Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

#1


Investigadores han publicado pruebas de concepto (PoC) para una vulnerabilidad crítica de Citrix NetScaler, identificada como CVE-2025-5777 y denominada CitrixBleed2. Advierten que la falla es fácilmente explotable y permite robar tokens de sesión de usuario.

La vulnerabilidad CitrixBleed 2, que afecta a los dispositivos ADC y Gateway de Citrix NetScaler, permite a los atacantes recuperar el contenido de la memoria simplemente enviando solicitudes POST malformadas durante los intentos de inicio de sesión.

Esta falla crítica se denomina CitrixBleed2 porque se asemeja mucho al error original CitrixBleed (CVE-2023-4966) de 2023, que fue explotado por grupos de ransomware y en ataques a gobiernos para secuestrar sesiones de usuario y vulnerar las redes.

En análisis técnicos publicados primero por watchTowr y luego por Horizon3, los investigadores confirmaron que la vulnerabilidad puede explotarse enviando una solicitud de inicio de sesión incorrecta, donde el parámetro login= se modifica para que se envíe sin signo igual ni valor.

Esto hace que el dispositivo NetScaler muestre el contenido de la memoria hasta el primer carácter nulo en la sección <InitialValue></InitialValue> de la respuesta, como se muestra a continuación.



La falla se debe al uso de la función snprintf junto con una cadena de formato que contiene la cadena de formato %.*s.

"El formato %.*s indica a snprintf: "Imprime hasta N caracteres o detente en el primer byte nulo (\\0)- lo que ocurra primero". Ese byte nulo aparece eventualmente en algún lugar de la memoria, por lo que, aunque la fuga no se extiende indefinidamente, se obtienen algunos bytes con cada invocación", explica el informe de watchTowr.

"Por lo tanto, cada vez que se llega a ese punto final sin el =, se extraen más datos de pila sin inicializar en la respuesta".

Según Horizon3, cada solicitud filtra aproximadamente 127 bytes de datos, lo que permite a los atacantes realizar repetidas solicitudes HTTP para extraer contenido adicional de la memoria hasta encontrar los datos confidenciales que buscan.

Si bien los intentos de WatchTowr no tuvieron éxito, Horizon3 demuestra en el video a continuación que podrían explotar esta falla para robar tokens de sesión de usuario.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Además de los endpoints de NetScaler, Horizon3 afirma que la falla también puede explotarse contra las utilidades de configuración utilizadas por los administradores.

¿Explotada o no?


Citrix continúa afirmando que la falla no se está explotando activamente, y cuando BleepingComputer preguntó previamente sobre su estado, la compañía nos remitió a una entrada de blog sobre la vulnerabilidad.

"Actualmente, no hay evidencia que sugiera la explotación de CVE-2025-5777", dice la entrada del blog.

Sin embargo, un informe de junio de la empresa de ciberseguridad ReliaQuest indica que existe evidencia de que CVE-2025-5777 podría haber sido explotada en ataques, y la compañía ha observado un aumento en los secuestros de sesiones de usuario.

Además, el investigador de seguridad Kevin Beaumont rebate la declaración de Citrix, afirmando que la vulnerabilidad se ha explotado activamente desde mediados de junio, y que los atacantes la han aprovechado para volcar memoria y secuestrar sesiones.

Destacó los siguientes indicadores de vulnerabilidad:

En los registros de Netscaler, repetidas solicitudes POST a *doAuthentication*; cada una ocupa 126 bytes de RAM.

En los registros de Netscaler, solicitudes a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta con "Content-Length: 5".

En los registros de usuario de Netscaler, líneas con *LOGOFF* y user = "*#*" (es decir, el símbolo # en el nombre de usuario). La RAM se utiliza en el campo incorrecto.

"Cabe destacar que solo pude encontrar actividad de explotación gracias a los informes de WatchTowr y Horizon3", advirtió Beaumont.

"El soporte de Citrix no reveló ningún IOC y afirmó erróneamente (de nuevo, como ocurrió con CitrixBleed) que no había ninguna explotación activa. Citrix tiene que mejorar en esto; está perjudicando a los clientes".

Citrix ha publicado parches para abordar CVE-2025-5777, y se insta encarecidamente a todas las organizaciones a aplicarlos de inmediato ahora que los exploits públicos están disponibles.

Si bien Citrix recomienda cerrar todas las sesiones activas de ICA y PCoIP, los administradores deben revisar primero las sesiones existentes para detectar cualquier actividad sospechosa antes de hacerlo.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#2


Un analista de malware descubrió una nueva versión del ladrón de información Atomic para macOS (también conocido como «AMOS») que incluye una puerta trasera que permite a los atacantes acceder de forma persistente a los sistemas comprometidos.

El nuevo componente permite ejecutar comandos remotos arbitrarios, sobrevive a los reinicios y permite mantener el control sobre los hosts infectados indefinidamente.

La división de ciberseguridad de MacPaw, Moonlock, analizó la puerta trasera del malware Atomic tras recibir información del investigador independiente g0njxa, un observador atento de la actividad del ladrón de información.

«Las campañas de malware de AMOS ya han llegado a más de 120 países, entre los que se encuentran Estados Unidos, Francia, Italia, Reino Unido y Canadá, entre los más afectados», afirman los investigadores.

«La versión con puerta trasera del ladrón Atomic para macOS ahora tiene el potencial de obtener acceso completo a miles de dispositivos Mac en todo el mundo».

Evolución de Atomic

El stealer Atomic, documentado por primera vez en abril de 2023, es una operación de malware como servicio (MaaS) promocionada en canales de Telegram por una cuantiosa suscripción de 1000 dólares al mes. Su objetivo son archivos de macOS, extensiones de criptomonedas y contraseñas de usuarios almacenadas en navegadores web.

En noviembre de 2023, apoyó la primera expansión de las campañas "ClearFake" en macOS, mientras que en septiembre de 2024, fue detectado en una campaña a gran escala por el grupo de cibercrimen Marko Polo, que lo implementó en ordenadores Apple.

Moonlock informa que Atomic ha pasado recientemente de canales de distribución amplios, como sitios web de software pirateado, a phishing dirigido a propietarios de criptomonedas, así como a invitaciones a entrevistas de trabajo para autónomos.

La versión analizada del malware incluye una puerta trasera integrada, utiliza LaunchDaemons para sobrevivir a los reinicios en macOS, seguimiento de víctimas basado en la identificación y una nueva infraestructura de comando y control.

Evolución


Una puerta trasera en tu Mac

El ejecutable principal de la puerta trasera es un binario llamado ".helper", que se descarga y guarda en el directorio personal de la víctima como un archivo oculto tras la infección, según los investigadores.

Un script persistente llamado ".agent" (también oculto) ejecuta ".helper" en bucle como el usuario conectado, mientras que un LaunchDaemon (com.finder.helper) instalado mediante AppleScript garantiza que ".agent" se ejecute al iniciar el sistema.

Esta acción se realiza con privilegios elevados utilizando la contraseña del usuario robada durante la fase inicial de la infección con un pretexto falso. El malware puede entonces ejecutar comandos y cambiar la propiedad del LaunchDaemon PLIST a "root:wheel" (superusuario en macOS).

Cadena de ejecución


La puerta trasera permite a los actores de amenazas ejecutar comandos de forma remota, registrar pulsaciones de teclas, introducir cargas útiles adicionales o explorar el potencial de movimiento lateral.

Para evadir la detección, la puerta trasera busca entornos sandbox o de máquinas virtuales mediante 'system_profiler' y también ofrece ofuscación de cadenas.

La evolución del malware demuestra que los usuarios de macOS se están convirtiendo en objetivos más atractivos y que las campañas maliciosas dirigidas a ellos son cada vez más sofisticadas.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#3


Shellter Project, proveedor de un cargador comercial de evasión de AV/EDR para pruebas de penetración, confirmó que hackers utilizaron su producto Shellter Elite en ataques después de que un cliente filtrara una copia del software.

El abuso ha continuado durante varios meses y, aunque investigadores de seguridad detectaron la actividad en tiempo real, Shellter no recibió ninguna notificación.

El proveedor subrayó que este es el primer incidente conocido de uso indebido desde que introdujo su estricto modelo de licencias en febrero de 2023.

"Descubrimos que una empresa que había adquirido recientemente licencias de Shellter Elite había filtrado su copia del software", declaró Shellter en un comunicado.

"Esta brecha de seguridad provocó que actores maliciosos explotaran la herramienta con fines dañinos, incluyendo la distribución de malware ladrón de información".

Se ha publicado una actualización para solucionar el problema, que no llegaría al cliente malicioso.

Shellter Elite se usa de forma indiscriminada


Shellter Elite es un cargador comercial de evasión de AV/EDR utilizado por profesionales de seguridad (equipos rojos y testers de penetración) para desplegar cargas útiles de forma sigilosa dentro de binarios legítimos de Windows, evadiendo las herramientas EDR durante las intervenciones de seguridad.

El producto ofrece evasión estática mediante polimorfismo y evasión dinámica en tiempo de ejecución mediante AMSI, ETW, comprobaciones antidepuración/VM, prevención de desenganche de pila de llamadas y módulos, y ejecución señuelo.

En un informe del 3 de julio, Elastic Security Labs reveló que múltiples actores de amenazas han estado usando Shellter Elite v11.0 para desplegar ladrones de información, incluyendo Rhadamanthys, Lumma y Arechclient2.

Los investigadores de Elastic determinaron que la actividad comenzó al menos desde abril y que el método de distribución se basó en comentarios de YouTube y correos electrónicos de phishing.

Basándose en las marcas de tiempo únicas de la licencia, los investigadores plantearon la hipótesis de que los actores de la amenaza utilizaban una única copia filtrada, lo cual Shellter confirmó oficialmente posteriormente.

Elastic ha desarrollado detecciones para muestras basadas en la v11.0, por lo que las cargas útiles creadas con esa versión de Shellter Elite ahora son detectables.

Shellter lanzó la versión 11.1 de Elite, que solo distribuirá a clientes verificados, excluyendo al que filtró la versión anterior.

El proveedor calificó la falta de comunicación de Elastic Security Labs de "imprudente y poco profesional" por no informarles de sus hallazgos con antelación.

"Conocían el problema desde hacía varios meses, pero no nos lo notificaron. En lugar de colaborar para mitigar la amenaza, optaron por retener la información para publicar una revelación sorpresa, priorizando la publicidad sobre la seguridad pública". - Shellter

Sin embargo, Elastic proporcionó a Shellter las muestras necesarias para identificar al cliente infractor.

La compañía pidió disculpas a sus "clientes leales" y reafirmó que no colabora con los ciberdelincuentes, expresando su disposición a cooperar con las fuerzas del orden cuando sea necesario.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#4


Los hackers con presencia física pueden eludir eficazmente las protecciones de arranque seguro en sistemas Linux modernos e inyectar malware persistente. La solución rápida consiste en modificar el kernel e impedir que el sistema acceda a una shell de depuración durante fallos de arranque.

Los discos totalmente cifrados, el arranque seguro y los gestores de arranque protegidos con contraseña no protegen a Linux de los hackers con acceso físico al sistema.

Alexander Moch, investigador de seguridad de ERNW, ha revelado una grave vulnerabilidad que afecta a distribuciones Linux modernas, como Ubuntu y Fedora.

Las medidas de seguridad de arranque pasan por alto un sutil pero serio vector de ataque: los atacantes pueden introducir comandos maliciosos en una shell de depuración que aparece tras múltiples fallos de arranque. Pueden abusar de la shell a través del sistema de archivos de RAM inicial (initramfs), que el kernel utiliza temporalmente durante el arranque para acceder a controladores y otros archivos para cargar el sistema operativo.

Los atacantes solo necesitarían un breve acceso físico para eludir las protecciones de arranque e inyectar malware persistente en los sistemas.

"En muchas distribuciones populares de Linux, el shell de depuración se puede activar de forma fiable si se ingresa varias veces una contraseña incorrecta para la partición raíz cifrada", explica Moch.

Desde allí, un atacante puede modificar el archivo initramfs e inyectar ganchos maliciosos que se ejecutan la próxima vez que la víctima arranca y desbloquea el sistema.

El arranque seguro solo comprueba la imagen del kernel y los módulos del sistema si están firmados, y la modificación del propio archivo initramfs sigue siendo posible. Por lo tanto, los atacantes pueden simplemente descomprimir el archivo initramfs, añadir scripts maliciosos y volver a empaquetarlo sin alterar las firmas comprobadas.

El atacante necesitaría preparar una unidad USB con las herramientas necesarias. El investigador demostró que el ataque funciona en Ubuntu 25.04 y Fedora 42 con particiones raíz cifradas y la configuración predeterminada. También existen shells de depuración en otras distribuciones de Linux.

Por ejemplo, en Ubuntu, el atacante pulsaría ESC cuando se le solicitara la contraseña y presionaría la combinación CTRL+C tres veces seguidas. Tras un tiempo de espera de 30 segundos, tendría que rechazar la solicitud de contraseña repetida y, a continuación, presionar CTRL+C seis veces para acceder a un shell de depuración.

El shell permitiría al atacante crear un directorio, montar una partición raíz externa desde la unidad USB y ejecutar los scripts preparados.

¿Cómo cerrar la vulnerabilidad abierta?

Según el investigador de ERNW, los ataques se pueden mitigar fácilmente implementando algunos cambios.

"La mitigación más sencilla es modificar los parámetros de la línea de comandos del kernel: añadir panic=0 para sistemas basados en Ubuntu y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta=0 rd.emergency=halt para sistemas basados en Red Hat. Esto hace que el sistema se detenga en lugar de pasar a una shell de depuración", recomienda el investigador.

De igual forma, se puede configurar el gestor de arranque para que requiera una contraseña para arrancar el sistema, en lugar de solo al modificar las entradas del gestor de arranque.

"Aún mejor, se podría habilitar el cifrado nativo del SSD. También se podría considerar cifrar la partición de arranque con LUKS", indica el aviso.

El investigador espera que el engorroso esfuerzo de combinar el kernel e initramfs en un binario monolítico firmado ayude a prevenir ataques similares en el futuro.

Las mitigaciones son sencillas y eficaces, como ajustar los parámetros del kernel, restringir el acceso al arranque o usar el cifrado completo de la partición de arranque. Sin embargo, estas medidas suelen faltar en las guías, pruebas de rendimiento y herramientas de refuerzo estándar.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#5


Best Desktop Computers for Programming and Coding in 2025

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#6
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una bestia ancestral ha despertado repentinamente de su letargo tras 14 años. En el mundo de las criptomonedas, esta bestia se conoce como ballena: un pionero en la adopción de la blockchain que posee cantidades masivas de moneda. Las ballenas suelen ser monitoreadas de cerca por la comunidad debido a su previsión; por lo tanto, incluso la más mínima actividad puede interpretarse como una señal que impulsa los mercados a fluctuar.

Una de estas ballenas, que actualmente se especula que es Roger Ver, ha movido 80.000 Bitcoin en las últimas 24 horas. Esto representa más de 8.600 millones de dólares en dinero de la gente común, obtenidos a partir de una inversión inicial de menos de 210.000 dólares en 2011. Haciendo cálculos, esta misteriosa ballena ha logrado una rentabilidad hipotética de casi 4 millones sobre su compra inicial, o aproximadamente 40.000 veces la cantidad original.

Las ocho billeteras Bitcoin contienen 10.000 BTC cada una.

Todos estos bitcoins son de la venerada era Satoshi, el período inicial entre 2009 y 2011, cuando se introdujo la criptomoneda. Las billeteras de esta época pertenecen a fieles creyentes del Bitcoin, personas que invirtieron en la idea radical de un sistema financiero descentralizado cuando una sola moneda no valía ni un dólar. Así que, imagínense la alegría en las caras de los criptoamigos cuando alguien decidió mover una cantidad récord de bitcoins ayer.

El récord anterior de la mayor transacción individual en la historia de Bitcoin era de tan solo 3700 BTC, y ahora la suma de 10 000 BTC lo han superado, moviéndose de una sola vez. Hubo un total de ocho billeteras involucradas en esta transacción, cada una con los mencionados 10 000 Bitcoin, y todas pertenecen a la misma persona, según el destacado analista de criptomonedas Arkham.

Una sola entidad movió 8600 millones de dólares en BTC desde 8 direcciones el último día. Todos los Bitcoin se transfirieron a las billeteras originales el 2 de abril o el 4 de mayo de 2011 y se han conservado durante más de 14 años. Actualmente, los Bitcoin se encuentran en 8 nuevas direcciones.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La ola comenzó la madrugada del viernes, cuando dos billeteras que llevaban 14 años inactivas transfirieron repentinamente 10 000 BTC cada una a nuevas direcciones. Estas billeteras originales datan del 3 de abril de 2011, cuando recibieron inicialmente una gran cantidad de Bitcoin. En aquel entonces, un Bitcoin valía tan solo 78 centavos, por lo que 10 000 BTC equivaldrían a 7800 $. Esto representa un aumento de casi el 14 000 000 %.

Ocho horas después, seis billeteras más de la misma época, cada una con 10 000 BTC, transfirieron sus existencias sin realizar ninguna transacción de prueba previa. Estas son del 4 de mayo de 2011, cuando Bitcoin había subido a 3,25 $. En total, estas ocho billeteras suman 80 000 Bitcoin, y se cree que todo el alijo estaba en manos de la misteriosa ballena. Bitcoin cotiza actualmente a $108,000, ligeramente por debajo de su máximo histórico de $110,000, que alcanzó poco antes de las transferencias.

Curiosamente, durante nuestra investigación, encontramos una publicación de Reddit de 2023 que hablaba de seis billeteras de Bitcoin, cada una con 10,000 BTC, y especulaba sobre su propiedad. El curioso autor mencionó nombres como los gemelos Winklevoss e incluso sugirió en broma que esta podría ser "la herencia de Satoshi a sus hijos". Estas seis billeteras, que datan del 4 de mayo de 2011, son las mismas que participaron en la histórica transacción, que transfirió sus Bitcoin apenas horas después de que las billeteras anteriores, del 2 de abril de 2011, hicieran su movimiento. Olvídense de nuestra ballena misteriosa: el usuario de Reddit RealVoldermort fue quien vio venir la tormenta antes de que estallara.

Por supuesto, nadie sabe adónde fueron a parar estos bitcoins. ¿Fue una venta? ¿Una herencia, simplemente pasando de un inversor fallecido a su heredero? Quizás fue Roger Ver, uno de los primeros inversores de Bitcoin, quien defendió la moneda en torno a su creación hace más de una década. Al menos, eso es lo que @SaniExp en Twitter afirma con un 99% de certeza.

Creo que los 80.000 BTC podrían pertenecer a Roger Ver. He aquí por qué: El año pasado, @MrHodl hablaba sobre Roger y el tamaño potencial de sus tenencias durante un espacio en Twitter. Eso me impulsó a investigar su historial de compras. Corroboré esas fechas.

Ciudadanos de todo el mundo tienen teorías interesantes sobre por qué se produjo tal transacción un viernes cualquiera sin previo aviso. Creyendo que Roger Ver es nuestro protagonista, algunos especulan que ejecutó la "venta" como parte de un posible acuerdo con el gobierno estadounidense. Ver, quien reside actualmente en España, es buscado en Estados Unidos por cargos de fraude fiscal y, a principios de este año, solicitó al presidente Trump un indulto para evitar la extradición.

Independientemente de quién resulte ser la ballena nadando en el océano, se puede afirmar que ha sacudido el mundo de las criptomonedas y las finanzas en su conjunto. Las nuevas billeteras, que ahora contienen más de 8 mil millones de dólares en Bitcoin, no han tenido más movimientos desde entonces, y la verdadera identidad de nuestro nuevo propietario sigue siendo desconocida. Actualizaremos la historia con más detalles si surge algo valioso.

Fuente:
Tom's Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#7
Léase el apartado de Noticias del Foro, y en particular observe las fuentes de las cuales se extrajeron las noticias.
 
Le guiarán hacia los mejores Blog´s sobre informática y ciberseguridad.
También se hace eco y mención de los Foros de ciberdelincuencia especializados más notorios del momento.

Realice una búsqueda por el Foro que ya han preguntado:

Ej.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

También han recomendado canales de Youtube, entre otros.

Ya en español quedan pocos Foros: elhacker[.]net que tenía un apartado de noticias muy bueno en su momento, y que aun en dicho apartado o Blog, se encuentran cosas interesantes.

El Foro de Seguridad Wireless: seguridadwireless[.]net

Blog´s que puede consultar en español:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
etc.
Solo debe buscar en internet.

Sobre técnicas de Hacking y tutoriales avanzados:
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
etc.
De igual forma, una búsqueda en internet le arrojará resultados interesantes.


#8
Dudas y pedidos generales / Re:Comprar pc
Julio 05, 2025, 05:26:10 AM
Instalación y configuración de S.O.
29,95€

.Montaje y testeo de componentes internos del PC
49,95€

.Microsoft Windows 11 Pro Standard
144,99€

Ese gasto es innecesario.

Busque en internet o pregunte por aquí en el Foro de cómo realizarlo Ud.
#9
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Todo el mundo confía en los PDF, y es precisamente por eso que los ciberdelincuentes están tan obsesionados con ellos.

El formato de documento portátil, más conocido como PDF, se distribuye millones de veces al día. Todo, desde documentos fiscales y currículums hasta facturas, folletos digitales o cualquier otra información, se envía por correo electrónico con un PDF adjunto.

Los PDF son sencillos, multiplataforma y universalmente confiables. Pueden contener imágenes, enlaces interactivos y logotipos de aspecto oficial. Esto los hace perfectos para los atacantes que buscan pasar desapercibidos, razón por la cual los hackers están obsesionados con ellos actualmente.

Las principales marcas suplantadas en correos electrónicos con archivos PDF adjuntos. Fuente: Cisco Talos



En los últimos meses, los analistas de ciberseguridad han observado un fuerte aumento en los ataques de phishing enviados a través de archivos PDF. Estos PDF están diseñados para imitar comunicaciones legítimas de gigantes tecnológicos y proveedores de servicios para engañar a las víctimas y que revelen sus credenciales o descarguen malware.

Según información de Cisco Talos, entre el 5 de mayo y el 5 de junio de 2025, la suplantación de identidad de marca mediante archivos PDF adjuntos se disparó. Las marcas más suplantadas son Microsoft y DocuSign. NortonLifeLock, PayPal y Geek Squad se encontraban entre las marcas más suplantadas en correos electrónicos TOAD (abreviatura en inglés de entrega de ataques telefónicos) con archivos PDF adjuntos.

Las campañas de phishing son globales, y muchas se originan desde direcciones IP ubicadas en EE. UU. y Europa.

Las direcciones IP de origen de los intentos de suplantación de marca mediante archivos PDF adjuntos


¿Cómo explotan los atacantes los archivos PDF?


Un ataque reciente suplantó a Microsoft con un asunto engañoso como "Incremento de sueldo", programado estratégicamente durante periodos de probables ascensos o cambios por méritos en diversas organizaciones.

El PDF parecía un documento estándar de RR. HH., lo suficientemente creíble como para que la víctima escaneara el código QR que la redirigía a un sitio web de robo de credenciales. Dropbox también se utiliza a menudo como plataforma para distribuir PDF maliciosos.

Un correo electrónico de phishing con código QR que suplanta la marca Microsoft


También existen los ataques TOAD. Estos PDF de phishing no buscan que la víctima simplemente haga clic en un enlace, sino que los estafan mediante una llamada telefónica. Los estafadores suelen enviar mensajes sobre errores de facturación, actividad sospechosa o renovaciones de suscripción, incluyendo un número de atención al cliente.

La mayoría de los números de teléfono utilizados en estas estafas por correo electrónico son números de Voz sobre Protocolo de Internet (VoIP), que son mucho más difíciles de rastrear hasta una persona real o una ubicación física que las líneas telefónicas estándar.

Los estafadores también están abusando de plataformas legítimas como el servicio de firma electrónica de Adobe. Entre abril y mayo de 2025, Talos detectó PDF enviados a través del sistema de Adobe, haciéndose pasar por marcas como PayPal.

Un correo electrónico de phishing con código QR que suplanta las marcas Microsoft y Adobe


Los PDF también son un excelente medio para el phishing con códigos QR, que actualmente está en pleno auge. Estos códigos suelen suplantar la identidad de empresas como Microsoft o Adobe.

Además, existe otra táctica peligrosa: el abuso de las anotaciones en archivos PDF. Los PDF pueden ocultar enlaces en lugares como comentarios, notas adhesivas o campos de formulario. Muchos escáneres ignoran todas estas áreas.

Los atacantes también inundan los archivos con texto irrelevante para confundir a los motores de detección. En algunos casos, incrustan dos URL: una aparentemente limpia (para generar confianza) y otra oculta que lleva a la página de phishing real.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#10
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

AMD está trabajando en su tecnología de caché L3 apilada en 3D de tercera generación, y esta traerá dos cambios muy importantes que permitirán aumentar muchísimo la cantidad total de caché L3 por chiplet.

El primer cambio será un aumento de la cantidad total de caché L3 por capa. En su versión actual, la caché L3 apilada en 3D de AMD tiene una capacidad de 64 MB, pero con el salto a la tercera generación esta aumentará hasta los 96 MB, lo que supone un incremento del 50%.

En segundo lugar, AMD podrá apilar hasta dos capas de caché L3 en 3D por cada chiplet CPU (unidad CCD), lo que significa que podrá aumentar la caché hasta los 192 MB con esta nueva tecnología. Impresionante, sin duda.



Sumando la caché L3 que tendría un chiplet CPU basado en Zen 6 (48 MB según los últimos rumores), tenemos que AMD sería capaz de diseñar un procesador de 12 núcleos y 24 hilos con la impresionante cifra de 240 MB de caché L3 (48 MB + 192 MB apilados en 3D).

¿Qué ventajas tendría tanta caché L3 en un procesador Zen 6?

La caché L3 de un procesador es muy importante porque actúa como un bloque donde la CPU puede guardar instrucciones y datos a los que tendrá que acceder con cierta frecuencia.

Esta memoria es mucho más rápida que la RAM, tiene una latencia inferior, está pegada al procesador y este puede acceder a ella de forma directa, mientras que la RAM está colocada en ranuras alejadas de este, y para acceder a ellas necesita pasar por la controladora de memoria.

Todo esto implica que el procesador puede acceder más rápido y comunicarse a mayor velocidad con la caché L3 que con la RAM. Tener una mayor cantidad de caché L3 ayuda mejorar el rendimiento del procesador porque este puede guardar una mayor cantidad de datos e instrucciones, reduciendo así la cantidad de veces que tiene que recurrir a la RAM. Así de simple.

Los juegos son las aplicaciones que más se benefician de una mayor cantidad de caché L3, lo que significa que un procesador Zen 6 con 12 núcleos y 24 hilos acompañado de 240 MB de caché L3 debería ser una auténtica bestia en juegos. No obstante, no tengo claro cómo de bueno será el escalado de la caché L3 al aumentar hasta un nivel tan elevado, así que os recomiendo controlar un poco las expectativas.

Con esto quiero decir que tener 240 MB de caché L3 no significa que un procesador vaya a doblar su rendimiento en juegos frente a otro con 96 MB de caché L3. Si este rumor se cumple estoy seguro de que el aumento de rendimiento será mucho más modesto, pero suficiente para poner las cosas difíciles a Intel.

Fuente:
MuyComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#11


Galaxy G Fold es el nombre elegido por Samsung para su nuevo smartphone plegable. Un desarrollo impresionante cuyas características se han revelado en la última versión beta del sistema operativo One UI 8.

Hablar de móviles plegables es hablar de Samsung porque la firma surcoreana acapara un 70% de este segmento de mercado. Y no parece que vaya a perder su posición de privilegio hasta que no llegue el esperado iPhone plegable. De hecho, la semana que viene Samsung celebrará un nuevo evento Unpacked donde presentará su nueva generación de móviles plegables, Fold7 y Flip7.



No es un formato de ventas masivas, pero sí son terminales muy rentables donde se muestra las últimas tecnologías disponibles en pantallas flexibles y en su aplicación en smartphones.

Galaxy G Fold, otro nivel

Si los Galaxy Z apuestan por el plegado simple, el nuevo modelo sube de nivel con un sistema de plegado adicional. Samsung no quiere restar protagonismo a sus plegables generales y el que nos ocupa se fabricará en edición limitada y llegará al mercado a finales de 2025. Su precio estimado de 4 millones de wones coreanos (alrededor de 3.000 dólares) ya nos indica que no será un producto de ventas masivas.

La pantalla flexible es la clave de todos los plegables y aquí la división Samsung Display echará el resto con la producción de un panel OLED flexible que se encajará en un sistema de doble plegado que nos deja las tres pantallas interiores que ve en las imágenes. Se calcula que cuando esté totalmente desplegado ofrecerá 10 pulgadas de diagonal, el de un tablet de medio formato y lo mayor visto nunca en un smartphone.



A pesar de su gran tamaño desplegado, debido a las limitaciones de grosor y a las temperaturas que se alcanzan en su interior, dicen las fuentes que la batería no superará los 5600 mAh del Huawei Mate XT, su competidor más directo. En cuanto a su motor de hardware, se apunta a un Snapdragon 8 Elite de Qualcomm.

La etiqueta 'G' de su nombre pretende indicar su sistema de plegado, con dos pliegues internos en lugar de uno interno y otro externo como el del Mate XT de Huawei. El dispositivo contará con un total de cuatro pantallas, las tres interiores y una pantalla de cubierta frontal ubicada entre dos bordes.



En cuanto a las cámaras, vemos tres sensores alineados verticalmente para la cámara principal. Además, dos de los cuatro paneles tienen una cámara para autofotos. Con este tipo de diseño y su gran tamaño, el Galaxy G Fold podrá usarse en varias configuraciones. Su alto precio limitará las ventas, aunque Samsung lo posicionará como prueba de concepto para tantear cómo está el mercado respecto a estos diseños y la experiencia en su desarrollo podrá trasladarse a la línea general de plegables.

A este respecto, señalar que además de la nueva generación Galaxy Z Fold7 y Flip7, la compañía está desarrollando un Flip FE más económico para 'democratizar' el uso de plegables.

Fuente:
AndroidAuthority
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Vía
(Compendio y Traducción):
MuyComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#12


Una falla en el software espía Catwatchful para Android expuso toda su base de datos de usuarios, filtrando direcciones de correo electrónico y contraseñas en texto plano tanto de los clientes como de su administrador, según informó TechCrunch.

El investigador de seguridad Eric Daigle fue el primero en descubrir la vulnerabilidad.

Catwatchful es un software espía (spyware) que se hace pasar por una aplicación de monitoreo infantil y afirma ser "invisible e indetectable", mientras sube el contenido privado del teléfono de la víctima a un panel visible para quien la instaló. Los datos robados incluyen fotos, mensajes y datos de ubicación en tiempo real de las víctimas. La aplicación también puede acceder remotamente al audio ambiental en vivo del micrófono del teléfono y acceder a las cámaras frontal y trasera.

Las aplicaciones de software espía como Catwatchful están prohibidas en las tiendas de aplicaciones y dependen de que alguien con acceso físico al teléfono de una persona las descargue e instale. Por ello, estas aplicaciones se conocen comúnmente como "stalkerware" (o software de pareja) por su propensión a facilitar la vigilancia no consentida de cónyuges y parejas, lo cual es ilegal.

Catwatchful es el último ejemplo de una creciente lista de operaciones de stalkerware que han sido hackeadas, violadas o que han expuesto de alguna otra forma los datos que obtienen. Este incidente pone de manifiesto cómo el spyware de consumo sigue propagándose, a pesar de estar a menudo mal diseñado y plagado de fallos de seguridad que ponen tanto a los usuarios como a las víctimas en riesgo de fugas de datos.

"Según una copia de la base de datos de principios de junio, a la que TechCrunch ha tenido acceso, Catwatchful tenía las direcciones de correo electrónico y las contraseñas de más de 62.000 clientes y los datos telefónicos de los dispositivos de 26.000 víctimas", afirma el informe publicado por TechCrunch.

La mayoría de las víctimas del spyware Catwatchful se encontraban en México, Colombia, India y otros países latinoamericanos, con algunos datos que datan de 2018. La base de datos también expuso al administrador de la operación, Omar Soca Charcov, de Uruguay, quien no respondió a las solicitudes de comentarios. TechCrunch compartió los datos filtrados con Have I Been Pwned para ayudar a informar a las posibles víctimas de la filtración.

Catwatchful sube secretamente los datos de las víctimas a una base de datos de Firebase, accesible para los usuarios a través de un panel web. Tras registrarse, los usuarios reciben un APK preconfigurado que requiere acceso físico para su instalación. Una vez activo, permite el espionaje en tiempo real. El investigador de seguridad Eric Daigle encontró una falla de inyección SQL que expuso toda la base de datos de Firebase, revelando inicios de sesión en texto plano, contraseñas de 62050 cuentas y vínculos entre usuarios y dispositivos.

El segundo aspecto destacable es que todos los datos personales recopilados aquí parecen estar almacenados en Firebase, proporcionados desde las URL de Cloud Storage con el formato No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Interceptar el tráfico de mi teléfono de prueba confirma que los archivos se suben directamente a Firebase y revela que los comandos para funciones como las fotos en vivo también se gestionan a través de FCM. Según el informe publicado por Daigle, un atacante puede usar la información de la base de datos para acceder a cualquier cuenta. Daigle compartió sus hallazgos con Zack Whittaker, editor de seguridad de TechCrunch, quien contactó a Google el 23 de junio de 2025. Google lo detectó a través de Navegación Segura, mientras que el equipo de Firebase afirmó estar investigando, pero la base de datos seguía en línea en ese momento.

A continuación, se muestra la cronología de esta vulnerabilidad:

09/06/2025: Se descubre la vulnerabilidad. Se contacta a Zack (Zack Whittaker, editor de seguridad de TechCrunch).

23/06/2025: Zack contacta a Google, quien la reporta en Navegación Segura. El equipo de Firebase afirma estar investigándola (la base de datos sigue activa al momento de escribir este artículo).

25/06/2025: Zack contacta a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, que aloja No tienes permitido ver enlaces. Registrate o Entra a tu cuenta (el sitio web está inactivo al final del día, lo que interrumpe el servicio) y a la persona identificada como la que lo ejecuta (sin respuesta al momento de escribir este artículo).

26/06/2025: Se restaura el servicio y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta es reemplazado por No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, que aún es vulnerable.

27/06/2025: Se activa un WAF en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, bloqueando con éxito la SQLI.

02/07/2025: Publicación

TechCrunch informó que la presencia de Catwatchful puede detectarse y desinstalarse marcando "543210" en el dispositivo infectado.



"Este código es una función de puerta trasera integrada que permite a quien instaló la aplicación recuperar el acceso a la configuración una vez que esta se oculta. Este código también puede ser utilizado por cualquier persona para comprobar si la aplicación está instalada", concluye TechCrunch.

Fuente:
TechCrunch
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Vía:
SecurityAffairs
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#13


Hay una nueva campaña de financiación colectiva muy popular que promete un dispositivo portátil todo en uno para matar mosquitos con láser por tan solo $498. Jim Wong ha creado una página en IndieGogo para la "Primera Defensa Aérea Portátil contra Mosquitos del Mundo", llamada Photonmatrix.

Las principales atracciones de Photonmatrix son su escáner LiDAR combinado con un láser dirigido por galvanómetro que puede buscar y destruir mosquitos a una velocidad de hasta 30 plagas por segundo. Además, esta defensa contra mosquitos en miniatura de Star Wars funciona en la oscuridad, tiene un radio de hasta 6 m (19,7 pies) y puede cargarse con una batería externa de smartphone hasta por 16 horas.



El producto láser neutralizador de mosquitos de Wong está disponible en dos ediciones. La principal diferencia entre las ediciones Basic y Pro es que el modelo Basic tiene un radio de acción menor, de 3 m (9,8 pies) como máximo, que se duplica con la edición Pro, alcanzando una zona libre de mosquitos de 6 m (19,7 pies) de radio.



La versión Pro también tiene un precio considerablemente superior. Si el radio adicional te resulta atractivo para tu implementación, te costará $200 adicionales. En otras palabras, el precio para patrocinadores de la Photonmatrix Pro es de $698.

En cuanto a precios, los $498 (Básico) y $698 (Pro) mencionados anteriormente son estándar durante la duración de este proyecto de IndieGogo. Sin embargo, aún hay plazas disponibles para patrocinadores de la versión Básica-Earlybird, lo que te permite ahorrar $40 sobre el precio de la versión Básica. La página del proyecto afirma que los productos Básico y Pro subirán a $698 y $898, respectivamente, una vez finalizada la campaña de financiación colectiva.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El equipo estándar que recibirán los patrocinadores del proyecto incluye la unidad Lidar/láser en configuraciones de alimentación Básica o Pro, una base localizadora, un soporte, una fuente de alimentación y un cable conector de CC de 2 m. Los extras opcionales incluyen una base giratoria, baterías externas de diversas capacidades y un adaptador para convertir las baterías externas de smartphones a los 24 V necesarios.

Wong afirma que un Photonmatrix puede funcionar hasta 16 horas con una batería externa de 39 200 mAh. Wong vende paquetes de baterías para esta solución láser de eliminación de insectos con clasificación IP68 por hasta 98 $. Cabe destacar que el adaptador para usar su propia batería externa cuesta tan solo 10 $.

Fuente
:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#14


Los precios de la memoria DDR4 han aumentado constantemente en los últimos meses debido a la escasez de suministro. Los principales fabricantes de DRAM, Micron, Samsung y SK hynix anunciaron a principios de este año que cesarían la producción de memoria DDR4 para finales de 2025, y CXMT, el mayor fabricante de memoria de China, hizo lo mismo en mayo. Debido a esto, el precio de los chips DDR4 se ha triplicado en tan solo dos meses.

ComputerBase informa que el precio del chip DDR4-3200 de 8 GB supera los 5 dólares (frente a los 1,75 dólares de finales de abril). La variante de doble paquete de este módulo de memoria DDR4 ahora tiene un precio promedio de 8,80 dólares, un aumento de más del 100 % desde los 3,57 dólares. Por ello, algunas empresas más pequeñas se han dado cuenta de que la DDR4 vuelve a ser rentable y han decidido ampliar la producción.

Por ejemplo, el fabricante de memoria taiwanés Nanya, con su amplia gama de memoria DDR4, se está beneficiando de estos aumentos de precios. Esto es especialmente cierto, ya que no produce LPDDR5 y solo cuenta con una línea limitada de productos DDR5. Por otro lado, es poco probable que fabricantes más grandes como Micron se sumen a esta tendencia, especialmente porque están destinando las líneas de producción liberadas a tecnologías actuales y futuras, como DDR5 y HBM.

El precio de algunos módulos DDR4 ha bajado ligeramente debido a esta noticia. Sin embargo, los precios se mantienen generalmente altos por el momento, especialmente porque los compradores probablemente aún estén abasteciéndose de chips de memoria DDR4 anticipando el fin de la producción. Esperamos que los precios se normalicen una vez que los fabricantes más pequeños recuperen su ritmo de producción, pero probablemente les llevará tiempo volver a sus niveles originales.

JEDEC introdujo oficialmente el estándar DDR5 en 2020, lo que significa que la tecnología ya lleva unos cinco años en el mercado. Si bien las CPU más recientes de Intel son compatibles con DDR4 y DDR5, los procesadores Zen 4 y superiores de AMD ahora solo son compatibles con DDR5. Además, el auge de la IA está convirtiendo la enorme demanda de chips HBM en un mercado lucrativo, impulsando a las principales empresas a migrar sus antiguas líneas DDR4 a la producción de HBM. Estos avances están desplazando a la DDR4 del mercado de forma lenta pero segura, pero debido a la cantidad de tecnologías antiguas que aún la utilizan, es probable que pase algún tiempo antes de que veamos realmente su fin.

Fuente
:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#15


Un hacker amenaza con filtrar 106 GB de datos presuntamente robados de la compañía española de telecomunicaciones Telefónica en una brecha que la compañía no reconoció.

El actor de amenazas ha filtrado un archivo de 2,6 GB que se descomprime en cinco gigabytes de datos con poco más de 20 000 archivos para demostrar que se produjo la brecha.

Filtración parcial con datos presuntamente robados a Telefónica


La filtración supuestamente ocurrió el 30 de mayo y el hacker afirma haber tenido 12 horas de exfiltración de datos ininterrumpida antes de que los defensores revocaran el acceso.

El hacker que se atribuye la responsabilidad del ataque se conoce como "Rey" y es miembro del grupo Hellcat Ransomware, responsable de otra filtración en Telefónica en enero a través de un servidor interno de desarrollo y gestión de tickets de Jira.

Rey declaró a BleepingComputer que exfiltraron 385.311 archivos que totalizaban 106,3 GB de comunicaciones internas (por ejemplo, tickets, correos electrónicos), órdenes de compra, registros internos, registros de clientes y datos de empleados.

También indicaron que la filtración del 30 de mayo fue posible debido a una configuración incorrecta de Jira después de que la empresa solucionara el problema anterior.

BleepingComputer intentó en múltiples ocasiones desde el 3 de junio contactar con Telefónica por correo electrónico. También contactamos con varios empleados de la alta dirección, pero no recibimos confirmación de la filtración del 30 de mayo.

La única respuesta que recibimos vino de un empleado de Telefónica O2, quien desestimó el supuesto incidente como un intento de extorsión utilizando información obsoleta de un incidente previamente conocido.

Telefónica O2 es la marca de la compañía española para sus negocios de telecomunicaciones en el Reino Unido y Alemania.

Rey compartió una muestra y un árbol de archivos de los datos presuntamente robados de Telefónica el 30 de mayo. Algunos de los archivos incluían facturas a clientes comerciales en varios países, como Hungría, Alemania, España, Chile y Perú.

En los archivos que recibimos había direcciones de correo electrónico de empleados en España, Alemania, Perú, Argentina y Chile, y facturas de socios comerciales o clientes en países europeos.

El archivo más reciente que pudimos encontrar entre toda la información que Rey compartió data de 2021, lo que parece confirmar lo que nos dijo el representante de la compañía.

No obstante, el hacker insiste en que los datos provienen de una nueva brecha de seguridad del 30 de mayo. Para demostrarlo, comenzaron a filtrar parte de los archivos presuntamente robados.

Dado que Telefónica ha negado una reciente filtración de 106 GB que contenía datos de su infraestructura interna, publico aquí 5 GB como prueba. Pronto publicaré el árbol de archivos completo y, en las próximas semanas, si Telefónica no cumple, se publicará todo el archivo. ;) —dijo Rey.



Los datos se distribuyeron inicialmente mediante los servicios de almacenamiento y transferencia de datos PixelDrain, pero fueron eliminados tras unas horas por motivos legales.

Posteriormente, el actor de amenazas distribuyó otro enlace de descarga desde Kotizada, un servicio que posteriormente recurrió a otro, Kotizada, que Google Chrome marca como sitio peligroso y recomienda encarecidamente a los usuarios que lo eviten.

Hasta que Telefónica emita un comunicado oficial, no está claro si se trata de una nueva filtración de datos antiguos. Sin embargo, según los hallazgos de BleepingComputer, algunas de las direcciones de correo electrónico de la filtración pertenecen a empleados en activo.

El grupo de hackers HellCat no es nuevo en el sector y suele centrarse en atacar servidores Jira. Son responsables de múltiples ataques a empresas de alto perfil.

Reivindicaron la vulneración de datos en el proveedor suizo de soluciones globales Ascom, Jaguar Land Rover, Affinitiv Schneider Electric y Orange Group.

Fuente
:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#16


Millones de sistemas Linux en todo el mundo, incluyendo aquellos que ejecutan servicios críticos, son potencialmente vulnerables a una nueva falla de sudo, fácil de explotar, que permite a usuarios no autorizados ejecutar comandos como root en servidores Ubuntu, Fedora y otros.

Sudo es una utilidad que permite a los usuarios ejecutar comandos como root o superusuario en equipos Linux. El equipo de la Unidad de Investigación Cibernética (CRU) de Stratascale descubrió dos fallas críticas que afectan a sudo.

Investigadores de seguridad advierten que cualquier usuario puede obtener acceso sin restricciones rápidamente. Los atacantes pueden explotar esto, ejecutar comandos arbitrarios como root y tomar el control total del sistema.

El error apareció por primera vez en la versión 1.9.14, publicada en junio de 2023, y se corrigió en la última versión de sudo, 1.9.17p1, publicada el 30 de junio de 2025. La vulnerabilidad se ha verificado en servidores Ubuntu y Fedora, pero podría afectar a muchos más sistemas.

"Estas vulnerabilidades pueden provocar la escalada de privilegios a root en el sistema afectado", señala el informe:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Instan a los administradores a instalar los paquetes de sudo más recientes lo antes posible, ya que no existen otras soluciones alternativas.

"La configuración predeterminada de sudo es vulnerable", explica Rich Mirch, de la Unidad de Investigación Cibernética de Stratascale.

Los investigadores publicaron el código de prueba de concepto y otros equipos pudieron replicar los hallazgos.

Vulnerabilidad relacionada con la función chroot de sudo

Las fallas críticas residen en la opción chroot de sudo, poco utilizada. Esta opción modifica el directorio raíz de trabajo para un proceso específico y limita el acceso al resto del sistema de archivos.

Si bien su objetivo es bloquear a los usuarios en su directorio personal, las fallas les permiten evadir sus privilegios y elevarlos. Para explotarlas no es necesario definir reglas de sudo para el usuario.

"Como resultado, cualquier usuario local sin privilegios podría escalar privilegios a root si se instala una versión vulnerable", afirmó el investigador.

Para explotar esta falla, los atacantes tendrían que crear un archivo /etc/nsswitch.conf en el directorio raíz especificado por el usuario y engañar a sudo para que cargue la biblioteca compartida arbitraria. Este archivo define cómo el sistema resuelve las cuentas de usuario, los grupos, los nombres de host, los servicios, etc.

Los responsables de Sudo confirmaron el problema y descontinuaron la opción chroot en la versión 1.9.17p1. "Un atacante puede aprovechar la opción -R (--chroot) de sudo para ejecutar comandos arbitrarios como root, incluso si no están listados en el archivo sudoers", afirmaron en un aviso.

El script de Mirch demuestra cómo un atacante sin privilegios puede crear un directorio temporal, agregar un archivo con una función para otorgarse acceso root completo, compilar una biblioteca compartida maliciosa que la cargue y luego engañar a sudo con la opción chroot para que la ejecute con privilegios elevados. De esta forma, el atacante puede tomar el control total del sistema.

Debido a los riesgos de reducir la seguridad del entorno, se recomienda a los administradores evitar el uso de opciones chroot.

"Busque en su entorno cualquier uso de la opción chroot. Revise todas las reglas de Sudo definidas en /etc/sudoers y los archivos en /etc/sudoers.d. Si las reglas de Sudo están almacenadas en LDAP, utilice herramientas como ldapsearch para volcarlas", escribe Mirch.

Millones de sistemas podrían verse afectados por este error. La publicación alemana No tienes permitido ver enlaces. Registrate o Entra a tu cuenta incluso descubrió máquinas virtuales Ubuntu recién instaladas en un importante proveedor alemán de alojamiento en la nube que aún son vulnerables a la falla, a pesar de la existencia de un parche.


Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#17


Un hacker afirma haber manipulado uno de los foros de cibercrimen más oscuros de internet, y podría tener razón.

Cybernews recibió recientemente un correo electrónico de un atacante que se hacía pasar por "test55". En el correo, afirmaba haber explotado el conocido mercado de cibercrimen DarkForums[.]st.

El atacante afirmó haber explotado la plataforma mediante la falsificación de solicitudes del lado del servidor (SSRF), una falla de seguridad web que permite engañar a un servidor para que envíe solicitudes a destinos no deseados.

Esto podría implicar acceder a sistemas internos a los que no se debe acceder desde el exterior, o engañar al servidor para que se comunique con sitios externos que controla el atacante, lo que podría filtrar información confidencial o permitirle profundizar aún más en la red.

Como prueba del éxito de la explotación, el actor de amenazas reveló una captura de pantalla. "¡DarkForums no es seguro para nadie!", escribió el atacante en un correo electrónico.



Los investigadores de Cybernews han comprobado las afirmaciones y confirmado su posible legitimidad. DarkForums ha lanzado desde entonces un servicio Tor para proteger a sus usuarios de la filtración de sus direcciones IP, aunque los administradores no han comentado sobre la supuesta vulnerabilidad.

"El atacante demostró una vulnerabilidad que le permitía recopilar las direcciones IP de quienes ven sus publicaciones", declaró el equipo de investigación de Cybernews.

"No está claro si logró explorar la vulnerabilidad a fondo y causar algún daño a DarkForums", añadió el equipo. Estas vulnerabilidades ponen en riesgo a los usuarios de foros clandestinos. Cuando se filtra la IP, se pierde el anonimato, especialmente si la configuración de VPN o Tor no es hermética.

Las fuerzas del orden vigilan constantemente estos espacios clandestinos, y una sola IP expuesta puede ser suficiente para empezar a atacar. Además, hackers rivales, estafadores y trolls oportunistas pueden usar esos mismos datos para doxear y suplantar la identidad de los usuarios de los foros.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#18


La operación de ransomware como servicio (RaaS) Hunters International anunció el cierre oficial de sus operaciones y ofrecerá descifradores gratuitos para ayudar a las víctimas a recuperar sus datos sin pagar un rescate.

"Tras una cuidadosa consideración y a la luz de los recientes acontecimientos, hemos decidido cerrar el proyecto Hunters International. Esta decisión no se tomó a la ligera y reconocemos el impacto que tiene en las organizaciones con las que hemos interactuado", afirma la banda de ciberdelincuentes en un comunicado publicado hoy sobre su filtración en la dark web.

"Como gesto de buena voluntad y para ayudar a las personas afectadas por nuestras actividades anteriores, ofrecemos software de descifrado gratuito a todas las empresas afectadas por nuestro ransomware. Nuestro objetivo es garantizar que puedan recuperar sus datos cifrados sin la carga de pagar rescates".

Los actores de amenazas también eliminaron todas las entradas del portal de extorsión y añadieron que las empresas cuyos sistemas fueron cifrados en los ataques de ransomware Hunters International pueden solicitar herramientas de descifrado y guías de recuperación en el sitio web oficial de la banda.

Aunque el grupo de ransomware no explica a qué "acontecimientos recientes" se refiere, el anuncio de hoy sigue a un comunicado del 17 de noviembre que afirmaba que Hunters International cerraría pronto debido al mayor escrutinio de las fuerzas del orden y la disminución de la rentabilidad.

La firma de inteligencia de amenazas Group-IB también reveló en abril que Hunters International estaba renovando su marca con planes para centrarse en el robo de datos y los ataques exclusivamente de extorsión, y que había lanzado una nueva operación exclusivamente de extorsión conocida como "World Leaks".



"A diferencia de Hunters International, que combinaba el cifrado con la extorsión, World Leaks opera como un grupo dedicado exclusivamente a la extorsión y utiliza una herramienta de exfiltración personalizada", declaró Group-IB en aquel momento, añadiendo que la nueva herramienta parece ser una versión mejorada de la herramienta de exfiltración de Storage Software utilizada por las filiales de ransomware de Hunters International.

Hunters International surgió a finales de 2023 y fue señalada por investigadores de seguridad y expertos en ransomware como una posible renovación de la marca Hive debido a las similitudes en su código. El malware del grupo de ransomware se dirige a una amplia gama de plataformas, como Windows, Linux, FreeBSD, SunOS y ESXi (servidores VMware), y también es compatible con arquitecturas x64, x86 y ARM.

En los últimos dos años, Hunters International ha atacado a empresas de todos los tamaños, con exigencias de rescate que van desde cientos de miles hasta millones de dólares, dependiendo del tamaño de la organización atacada.

La banda de ransomware se ha atribuido la responsabilidad de casi 300 ataques en todo el mundo, lo que la convierte en una de las operaciones de ransomware más activas de los últimos años.

Entre las víctimas más destacadas que Hunters International ha reclamado se encuentran el Servicio de Alguaciles de EE. UU., el gigante japonés de la óptica Hoya, Tata Technologies, el concesionario norteamericano de automóviles AutoCanada, el contratista de la Marina estadounidense Austal USA e Integris Health, la red de atención médica sin fines de lucro más grande de Oklahoma.

En diciembre de 2024, Hunters International también hackeó el Centro Oncológico Fred Hutch, amenazando con filtrar los datos robados de más de 800 000 pacientes con cáncer si no se les pagaba.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#19


Las confirmaciones de GitHub nunca se eliminan por completo, y algunos desarrolladores lo están descubriendo por las malas. Un hacker de sombrero blanco Sharon Brizinov analizó las confirmaciones pendientes de GitHub "eliminadas" y encontró miles de secretos que otorgaban incluso acceso de administrador a todos los repositorios de los desarrolladores, obteniendo 25 000 $ en recompensas en el proceso.

Los desarrolladores suelen usar envíos forzados en GitHub para eliminar errores anteriores. Sin embargo, a menudo olvidan que el historial de Git lo conserva todo, incluso cuando se eliminan archivos.

eL investigador de seguridad asumió correctamente que las confirmaciones pendientes restantes, guardadas por GitHub "para siempre", podrían contener secretos muy sensibles.

"Analicé cada evento de envío forzado desde 2020 y descubrí secretos por un valor de 25 000 $ en recompensas por errores", detalla Brizinov en la entrada del blog de Truffle Security.

Aún más sorprendente es que el hacker de sombrero blanco utilizó una herramienta "codificada por vibración" (generada por IA) para escanear GitHub y descubrir miles de secretos activos.

Las filtraciones de secretos de MongoDB fueron las más frecuentes (1247), pero Brizinov también obtuvo cientos de secretos de TelegramBotTokens, Postgres, Infura, OpenWeather y AWS. Los desarrolladores expusieron inadvertidamente 162 tipos de secretos.

Más de la mitad de las credenciales filtradas se encontraron en archivos .env expuestos, dejando la otra mitad para el resto de los nombres de archivo, como index.js, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, app.js, server.js y otros.



"Los secretos filtrados más interesantes fueron los tokens PAT de GitHub y las credenciales de AWS. ¡Estos también generaron las recompensas más altas!", afirmó Brizinov.

Los secretos activos son extremadamente sensibles y podrían provocar importantes brechas de seguridad.

Uno de los hallazgos fue un token PAT de GitHub, que otorga acceso de administrador a todos los repositorios pertenecientes al desarrollador Istio. El proyecto Istio se utiliza ampliamente para la gestión y seguridad de microservicios. Cuenta con 36 000 estrellas y 8000 bifurcaciones. La posible vulneración de la cadena de suministro podría afectar a grandes corporaciones como Google, IBM, Red Hat y otras.

"Podría haber leído variables de entorno, modificado pipelines, enviado código, creado nuevas versiones o incluso eliminado todo el proyecto. La posibilidad de un ataque masivo a la cadena de suministro en este caso era alarmante", explica Brizinov.



Brizinov obtuvo previamente $64,000 adicionales gracias a archivos eliminados en GitHub. La investigación posterior se centró en el escaneo de eventos de envío forzado, que suelen ocurrir cuando los desarrolladores fuerzan un cambio en la referencia HEAD de la confirmación actual, sobrescribiendo así el historial de confirmaciones.

El investigador explica que los desarrolladores prefieren esta acción cuando confirman accidentalmente datos que contienen un error, como credenciales predefinidas. Sin embargo, no rotan las credenciales expuestas.

Herramienta codificada en Vibe ahora disponible para todos


Si se siente afortunado, ahora puede intentar escanear GitHub con el script que usó Brizinov. El investigador compartió el código en GitHub:



La herramienta utiliza la API de eventos de GitHub, que permite a los usuarios recuperar información sobre los eventos que ocurren dentro de GitHub, y GitHub Archive, un servicio que escucha el flujo de eventos de GitHub y lo archiva.

"Usé vercel v0 para codificar en Vibe una plataforma completa para clasificar estos secretos de 'Oops Commit'", dijo Brizinov.

Revisar los secretos descubiertos sigue siendo una tarea manual, pero el investigador espera automatizarla posteriormente.

"Estos datos podrían entonces pasarse a un agente basado en LLAMA que analiza e identifica secretos potencialmente valiosos".

Brizinov advierte a los desarrolladores que siempre consideren los secretos expuestos como comprometidos y los revoquen inmediatamente.

Los investigadores ya habían advertido que todo lo publicado en GitHub permanece allí indefinidamente. Solo en 2024, los desarrolladores comprometieron código con más de 23 millones de nuevos secretos codificados, según descubrió la firma de seguridad GitGuardian.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#20
Del querer al poder... hay diferencias.

Continue con su vida.

Precisamente el objetivo es que realice cambios, porque, simplemente no han podido entrar o lograr lo que fuese que desean hacer.