofrecen a la venta y vienen con capacidades para saquear datos confidenciales bajo la apariencia de aplicaciones y servicios populares.

Los hallazgos también siguen al descubrimiento de un kit de herramientas listo para usar llamado R3NIN Sniffer que puede permitir a los actores de amenazas desviar datos de tarjetas de pago de sitios web de comercio electrónico comprometidos.

Para mitigar los riesgos que plantea el malware ladrón, se recomienda a los usuarios que habiliten la autenticación multifactor, se abstengan de hacer clic en enlaces desconocidos y eviten descargar o usar software pirateado.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Reserva Federal ha anunciado el cierre de otro banco. El Signature Bank, el mayor criptobanco de los Estados Unidos, ha sido cerrado por el regulador estadounidense. Y los argumentos no pueden ser más directos. Tras el colapso del Silicon Valley Bank, se teme un "riesgo sistémico".

La FED promete que "el contribuyente no asumirá las pérdidas" y todos los depósitos se devolverán al completo. El mensaje es que los clientes que tienen su dinero en este banco están protegidos, no así ciertos accionistas y deudores no garantizados.


El cierre de Signature Bank supone un duro golpe para el sector bancario más ligado al mundo cripto. En menos de dos semanas, Estados Unidos ha visto como sus dos criptobancos más importantes han dejado de estar accesibles. Primero fue Silvergate y ahora ha sido Signature Bank, ubicado en Nueva York.

El caso de Signature Bank es representativo de lo que desde la Reserva Federal quieren vigilar. El 90% de los depósitos no están asegurados por la FDIC (Corporación Federal de Seguro de Depósitos) y más del 20% de todo el capital es cripto.

Según sus propios datos financieros de finales de año, el Signature Bank disponía activos por valor de unos 110.000 millones de dólares, con un valor de mercado del banco de unos 4.400 millones de dólares.

El criptobanco disponía de más de 1.800 empleados. La caída de Signature Bank se considera la tercera mayor en la historia bancaria de los Estados Unidos, únicamente superada por la propia del Silicon Valley Bank y el Washington Mutual Bank, durante la crisis de 2008.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta