Las entidades ucranianas con sede en Finlandia han sido atacadas como parte de una campaña maliciosa que distribuye un troyano comercial de acceso remoto conocido como Remcos RAT utilizando un cargador de malware llamado IDAT Loader.

El ataque se ha atribuido a un actor de amenazas rastreado por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) bajo el nombre de UAC-0184.

"El ataque, como parte del IDAT Loader, utilizó la esteganografía como técnica", dijo el investigador de Morfisec, Michael Dereviashkin, en un informe compartido con The Hacker News. "Si bien las técnicas esteganográficas, o 'Stego' son bien conocidas, es importante comprender su papel en la evasión de la defensa, para comprender mejor cómo defenderse contra tales tácticas".

IDAT Loader, que se superpone con otra familia de cargadores llamada Hijack Loader, se ha utilizado para servir cargas útiles adicionales como DanaBot, SystemBC y RedLine Stealer en los últimos meses. También ha sido utilizado por un actor de amenazas rastreado como TA544 para distribuir Remcos RAT y SystemBC a través de ataques de phishing.

La campaña de phishing, revelada por primera vez por el CERT-UA a principios de enero de 2024, consiste en el uso de señuelos de temática bélica como punto de partida para poner en marcha una cadena de infección que conduzca al despliegue de IDAT Loader, que, a su vez, utiliza un PNG esteganográfico incrustado para localizar y extraer Remcos RAT.

El desarrollo se produce cuando CERT-UA reveló que las fuerzas de defensa en el país han sido atacadas a través de la aplicación de mensajería instantánea Signal para distribuir un documento de Microsoft Excel con trampas explosivas que ejecuta COOKBOX, un malware basado en PowerShell que es capaz de cargar y ejecutar cmdlets. El CERT-UA ha atribuido la actividad a un clúster denominado UAC-0149.

También sigue el resurgimiento de las campañas de malware que propagan el malware PikaBot desde el 8 de febrero de 2024, utilizando una variante actualizada que parece estar actualmente en desarrollo activo.

"Esta versión del cargador PikaBot utiliza un nuevo método de desempaquetado y una gran ofuscación", dijo Elastic Security Labs. "El módulo principal ha agregado una nueva implementación de descifrado de cadenas, cambios en la funcionalidad de ofuscación y varias otras modificaciones".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

De unos días a esta parte el gigante de las búsquedas Google ha estado desplegando de manera paulatina la nueva versión de su navegador Chrome 122. Este es un programa que utilizan la mayoría de los usuarios en sus equipos de sobremesa y móviles, de ahí la importancia de las novedades que nos llegan.

Tal y como suele ser habitual en estos casos, nos encontramos con algunas interesantes mejoras, correcciones de seguridad y nuevas funciones para cubrir las necesidades de los usuarios. Podemos afirmar que una de los principales protagonistas que nos encontramos en esta nueva versión del popular navegador web es la tecnología IA que está en boca de todos últimamente.

Y es que la Inteligencia Artificial empieza a formar parte importante de todos aquellos que pasan mucho tiempo frente al ordenador. Cada vez disponemos de más aplicaciones y plataformas centradas en todo ello que nos ayudan a generar imágenes automáticas, todo tipo de textos, o incluso a programar, y ahora llega a Chrome. Esta es una actualización que poco a poco va llegando a todos los usuarios por los métodos tradicionales.


Para realizar esta comprobación en nuestro equipo no tenemos más que situarnos en el menú principal de Chrome y acceder al menú Ayuda / Información de Google Chrome.

La Inteligencia Artificial en Chrome 122

Sin duda la principal novedad que nos vamos a encontrar en esta nueva versión del navegador es la función centrada en la IA que la quería se pueden beneficiar a algunos usuarios. Denominada como Help Me Write o Ayúdame a escribir, en realidad nos encontramos con una nueva funcionalidad experimental IA que llega a Google Chrome. Como su propio nombre nos deja entrever, su tarea es ayudarnos a redactar contenidos en Internet de forma automática.

Eso sí, debemos tener presente que por el momento esta es una característica que está llegando a los usuarios poco a poco. Al tratarse de una función experimental, el gigante de las búsquedas en primer lugar la está lanzando para usuarios estadounidenses y además por el momento funciona en inglés. Cabe mencionar que a lo largo de las próximas semanas irá llegando al resto de regiones para que todos puedan beneficiarse de la IA en Chrome.


La característica utiliza los modelos de Gemini, la plataforma propiedad de Google, y nos ayudará a empezar a escribir un texto de forma automática o a perfeccionar algo que ya hayamos escrito. Evidentemente todo ello a través del propio navegador para que seamos más exhaustivos en nuestras búsquedas, y consultas aquí sean más efectivas.

La función como tal nos ayudará tanto en consultas, como en comentarios o reseñas que estemos llevando a cabo desde Chrome. Como no podía ser de otro modo, la nueva herramienta entenderá el contexto de la página web en la que nos encontramos para sugerirnos contenido relevante en tiempo real. Además el programa extrae detalles relevantes de la web para respaldar sus recomendaciones de textos automáticos.

Con el fin de activar esta función, nos situamos en la página de configuración del programa. Aquellos que la hayan recibido podrán activarla desde la sección IA experimental. Además para hacer uso de la misma no tenemos más que hacer clic con el botón derecho en un campo de texto y seleccionar la nueva opción Ayúdame a escribir del menú contextual.

Por otro lado también merece la pena destacar la llegada de la función Lectura en voz alta a la versión para Android. Esta es una nueva característica que llega a Chrome 122. Decir que nos permite escuchar en voz alta el texto de cualquier web que tengamos en pantalla.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las publicaciones que hacemos en redes sociales, por mucho que nos pueda parecer que solo llegan a nuestros conocidos o a personas que nos siguen, lo cierto es que también podrían ser utilizadas por Hacienda. La entidad, tal y como declaran usuarios afectados, parece que estaría monitorizando perfiles para detectar personas que tienen un alto nivel de vida.

En los últimos días se ha dado a conocer la historia del conocido odontólogo Iván Malagón, una que es posible que no esté muy alejada de la que otros emprendedores españoles hayan protagonizado. En un vídeo publicado en YouTube cuenta cómo Hacienda hizo una inspección sorpresa en su clínica odontológica que estuvo motivada por las publicaciones que había estado haciendo en Instagram.

Sin infracciones ni irregularidades

En otros casos en los que se han llevado a cabo inspecciones sorpresa de Hacienda, se sabe que las personas que habían sido objetivo de ellas habían cometido irregularidades. No son pocos los casos de famosos, actores y otros perfiles célebres, como futbolistas, que se han convertido en objetivo de la Agencia Tributaria en inspecciones motivadas por los fallos que pudieran haber cometido.


No obstante, este caso es distinto, ya que el factor que habría generado el interés de Hacienda por la inspección habría sido simplemente Instagram. Tal y como Malagón menciona, en el auto de la inspección se indicaban varios factores que habían motivado la inspección y todos nacían de un mismo lugar: su perfil en la red social.

¿Qué es lo que podría llamar la atención de Hacienda?

Por lo que cuenta el doctor en su vídeo, el cual puedes ver en esta noticia un poco más abajo, hay una serie de factores que Hacienda parece que utilizó a la hora de plantear el registro de su negocio. Se lo comunicaron en vivo y todo ello se basaba en fotografías que habían aparecido en su perfil de Instagram. Lo que menciona que le aseguraban es que la calidad de vida de la que hacía gala en sus publicaciones era superior a la que se podría esperar de un odontólogo.

Pero, tal y como Malagón comenta en su vídeo, los argumentos que estaba utilizando la inspección de Hacienda no encajaban con la realidad. Le increpaban haber aparecido en Instagram con un Ferrari que, tal y como menciona, había alquilado durante un día debido a su afición por los coches. También dice que sacaban a relucir la propiedad de un Aston Martin, el cual sí es cierto que tiene en su posesión y que comenta que compró en su 40º cumpleaños después de haberse pasado mucho tiempo soñando con tenerlo. Por último, le dijeron que sabían que tenía un buque de recreo, cuando según especifica, de lo único que tiene propiedad es de una barca de siete metros que le regalaron.


No obstante, el mostrar fotografías en Instagram de esas cosas lujosas, habría llevado, según lo que parece, a que Hacienda activara este tipo de protocolo para hacer una inspección. En el proceso precintaron los ordenadores que había en su clínica para revisarlos en busca de irregularidades. También cuenta que abrieron la caja fuerte de su negocio, en la cual no encontraron nada de valor.

Debido a lo ocurrido, Iván Malagón decidió abandonar España y mudarse a Andorra, donde ya contaba con empresas y vivienda. Tal y como menciona, "en España me he sentido perseguido por la Hacienda española". También dice que, más allá de las formas que ha tenido Hacienda de tratarle, ha valorado los impuestos que paga: "Mis gestores el año pasado me dijeron que había pagado el 63% de impuestos, así que hasta octubre había trabajado gratis".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

WineHQ ha lanzado una nueva versión de desarrollo de su software para ejecutar programas de Windows en otros sistemas operativos, en esta ocasión WINE 9.3. Ahora alojadas en GitLab, la nota de lanzamiento incluye un apartado de destacados, pero ninguno de ellos es tan llamativo como la actualización del motor Mono que tuvo lugar hace justo dos semanas. La importancia de Mono radica en que es lo que hace que se pueda ejecutar el software desarrollado en .NET.

La lista de destacados nos habla de mejoras en el soporte para el proxy de Internet, un nuevo controlador de dispositivos para el puntero HID, actualizaciones en la base de datos de la zona horaria y más correcciones de excepciones en las plataformas ARM, a lo que se le suma el punto habitual que detalla simplemente varias correcciones de errores (23). El total de cambios asciende a 299.

Bugs corregidos en WINE 9.3

• FDM (Free Download Manager) se bloquea con un fallo de página cuando se abre cualquier directorio FTP remoto.
• Basemark Web 3.0 Desktop Launcher se bloquea.
• Final Fantasy XI se bloquea tras aceptar el CLUF al utilizar Ashita; World of Warships se cuelga en la pantalla de inicio de sesión.
• Happy Foto Designer Fuente no encontrada «Fehler (Code 1) [Fuente no soportada: Roboto]».
• Gestor de productos IK: No se pueden descargar plugins.
• Western Digital SSD Dashboard muestra la pantalla en negro.
• cmd.exe analiza incorrectamente una línea con todos los espacios en blanco seguida de un paréntesis de cierre.
• python error fatal redirigiendo stdout a archivo.
• Solidworks 2008 se bloquea al iniciarse.
• Virtual Life 2 se bloquea.
• Autodesk Fusion360: El nuevo inicio de sesión SSO no abre el navegador web.
• Flutter SDK no puede encontrar el programa «aapt» (where.exe es un stub).
• Posiblemente incorrecto manejo de end_c en ARM64 process_unwind_codes.
• DPI_AWARENESS_CONTEXT_PER_MONITOR_AWARE_V2 no se maneja en GetAwarenessFromDpiAwarenessContext.
• Buscando a Nemo (Steam): desaparecen los bordes de las ventanas (escritorio virtual).
• cpython 3.12.0 se bloquea debido a CopyFile2 no implementado.
• Falta la implementación de GetAnycastIpAddressTable().
• scrrun: Dictionary does not allow storing at key Undefined.
• Microsoft Flight Simulator 2020 (steam) necesita la función no implementada GDI32.dll.D3DKMTEnumAdapters2.
• SplashTop RMM cliente para Atera se bloquea en la función no implementada shcore.dll.RegisterScaleChangeNotifications.
• [Sway] winewayland.drv: el cursor no funciona en Dead Island 2.
• Las fuentes de sonido LMMS 1.2.2 SF2 ya no funcionan en Wine 9.1.
• Múltiples aplicaciones no se inician después de492f9a.

WINE 9.3 ya se puede descargar y desde su página de descargas hay también información sobre cómo instalar esta y otras versiones en sistemas operativos Linux y otros como macOS e incluso Android.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El equipo de desarrollo del proyecto Asahi Linux dio a conocer hace poco que ha logrado la compatibilidad del soporte para OpenGL 4.6 y OpenGL ES 3.2 en los chips Apple M1 y M2.

Es importante señalar que los controladores de gráficos nativos para los chips M1 de Apple solo implementan la especificación OpenGL 4.1, lo que hace que la compatibilidad con OpenGL 4.6 sea un avance notable.

Con este anunció el proyecto ha superado la implementación de Apple al ser compatible con OpenGL ES 3.1 y OpenGL 4.6, ya que Apple cambió su enfoque a su API de gráficos patentada «Metal», alejándose del soporte OpenGL

CitarLos drivers que cumplen con 4.6/3.2 deben pasar más de 100.000 pruebas para garantizar la corrección. La lista oficial de controladores compatibles ahora incluye OpenGL 4.6 y ES 3.2 .

Si bien el proveedor aún no admite estándares gráficos como el OpenGL moderno, nosotros sí lo hacemos. Para este Día de San Valentín, queremos profesar nuestro amor por los estándares abiertos interoperables. Queremos liberar a los usuarios y desarrolladores del bloqueo, permitiendo que las aplicaciones se ejecuten en cualquier lugar que deseen sin puertos especiales.

Entre las características que se destacan del salto de OpenGL 4.1 a OpenGL 4.6, se mencionan las siguientes:

• Compatibilidad con aplicaciones modernas: La actualización promete una mayor compatibilidad con cargas de trabajo modernas de OpenGL, como Blender, Ryujinx y Citra, gracias a los controladores conformes a las últimas versiones.
• Conformidad con estándares: Los nuevos controladores han pasado más de 100,000 pruebas para garantizar la corrección y la conformidad con los estándares. Ahora están en la lista oficial de controladores conformes para OpenGL 4.6 y ES 3.2.
• Robustez y seguridad: Se enfatiza la importancia de la robustez y la seguridad en los controladores de gráficos, especialmente en entornos donde se manejan shaders no confiables, como los navegadores web.
• Optimización de rendimiento: A pesar de las nuevas características y la robustez agregada, se busca minimizar el impacto en el rendimiento, con estrategias como el uso eficiente de instrucciones y preámbulos para cálculos repetitivos.
• Compatibilidad con Mipmapping: Se detalla un problema específico relacionado con mipmapping y se propone un enfoque de solución que equilibra la eficiencia y la conformidad con los estándares.

Además, el consorcio Khronos ha reconocido la total compatibilidad del controlador abierto Asahi para la GPU AGX, presente en los chips Apple M1 y M2, con las especificaciones OpenGL 4.6 y OpenGL ES 3.2. Este controlador ha superado con éxito todas las pruebas del CTS (Kronos Conformance Test Suite) y está incluido en la lista de controladores certificados. La prueba se realizó en dispositivos Apple M1, M1 Pro/Max/Ultra, M2 y M2 Pro/Max en un entorno con la distribución Asahi Linux Fedora Remix, Mesa 24.0.0 y No tienes permitido ver los links. Registrarse o Entrar a mi cuenta X Server (X11_GLX).

Es importante mencionar que los controladores propietarios originales de Apple para los chips M1 y M2 aún no están incluidos en la lista de controladores certificados por Khronos. Obtener este certificado permite al controlador abierto Asahi declarar oficialmente su compatibilidad con los estándares gráficos y utilizar las marcas comerciales asociadas de Khronos.

Dado que la GPU M1 carece de algunas capacidades de hardware necesarias para implementar OpenGL ES 3.2 y OpenGL 4.2, se han implementado funcionalidades faltantes utilizando funciones existentes. Por ejemplo, se han implementado sombreadores de geometría, teselación y retroalimentación de transformación mediante sombreadores informáticos, entre otros métodos.

Finalmente se menciona que en el futuro, el desarrollo de controladores abiertos para la GPU Apple AGX se enfocará en brindar soporte para la API de gráficos Vulkan. La implementación de Vulkan utilizará parte del código estándar ya probado que se utiliza en los controladores para OpenGL, lo que representa un paso adelante en el ecosistema de controladores abiertos para las GPU de Apple AGX.

Los paquetes de controladores listos para usar ya están disponibles en los repositorios de Fedora y se pueden utilizar en una versión especializada de Fedora llamada Asahi Remix 39, diseñada para su instalación en sistemas con chips Apple ARM.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

a banda de ransomware LockBit recibió más de 125 millones de dólares en pagos de rescate en los últimos 18 meses, según el análisis de cientos de billeteras de criptomonedas asociadas con la operación.

Tras el desmantelamiento de LockBit en la Operación Cronos, la Agencia Nacional contra el Crimen (NCA) del Reino Unido, con el apoyo de la empresa de análisis de blockchain Chainalysis, identificó más de 500 direcciones de criptomonedas activas.

El dinero de LockBit
Después de hackear la infraestructura de LockBit, las fuerzas del orden obtuvieron 30,000 direcciones de Bitcoin utilizadas para administrar las ganancias del grupo por pagos de rescate.

Más de 500 de estas direcciones están activas en la cadena de bloques y recibieron más de USD 125 millones (al valor actual de Bitcoin) entre julio de 2022 y febrero de 2024.

La investigación descubrió que más de 2,200 BTC, más de USD 110 millones al tipo de cambio actual, permanecieron sin gastar cuando LockBit se interrumpió.

Un comunicado de prensa de la NCA señala hoy que "estos fondos representan una combinación de pagos de víctimas y LockBit" y que una parte significativa de este dinero representa la tarifa del 20% que los afiliados pagaron a los desarrolladores de ransomware.

Esto significa que la cifra total de los rescates que las víctimas pagaron para evitar una fuga de datos es "mucho, mucho más alta", explica la NCA.

(Como destacó la agencia, el actor de amenazas no siempre eliminó los datos robados, o todos ellos, incluso si la víctima pagó el rescate)

La agencia de aplicación de la ley dice que las cantidades descubiertas en la investigación indican que los totales reales de los rescates son de cientos de millones.

Vale la pena destacar que las impresionantes cantidades son representativas solo de 18 meses de actividad cibercriminal de LockBit.

"Dado que los ataques confirmados por LockBit durante sus 4 años de operación suman más de 2.000, esto sugiere que su impacto a nivel mundial es de miles de millones de dólares".


A mediados de junio de 2023, la Agencia de Defensa Cibernética de Estados Unidos (CISA, por sus siglas en inglés) dijo que LockBit era responsable de 1.700 ataques de ransomware en Estados Unidos desde 2020 y que la banda extorsionó a las víctimas por 91 millones de dólares.

La NCA también dijo que hacerse cargo de la infraestructura de LockBit llevó al descubrimiento de 85 cuentas de intercambio de criptomonedas, ahora restringidas por Binance, con cientos de miles de dólares en criptoactivos.

Casi cuatro años en el juego

LockBit surgió en septiembre de 2019 (como ABCD) y se centró en organizaciones de alto perfil como Boeing, UK Royal Mail, Continental, Bangkok Airways y Accenture.

Se convirtió en el grupo de ransomware más activo, siendo responsable de la mayoría de los ataques de este tipo en 2023, alternando entre múltiples malware de cifrado de archivos a lo largo de los años (LockBit 2.0, LockBit 3.0, LockBit Green) y uno nuevo en proceso.

En el momento de su interrupción, el grupo LockBit también era el más antiguo en la escena del ransomware, y probablemente uno de los más grandes con cerca de 200 afiliados.

Las fuerzas del orden de 10 países colaboraron para tomar el control de la infraestructura del actor de amenazas, coordinar la interrupción, recopilar información de los servidores, realizar arrestos e imponer sanciones.

Aunque la infraestructura de los piratas informáticos está controlada por las fuerzas del orden, los líderes del grupo y la mayoría de los afiliados aún no han sido identificados.

El Departamento de Estado de EE.UU. ofrece hasta 15 millones de dólares en recompensas a cualquiera que pueda proporcionar información sobre los miembros de la banda de ransomware LockBit y sus socios.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Google está retirando la aplicación independiente Pay en los Estados Unidos. Los usuarios tienen hasta el 4 de junio para transferir el saldo a cuentas bancarias.

Google Pay es una billetera móvil segura que permite a los usuarios enviar dinero a empresas o amigos, realizar compras en línea, pagar facturas y ganar recompensas que se traducen en reembolsos o descuentos.

La aplicación tiene más de mil millones de descargas en Google Play y es utilizada por personas en 180 países en varias plataformas (Android, Windows, macOS, iOS, ChromeOS).

El gigante tecnológico anunció que el cambio afecta solo a la versión estadounidense de la aplicación independiente Google Pay. El servicio permanecerá disponible con todas sus funciones habituales, incluida la búsqueda de ofertas y la obtención de recompensas de devolución de efectivo, hasta el 4 de junio de 2024.

Sin embargo, después de esa fecha, los pagos peer-to-peer a través de la aplicación ya no serán compatibles con el mercado estadounidense.

Los usuarios que no transfieran fondos fuera de la aplicación cuando se retire aún pueden hacerlo a través del sitio web de Google Pay.

Los usuarios de EE. UU. pueden encontrar instrucciones detalladas sobre cómo sacar su dinero de Google Pay en esta guía. Además, hay más detalles disponibles sobre el proceso de puesta de sol en la página de soporte actualizada.

Google recomienda a los usuarios estadounidenses que se cambien a la aplicación Wallet, que según la compañía se usa cinco veces más que Pay en los EE. UU.

Wallet está diseñado como una solución más completa que permite a los usuarios almacenar tarjetas de pago, así como otros artículos digitales como tarjetas de tránsito, licencias de conducir, identificaciones estatales y más.

El enfoque de Google Wallet se extiende más allá de los pagos para incluir una gama más amplia de funcionalidades de billetera digital, y la firma de tecnología siente que se adapta mejor a las necesidades del grupo demográfico de EE. UU.

Refiriéndose a los usuarios que confían en Google Pay para enviar dinero desde Estados Unidos a India o Singapur a través de Wise, una plataforma financiera para transferencias de pagos transfronterizos, Google dice que la función ya no estará disponible a partir del 4 de junio.
Para estas transacciones, la compañía recomienda realizar las transferencias utilizando la cuenta Wise.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

NVIDIA ejerce un fuerte dominio en el sector de la computación de propósito general sobre la unidad de procesamiento de gráficos (GPGPU) con CUDA, una tecnología privativa del gigante verde que ha dejado a OpenCL prácticamente en la marginalidad, lo que ha obligado a AMD a tener que soportar CUDA para poder competir. Tras diversos intentos con HIP y ROCm que requerían de cierta mano por parte de los usuarios, ahora le llega el turno a ZLUDA, un desarrollo más veterano de lo que aparenta, pero cuyos resultados iniciales son prometedores tanto a nivel de rendimiento como por el hecho de no requerir la modificación de los programas al menos sobre el papel.

ZLUDA se dejó ver en el año 2020 como una tecnología que permitiría ejecutar CUDA sobre gráficas de Intel con la ayuda de oneAPI. ZLUDA acabó descontinuado sin que las razones trascendieran, pero al parecer lo que se estaba cocinando era un cambio de bando debido a que el desarrollador principal, Andrzej Janik, fue contratado por AMD como fichaje procedente de Intel, algo en lo que influyó el hecho de que esta última rechazara el proyecto y por lo tanto el financiarlo. A partir de ahí el enfoque pasó de Intel a AMD, por lo que el soporte de OneAPI fue sustituido por la Interfaz Heterogénea de Portabilidad (HIP) y ROCm.

Con la financiación encubierta de AMD, ZLUDA, que todavía se encuentra en fase alfa y oficialmente soporta Linux y Windows, ha encontrado aparentemente el camino para lograr sus objetivos, y frente a la solución con la que pretende competir es de código abierto al estar publicado bajo las licencias MIT y Apache 2. Sí, ambas licencias son permisivas, pero eso es mejor que la condición de privativa de CUDA.


Como consecuencia de su estado actual, ZLUDA tiene pinta de requerir cierta mano para ponerlo en funcionamiento y presenta ciertas limitaciones: no todos los programas hechos con CUDA son compatibles por ahora, solo ha sido dirigido a la versión 5 de ROCm y solo ha sido probado oficialmente sobre gráficas RDNA 2. Sin embargo, en Phoronix han probado también con gráficas RDNA 3, con la RX 7900 XTX mostrando unos resultados bastante prometedores.

Las pruebas de rendimiento de Phoronix han sido realizadas con Blender 4, la última versión mayor de la conocida solución de modelado y renderización de gráficos tridimensionales. Aquí y según el citado medio, en backend que forma la combinación de ZLUDA y CUDA "fue un poco más rápida que el backend nativo Radeon HIP". En ocasiones anteriores se pudo ver que HIP era incapaz de competir con CUDA, pero también es cierto que RDNA 3 no estaba en la competición y ha pasado bastante tiempo desde entonces, por lo que HIP ha podido mejorar.

Otra prueba de rendimiento que se puede recoger es la realizada por el propio Andrzej Janik con Geekbench 5.5 y con la que comparó los desempeños de ZLUDA y OpenCL. Aquí los resultados han sido dispares, pero por lo general van de lo similar a una ventaja clara en favor de ZLUDA.


Sin embargo y pese a los prometedores resultados, hay cosas que huelen regular en torno a ZLUDA, ya que el proyecto ha recibido financiación de AMD, pero oficialmente no forma parte de la compañía. Esto deja en el aire la posibilidad de que ZLUDA acabe descontinuado una vez más debido a posibles presiones por parte de NVIDIA, que tiende a defender con bastante beligerancia su propiedad intelectual.

Otro punto que ZLUDA tiene en su contra es ROCm, que si bien es de código abierto, su implementación tiende a ser más complicada que la de CUDA y además soporta oficialmente un catálogo bastante limitado de sistemas operativos Linux.

Veremos qué futuro le depara a ZLUDA, pero sus prometedores resultados iniciales pueden terminar frustrados por ciertas nubes que se ven en el horizonte.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El uso de la línea de comandos sigue estando muy vigente en Linux, así que vamos a aprovechar la ocasión para presentar a Warp, una aplicación de terminal construida con Rust y que se apoya en la inteligencia artificial para minimizar las búsquedas a través de Google por parte del usuario.

Warp nació como un proyecto que inicialmente soportaba macOS y que ha llegado hace muy poco a Linux. El soporte para Windows está proyectado, pero este todavía se encuentra en desarrollo. La aplicación se vende como una evolución dentro de segmento, con un uso y un completado de los comandos más rápidos gracias a que permite insertar, copiar y seleccionar como si se estuviera trabajando con un IDE; soporta edición con las combinaciones de teclas predeterminadas o con Vim; además de que acepta completados inteligentes sin plugins.

Gracias a que hace uso de inteligencia artificial, Warp es capaz de sugerir el comando correcto o dar respuesta a preguntas relacionadas con la programación. Las consultas realizadas por los usuarios se mantienen en privado y no son utilizadas para entrenar modelos públicos de inteligencia artificial. Esto le da a la aplicación un presunto punto a nivel de privacidad.

Otra característica interesante de Warp es que da la posibilidad de organizar comandos difíciles de recordar en la terminal para que puedan ser encontrados y ejecutados sin cambiar de contexto. De esta manera, esta terminal gráfica abre la puerta a acelerar la productividad del usuario mediante la reducción de las distracciones y de la cantidad de veces que tiene que cambiar el foco para hallar las soluciones que busca.

Centrándonos en la versión para Linux, está oficialmente disponible en formato Deb para Debian y Ubuntu, RPM para Fedora y Red Hat Enterprise Linux, .pkg.tar.zst para Arch Linux y en AppImage como paquete universal.


"Al igual que en Mac, Warp para Linux está construido completamente en Rust y toda la representación de gráficos se realiza directamente en la GPU. Es rápido, incluso hemos implementado algunas optimizaciones de rendimiento adicionales que nos complace incorporar pronto a la aplicación Mac."

"Y al igual que en Mac, Warp para Linux soporta zsh, Bash y Fish de out of the box. Es compatible con su configuración de shell existente" y "también incluye todas las características que hacen de la terminal un lugar mucho más feliz y productivo: Modern Editing, Warp AI y Warp Drive".

El portar Warp a Linux ha conllevado algunos desafíos para los responsables, como el cambiar la API Metal por un conjunto de API a nivel de GPU que funciona en Linux, el soportar la renderización del texto en todas la plataformas y garantizar que el código tuviera las abstracciones correctas para soportar características específicas de las plataformas soportadas. Con este trabajo se ha logrado que las versiones para Linux y macOS compartan, según los responsables, el 98% de la base de código.

Para construir la versión de Warp para Linux se han empleado algunas bibliotecas de Rust publicadas como código abierto y que proporcionan un soporte multiplataforma: wgpu, winit y cosmic-text. Los encargados explican que "estas bibliotecas también nos facilitarán la expansión rápida de Warp a la web y a Windows, y hemos actualizado algunas correcciones de errores y mejoras de rendimiento que realizamos durante el proceso de desarrollo".

Aunque utiliza algunas bibliotecas y tecnologías publicadas como código abierto, Warp es una aplicación privativa y encima de pago a través de tres planes: uno gratis (Free) que soporta hasta cinco miembros, el plan Team que cuesta doce dólares por miembro al mes y Enterprise, que requiere de contactar con Wrap para negociar el precio.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El gigante de la salud UnitedHealth Group confirmó que su subsidiaria Optum, que se vio obligada a cerrar los sistemas de TI y varios servicios después de un ataque cibernético por parte de piratas informáticos de "estado-nación" en la plataforma Change Healthcare.

United Health Group (UHG) es una compañía de seguros de salud con presencia en los 50 estados de EE. UU. La organización es la empresa de atención médica más grande del mundo por ingresos ($ 324.2 mil millones en 2022), empleando a 440,000 personas en todo el mundo.

Su subsidiaria, Optum Solutions, opera la plataforma Change Healthcare, que es la plataforma de intercambio de pagos más grande entre médicos, farmacias, proveedores de atención médica y pacientes en el sistema de salud de EE. UU.


Optum sufre un ciberataque masivo


Change Healthcare comenzó a advertir a los clientes el miércoles que algunos de sus servicios habían dejado de estar disponibles, y luego afirmó que un incidente de ciberseguridad lo causó.

Una presentación 8-K presentada por UnitedHealth Group ante la SEC ayer confirmó que un ataque cibernético por parte de presuntos piratas informáticos de "estado-nación" estuvo detrás de la interrupción de los servicios de Change Healthcare de Optum.

"El 21 de febrero de 2024, UnitedHealth Group (la "Compañía") identificó que un presunto actor de amenazas de seguridad cibernética asociado a un estado-nación había obtenido acceso a algunos de los sistemas de tecnología de la información de Change Healthcare", se lee en la presentación.

"Inmediatamente después de la detección de esta amenaza externa, la compañía aisló de manera proactiva los sistemas afectados de otros sistemas de conexión con el fin de proteger a nuestros socios y pacientes, para contener, evaluar y remediar el incidente".

"La compañía está trabajando diligentemente para restaurar esos sistemas y reanudar las operaciones normales lo antes posible, pero no puede estimar la duración o el alcance de la interrupción en este momento".

Optum proporciona actualizaciones periódicas sobre el estado de sus servicios en este portal, que dice que la interrupción está afectando actualmente a los servicios y plataformas de 119 Change Healthcare y Optum.

Change Healthcare tiene una amplia presencia en los sistemas de atención médica de EE. UU., utilizados por hospitales, clínicas y farmacias de todo el país para sistemas de registros médicos electrónicos (EHR), procesamiento de pagos, coordinación de atención y análisis de datos.

Los empleados de las clínicas de atención médica, las compañías de facturación médica y las farmacias han informado de problemas a gran escala debido a la interrupción, incluida la imposibilidad de facturar o enviar reclamaciones por medicamentos recetados o servicios de atención médica.

La interrupción del procesamiento de pagos en las farmacias ha sido particularmente notable, ya que la mayoría de las farmacias locales y de las tiendas de todo el país no pueden procesar ningún reclamo de seguro ni aceptar tarjetas de descuento para recetas.

En respuesta a la situación, la Asociación Americana de Hospitales (AHA, por sus siglas en inglés) emitió ayer una advertencia recomendando que todas las organizaciones sanitarias que confían en las soluciones de Optum desconecten sus sistemas inmediatamente para proteger los datos de sus socios y pacientes.

"Recomendamos que todas las organizaciones de atención médica que se vieron afectadas o están potencialmente expuestas por este incidente consideren la desconexión de Optum hasta que se considere seguro volver a conectarse a Optum", advirtió la Asociación Estadounidense de Hospitales.

BleepingComputer se ha enterado de que los proveedores de atención médica han comenzado a desconectar todas las conexiones a Optum, Change Healthcare y UHG para evitar la posible propagación del ataque a sus propios sistemas.

La Universidad de Columbia anunció que el sistema de salud presbiteriano de Nueva York, que incluye los hospitales Weill Cornell y Columbia, aconseja a los socios que se desconecten de los servicios de UGH.


La Universidad de Columbia dijo que también ha bloqueado todas las conexiones de correo electrónico con los dominios de UnitedHealth Group y aconseja que ningún empleado visite esos dominios hasta que se les diga que son seguros.

"Además, para minimizar el riesgo que este evento de seguridad cibernética externo presenta para nuestro entorno informático, hemos tomado la precaución extraordinaria de bloquear el correo electrónico de los siguientes dominios: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y No tienes permitido ver los links. Registrarse o Entrar a mi cuenta".

El proveedor de atención médica del ejército de EE. UU. para el personal en servicio activo, Tricare, también se ha visto afectado, anunciando que la interrupción de Optum ha obligado a todas las farmacias militares de EE. UU. en todo el mundo a surtir recetas manualmente.

Si bien no está claro qué tipo de ataque está detrás de las interrupciones de Change Healthcare y Optum, a pesar de que afirman que es un actor de "estado-nación", tiene todos los signos de un ataque de ransomware.

Si una banda de ransomware llevó a cabo este ciberataque, es probable que los datos de los pacientes y de la empresa hubieran sido robados en el ataque.

Estos datos robados se utilizarán como palanca, donde los actores de amenazas amenazarán con filtrar los datos si no se paga un rescate.

La investigación sobre el incidente está en curso y aún no se han revelado detalles oficiales sobre el alcance del ciberataque.

Actualización 2/23 (1) - Hemos recibido información de que el incidente también afecta a Availity, la cámara de compensación de Therabill, que ha pausado el procesamiento de reclamaciones y el asesoramiento de remesas como resultado.

Según un correo electrónico distribuido por la organización, Change Healthcare notificó a Availity, quien luego cesó las conexiones con Change Healthcare, Optum y United Healthcare como medida de precaución.

Según se informa, el equipo de seguridad de Therabill no ha detectado ningún compromiso de los datos de sus miembros y está monitoreando activamente la situación para garantizar la protección de datos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha comenzado a probar la compatibilidad con Wi-Fi 7 en Windows 11, que ofrece velocidades de varios gigabits y un rendimiento, latencia y confiabilidad mejorados en comparación con las generaciones anteriores de Wi-Fi.

Presentado el mes pasado, Wi-Fi 7 trae avances notables, particularmente con canales superanchos de 320 MHz exclusivos para el espectro de 6 GHz, que cuentan con el doble de rendimiento en comparación con Wi-Fi 6, lo que facilita velocidades multigigabit para dispositivos habilitados para Wi-Fi.

Además, la compatibilidad con la operación de enlaces múltiples (MLO) mejora la distribución del tráfico entre los enlaces, lo que mejora el rendimiento y aumenta la fiabilidad.

La técnica avanzada de modulación 4K QAM (Quadrature Amplitude Modulation) recientemente adoptada también ofrece un aumento del 20% en las velocidades de transmisión en comparación con la QAM 1024 de Wi-Fi 6, lo que mejora la eficiencia general de la transferencia de datos.

"Wi-Fi 7, también conocido como IEEE 802.11be Extremely High Throughput (EHT), es una tecnología revolucionaria que ofrece una velocidad, confiabilidad y eficiencia sin precedentes para sus dispositivos inalámbricos", dijo Microsoft hoy.

"Con Wi-Fi 7, puedes disfrutar de velocidades multigigabit en tu PC con Windows y experimentar velocidades hasta 4 veces más rápidas que Wi-Fi 6 y Wi-Fi 6E, y casi 6 veces más rápidas que Wi-Fi 5".


Los usuarios necesitarán un punto de acceso y una computadora compatible con Wi-Fi 7 para aprovechar el aumento de rendimiento, los cuales ya han sido introducidos en el mercado por varios proveedores.

También es importante tener en cuenta que el rendimiento de los sistemas Wi-Fi 7 puede variar según el fabricante y las capacidades de hardware del dispositivo.

La compatibilidad con Wi-Fi 7 se está probando en la compilación 26063 de Windows 11 Insider Preview, publicada hoy en Canary Channel.

Los usuarios de Windows Insider en el canal de desarrollo no recibirán esta compilación hoy, ya que Redmond está probando actualmente la canalización de mantenimiento para Windows 11 24H2, la próxima versión de características.

En enero, Microsoft dijo que el soporte para la especificación USB4 versión 2.0 también llegará a Windows 11, con mayores velocidades de transferencia USB de hasta 80 Gbps a través de cables USB tipo C.

La compañía también ha comenzado a probar una nueva función controvertida que abre automáticamente el asistente Copilot impulsado por IA después de que Windows 11 se inicie en sistemas con pantallas de 27 pulgadas y anchos de píxeles de al menos 1920 píxeles.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha lanzado un marco de automatización de acceso abierto llamado PyRIT (abreviatura de Python Risk Identification Tool) para identificar de forma proactiva los riesgos en los sistemas de inteligencia artificial (IA) generativa.

La herramienta de red teaming está diseñada para "permitir que todas las organizaciones del mundo innoven de manera responsable con los últimos avances en inteligencia artificial", dijo Ram Shankar Siva Kumar, líder del equipo rojo de IA en Microsoft.

La compañía dijo que PyRIT podría usarse para evaluar la solidez de los puntos finales de los modelos de lenguaje grandes (LLM) contra diferentes categorías de daño, como la fabricación (por ejemplo, alucinación), el uso indebido (por ejemplo, sesgo) y el contenido prohibido (por ejemplo, acoso).

También se puede utilizar para identificar daños a la seguridad que van desde la generación de malware hasta el jailbreak, así como daños a la privacidad como el robo de identidad.

PyRIT viene con cinco interfaces: objetivo, conjuntos de datos, motor de puntuación, la capacidad de admitir múltiples estrategias de ataque e incorporar un componente de memoria que puede tomar la forma de JSON o una base de datos para almacenar las interacciones intermedias de entrada y salida.

El motor de puntuación también ofrece dos opciones diferentes para puntuar los resultados del sistema de IA de destino, lo que permite a los miembros del equipo rojo utilizar un clasificador de aprendizaje automático clásico o aprovechar un punto final de LLM para la autoevaluación.

"El objetivo es permitir a los investigadores tener una línea de base de qué tan bien está funcionando su modelo y todo el proceso de inferencia frente a diferentes categorías de daño y poder comparar esa línea de base con futuras iteraciones de su modelo", dijo Microsoft.


"Esto les permite tener datos empíricos sobre qué tan bien está funcionando su modelo hoy en día y detectar cualquier degradación del rendimiento en función de mejoras futuras".

Dicho esto, el gigante tecnológico se cuida de enfatizar que PyRIT no es un reemplazo para el equipo rojo manual de sistemas de IA generativa y que complementa la experiencia de dominio existente de un equipo rojo.

En otras palabras, la herramienta está destinada a resaltar los "puntos calientes" de riesgo mediante la generación de avisos que podrían usarse para evaluar el sistema de IA y señalar áreas que requieren más investigación.

Microsoft reconoció además que el equipo rojo de los sistemas de IA generativa requiere sondear simultáneamente tanto la seguridad como los riesgos responsables de la IA y que el ejercicio es más probabilístico, al tiempo que señala las grandes diferencias en las arquitecturas de los sistemas de IA generativa.

"El sondeo manual, aunque requiere mucho tiempo, a menudo es necesario para identificar posibles puntos ciegos", dijo Siva Kumar. "La automatización es necesaria para el escalado, pero no reemplaza el palpado manual".

El desarrollo se produce cuando Protect AI reveló múltiples vulnerabilidades críticas en plataformas populares de la cadena de suministro de IA, como ClearML, Hugging Face, MLflow y Triton Inference Server, que podrían resultar en la ejecución de código arbitrario y la divulgación de información confidencial.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Han surgido detalles sobre una falla de seguridad de alta gravedad ahora parcheada en la aplicación Atajos de Apple que podría permitir que un acceso directo acceda a información confidencial en el dispositivo sin el consentimiento de los usuarios.

La vulnerabilidad, rastreada como CVE-2024-23204 (puntuación CVSS: 7.5), fue abordada por Apple el 22 de enero de 2024, con el lanzamiento de iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 y watchOS 10.3.

"Un acceso directo puede ser capaz de usar datos confidenciales con ciertas acciones sin preguntar al usuario", dijo el fabricante del iPhone en un aviso, afirmando que se solucionó con "comprobaciones de permisos adicionales".

Apple Shortcuts es una aplicación de scripting que permite a los usuarios crear flujos de trabajo personalizados (también conocidos como macros) para ejecutar tareas específicas en sus dispositivos. Viene instalado de forma predeterminada en los sistemas operativos iOS, iPadOS, macOS y watchOS.

El investigador de seguridad de Bitdefender, Jubaer Alnazi Jabin, quien descubrió e informó sobre el error de Atajos, dijo que podría usarse como arma para crear un atajo malicioso de modo que pueda eludir las políticas de Transparencia, Consentimiento y Control (TCC).


TCC es un marco de seguridad de Apple diseñado para proteger los datos de los usuarios del acceso no autorizado sin solicitar los permisos adecuados en primer lugar.

Específicamente, la falla tiene su origen en una acción de acceso directo llamada "Expandir URL", que es capaz de expandir y limpiar las URL que se han acortado utilizando un servicio de acortamiento de URL como No tienes permitido ver los links. Registrarse o Entrar a mi cuenta o No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, al mismo tiempo que elimina los parámetros de seguimiento UTM.

"Al aprovechar esta funcionalidad, se hizo posible transmitir los datos codificados en Base64 de una foto a un sitio web malicioso", explicó Alnazi Jabin.

"El método consiste en seleccionar cualquier dato confidencial (fotos, contactos, archivos y datos del portapapeles) dentro de Atajos, importarlo, convertirlo utilizando la opción de codificación base64 y, en última instancia, reenviarlo al servidor malicioso".

A continuación, los datos exfiltrados se capturan y se guardan como una imagen en el extremo del atacante mediante una aplicación Flask, lo que allana el camino para la explotación posterior.

"Los atajos se pueden exportar y compartir entre los usuarios, una práctica común en la comunidad de atajos", dijo el investigador. "Este mecanismo de intercambio amplía el alcance potencial de la vulnerabilidad, ya que los usuarios, sin saberlo, importan accesos directos que podrían explotar CVE-2024-23204".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los desarrolladores de ransomware LockBit estaban construyendo en secreto una nueva versión de su malware de cifrado de archivos, denominado LockBit-NG-Dev, que probablemente se convertirá en LockBit 4.0, cuando las fuerzas del orden desmantelaron la infraestructura del ciberdelincuente a principios de esta semana.

Como resultado de la colaboración con la Agencia Nacional contra el Crimen del Reino Unido, la empresa de ciberseguridad Trend Micro analizó una muestra del último desarrollo de LockBit que puede funcionar en múltiples sistemas operativos.

LockBit de última generación

Mientras que el malware LockBit anterior está construido en C/C++, el ejemplo más reciente es un trabajo en progreso escrito en .NET que parece estar compilado con CoreRT y empaquetado con MPRESS.

Trend Micro dice que el malware incluye un archivo de configuración en formato JSON que describe los parámetros de ejecución, como el rango de fechas de ejecución, los detalles de la nota de rescate, los ID únicos, la clave pública RSA y otras banderas operativas.


Aunque la firma de seguridad dice que el nuevo encriptador carece de algunas características presentes en iteraciones anteriores (por ejemplo, la capacidad de autopropagarse en redes violadas, imprimir notas de rescate en las impresoras de la víctima), parece estar en sus etapas finales de desarrollo, ya ofreciendo la mayor parte de la funcionalidad esperada.

Admite tres modos de cifrado (mediante AES+RSA), a saber, "rápido", "intermitente" y "completo", tiene exclusión personalizada de archivos o directorios y puede aleatorizar la nomenclatura de los archivos para complicar los esfuerzos de restauración.


Las opciones adicionales incluyen un mecanismo de autoeliminación que sobrescribe el contenido del archivo propio de LockBit con bytes nulos.

Trend Micro ha publicado un análisis profundamente técnico del malware, que revela los parámetros de configuración completos de LockBit-NG-Dev.

El descubrimiento del nuevo encriptador LockBit es otro golpe que las fuerzas del orden asestaron a los operadores de LockBit a través de la Operación Cronos. Incluso si los servidores de respaldo todavía están controlados por la banda, restaurar el negocio de los ciberdelincuentes debería ser un desafío difícil cuando los investigadores de seguridad conocen el código fuente del malware de cifrado.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Comisión Federal de Comercio de Estados Unidos (FTC, por sus siglas en inglés) ordenará a Avast pagar 16,5 millones de dólares y prohibirá a la compañía vender los datos de navegación web de los usuarios o licenciarlos con fines publicitarios.

La demanda dice que Avast violó los derechos de millones de consumidores al recopilar, almacenar y vender sus datos de navegación sin su conocimiento y consentimiento, al tiempo que los engañó de que los productos utilizados para recopilar sus datos bloquearían el seguimiento en línea.

"Si bien las demandas de privacidad de la FTC se enfrentan rutinariamente a las empresas que tergiversan sus prácticas de datos, la decisión de Avast de comercializar expresamente sus productos para salvaguardar los registros de navegación de las personas y proteger los datos del rastreo solo para luego vender esos registros es especialmente irritante", dijo la presidenta de la FTC, Lina M. Khan.

Además, el volumen de datos que Avast publicó es asombroso: la denuncia alega que para 2020 Jumpshot había acumulado "más de ocho petabytes de información de navegación que se remontan a 2014".

Más específicamente, la FTC dice que la empresa Avast Limited, con sede en el Reino Unido, recopiló información de navegación web de los consumidores sin su conocimiento o consentimiento utilizando extensiones de navegador y software antivirus de Avast desde al menos 2014.

Las fuentes de datos de Avast incluían identificadores únicos para cada navegador web y una combinación de información sobre cada sitio web visitado, marcas de tiempo, tipo de dispositivo y navegador, así como la ciudad, el estado y el país de los usuarios. Al describir sus prácticas de intercambio de datos, la compañía también afirmó falsamente que solo transferiría la información personal de los usuarios de forma agregada y anónima.

La FTC también dijo que Avast almacenó esta información indefinidamente y la vendió a más de 100 terceros entre 2014 y 2020 a través de su subsidiaria Jumpshot.

Por ejemplo, Jumpshot llegó a un acuerdo con la empresa de publicidad Omnicom, que le permitió acceder al 50% de los datos de los clientes de Jumpshot de seis países: Estados Unidos, Reino Unido, México, Australia, Canadá y Alemania, como se alega en la denuncia.

Avast también supuestamente engañó a los usuarios al prometer proteger su privacidad bloqueando el seguimiento de terceros. Sin embargo, no les informó de que se venderían sus datos de navegación detallados y reidentificables.

Las prácticas de recolección de datos de la compañía quedaron expuestas en diciembre de 2019 después de que Mozilla retirara cuatro de las extensiones de navegador de la compañía (es decir, Avast Online Security, Avast SafePrice, AVG Online Security y AVG SafePrice) de su repositorio de complementos de Firefox después de recibir informes de que estaban rastreando la navegación web de los usuarios.

Un mes después, una investigación conjunta de Motherboard y PCMag descubrió que la subsidiaria Jumpshot de Avast estaba vendiendo los datos de navegación recopilados de los clientes a terceros, incluido el corredor de datos Omnicom mencionado en la demanda de la FTC.


Además de ser condenado a pagar 16,5 millones de dólares, Avast tendrá prohibido licenciar o vender cualquier dato de navegación recopilado utilizando productos de la marca Avast a terceros con fines publicitarios.

La empresa tendrá que obtener el consentimiento de todos los clientes antes de vender o licenciar los datos de navegación obtenidos de productos que no sean de Avast. La FTC también exigirá a Avast que elimine todos los datos de navegación web compartidos con Jumpshot y cualquier producto o algoritmo desarrollado por Jumpshot que utilice dichos datos.

Además, Avast tendrá que notificar a los usuarios cuyos datos de navegación se hayan vendido a terceros sin su consentimiento sobre las acciones de la FTC contra la empresa.

"Avast prometió a los usuarios que sus productos protegerían la privacidad de sus datos de navegación, pero entregó lo contrario. Las tácticas de vigilancia de Avast comprometieron la privacidad de los consumidores e infringieron la ley", dijo Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC.

Un portavoz de Avast le dijo a BleepingComputer que la compañía ya ha llegado a un acuerdo con la FTC para resolver la investigación sobre los datos compartidos con la subsidiaria Jumpshot que se cerró en enero de 2020.

"Estamos comprometidos con nuestra misión de proteger y empoderar la vida digital de las personas", dijo el portavoz.

"Si bien no estamos de acuerdo con la acusación y la caracterización de los hechos por parte de la FTC, nos complace resolver este asunto y esperamos continuar sirviendo a nuestros millones de clientes en todo el mundo".

Actualización 22 de febrero, 11:57 EST: Se ha añadido la declaración de Avast.
Fuente:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Apple ha anunciado un nuevo protocolo criptográfico post-cuántico llamado PQ3 que, según dijo, se integrará en iMessage para proteger la plataforma de mensajería contra futuros ataques derivados de la amenaza de una computadora cuántica práctica.

"Con un cifrado resistente al compromiso y amplias defensas incluso contra ataques cuánticos altamente sofisticados, PQ3 es el primer protocolo de mensajería en alcanzar lo que llamamos seguridad de nivel 3, proporcionando protecciones de protocolo que superan a las de todas las demás aplicaciones de mensajería ampliamente implementadas", dijo Apple.

El fabricante del iPhone describió el protocolo como "innovador", "de última generación" y con las "propiedades de seguridad más sólidas" de cualquier protocolo criptográfico implementado a escala.

PQ3 es la última barandilla de seguridad erigida por Apple en iMessage después de que cambiara de RSA a criptografía de curva elíptica (ECC), y protegiendo las claves de cifrado en dispositivos con Secure Enclave en 2019.

Si bien los algoritmos actuales que sustentan la criptografía de clave pública (o criptografía asimétrica) se basan en problemas matemáticos que son fáciles de hacer en una dirección pero difíciles a la inversa, un posible avance futuro en la computación cuántica significa que los problemas matemáticos clásicos considerados computacionalmente intensivos pueden resolverse de manera trivial, amenazando efectivamente las comunicaciones cifradas de extremo a extremo (E2EE).

El riesgo se ve agravado por el hecho de que los actores de amenazas podrían llevar a cabo lo que se conoce como un ataque de cosecha ahora, descifrado después (HNDL), en el que los mensajes cifrados se roban hoy con la esperanza de decodificarlos en un momento posterior por medio de una computadora cuántica una vez que se convierta en realidad.

En julio de 2022, el Instituto Nacional de Estándares y Tecnología (NIST) del Departamento de Comercio de EE. UU. eligió a Kyber como algoritmo criptográfico poscuántico para el cifrado general. Durante el último año, Amazon Web Services (AWS), Cloudflare, Google y Signal han anunciado el soporte para el cifrado resistente a la cuántica en sus productos.


Apple es el último en unirse al carro de la criptografía poscuántica (PQC) con PQ3, que combina Kyber y ECC y tiene como objetivo alcanzar el nivel 3 de seguridad. Por el contrario, Signal, que introdujo su propio protocolo PQXDH, ofrece seguridad de nivel 2, que establece una clave PQC para el cifrado.

Esto se refiere a un enfoque en el que PQC se "utiliza para asegurar tanto el establecimiento inicial de la clave como el intercambio de mensajes en curso, con la capacidad de restaurar rápida y automáticamente la seguridad criptográfica de una conversación, incluso si una clave determinada se ve comprometida".

El protocolo, según Apple, también está diseñado para mitigar el impacto de los compromisos de claves al limitar la cantidad de mensajes pasados y futuros que se pueden descifrar con una sola clave comprometida. En concreto, su esquema de rotación de claves garantiza que las claves se roten cada 50 mensajes como máximo y al menos una vez cada siete días.

Se espera que el soporte para PQ3 comience a implementarse con la disponibilidad general de iOS 17.4, iPadOS 17.4, macOS 14.4 y watchOS 10.4 el próximo mes.

La actualización de seguridad de iMessage de Cupertino sigue a la sorpresiva decisión del gigante tecnológico de llevar Rich Communication Services (RCS) a su aplicación Mensajes a finales de este año, marcando un cambio muy necesario del estándar de SMS no seguro.

También dijo que trabajará para mejorar la seguridad y el cifrado de los mensajes RCS. Vale la pena señalar que, si bien RCS no implementa E2EE de forma predeterminada, la aplicación Mensajes de Google para Android utiliza el protocolo Signal para proteger las conversaciones RCS.

Si bien la adopción de protecciones avanzadas siempre es un paso bienvenido, queda por ver si esto se expande más allá de iMessage para incluir mensajes RCS.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una herramienta de mapeo de red de código abierto llamada SSH-Snake ha sido reutilizada por los actores de amenazas para llevar a cabo actividades maliciosas.

"SSH-Snake es un gusano automodificable que aprovecha las credenciales SSH descubiertas en un sistema comprometido para comenzar a propagarse por toda la red", dijo el investigador de Sysdig, Miguel Hernández.

"El gusano busca automáticamente a través de ubicaciones de credenciales conocidas y archivos de historial de shell para determinar su próximo movimiento".

SSH-Snake se lanzó por primera vez en GitHub a principios de enero de 2024, y su desarrollador lo describe como una "poderosa herramienta" para llevar a cabo el recorrido automático de la red utilizando claves privadas SSH descubiertas en los sistemas.

Al hacerlo, crea un mapa completo de una red y sus dependencias, lo que ayuda a determinar hasta qué punto una red puede verse comprometida utilizando SSH y claves privadas SSH a partir de un host en particular. También admite la resolución de dominios que tienen varias direcciones IPv4.

"Es completamente autorreplicante y autopropagable, y completamente sin archivos", según la descripción del proyecto. "En muchos sentidos, SSH-Snake es en realidad un gusano: se replica a sí mismo y se propaga de un sistema a otro tan lejos como puede".

Sysdig dijo que el script de shell no solo facilita el movimiento lateral, sino que también proporciona sigilo y flexibilidad adicionales que otros gusanos SSH típicos.

La compañía de seguridad en la nube dijo que observó que los actores de amenazas desplegaban SSH-Snake en ataques del mundo real para recopilar credenciales, las direcciones IP de los objetivos y el historial de comandos bash tras el descubrimiento de un servidor de comando y control (C2) que alojaba los datos.

"El uso de claves SSH es una práctica recomendada que SSH-Snake trata de aprovechar para propagarse", dijo Hernández. "Es más inteligente y confiable, lo que permitirá a los actores de amenazas llegar más lejos en una red una vez que se afiancen".

Cuando se le contactó para hacer comentarios, Joshua Rogers, el desarrollador de SSH-Snake, dijo a The Hacker News que la herramienta ofrece a los propietarios legítimos del sistema una forma de identificar las debilidades en su infraestructura antes de que lo hagan los atacantes, instando a las empresas a usar SSH-Snake para "descubrir las rutas de ataque que existen y solucionarlas".

"Parece que comúnmente se cree que el terrorismo cibernético 'simplemente sucede' de repente en los sistemas, lo que solo requiere un enfoque reactivo de la seguridad", dijo Rogers. "En cambio, en mi experiencia, los sistemas deben diseñarse y mantenerse con medidas de seguridad integrales".

"Si un ciberterrorista es capaz de ejecutar SSH-Snake en su infraestructura y acceder a miles de servidores, se debe poner el foco en las personas que están a cargo de la infraestructura, con el objetivo de revitalizar la infraestructura de tal manera que el compromiso de un solo host no pueda replicarse en miles de otros".

Rogers también llamó la atención sobre las "operaciones negligentes" de las empresas que diseñan e implementan infraestructuras inseguras, que pueden ser fácilmente tomadas por un simple script de shell.

"Si los sistemas se diseñaran y mantuvieran de manera sensata y los propietarios de los sistemas y las empresas realmente se preocuparan por la seguridad, se minimizarían las consecuencias de la ejecución de un script de este tipo, así como si las acciones tomadas por SSH-Snake fueran realizadas manualmente por un atacante", agregó Rogers.

"En lugar de leer las políticas de privacidad y realizar la entrada de datos, los equipos de seguridad de las empresas preocupadas por que este tipo de script se apodere de toda su infraestructura deberían realizar una rearquitectura total de sus sistemas por parte de especialistas en seguridad capacitados, no aquellos que crearon la arquitectura en primer lugar".

La revelación se produce cuando Aqua descubrió una nueva campaña de botnets llamada Lucifer que explota las configuraciones incorrectas y las fallas existentes en Apache Hadoop y Apache Druid para acorralarlos en una red para minar criptomonedas y organizar ataques de denegación de servicio distribuido (DDoS).

El malware híbrido de cryptojacking fue documentado por primera vez por la Unidad 42 de Palo Alto Networks en junio de 2020, llamando la atención sobre su capacidad para explotar fallas de seguridad conocidas para comprometer los puntos finales de Windows.


En el último mes se han detectado hasta 3.000 ataques distintos dirigidos a la pila de big data de Apache, dijo la firma de seguridad en la nube. Esto también incluye aquellos que seleccionan instancias susceptibles de Apache Flink para implementar mineros y rootkits.

"El atacante implementa el ataque explotando las configuraciones erróneas y las vulnerabilidades existentes en esos servicios", dijo el investigador de seguridad Nitzan Yaakov.

"Las soluciones de código abierto de Apache son ampliamente utilizadas por muchos usuarios y colaboradores. Los atacantes pueden ver este uso extensivo como una oportunidad para tener recursos inagotables para implementar sus ataques contra ellos".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de seguridad descubrieron una nueva campaña que se dirige a los servidores Redis en hosts Linux utilizando una pieza de malware llamada 'Migo' para minar criptomonedas.

Redis (Remote Dictionary Server) es un almacén de estructura de datos en memoria que se utiliza como base de datos, caché y agente de mensajes conocido por su alto rendimiento, que atiende miles de solicitudes por segundo para aplicaciones en tiempo real en sectores como los juegos, la tecnología, los servicios financieros y la sanidad.

Los piratas informáticos siempre están buscando servidores Redis expuestos y potencialmente vulnerables para secuestrar recursos, robar datos y otros fines maliciosos.

Lo interesante de la nueva cepa de malware es el uso de comandos que debilitan el sistema y desactivan las funciones de seguridad de Redis, lo que permite que las actividades de cryptojacking continúen durante períodos prolongados.

La campaña de Migo fue detectada por los analistas del proveedor forense en la nube Cado Security, quienes observaron en sus honeypots que los atacantes usaban comandos CLI para desactivar las configuraciones de protección y explotar el servidor.

Desactivar los escudos de Redis

Al poner en peligro los servidores Redis expuestos, los atacantes desactivan las funciones de seguridad críticas para permitir la recepción de comandos posteriores y hacer que las réplicas se puedan escribir.

Cado dice que notaron que los atacantes deshabilitaron las siguientes opciones de configuración a través de la CLI de Redis.

set protected-mode: deshabilitar esto permite el acceso externo al servidor de Redis, lo que facilita que un atacante ejecute comandos maliciosos de forma remota.

replica-read-only: desactivar esta opción permite a los atacantes escribir directamente en las réplicas y propagar cargas maliciosas o modificaciones de datos en una configuración de Redis distribuida.

aof-rewrite-incremental-fsync: deshabilitarlo puede provocar una carga de E/S más pesada durante las reescrituras de archivos de solo anexión (AOF), lo que podría ayudar a los atacantes a pasar desapercibidos por las herramientas de detección que distraen con patrones de E/S inusuales.

rdb-save-incremental-fsync: desactivarlo puede provocar una degradación del rendimiento durante el guardado de instantáneas de RDB, lo que podría permitir a los atacantes provocar una denegación de servicio (DoS) o manipular el comportamiento de persistencia en su beneficio.


A continuación, los atacantes configuran un trabajo cron que descarga un script de Pastebin, que recupera la carga útil principal de Migo (/tmp/.migo) de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta para ejecutarla como una tarea en segundo plano.

Se trata de un binario ELD empaquetado en UPX compilado en Go, con ofuscación en tiempo de compilación para dificultar el análisis.

Cado dice que la función principal de Migo es obtener, instalar y lanzar un minero XMRig (Monero) modificado en el punto final comprometido directamente desde la CDN de GitHub.

El malware establece la persistencia para el minero mediante la creación de un servicio systemd y el temporizador asociado, asegurando que se ejecute continuamente, minando criptomonedas en la cuenta del atacante.


Cado informa que Migo emplea un rootkit en modo de usuario para ocultar sus procesos y archivos, lo que complica la detección y eliminación.

El malware modifica '/etc/ld.so.preload' para interceptar y alterar el comportamiento de las herramientas del sistema que enumeran procesos y archivos, ocultando efectivamente su presencia.

El ataque concluye con Migo configurando reglas de firewall para bloquear el tráfico saliente a ciertas IP y ejecutando comandos para deshabilitar SELinux, buscar y potencialmente deshabilitar agentes de monitoreo de proveedores de nube y eliminar mineros o cargas útiles de la competencia.

También manipula /etc/hosts para evitar la comunicación con los proveedores de servicios en la nube, ocultando aún más su actividad.

La cadena de ataque de Migo muestra que el actor de amenazas detrás de ella tiene un sólido conocimiento del entorno y las operaciones de Redis.

Aunque la amenaza de cryptojacking no es demasiado grave porque no provoca interrupciones ni corrupción de datos, el actor de amenazas podría utilizar el acceso para entregar cargas útiles más peligrosas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un equipo de investigadores académicos muestra que un nuevo conjunto de ataques llamado 'VoltSchemer' puede inyectar comandos de voz para manipular el asistente de voz de un teléfono inteligente a través del campo magnético emitido por un cargador inalámbrico estándar.

VoltSchemer también se puede usar para causar daños físicos al dispositivo móvil y para calentar artículos cerca del cargador a una temperatura superior a 536 °F (280 °C).

Un documento técnico firmado por investigadores de la Universidad de Florida y CertiK describe a VoltSchemer como un ataque que aprovecha la interferencia electromagnética para manipular el comportamiento del cargador.

Para demostrar el ataque, los investigadores llevaron a cabo pruebas en nueve de los cargadores inalámbricos más vendidos disponibles en todo el mundo, destacando las brechas en la seguridad de estos productos.


¿Qué hace posible estos ataques?

Los sistemas de carga inalámbrica suelen utilizar campos electromagnéticos para transferir energía entre dos objetos, basándose en el principio de la inducción electromagnética.

La estación de carga contiene una bobina transmisora, por donde fluye la corriente alterna para crear un campo magnético oscilante, y el teléfono inteligente contiene una bobina receptora que captura la energía del campo magnético y la convierte en energía eléctrica para cargar la batería.


Los atacantes pueden manipular el voltaje suministrado en la entrada de un cargador y ajustar con precisión las fluctuaciones de voltaje (ruido) para crear una señal de interferencia que puede alterar las características de los campos magnéticos generados.

La manipulación del voltaje puede ser introducida por un dispositivo de interposición, sin necesidad de modificación física de la estación de carga o infección de software del dispositivo del teléfono inteligente.

Los investigadores dicen que esta señal de ruido puede interferir con el intercambio regular de datos entre la estación de carga y el teléfono inteligente, que utilizan microcontroladores que administran el proceso de carga, para distorsionar la señal de energía y corromper los datos transmitidos con alta precisión.

En esencia, VoltSchemer se aprovecha de las fallas de seguridad en el diseño de hardware de los sistemas de carga inalámbrica y los protocolos que rigen su comunicación.

Esto abre el camino a al menos tres vectores de ataque potenciales para los ataques de VoltSchemer, incluido el sobrecalentamiento/sobrecarga, la elusión de los estándares de seguridad de Qi y la inyección de comandos de voz en el teléfono inteligente que se carga.


Engañar a los asistentes de voz y freír los teléfonos

Los teléfonos inteligentes están diseñados para dejar de cargarse una vez que la batería está llena para evitar la sobrecarga, que se comunica con la estación de carga para reducir o cortar el suministro de energía.

La señal de ruido introducida por VoltSchemer puede interferir con esta comunicación, manteniendo la entrega de energía al máximo y haciendo que el teléfono inteligente en la plataforma de carga se sobrecargue y se sobrecaliente, lo que introduce un peligro significativo para la seguridad.


Los investigadores describen sus experimentos con un dispositivo Samsung Galaxy S8 de la siguiente manera:

Al inyectar paquetes CE para aumentar la potencia, la temperatura aumentó rápidamente. Poco después, el teléfono intentó detener la transferencia de energía transmitiendo paquetes EPT debido al sobrecalentamiento, pero la interferencia de voltaje introducida por nuestro manipulador de voltaje corrompió estos, haciendo que el cargador no respondiera.

Engañado por paquetes falsos CE y RP, el cargador siguió transfiriendo energía, elevando aún más la temperatura. El teléfono activó aún más medidas de protección: cerró aplicaciones y limitó la interacción del usuario a 126 F◦ e inició el apagado de emergencia a 170 F (76,7 C). Aún así, la transferencia de energía continuó, manteniendo una temperatura peligrosamente alta, estabilizándose en 178 °F (81 °C).


El segundo tipo de ataque VoltSchemer puede eludir los mecanismos de seguridad estándar de Qi para iniciar la transferencia de energía a elementos cercanos no compatibles. Algunos ejemplos podrían incluir llaveros de automóvil, memorias USB, chips RFID o NFC utilizados en tarjetas de pago y control de acceso, unidades SSD en computadoras portátiles y otros artículos muy cerca de la plataforma de carga.


Al experimentar con clips que sostenían documentos, los investigadores lograron calentarlos a 536 °F (280 °C), que es más que suficiente para prender fuego a los papeles.

Los artículos electrónicos no están diseñados para soportar este nivel de calor y podrían dañarse en un ataque de este tipo con VoltSchemer.


En el caso de un llavero de coche, el ataque provocó que la batería explotara y destruyera el dispositivo. Con las unidades de almacenamiento USB, la transferencia de voltaje provocaba la pérdida de datos, al igual que en el caso de las unidades SSD.

Un tercer tipo de ataque que los investigadores probaron fue entregar comandos de voz inaudibles a los asistentes en iOS (Siri) y Android (Google Assistant).

Los investigadores han demostrado que es posible inyectar una serie de comandos de voz a través de señales de ruido transmitidas a través del alcance de la estación de carga, logrando el inicio de llamadas, navegando por un sitio web o lanzando una aplicación.

Sin embargo, este ataque viene con limitaciones que podrían hacerlo poco práctico en un escenario de la vida real. Un atacante primero tendría que grabar los comandos de activación del objetivo y luego agregar señales de voz de salida al adaptador de corriente. que tienen la información más importante en una banda de frecuencia por debajo de 10kHz.

"[...] cuando se agrega una señal de voz al voltaje de salida del adaptador de corriente, puede modular la señal de potencia en la bobina TX con atenuación y distorsiones limitadas", explican los investigadores, y agregan que un estudio reciente mostró que a través de acoplamientos magnéticos, "un campo magnético modulado por AM puede causar sonido inducido por el magnetismo (MIS) en los circuitos de micrófono de los teléfonos inteligentes modernos".

Los dispositivos de interposición que introducen las fluctuaciones maliciosas de voltaje pueden ser cualquier cosa disfrazada como un accesorio legítimo, distribuido a través de varios medios, como obsequios promocionales, ventas de segunda mano o como reemplazos de productos supuestamente retirados del mercado.


Si bien la entrega de un voltaje más alto al dispositivo móvil en la plataforma de carga o a los elementos cercanos mediante un cargador inalámbrico es un escenario factible, la manipulación de los asistentes telefónicos con VoltSchemer establece una barrera más alta en términos de las habilidades y la motivación del atacante.

Estos descubrimientos ponen de relieve las brechas de seguridad en las estaciones de carga y los estándares modernos, y exigen mejores diseños que sean más resistentes a las interferencias electromagnéticas.

Los investigadores revelaron sus hallazgos a los proveedores de las estaciones de carga probadas y discutieron contramedidas que podrían eliminar el riesgo de un ataque de VoltSchemer.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El actor de amenazas vinculado a China conocido como Mustang Panda se ha dirigido a varios países asiáticos utilizando una variante de la puerta trasera PlugX (también conocida como Korplug) denominada DOPLUGS.

"La pieza de malware PlugX personalizada es diferente al tipo general de malware PlugX que contiene un módulo de comando de puerta trasera completo, y que el primero solo se usa para descargar el segundo", dijeron los investigadores de Trend Micro Sunny Lu y Pierre Lee en un nuevo artículo técnico.

Los objetivos de los DOPLUGS se han localizado principalmente en Taiwán y Vietnam, y en menor medida en Hong Kong, India, Japón, Malasia, Mongolia e incluso China.

PlugX es una herramienta básica de Mustang Panda, que también se rastrea como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 y TEMP. Maleficio. Se sabe que está activo desde al menos 2012, aunque salió a la luz por primera vez en 2017.

El oficio del actor de amenazas consiste en llevar a cabo campañas de spear-phishing bien forjadas que están diseñadas para implementar malware personalizado. También tiene un historial de implementación de sus propias variantes personalizadas de PlugX como RedDelta, Thor, Hodur y DOPLUGS (distribuidas a través de una campaña llamada SmugX) desde 2018.

Las cadenas de compromiso aprovechan un conjunto de tácticas distintas, utilizando mensajes de phishing como conducto para entregar una carga útil de primera etapa que, mientras muestra un documento señuelo al destinatario, desempaqueta de forma encubierta un ejecutable legítimo y firmado que es vulnerable a la carga lateral de DLL para cargar lateralmente una biblioteca de vínculos dinámicos (DLL), que, a su vez, descifra y ejecuta PlugX.

Posteriormente, el malware PlugX recupera el troyano de acceso remoto (RAT) Poison Ivy o Cobalt Strike Beacon para establecer una conexión con un servidor controlado por Mustang Panda.

En diciembre de 2023, Lab52 descubrió una campaña de Mustang Panda dirigida a entidades políticas, diplomáticas y gubernamentales taiwanesas con DOPLUGS, pero con una diferencia notable.

"La DLL maliciosa está escrita en el lenguaje de programación Nim", dijo Lab52. "Esta nueva variante utiliza su propia implementación del algoritmo RC4 para descifrar PlugX, a diferencia de las versiones anteriores que utilizan la biblioteca Cryptsp.dll de Windows".

DOPLUGS, documentado por primera vez por Secureworks en septiembre de 2022, es un descargador con cuatro comandos de puerta trasera, uno de los cuales está orquestado para descargar el tipo general del malware PlugX.

Trend Micro dijo que también identificó muestras de DOPLUGS integradas con un módulo conocido como KillSomeOne, un complemento que es responsable de la distribución de malware, la recopilación de información y el robo de documentos a través de unidades USB.

Esta variante viene equipada con un componente de inicio adicional que ejecuta el ejecutable legítimo para realizar la carga lateral de DLL, además de admitir la funcionalidad para ejecutar comandos y descargar el malware de la siguiente etapa desde un servidor controlado por actores.

Vale la pena señalar que una variante personalizada de PlugX, incluido el módulo KillSomeOne diseñado para propagarse a través de USB, fue descubierta ya en enero de 2020 por Avira como parte de los ataques dirigidos contra Hong Kong y Vietnam.

"Esto demuestra que Earth Preta ha estado refinando sus herramientas desde hace algún tiempo, agregando constantemente nuevas funcionalidades y características", dijeron los investigadores. "El grupo sigue siendo muy activo, sobre todo en Europa y Asia".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los anunciantes de Facebook en Vietnam son el objetivo de un ladrón de información previamente desconocido denominado VietCredCare al menos desde agosto de 2022.

El malware es "notable por su capacidad para filtrar automáticamente las cookies de sesión de Facebook y las credenciales robadas de dispositivos comprometidos, y evaluar si estas cuentas administran perfiles comerciales y si mantienen un saldo positivo de crédito publicitario de Meta", dijo Group-IB, con sede en Singapur, en un nuevo informe compartido con The Hacker News.

El objetivo final del esquema de distribución de malware a gran escala es facilitar la toma de control de las cuentas corporativas de Facebook al dirigirse a las personas vietnamitas que administran los perfiles de Facebook de empresas y organizaciones destacadas.

Las cuentas de Facebook que han sido incautadas con éxito son utilizadas por los actores de amenazas detrás de la operación para publicar contenido político o para propagar phishing y estafas de afiliados para obtener ganancias financieras.

VietCredCare se ofrece a otros aspirantes a ciberdelincuentes bajo el modelo de ladrón como servicio y se anuncia en Facebook, YouTube y Telegram. Se considera que está gestionado por personas de habla vietnamita.

Los clientes tienen la opción de comprar acceso a una botnet administrada por los desarrolladores del malware o obtener acceso al código fuente para su reventa o uso personal. También se les proporciona un bot de Telegram a medida para gestionar la exfiltración y la entrega de credenciales desde un dispositivo infectado.

El. El malware basado en NET se distribuye a través de enlaces a sitios falsos en publicaciones de redes sociales y plataformas de mensajería instantánea, haciéndose pasar por software legítimo como Microsoft Office o Acrobat Reader para engañar a los visitantes para que los instalen.


Uno de sus principales puntos de venta es su capacidad para extraer credenciales, cookies e ID de sesión de navegadores web como Google Chrome, Microsoft Edge y Cốc Cốc, lo que indica su enfoque vietnamita.

También puede recuperar la dirección IP de una víctima, verificar si Facebook es un perfil comercial y evaluar si la cuenta en cuestión está administrando actualmente algún anuncio, al mismo tiempo que toma medidas para evadir la detección deshabilitando la interfaz de escaneo antimalware de Windows (AMSI) y agregándose a la lista de exclusión de Windows Defender Antivirus.

"La funcionalidad principal de VietCredCare para filtrar las credenciales de Facebook pone a las organizaciones tanto en el sector público como en el privado en riesgo de daños financieros y de reputación si sus cuentas confidenciales se ven comprometidas", dijo Vesta Matveeva, jefa del Departamento de Investigación de Delitos de Alta Tecnología de APAC.

Las credenciales pertenecientes a varias agencias gubernamentales, universidades, plataformas de comercio electrónico, bancos y empresas vietnamitas han sido desviadas a través del malware ladrón.

VietCredCare es también la última incorporación a una larga lista de malware ladrón, como Ducktail y NodeStealer, que se ha originado en el ecosistema cibercriminal vietnamita con la intención de atacar cuentas de Facebook.

Dicho esto, Group-IB le dijo a The Hacker News que no hay evidencia en esta etapa que sugiera conexiones entre VietCredCare y las otras cepas.

"Con Ducktail, las funciones son diferentes, y aunque hay algunas similitudes con NodeStealer, observamos que este último usa un servidor [de comando y control] en lugar de Telegram, además de que su elección de víctimas es diferente", dijo la compañía.

"El modelo de negocio de ladrón como servicio permite a los actores de amenazas con poca o ninguna habilidad técnica entrar en el campo de la ciberdelincuencia, lo que da lugar a que más víctimas inocentes sufran daños".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las quejas han surtido efecto y, tras conocerse que la nueva versión de Visual Studio Code dejaba sin soporte a «distribuciones Linux viejas», los responsables del proyecto lo han reconsiderado y el ampliarán el soporte durante un año más para dar tiempo a que todo el mundo pueda dar el salto o considerar otras opciones.

Nos hicimos eco de la noticia hace un par de semanas y como contamos entonces el lanzamiento mensual del editor de código multiplataforma de Microsoft aparecía con un cambio importante en sus requisitos que afectaba directamente a la compilación de la aplicación en Linux. En concreto, la nueva versión tomaba como requisito versiones más recientes de glibc con la consecuencia de dejar atrás todo lo que dependiera de ellas.

Así, distribuciones como Debian 9, Red Hat Enterprise Linux 7 y Ubuntu 16.04 LTS se quedaban sin soporte de Visual Studio Code 1.86; distribuciones con un buen número de años a sus espaldas, lo cual puede generar dudas sobre quién se queja de algo así. Y la respuesta es, principalmente, desarrolladores que todavía utilizan estas versiones en servidores, aunque de todo habrá un poco.

Sea como fuere, la actualización llegó y los usuarios afectados se quedaron con dos palmos de narices, o con dos posibles opciones, que en realidad son tres: actualizar el sistema o seguir utilizando una versión desactualizada de VSCode. También existía la posibilidad de adoptar una alternativa, que las hay, pero... No va a ser necesario.

A una petición de apaño temporal, el desarrollador de Visual Studio Code Isidor Nikolic respondía en positivo, asegurando que mantendrán el soporte del editor por un año más en todos los sistemas afectados. ¿Cómo lo harán, o mejor dicho, cómo lo han hecho? Lanzando una nueva actualización con dicho cambio ya implementado.

«Esperamos que esto proporcione el tiempo necesario para que vosotros y vuestras empresas migren a distribuciones de Linux más nuevas. El código VS mostrará el cuadro de diálogo y el banner apropiados que está conectando a un sistema operativo que no es compatible con el código VS», explica Nikolic.

A todo esto, VSCode 1.86 ha sido un lanzamiento con novedades bastante interesantes, según se recoge en las notas de lanzamiento oficiales.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El Proyecto Fedora ha presentado Fedora Atomic Desktop, una nueva familia de spins que, como bien indica su nombre, englobará los sistemas inmutables para escritorio que están oficialmente bajo su paraguas. Este movimiento no representa en sí mismo ninguna novedad especialmente importante para el usuario final, pero sí aclara un poco la posición que tienen ciertos sistemas dentro del proyecto matriz.

Si bien no es ni por asomo el pionero, no es menos cierto que Fedora ha sido el proyecto que ha traído los sistemas inmutables para escritorio a la escena mainstream de Linux, más viendo que SteamOS 3 no compite en realidad con nadie a pesar de ser el más usado. La relativa popularidad de los escritorios inmutables de Fedora cabalga principalmente a lomos de Silverblue, que lleva GNOME por defecto y se ha mostrado como una de las opciones más maduras dentro de su segmento.

Sobre la creación de la familia de spins Fedora Atomic Desktop, desde el proyecto tras la distribución han expuesto como primera razón la posible llegada de más sistemas del mismo tipo, apoyados en OSTree y rpm-ostree, pero con el escritorio cambiado. Por ahora los únicos spins oficialmente reconocidos son los que usan GNOME, KDE Plasma, Sway y Budgie, aunque los dos últimos han sido rebautizados.


La segunda razón consiste en aunar todos los escritorios inmutables en una sola categoría y reducir la posible confusión que estos puedan ocasionar, sobre todo con la edición Workstation y el resto de spins mutables de Fedora. Con la creación de la nueva familia se espera que todo quede más claro, sobre en lo que se refiere a la información que llega a los usuarios.

Y como última razón esgrimida por Fedora está el hecho de impulsar una marca que proyecte una imagen más clara de la forma de funcionar de rpm-ostree, el gestor de paquetes que se apoya en el mecanismo de actualizaciones atómicas OSTree. Aquí es donde llega un giro que posiblemente sorprenda a más de uno, ya que el proyecto matriz afirma ahora que "los spins de Fedora Atomic no son en realidad inmutables. Hay formas de evitar los aspectos de solo lectura de la implementación, aunque sea mucho más difícil". A pesar de este intento de centrar el lenguaje en la atomicidad, me da que muchos seguiremos refiriéndonos a estos sistemas como inmutables, incluso reconociendo que no son puros en ese sentido.


La creación de Fedora Atomic Desktop ha traído el cambio de nombre de Sericea y Onyx a Fedora Sway Atomic y Fedora Budgie Atomic respectivamente. Silverblue y Kinoite retendrán sus nombres debido a que han logrado cierta repercusión y son marcas asentadas y reconocidas dentro del mundo de Linux. Sin embargo, los próximos miembros que sean reconocidos seguirán el esquema de Fedora NombreDelEscritorio Atomic.

En resumidas cuentas, los sistemas inmutables para escritorio reconocidos oficialmente por el Proyecto Fedora son ahora spins de la familia Fedora Atomic Desktop. Este cambio ha sido introducido con el fin de facilitar la organización conforme la familia vaya creciendo.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El troyano bancario para Android conocido como Anatsa ha ampliado su enfoque para incluir a Eslovaquia, Eslovenia y Chequia como parte de una nueva campaña observada en noviembre de 2023.

"Algunos de los droppers de la campaña explotaron con éxito el servicio de accesibilidad, a pesar de los mecanismos mejorados de detección y protección de Google Play", dijo ThreatFabric en un informe compartido con The Hacker News.

"Todos los droppers de esta campaña han demostrado la capacidad de eludir la configuración restringida para el servicio de accesibilidad en Android 13". La campaña, en total, involucra a cinco cuentagotas con más de 100.000 instalaciones totales.

También conocida por el nombre de TeaBot y Toddler, Anatsa es conocida por distribuirse bajo la apariencia de aplicaciones aparentemente inocuas en Google Play Store. Estas aplicaciones, llamadas droppers, facilitan la instalación del malware eludiendo las medidas de seguridad impuestas por Google que buscan otorgar permisos confidenciales.

En junio de 2023, la empresa holandesa de seguridad móvil reveló una campaña de Anatsa dirigida a clientes bancarios de EE. UU., Reino Unido, Alemania, Austria y Suiza al menos desde marzo de 2023 utilizando aplicaciones cuentagotas que se descargaron colectivamente más de 30.000 veces en Play Store.

Anatsa viene equipado con capacidades para obtener un control total sobre los dispositivos infectados y ejecutar acciones en nombre de la víctima. También puede robar credenciales para iniciar transacciones fraudulentas.

La última iteración observada en noviembre de 2023 no es diferente, ya que uno de los droppers se hizo pasar por una aplicación de limpieza de teléfonos llamada "Phone Cleaner - File Explorer" (nombre del paquete "com.volabs.androidcleaner") y aprovechó una técnica llamada control de versiones para introducir su comportamiento malicioso.

Si bien la aplicación ya no está disponible para descargar desde la tienda oficial para Android, aún se puede descargar a través de otras fuentes de terceros incompletas.

Según las estadísticas disponibles en la plataforma de inteligencia de aplicaciones AppBrain, se estima que la aplicación se descargó unas 12.000 veces durante el tiempo que estuvo disponible en Google Play Store entre el 13 y el 27 de noviembre, cuando no se publicó.


"Inicialmente, la aplicación parecía inofensiva, sin código malicioso y su servicio de accesibilidad no participaba en ninguna actividad dañina", dijeron los investigadores de ThreatFabric.

"Sin embargo, una semana después de su lanzamiento, una actualización introdujo código malicioso. Esta actualización alteró la funcionalidad de AccessibilityService, lo que le permitió ejecutar acciones maliciosas, como hacer clic automáticamente en los botones una vez que recibió una configuración del servidor [de comando y control]".

Lo que hace que el cuentagotas sea notable es que su abuso del servicio de accesibilidad está adaptado a los dispositivos Samsung, lo que sugiere que fue diseñado para apuntar exclusivamente a los teléfonos fabricados por la compañía en algún momento, aunque se ha descubierto que otros cuentagotas utilizados en la campaña son independientes del fabricante.

Los droppers también son capaces de eludir la configuración restringida de Android 13 imitando el proceso utilizado por los marketplaces para instalar nuevas aplicaciones sin tener desactivado su acceso a las funcionalidades del servicio de accesibilidad, como se observó anteriormente en el caso de los servicios dropper como SecuriDropper.

"Estos actores prefieren ataques concentrados en regiones específicas en lugar de una propagación global, cambiando periódicamente su enfoque", dijo ThreatFabric. "Este enfoque específico les permite concentrarse en un número limitado de organizaciones financieras, lo que lleva a un alto número de casos de fraude en poco tiempo".

El desarrollo se produce cuando Fortinet FortiGuard Labs detalló otra campaña que distribuye el troyano de acceso remoto SpyNote imitando un servicio legítimo de billetera de criptomonedas con sede en Singapur conocido como imToken para reemplazar las direcciones de billetera de destino y con otras controladas por actores y realizar transferencias ilícitas de activos.

"Al igual que gran parte del malware de Android hoy en día, este malware abusa de la API de accesibilidad", dijo la investigadora de seguridad Axelle Apvrille. "Este ejemplo de SpyNote utiliza la API de accesibilidad para apuntar a billeteras criptográficas famosas".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Meta Platforms dijo que tomó una serie de medidas para reducir la actividad maliciosa de ocho empresas diferentes con sede en Italia, España y los Emiratos Árabes Unidos (EAU) que operan en la industria de la vigilancia por encargo.

Los hallazgos forman parte de su Informe de Amenazas Adversarial para el cuarto trimestre de 2023. El spyware se dirigía a dispositivos iOS, Android y Windows.

"Sus diversos programas maliciosos incluían capacidades para recopilar y acceder a información del dispositivo, ubicación, fotos y medios, contactos, calendario, correo electrónico, SMS, redes sociales y aplicaciones de mensajería, y habilitar la funcionalidad de micrófono, cámara y captura de pantalla", dijo la compañía.

Las ocho empresas son Cy4Gate/ELT Group, RCS Labs, IPS Intelligence, Variston IT, TrueL IT, Protect Electronic Systems, Negg Group y Mollitiam Industries.

Estas empresas, según Meta, también se dedicaron al scraping, la ingeniería social y la actividad de phishing que se dirigieron a una amplia gama de plataformas como Facebook, Instagram, X (antes Twitter), YouTube, Skype, GitHub, Reddit, Google, LinkedIn, Quora, Tumblr, VK, Flickr, TikTok, SnapChat, Gettr, Viber, Twitch y Telegram.

Específicamente, se dice que una red de personas ficticias vinculadas a RCS Labs, que es propiedad de Cy4Gate, engañó a los usuarios para que proporcionaran sus números de teléfono y direcciones de correo electrónico, además de hacer clic en enlaces falsos para realizar reconocimientos.

Otro conjunto de cuentas de Facebook e Instagram, ahora eliminadas, asociadas con el proveedor español de software espía Variston IT se empleó para el desarrollo y las pruebas de exploits, incluido el intercambio de enlaces maliciosos. La semana pasada, surgieron informes de que la compañía está cerrando sus operaciones.

Meta también dijo que identificó cuentas utilizadas por Negg Group para probar la entrega de su software espía, así como por Mollitiam Industries, una empresa española que anuncia un servicio de recopilación de datos y software espía dirigido a Windows, macOS y Android, para extraer información pública.

Por otra parte, el gigante de las redes sociales actuó en las redes de China, Myanmar y Ucrania que exhiben un comportamiento inauténtico coordinado (CIB) al eliminar más de 2.000 cuentas, páginas y grupos de Facebook e Instagram.

Mientras que el grupo chino se dirigía a audiencias estadounidenses con contenido relacionado con críticas a la política exterior de Estados Unidos hacia Taiwán e Israel y su apoyo a Ucrania, la red originaria de Myanmar se dirigía a sus propios residentes con artículos originales que elogiaban al ejército birmano y menospreciaban a las organizaciones étnicas armadas y a los grupos minoritarios.

El tercer grupo es notable por su uso de páginas y grupos falsos para publicar contenido que apoyaba al político ucraniano Viktor Razvadovskyi, al tiempo que compartía "comentarios de apoyo sobre el gobierno actual y comentarios críticos sobre la oposición" en Kazajistán.

El desarrollo se produce cuando una coalición de empresas gubernamentales y tecnológicas, incluida Meta, ha firmado un acuerdo para frenar el abuso de software espía comercial para cometer abusos contra los derechos humanos.

Como contramedidas, la compañía ha introducido nuevas funciones como la habilitación de Control Flow Integrity (CFI) en Messenger para Android y el aislamiento de memoria VoIP para WhatsApp en un esfuerzo por dificultar la explotación y reducir la superficie de ataque general.

Dicho esto, la industria de la vigilancia sigue prosperando en innumerables formas inesperadas. El mes pasado, 404 Media, basándose en una investigación previa del Consejo Irlandés para las Libertades Civiles (ICCL) en noviembre de 2023, desenmascaró una herramienta de vigilancia llamada Patternz que aprovecha los datos publicitarios de ofertas en tiempo real (RTB) recopilados de aplicaciones populares como 9gag, Truecaller y Kik para rastrear dispositivos móviles.

"Patternz permite a las agencias de seguridad nacional utilizar datos generados por publicidad de usuarios en tiempo real e históricos para detectar, monitorear y predecir las acciones de los usuarios, las amenazas de seguridad y las anomalías en función del comportamiento de los usuarios, los patrones de ubicación y las características de uso móvil", afirmó ISA, la compañía israelí detrás del producto, en su sitio web.

Luego, la semana pasada, Enea reveló un ataque a la red móvil previamente desconocido conocido como MMS Fingerprint que supuestamente fue utilizado por el fabricante de Pegasus, NSO Group. Esta información se incluyó en un contrato de 2015 entre la empresa y el regulador de telecomunicaciones de Ghana.

Si bien el método exacto utilizado sigue siendo un misterio, la firma sueca de seguridad de telecomunicaciones sospecha que probablemente implique el uso de MM1_notification. REQ, un tipo especial de mensaje SMS denominado SMS binario que notifica al dispositivo destinatario de un MMS que está esperando ser recuperado del Centro de servicios de mensajería multimedia (MMSC).

A continuación, el MMS se obtiene por medio de MM1_retrieve. REQ y MM1_retrieve. RES, siendo la primera una solicitud HTTP GET a la dirección URL contenida en el MM1_notification. REQ.

Lo notable de este enfoque es que la información del dispositivo del usuario, como User-Agent (diferente de una cadena User-Agent del navegador web) y x-wap-profile, está incrustada en la solicitud GET, lo que actúa como una especie de huella digital.

"El User-Agent (MMS) es una cadena que normalmente identifica el sistema operativo y el dispositivo", dijo Enea. "x-wap-profile apunta a un archivo UAProf (User Agent Profile) que describe las capacidades de un teléfono móvil".

Un actor de amenazas que busque implementar spyware podría usar esta información para explotar vulnerabilidades específicas, adaptar sus cargas maliciosas al dispositivo de destino o incluso crear campañas de phishing más efectivas. Dicho esto, no hay evidencia de que este agujero de seguridad haya sido explotado en la naturaleza en los últimos meses.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una vulnerabilidad grave llamada KeyTrap en la función de Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) podría explotarse para denegar el acceso a Internet a las aplicaciones durante un período prolongado.

Rastreado como CVE-2023-50387, KeyTrap es un problema de diseño en DNSSEC y afecta a todas las implementaciones o servicios populares del Sistema de nombres de dominio (DNS).

Permite a un atacante remoto causar una condición de denegación de servicio (DoS) de larga duración en solucionadores vulnerables mediante el envío de un solo paquete DNS.

DNS es lo que nos permite a los humanos acceder a ubicaciones en línea escribiendo nombres de dominio en lugar de la dirección IP del servidor al que nuestra computadora necesita conectarse.

DNSSEC es una característica del DNS que aporta firmas criptográficas a los registros DNS, proporcionando así autenticación a las respuestas; esta verificación garantiza que los datos DNS provengan de la fuente, su servidor de nombres autorizado y no se hayan modificado en el camino para enrutarlo a una ubicación maliciosa.

Daño significativo en una solicitud de ataque

KeyTrap ha estado presente en el estándar DNSSEC durante más de dos décadas, y fue descubierto por investigadores del Centro Nacional de Investigación para la Ciberseguridad Aplicada ATHENE, junto con expertos de la Universidad Goethe de Frankfurt, Fraunhofer SIT y la Universidad Técnica de Darmstadt.

Los investigadores explican que el problema se deriva del requisito de DNSSEC de enviar todas las claves criptográficas relevantes para los cifrados compatibles y las firmas correspondientes para que se produzca la validación.

El proceso es el mismo incluso si algunas claves DNSSEC están mal configuradas, son incorrectas o pertenecen a cifrados que no son compatibles.

Al aprovechar esta vulnerabilidad, los investigadores desarrollaron una nueva clase de ataques de complejidad algorítmica basados en DNSSEC que pueden aumentar en 2 millones de veces el recuento de instrucciones de la CPU en un solucionador de DNS, retrasando así su respuesta.

La duración de este estado DoS depende de la implementación de la resolución, pero los investigadores dicen que una sola solicitud de ataque puede contener la respuesta desde 56 segundos hasta 16 horas.


"La explotación de este ataque tendría graves consecuencias para cualquier aplicación que utilice Internet, incluida la falta de disponibilidad de tecnologías como la navegación web, el correo electrónico y la mensajería instantánea", se lee en la divulgación de ATHENE.

"Con KeyTrap, un atacante podría desactivar por completo grandes partes de Internet en todo el mundo", dicen los investigadores.

Los detalles completos sobre la vulnerabilidad y cómo puede manifestarse en las implementaciones modernas de DNS se pueden encontrar en un informe técnico publicado a principios de esta semana.

Los investigadores han demostrado cómo su ataque KeyTrap puede afectar a los proveedores de servicios DNS, como Google y Cloudflare, desde principios de noviembre de 2023 y han trabajado con ellos para desarrollar mitigaciones.


ATHENE dice que KeyTrap ha estado presente en estándares ampliamente utilizados desde 1999, por lo que pasó desapercibido durante casi 25 años, principalmente debido a la complejidad de los requisitos de validación de DNSSEC.

Aunque los proveedores afectados ya han impulsado correcciones o están en proceso de mitigar el riesgo de KeyTrap, ATHENE afirma que abordar el problema a un nivel fundamental puede requerir una reevaluación de la filosofía de diseño de DNSSEC.

En respuesta a la amenaza de KeyTrap, Akamai desarrolló e implementó, entre diciembre de 2023 y febrero de 2024, mitigaciones para sus solucionadores recursivos de DNSi, incluidos CacheServe y AnswerX, así como sus soluciones gestionadas y en la nube.


Akamai señala que, según los datos de APNIC, aproximadamente el 35 % de los usuarios de EE. UU. y el 30 % de los usuarios de Internet en todo el mundo confían en los solucionadores de DNS que utilizan la validación de DNSSEC y, por lo tanto, son vulnerables a KeyTrap.

Aunque la compañía de Internet no compartió muchos detalles sobre las mitigaciones reales que implementó, el documento de ATHENE describe la solución de Akamai como limitar las fallas criptográficas a un máximo de 32, lo que hace que sea prácticamente imposible agotar los recursos de la CPU y causar estancamientos.

Las correcciones ya están presentes en los servicios DNS de Google y Cloudflare.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El Departamento de Estado de EE.UU. ofrece recompensas de hasta 10 millones de dólares por información que pueda conducir a la identificación o localización de los líderes de la banda de ransomware ALPHV/Blackcat.

También hay disponible una recompensa adicional de 5 millones de dólares por consejos sobre las personas que intentan participar en los ataques de ransomware ALPHV, lo que probablemente disuadirá a los afiliados y a los corredores de acceso inicial.

El FBI vinculó a esta banda de ransomware con más de 60 brechas en todo el mundo durante sus primeros cuatro meses de actividad entre noviembre de 2021 y marzo de 2022.

ALPHV también ha recaudado al menos 300 millones de dólares en pagos de rescate de más de 1.000 víctimas hasta septiembre de 2023, según el FBI.

"El Departamento de Estado de EE.UU. ofrece una recompensa de hasta 10.000.000 de dólares por información que conduzca a la identificación o localización de cualquier persona que ocupe una posición de liderazgo clave en el grupo de Crimen Organizado Transnacional detrás de la variante de ransomware ALPHV/Blackcat", dijo el Departamento de Estado.

"Además, se ofrece una oferta de recompensa de hasta 5.000.000 de dólares por información que conduzca al arresto y/o condena en cualquier país de cualquier persona que conspire para participar o intente participar en actividades de ransomware ALPHV/Blackcat".

Estas recompensas se otorgan a través del Programa de Recompensas contra el Crimen Organizado Transnacional de los Estados Unidos (TOCRP, por sus siglas en inglés), con más de $135 millones pagados por consejos útiles desde 1986.

El Departamento de Estado ha establecido un servidor Tor SecureDrop dedicado que se puede utilizar para enviar pistas sobre ALPHV y otros actores de amenazas buscados.


Ransomware y oleoductos

ALPHV apareció en noviembre de 2021 y se cree que es un cambio de marca de las operaciones de ransomware DarkSide y BlackMatter.

La operación se cerró en mayo de 2021 después de que las extensas investigaciones de las fuerzas del orden llevaran a la incautación de su infraestructura tras el ataque a Colonial Pipeline.

La pandilla resurgió bajo la marca BlackMatter, cerró nuevamente en noviembre de 2021 y regresó como ALPHV/BlackCat en febrero de 2022.

El FBI interrumpió la operación de ALPHV en diciembre después de violar los servidores del grupo y cerrar temporalmente sus sitios de negociación y filtración de Tor después de crear una herramienta de descifrado después de meses de monitorear sus actividades.

La banda de ransomware agregó recientemente Trans-Northern Pipelines de Canadá a su nuevo sitio web de filtraciones, y la compañía ahora investiga las afirmaciones de ALPHV después de confirmar una violación de la red en noviembre de 2023.

En enero, el gobierno de Estados Unidos también anunció recompensas de hasta 10 millones de dólares por información sobre los líderes de la banda de ransomware Hive.

El Departamento de Estado anunció previamente recompensas de hasta 15 millones de dólares por pistas sobre miembros y afiliados de las operaciones de ransomware Hive, Clop, Conti [1, 2], REvil (Sodinokibi) y Darkside.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un script malicioso de Python conocido como SNS Sender se anuncia como una forma para que los actores de amenazas envíen mensajes de smishing masivos abusando de Amazon Web Services (AWS) Simple Notification Service (SNS).

Los mensajes de phishing por SMS están diseñados para propagar enlaces maliciosos que están diseñados para capturar la información de identificación personal (PII) y los detalles de las tarjetas de pago de las víctimas, dijo SentinelOne en un nuevo informe, atribuyéndolo a un actor de amenazas llamado ARDUINO_DAS.

"Las estafas de smishing a menudo toman la apariencia de un mensaje del Servicio Postal de los Estados Unidos (USPS) con respecto a la entrega de un paquete perdido", dijo el investigador de seguridad Alex Delamotte.

SNS Sender es también la primera herramienta observada en la naturaleza que aprovecha AWS SNS para realizar ataques de spam por SMS. SentinelOne dijo que identificó vínculos entre ARDUINO_DAS y más de 150 kits de phishing puestos a la venta.

El malware requiere una lista de enlaces de phishing almacenados en un archivo llamado links.txt en su directorio de trabajo, además de una lista de claves de acceso de AWS, los números de teléfono a los que dirigirse, el ID del remitente (también conocido como nombre para mostrar) y el contenido del mensaje.

La inclusión obligatoria de la identificación del remitente para enviar los mensajes de texto fraudulentos es digna de mención porque la compatibilidad con las identificaciones del remitente varía de un país a otro. Esto sugiere que es probable que el autor de SNS Sender sea de un país donde el ID de remitente es una práctica convencional.

"Por ejemplo, los operadores en los Estados Unidos no admiten ID de remitente en absoluto, pero los operadores en India requieren que los remitentes usen ID de remitente", dice Amazon en su documentación.

Hay pruebas que sugieren que esta operación puede haber estado activa desde al menos julio de 2022, a juzgar por los registros bancarios que contienen referencias a ARDUINO_DAS que se han compartido en foros de tarjetas como Crax Pro.

La gran mayoría de los kits de phishing tienen una temática de USPS, y las campañas dirigen a los usuarios a páginas falsas de seguimiento de paquetes que solicitan a los usuarios que introduzcan su información personal y de su tarjeta de crédito/débito, como demuestra el investigador de seguridad @JCyberSec_ en X (antes Twitter) a principios de septiembre de 2022.

"¿Crees que el actor que los implementa sabe que todos los kits tienen una puerta trasera oculta que envía los registros a otro lugar?", señaló además el investigador.

En todo caso, el desarrollo representa los intentos continuos de los actores de amenazas de productos básicos de explotar los entornos en la nube para campañas de smishing. En abril de 2023, Permiso reveló un clúster de actividad que aprovechó las claves de acceso de AWS previamente expuestas para infiltrarse en los servidores de AWS y enviar mensajes SMS mediante SNS.

Los hallazgos también siguen al descubrimiento de un nuevo cuentagotas con nombre en código TicTacToe que probablemente se venda como un servicio a los actores de amenazas y se ha observado que se utiliza para propagar una amplia variedad de ladrones de información y troyanos de acceso remoto (RAT) dirigidos a usuarios de Windows a lo largo de 2023.

Fortinet FortiGuard Labs, que arrojó luz sobre el malware, dijo que se despliega por medio de una cadena de infección de cuatro etapas que comienza con un archivo ISO incrustado en los mensajes de correo electrónico.

Otro ejemplo relevante de actores de amenazas que innovan continuamente sus tácticas se refiere al uso de redes publicitarias para organizar campañas de spam efectivas y desplegar malware como DarkGate.

"El actor de amenazas hizo proxy de enlaces a través de una red publicitaria para evadir la detección y capturar análisis sobre sus víctimas", dijo HP Wolf Security. "Las campañas se iniciaron a través de archivos adjuntos PDF maliciosos que se hacían pasar por mensajes de error de OneDrive, lo que condujo al malware".

La división de seguridad de la información del fabricante de PC también destacó el uso indebido de plataformas legítimas como Discord para organizar y distribuir malware, una tendencia que se ha vuelto cada vez más común en los últimos años, lo que llevó a la compañía a cambiar a enlaces de archivos temporales a fines del año pasado.

"Discord es conocido por su infraestructura robusta y confiable, y es ampliamente confiable", dijo Intel 471. "Las organizaciones a menudo permiten incluir a Discord en la lista, lo que significa que los enlaces y las conexiones a él no están restringidos. Esto hace que su popularidad entre los actores de amenazas no sea sorprendente dada su reputación y uso generalizado".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Google ha anunciado que está abriendo Magika, una herramienta impulsada por inteligencia artificial (IA) para identificar tipos de archivos, para ayudar a los defensores a detectar con precisión los tipos de archivos binarios y textuales.

"Magika supera a los métodos convencionales de identificación de archivos, proporcionando un aumento general de la precisión del 30% y hasta un 95% más de precisión en contenido tradicionalmente difícil de identificar, pero potencialmente problemático, como VBA, JavaScript y Powershell", dijo la compañía.

El software utiliza un "modelo de aprendizaje profundo personalizado y altamente optimizado" que permite la identificación precisa de tipos de archivos en milisegundos. Magika implementa funciones de inferencia utilizando Open Neural Network Exchange (ONNX).

Google dijo que utiliza internamente Magika a escala para ayudar a mejorar la seguridad de los usuarios al enrutar los archivos de Gmail, Drive y Navegación segura a los escáneres de políticas de seguridad y contenido adecuados.

En noviembre de 2023, el gigante tecnológico presentó RETVec (abreviatura de Resilient and Efficient Text Vectorizer), un modelo de procesamiento de texto multilingüe para detectar contenido potencialmente dañino como spam y correos electrónicos maliciosos en Gmail.

En medio de un debate en curso sobre los riesgos de la tecnología en rápido desarrollo y su abuso por parte de actores de estados-nación asociados con Rusia, China, Irán y Corea del Norte para impulsar sus esfuerzos de piratería, Google dijo que implementar IA a escala puede fortalecer la seguridad digital e "inclinar la balanza de ciberseguridad de atacantes a defensores".


También hizo hincapié en la necesidad de un enfoque normativo equilibrado para el uso y la adopción de la IA con el fin de evitar un futuro en el que los atacantes puedan innovar, pero los defensores se vean limitados debido a las opciones de gobernanza de la IA.

"La IA permite a los profesionales y defensores de la seguridad escalar su trabajo en la detección de amenazas, el análisis de malware, la detección de vulnerabilidades, la corrección de vulnerabilidades y la respuesta a incidentes", señalaron Phil Venables y Royal Hansen del gigante tecnológico. "La IA ofrece la mejor oportunidad para revertir el dilema del defensor e inclinar la balanza del ciberespacio para dar a los defensores una ventaja decisiva sobre los atacantes".

También se han planteado preocupaciones sobre el uso por parte de los modelos de IA generativa de datos extraídos de la web con fines de entrenamiento, que también pueden incluir datos personales.

"Si no sabe para qué se va a utilizar su modelo, ¿cómo puede asegurarse de que su uso posterior respetará la protección de datos y los derechos y libertades de las personas?", señaló el mes pasado la Oficina del Comisionado de Información (ICO) del Reino Unido.

Además, una nueva investigación ha demostrado que los grandes modelos de lenguaje pueden funcionar como "agentes durmientes" que pueden ser aparentemente inocuos, pero que pueden programarse para participar en comportamientos engañosos o maliciosos cuando se cumplen criterios específicos o se proporcionan instrucciones especiales.

"Tal comportamiento de puerta trasera se puede hacer persistente para que no se elimine mediante técnicas estándar de capacitación en seguridad, incluido el ajuste fino supervisado, el aprendizaje por refuerzo y el entrenamiento de adversarios (provocar un comportamiento inseguro y luego el entrenamiento para eliminarlo), dijeron en el estudio los investigadores de la startup de IA Anthropic.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Varias empresas que operan en el sector de las criptomonedas son el objetivo de una campaña de malware en curso que involucra una puerta trasera de Apple macOS recién descubierta con nombre en código RustDoor.

RustDoor fue documentado por primera vez por Bitdefender la semana pasada, describiéndolo como un malware basado en Rust capaz de recolectar y cargar archivos, así como recopilar información sobre las máquinas infectadas. Se distribuye haciéndose pasar por una actualización de Visual Studio.

Si bien la evidencia anterior descubrió al menos tres variantes diferentes de la puerta trasera, el mecanismo de propagación inicial exacto seguía siendo desconocido.

Dicho esto, la firma rumana de ciberseguridad dijo posteriormente a The Hacker News que el malware se utilizó como parte de un ataque dirigido en lugar de una campaña de distribución de escopeta, señalando que encontró artefactos adicionales que son responsables de descargar y ejecutar RustDoor.

"Algunos de estos descargadores de primera etapa afirman ser archivos PDF con ofertas de trabajo, pero en realidad, son scripts que descargan y ejecutan el malware al mismo tiempo que descargan y abren un archivo PDF inocuo que se anuncia a sí mismo como un acuerdo de confidencialidad", dijo Bogdan Botezatu, director de investigación e informes de amenazas de Bitdefender.

Desde entonces, han salido a la luz otras tres muestras maliciosas que actúan como cargas útiles de primera etapa, cada una de las cuales pretende ser una oferta de trabajo. Estos archivos ZIP son anteriores a los binarios anteriores de RustDoor por casi un mes.

El nuevo componente de la cadena de ataque, es decir, los archivos de almacenamiento ("Jobinfo.app.zip" o "Jobinfo.zip"), contiene un script de shell básico que es responsable de obtener el implante de un sitio web llamado turkishfurniture[.] blog. También está diseñado para obtener una vista previa de un archivo PDF señuelo inofensivo ("job.pdf") alojado en el mismo sitio como distracción.


Bitdefender dijo que también detectó cuatro nuevos binarios basados en Golang que se comunican con un dominio controlado por actores ("sarkerrentacars[.] com"), cuyo propósito es "recopilar información sobre la máquina de la víctima y sus conexiones de red utilizando las utilidades system_profiler y networksetup, que forman parte del sistema operativo macOS.

Además, los binarios son capaces de extraer detalles sobre el disco a través de "diskutil list", así como recuperar una amplia lista de parámetros del kernel y valores de configuración utilizando el comando "sysctl -a".

Una investigación más detallada de la infraestructura de comando y control (C2) también ha revelado un punto final con fugas ("/client/bots") que permite obtener detalles sobre las víctimas actualmente infectadas, incluidas las marcas de tiempo en las que se registró el host infectado y se observó la última actividad.

"Sabemos que hay al menos tres empresas víctimas hasta ahora", dijo Botezatu. "Los atacantes parecen apuntar al personal de ingeniería sénior, y esto explica por qué el malware se disfraza como una actualización de Visual Studio. No sabemos si hay otras empresas comprometidas en este momento, pero todavía estamos investigando esto".

"Parece que las víctimas están geográficamente vinculadas: dos de las víctimas están en Hong Kong, mientras que la otra está en Lagos, Nigeria".

El desarrollo se produce cuando el Servicio Nacional de Inteligencia (NIS) de Corea del Sur reveló que una organización de TI afiliada a la Oficina No. 39 del Partido de los Trabajadores de Corea del Norte está generando ingresos ilícitos mediante la venta de miles de sitios web de juegos de azar con malware a otros ciberdelincuentes para robar datos confidenciales de jugadores desprevenidos.

La compañía detrás del esquema de malware como servicio (MaaS) es Gyeongheung (también escrito Gyonghung), una entidad de 15 miembros con sede en Dandong que supuestamente recibió $ 5,000 de una organización criminal surcoreana no identificada a cambio de crear un solo sitio web y $ 3,000 por mes para mantener el sitio web, informó la agencia de noticias Yonhap.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves una falla de seguridad ahora parcheada que afecta al software Cisco Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD) a su catálogo de vulnerabilidades explotadas conocidas (KEV), luego de informes de que probablemente esté siendo explotado en ataques de ransomware Akira.

La vulnerabilidad en cuestión es CVE-2020-3259 (puntuación CVSS: 7,5), un problema de divulgación de información de alta gravedad que podría permitir a un atacante recuperar el contenido de la memoria de un dispositivo afectado. Cisco lo parcheó como parte de las actualizaciones lanzadas en mayo de 2020.

A finales del mes pasado, la empresa de ciberseguridad Truesec dijo que había encontrado pruebas que sugerían que los actores del ransomware Akira la habían convertido en un arma para comprometer múltiples dispositivos VPN SSL Cisco Anyconnect susceptibles durante el último año.

"No existe un código de explotación disponible públicamente para [...] CVE-2020-3259, lo que significa que un actor de amenazas, como Akira, que explota esa vulnerabilidad tendría que comprar o producir código de explotación por sí mismo, lo que requiere una visión profunda de la vulnerabilidad", dijo el investigador de seguridad Heresh Zaremand.

Según la Unidad 42 de Palo Alto Networks, Akira es uno de los 25 grupos con sitios de fuga de datos recientemente establecidos en 2023, y el grupo de ransomware se ha cobrado públicamente casi 200 víctimas. Observado por primera vez en marzo de 2023, se cree que el grupo comparte conexiones con el notorio sindicato Conti basándose en el hecho de que ha enviado las ganancias del rescate a direcciones de billetera afiliadas a Conti.

Solo en el cuarto trimestre de 2023, el grupo de delitos electrónicos enumeró 49 víctimas en su portal de fuga de datos, lo que lo coloca detrás de LockBit (275), Play (110), ALPHV/BlackCat (102), NoEscape (76), 8Base (75) y Black Basta (72).

Las agencias del Poder Ejecutivo Civil Federal (FCEB, por sus siglas en inglés) deben remediar las vulnerabilidades identificadas antes del 7 de marzo de 2024 para proteger sus redes contra posibles amenazas.

CVE-2020-3259 está lejos de ser la única falla que se explota para distribuir ransomware. A principios de este mes, Arctic Wolf Labs reveló el abuso de CVE-2023-22527, una deficiencia recientemente descubierta en Atlassian Confluence Data Center y Confluence Server, para implementar el ransomware C3RB3R, así como mineros de criptomonedas y troyanos de acceso remoto.

El desarrollo se produce cuando el Departamento de Estado de EE. UU. anunció recompensas de hasta 10 millones de dólares por información que pueda conducir a la identificación o ubicación de miembros clave de la banda de ransomware BlackCat, además de ofrecer hasta 5 millones de dólares por información que conduzca al arresto o condena de sus afiliados.

El esquema de ransomware como servicio (RaaS), al igual que Hive, comprometió a más de 1,000 víctimas en todo el mundo, obteniendo al menos USD 300 millones en ganancias ilícitas desde su aparición a fines de 2021. Se interrumpió en diciembre de 2023 tras una operación coordinada internacionalmente.

El panorama del ransomware se ha convertido en un mercado lucrativo, que atrae la atención de los ciberdelincuentes que buscan ganancias financieras rápidas, lo que ha llevado al surgimiento de nuevos jugadores como Alpha (que no debe confundirse con ALPHV) y Wing.

La Oficina de Rendición de Cuentas del Gobierno de EE. UU. (GAO), en un informe publicado a finales de enero de 2024, pidió una mayor supervisión de las prácticas recomendadas para abordar el ransomware, específicamente para organizaciones de los sectores críticos de fabricación, energía, atención médica y salud pública, y sistemas de transporte.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft afirma haber solucionado los problemas de conexión de metadatos de Windows que continúan afectando a los clientes, causando problemas a los usuarios que intentan administrar sus impresoras y otro hardware.

Cuando se agrega nuevo hardware a una computadora con Windows, el sistema operativo se conecta a un sitio web operado por Microsoft llamado Windows Metadata and Internet Services (WMIS) para descargar paquetes de metadatos asociados con el hardware en particular.

"Cuando el sistema operativo detecta un nuevo dispositivo, consulta a un servicio en línea llamado Windows Metadata and Internet Services (WMIS) para obtener un paquete de metadatos para el dispositivo", se lee en una descripción del sitio WMIS.

"Si un paquete de metadatos de dispositivo está disponible, el cliente de recuperación de metadatos de dispositivo (DMRC) que se ejecuta en el equipo local descarga el paquete de WMIS e instala el paquete en el equipo local".

Estos paquetes de metadatos contienen información sobre el hardware, como el nombre del modelo, la descripción, el proveedor OEM, varias propiedades y acciones, y las categorías de hardware asociadas al dispositivo.

Esta información se utiliza en varios cuadros de diálogo de ventana, como la página de configuración de dispositivos e impresoras.

Servicios de metadatos de Windows no disponibles

Sin embargo, desde noviembre, Windows no ha podido conectarse al servicio de metadatos ubicado en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, que redirige a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Al visitar la URL desde un navegador, el sitio muestra un error que indica "502 Bad Gateway", lo que indica que algo anda mal con el sitio.

Como informó BornCity en diciembre, esto provocó que aparecieran eventos ocasionales de error de conexión del identificador de evento 201 y errores repetidos del identificador de evento 131 para 'DeviceSetupManager' en los registros del Visor de eventos de Windows, con una descripción de "Error en la puesta en escena de metadatos, resultado = 0x80070490".


Un administrador que se ocupa de estos errores le dijo a BleepingComputer que la incapacidad de conectarse a los servicios de metadatos de Windows está causando problemas en su organización.

Estos problemas incluyen retrasos de 4 a 5 minutos al solucionar problemas de la impresora o agregar y eliminar colas de impresión, lo que generalmente lleva a que se presenten tickets de soporte sobre los problemas.

Para una organización grande con miles de dispositivos Windows, esto puede convertirse rápidamente en un problema para el personal de TI.

Sin embargo, los administradores de Windows tuvieron una felicidad efímera esta semana, ya que Microsoft lanzó las actualizaciones acumulativas de Windows 10 KB5034763 y Windows 11 KB5034765 como parte del martes de parches de febrero de 2024 con lo que afirman que es una solución para los problemas de conexión de metadatos de Windows.

Estas actualizaciones afirman que resuelven los problemas de conexión a los servidores de metadatos de Windows y, como beneficio adicional, la conexión se realizará a través de HTTPS, lo que los hará más seguros.

"Esta actualización soluciona un problema que afecta a la descarga de metadatos del dispositivo", se lee en ambos boletines de soporte.

"Las descargas de los servicios de Internet y metadatos de Windows (WMIS) a través de HTTPS ahora son más seguras".

Después de instalar las actualizaciones, BleepingComputer puede confirmar que la nueva dirección URL del servidor de metadatos, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, usa HTTP y redirige a la nueva dirección URL No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, que también usa HTTP.

Sin embargo, Microsoft no ha podido asociar una dirección IP a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta en DNS, lo que provoca un error en los intentos de conexión.


Ahora se le dice a BleepingComputer que esto está causando que el registro de eventos muestre errores de conexión repetidos del identificador de evento 201, lo que indica: "No se pudo establecer una conexión a los metadatos de Windows y los servicios de Internet (WMIS)".

Otros administradores de Windows informan de que han visto errores similares de identificador de evento 201 en el Visor de eventos después de instalar la actualización.

"Lo mismo aquí, ya no hay 131, sino 201", se lee en una publicación en los foros de Microsoft.

No está claro por qué Microsoft deshabilitó los servidores de metadatos en primer lugar y por qué no los están volviendo a poner en línea como se esperaba.

BleepingComputer se puso en contacto con Microsoft sobre este problema ayer, pero no ha recibido respuesta a nuestro correo electrónico.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

SolarWinds ha parcheado cinco fallas de ejecución remota de código (RCE) en su solución Access Rights Manager (ARM), incluidas tres vulnerabilidades de gravedad crítica que permiten la explotación no autenticada.

Access Rights Manager permite a las empresas administrar y auditar los derechos de acceso en toda su infraestructura de TI para minimizar el impacto de las amenazas internas y más.

CVE-2024-23476 y CVE-2024-23479 se deben a debilidades en el recorrido de la ruta, mientras que la tercera falla crítica rastreada como CVE-2023-40057 es causada por la deserialización de datos que no son de confianza.

Los atacantes no autenticados pueden aprovechar los tres para obtener la ejecución de código en los sistemas objetivo que no se han parcheado.

Los otros dos errores (CVE-2024-23477 y CVE-2024-23478) también se pueden usar en ataques RCE y han sido calificados por SolarWinds como problemas de alta gravedad.

Cuatro de las cinco fallas parcheadas por SolarWinds esta semana fueron encontradas y reportadas por investigadores anónimos que trabajan con la Zero Day Initiative (ZDI) de Trend Micro, y la quinta fue descubierta por el investigador de vulnerabilidades de ZDI, Piotr Bazydło.

SolarWinds parcheó las fallas en Access Rights Manager 2023.2.3, que se lanzó este jueves con correcciones de errores y seguridad.

La compañía no ha recibido ningún informe de que estas vulnerabilidades estén siendo explotadas en la naturaleza, dijo un portavoz de SolarWinds a BleepingComputer.


"Estas vulnerabilidades fueron reveladas por el equipo de investigación de seguridad de Trend Micro, que colabora con SolarWinds como parte de nuestro programa de divulgación responsable y nuestro compromiso continuo con el desarrollo seguro de software", dijo el portavoz a BleepingComputer.

"Nos hemos puesto en contacto con los clientes para asegurarnos de que pueden tomar las medidas necesarias para abordar estas vulnerabilidades aplicando los parches que hemos lanzado. La divulgación responsable de las vulnerabilidades es clave para mejorar la seguridad dentro de nuestros productos y de la industria en general, y agradecemos a Trend Micro por su asociación".

SolarWinds también corrigió otros tres errores críticos de RCE de Access Rights Manager en octubre, lo que permitió a los atacantes ejecutar código con privilegios SYSTEM.

Ataque a la cadena de suministro de SolarWinds en marzo de 2020

Hace cuatro años, el grupo de hackers ruso APT29 se infiltró en los sistemas internos de SolarWinds, inyectando código malicioso en las compilaciones de la plataforma de administración de TI SolarWinds Orion descargadas por los clientes entre marzo de 2020 y junio de 2020.

Estas versiones troyanizadas facilitaron el despliegue de la puerta trasera Sunburst en miles de sistemas, pero los atacantes se dirigieron selectivamente a un número significativamente menor de organizaciones para su posterior explotación.

Con una clientela que superaba los 300.000 empleados en todo el mundo, SolarWinds prestaba servicios en ese momento al 96% de las empresas de la lista Fortune 500, incluidas empresas de alto perfil como Apple, Google y Amazon, así como a organizaciones gubernamentales como el Ejército de EE. UU., el Pentágono, el Departamento de Estado, la NASA, la NSA, el Servicio Postal, la NOAA, el Departamento de Justicia y la Oficina del Presidente de los Estados Unidos.

Después de que se revelara el ataque a la cadena de suministro, varias agencias gubernamentales de EE. UU. confirmaron que fueron violados, incluidos los Departamentos de Estado, Seguridad Nacional, Tesoro y Energía, así como la Administración Nacional de Telecomunicaciones e Información (NTIA), los Institutos Nacionales de Salud y la Administración Nacional de Seguridad Nuclear.

En abril de 2021, el gobierno de Estados Unidos acusó formalmente al Servicio de Inteligencia Exterior de Rusia (SVR) de orquestar el ciberataque a SolarWinds.

En octubre, la Comisión de Bolsa y Valores de EE. UU. (SEC) acusó a SolarWinds de defraudar a los inversores al supuestamente no notificarles los problemas de defensa de ciberseguridad antes del hackeo de 2020.

Actualización 16 de febrero, 14:31 EST: Se agregó la instrucción SolarWinds.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

OpenAI ha eliminado las cuentas utilizadas por grupos de amenazas patrocinados por el Estado de Irán, Corea del Norte, China y Rusia, que abusaban de su chatbot de inteligencia artificial, ChatGPT.

La organización de investigación de IA tomó medidas contra cuentas específicas asociadas con los grupos de piratas informáticos que estaban haciendo un mal uso de sus servicios de modelo de lenguaje grande (LLM) con fines maliciosos después de recibir información clave del equipo de inteligencia de amenazas de Microsoft.

En un informe separado, Microsoft proporciona más detalles sobre cómo y por qué estos actores de amenazas avanzadas utilizaron ChatGPT.

La actividad asociada con los siguientes grupos de amenazas se interrumpió en la plataforma:

• Forest Blizzard (Strontium) [Rusia]: Utilizó ChatGPT para realizar investigaciones sobre tecnologías satelitales y de radar pertinentes a las operaciones militares y para optimizar sus operaciones cibernéticas con mejoras en las secuencias de comandos.
• Emerald Sleet (Thallium) [Corea del Norte]: aprovechó ChatGPT para investigar Corea del Norte y generar contenido de spear-phishing, además de comprender vulnerabilidades (como CVE-2022-30190 "Follina") y solucionar problemas de tecnologías web.
• Crimson Sandstorm (Curium) [Irán]: Colaboró con ChatGPT para asistencia de ingeniería social, resolución de errores, desarrollo de .NET y desarrollo de técnicas de evasión.
• Charcoal Typhoon (Chromium) [China]: Interactuó con ChatGPT para ayudar en el desarrollo de herramientas, la creación de scripts, la comprensión de herramientas de ciberseguridad y la generación de contenido de ingeniería social.
• Salmon Typhoon (Sodium) [China]: Emplearon LLM para consultas exploratorias sobre una amplia gama de temas, incluida información confidencial, personas de alto perfil y ciberseguridad, para ampliar sus herramientas de recopilación de inteligencia y evaluar el potencial de las nuevas tecnologías para la obtención de información.

En general, los actores de amenazas utilizaron los grandes modelos de lenguaje para mejorar sus capacidades estratégicas y operativas, incluido el reconocimiento, la ingeniería social, las tácticas de evasión y la recopilación de información genérica.

Ninguno de los casos observados implica el uso de LLM para desarrollar malware directamente o herramientas de explotación personalizadas completas.

En cambio, la asistencia de codificación real se refería a tareas de nivel inferior, como solicitar consejos de evasión, secuencias de comandos, desactivar antivirus y, en general, la optimización de las operaciones técnicas.

En enero, un informe del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido predijo que para 2025 las operaciones de amenazas persistentes avanzadas (APT) sofisticadas se beneficiarán de las herramientas de IA en todos los ámbitos, especialmente en el desarrollo de malware personalizado evasivo.

Sin embargo, el año pasado, según los hallazgos de OpenAI y Microsoft, hubo un aumento en los segmentos de ataque APT como el phishing / ingeniería social, pero el resto fue bastante exploratorio.

OpenAI dice que continuará monitoreando e interrumpiendo a los piratas informáticos respaldados por el estado utilizando tecnología de monitoreo especializada, información de socios de la industria y equipos dedicados encargados de identificar patrones de uso sospechosos.

"Tomamos las lecciones aprendidas del abuso de estos actores y las usamos para informar nuestro enfoque iterativo de la seguridad", se lee en la publicación de OpenAI.

"Comprender cómo los actores maliciosos más sofisticados buscan usar nuestros sistemas para causar daños nos da una señal sobre prácticas que pueden generalizarse en el futuro y nos permite evolucionar continuamente nuestras salvaguardas", agregó la compañía.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un nuevo troyano para iOS y Android llamado 'GoldPickaxe' emplea un esquema de ingeniería social para engañar a las víctimas para que escaneen sus rostros y documentos de identidad, que se cree que se utilizan para generar deepfakes para el acceso bancario no autorizado.

El nuevo malware, detectado por Group-IB, es parte de un paquete de malware desarrollado por el grupo de amenazas chino conocido como 'GoldFactory', que es responsable de otras cepas de malware como 'GoldDigger', 'GoldDiggerPlus' y 'GoldKefu'.

Group-IB dice que sus analistas observaron ataques dirigidos principalmente a la región de Asia-Pacífico, principalmente Tailandia y Vietnam. Sin embargo, las técnicas empleadas podrían ser efectivas a nivel mundial, y existe el peligro de que sean adoptadas por otras cepas de malware.

Comienza con ataques de ingeniería social

La distribución de Gold Pickaxe comenzó en octubre de 2023 y aún está en curso. Se considera parte de una campaña de GoldFactory que comenzó en junio de 2023 con Gold Digger.


Se contacta con las víctimas a través de mensajes de phishing o smishing en la aplicación LINE escritos en su idioma local, haciéndose pasar por autoridades o servicios gubernamentales.

Los mensajes intentan engañarlos para que instalen aplicaciones fraudulentas, como una aplicación falsa de "Pensión digital" alojada en sitios web que se hacen pasar por Google Play.


En el caso de los usuarios de iOS (iPhone), los actores de amenazas dirigieron inicialmente a los objetivos a una URL de TestFlight para instalar la aplicación maliciosa, lo que les permitió eludir el proceso normal de revisión de seguridad.

Cuando Apple eliminó la aplicación TestFlight, los atacantes pasaron a atraer a los objetivos para que descargaran un perfil malicioso de administración de dispositivos móviles (MDM) que permite a los actores de amenazas tomar el control de los dispositivos.

Capacidades de pico de oro

Una vez que el troyano se ha instalado en un dispositivo móvil en forma de una aplicación gubernamental falsa, opera de forma semiautónoma, manipulando funciones en segundo plano, capturando el rostro de la víctima, interceptando los SMS entrantes, solicitando documentos de identidad y redirigiendo el tráfico de red a través del dispositivo infectado mediante 'MicroSocks'.

En los dispositivos iOS, el malware establece un canal de socket web para recibir los siguientes comandos:

• Heartbeat: servidor de comando y control ping (C2)
• init: enviar información del dispositivo al C2
• upload_idcard: solicitar a la víctima que tome una foto de su DNI
• Face: Solicita a la víctima que tome un video de su rostro
• Upgrade: muestra un mensaje falso de "Dispositivo en uso" para evitar interrupciones
• album: Sincronizar la fecha de la biblioteca de fotos (exfiltrar a un depósito en la nube)
• again_upload: Vuelva a intentar la exfiltración del video de la cara de la víctima en el cubo
• Destroy: detener el troyano

Los resultados de la ejecución de los comandos anteriores se comunican al C2 a través de solicitudes HTTP.


Group-IB dice que la versión de Android del troyano realiza más actividades maliciosas que en iOS debido a las mayores restricciones de seguridad de Apple. Además, en Android, el troyano utiliza más de 20 aplicaciones falsas diferentes como tapadera.

Por ejemplo, GoldPickaxe también puede ejecutar comandos en Android para acceder a SMS, navegar por el sistema de archivos, realizar clics en la pantalla, cargar las 100 fotos más recientes del álbum de la víctima, descargar e instalar paquetes adicionales y servir notificaciones falsas.


El uso de los rostros de las víctimas para el fraude bancario es una suposición de Group-IB, también corroborada por la policía tailandesa, basada en el hecho de que muchas instituciones financieras agregaron controles biométricos el año pasado para transacciones superiores a cierta cantidad.

Es esencial aclarar que, si bien GoldPickaxe puede robar imágenes de teléfonos iOS y Android que muestran el rostro de la víctima y engañar a los usuarios para que revelen su rostro en video a través de ingeniería social, el malware no secuestra los datos de Face ID ni explota ninguna vulnerabilidad en los dos sistemas operativos móviles.

Los datos biométricos almacenados en los enclaves seguros de los dispositivos siguen estando debidamente encriptados y completamente aislados de las aplicaciones en ejecución.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de ciberseguridad han descubierto que es posible que los actores de amenazas exploten una utilidad conocida llamada command-not-found para recomendar sus propios paquetes maliciosos y comprometer los sistemas que ejecutan el sistema operativo Ubuntu.

"Si bien el 'comando no encontrado' sirve como una herramienta conveniente para sugerir instalaciones para comandos desinstalados, los atacantes pueden manipularlo inadvertidamente a través del repositorio de instantáneas, lo que lleva a recomendaciones engañosas de paquetes maliciosos", dijo la firma de seguridad en la nube Aqua en un informe compartido con The Hacker News.

Instalado de forma predeterminada en los sistemas Ubuntu, command-not-found sugiere paquetes para instalar en sesiones bash interactivas cuando se intenta ejecutar comandos que no están disponibles. Las sugerencias incluyen tanto la herramienta de empaquetado avanzado (APT) como los paquetes de ajuste.

Cuando la herramienta utiliza una base de datos interna ("/var/lib/command-not-found/commands.db") para sugerir paquetes APT, se basa en el comando "advise-snap" para sugerir snaps que proporcionen el comando dado.

Por lo tanto, si un atacante puede jugar con este sistema y hacer que su paquete malicioso sea recomendado por el paquete command-not-found, podría allanar el camino para ataques a la cadena de suministro de software.

Aqua dijo que encontró una laguna de seguridad en la que el mecanismo de alias puede ser explotado por el actor de amenazas para registrar potencialmente el nombre de snap correspondiente asociado con un alias y engañar a los usuarios para que instalen el paquete malicioso.

Es más, un atacante podría reclamar el nombre del snap relacionado con un paquete APT y cargar un snap malicioso, que luego termina siendo sugerido cuando un usuario escribe el comando en su terminal.


"Los mantenedores del paquete APT 'jupyter-notebook' no habían reclamado el nombre de snap correspondiente", dijo el investigador de seguridad de Aqua, Ilay Goldman. "Este descuido dejó una ventana de oportunidad para que un atacante lo reclamara y cargara un snap malicioso llamado 'jupyter-notebook'".

Para empeorar las cosas, la utilidad command-not-found sugiere el paquete snap sobre el paquete APT legítimo para jupyter-notebook, engañando a los usuarios para que instalen el paquete snap falso.

Hasta el 26% de los comandos del paquete APT son vulnerables a la suplantación de identidad por parte de actores maliciosos, señaló Aqua, lo que presenta un riesgo de seguridad sustancial, ya que podrían registrarse bajo la cuenta de un atacante.

Una tercera categoría implica ataques de typosquatting en los que los errores tipográficos cometidos por los usuarios (por ejemplo, ifconfigg en lugar de ifconfig) se aprovechan para sugerir paquetes snap falsos mediante el registro de un paquete fraudulento con el nombre "ifconfigg".

En tal caso, command-not-found "lo haría coincidir erróneamente con este comando incorrecto y recomendaría el chasquido malicioso, evitando por completo la sugerencia de 'net-tools'", explicaron los investigadores de Aqua.

Al describir el abuso de la utilidad command-not-found para recomendar paquetes falsificados como una preocupación apremiante, la compañía insta a los usuarios a verificar la fuente de un paquete antes de la instalación y verificar la credibilidad de los mantenedores.

También se ha aconsejado a los desarrolladores de paquetes APT y snap que registren el nombre snap asociado a sus comandos para evitar que se utilicen indebidamente.

"Sigue siendo incierto hasta qué punto se han explotado estas capacidades, lo que subraya la urgencia de una mayor vigilancia y estrategias de defensa proactivas", dijo Aqua.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una ingeniería inversa del firmware que se ejecuta en los dispositivos Ivanti Pulse Secure ha revelado numerosas debilidades, lo que subraya una vez más el desafío de proteger las cadenas de suministro de software.

Eclypsiusm, que adquirió la versión de firmware 9.1.18.2-24467.1 como parte del proceso, dijo que el sistema operativo base utilizado por la compañía de software con sede en Utah para el dispositivo es CentOS 6.4.

"Pulse Secure ejecuta una versión de Linux de 11 años de antigüedad que no ha sido compatible desde noviembre de 2020", dijo la compañía de seguridad de firmware en un informe compartido con The Hacker News.

El desarrollo se produce en un momento en que los actores de amenazas están aprovechando una serie de fallos de seguridad descubiertos en las pasarelas Ivanti Connect Secure, Policy Secure y ZTA para entregar una amplia gama de malware, incluidos webshells, ladrones y puertas traseras.

Las vulnerabilidades que han sido objeto de explotación activa en los últimos meses comprenden CVE-2023-46805, CVE-2024-21887 y CVE-2024-21893. La semana pasada, Ivanti también reveló otro error en el software (CVE-2024-22024) que podría permitir a los actores de amenazas acceder a recursos que de otro modo estarían restringidos sin ninguna autenticación.

En una alerta publicada ayer, la empresa de infraestructura web Akamai dijo que ha observado una "actividad de escaneo significativa" dirigida a CVE-2024-22024 a partir del 9 de febrero de 2024, tras la publicación de una prueba de concepto (PoC) por parte de watchTowr.

Eclypsium dijo que aprovechó un exploit PoC para CVE-2024-21893 que fue lanzado por Rapid7 a principios de este mes para obtener una carcasa inversa para el dispositivo PSA3000, exportando posteriormente la imagen del dispositivo para un análisis de seguimiento utilizando el analizador de seguridad de firmware EMBA.

Esto no solo descubrió una serie de paquetes obsoletos, lo que corrobora los hallazgos anteriores del investigador de seguridad Will Dormann, sino también una serie de bibliotecas vulnerables que son acumulativamente susceptibles a 973 fallas, de las cuales 111 tienen exploits conocidos públicamente.


Perl, por ejemplo, no se ha actualizado desde la versión 5.6.1, que se lanzó hace 23 años, el 9 de abril de 2001. La versión del kernel de Linux es la 2.6.32, que llegó al final de su vida útil (EoL) en marzo de 2016.

"Estos antiguos paquetes de software son componentes del producto Ivanti Connect Secure", dijo Eclypsium. "Este es un ejemplo perfecto de por qué la visibilidad de las cadenas de suministro digitales es importante y por qué los clientes empresariales exigen cada vez más SBOM a sus proveedores".

Además, un examen más profundo del firmware descubrió 1.216 problemas en 76 scripts de shell, 5.218 vulnerabilidades en 5.392 archivos de Python, además de 133 certificados obsoletos.


Los problemas no terminan ahí, ya que Eclypsium encontró un "agujero de seguridad" en la lógica de la herramienta Integrity Checker (ICT) que Ivanti ha recomendado a sus clientes que utilicen para buscar indicadores de compromiso (IoC).

Específicamente, se ha encontrado que el script excluye más de una docena de directorios como /data, /etc, /tmp y /var de ser escaneados, lo que hipotéticamente permite a un atacante implementar sus implantes persistentes en una de estas rutas y aún así pasar la verificación de integridad. Sin embargo, la herramienta analiza la partición /home que almacena todos los daemons y archivos de configuración específicos del producto.

Como resultado, la implementación del marco posterior a la explotación de Sliver en el directorio /data y la ejecución de informes de TIC no presenta problemas, descubrió Eclypsium, lo que sugiere que la herramienta proporciona una "falsa sensación de seguridad".

Vale la pena señalar que también se ha observado que los actores de amenazas manipulan las TIC integradas en los dispositivos Ivanti Connect Secure comprometidos en un intento de eludir la detección.

En un ataque teórico demostrado por Eclypsium, un actor de amenazas podría dejar caer sus herramientas de la siguiente etapa y almacenar la información recopilada en la partición /data y luego abusar de otra falla de día cero para obtener acceso al dispositivo y exfiltrar los datos preparados anteriormente, mientras la herramienta de integridad no detecta signos de actividad anómala.

"Debe haber un sistema de controles y equilibrios que permita a los clientes y a terceros validar la integridad y seguridad del producto", dijo la compañía. "Cuanto más abierto sea este proceso, mejor trabajo podremos hacer para validar la cadena de suministro digital, es decir, el hardware, el firmware y los componentes de software utilizados en sus productos".

"Cuando los proveedores no comparten información y/o operan un sistema cerrado, la validación se vuelve difícil, al igual que la visibilidad. Lo más seguro es que los atacantes, como se ha demostrado recientemente, se aprovechen de esta situación y exploten la falta de controles y visibilidad del sistema".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha parcheado hoy un Windows Defender SmartScreen de día cero explotado en la naturaleza por un grupo de amenazas motivado financieramente para implementar el troyano de acceso remoto (RAT) DarkMe.

El grupo de piratas informáticos (rastreado como Water Hydra y DarkCasino) fue detectado utilizando el día cero (CVE-2024-21412) en ataques el día de Nochevieja por los investigadores de seguridad de Trend Micro.

"Un atacante no autenticado podría enviar al usuario objetivo un archivo especialmente diseñado para eludir los controles de seguridad mostrados", dijo Microsoft en un aviso de seguridad emitido hoy.

"Sin embargo, el atacante no tendría forma de obligar a un usuario a ver el contenido controlado por el atacante. En su lugar, el atacante tendría que convencerlos de que tomen medidas haciendo clic en el enlace del archivo".

El investigador de seguridad de Trend Micro, Peter Girnus, a quien se le atribuye el informe de este día cero, reveló que la falla CVE-2024-21412 pasa por alto otra vulnerabilidad de Defender SmartScreen (CVE-2023-36025).

CVE-2023-36025 se parcheó durante el martes de parches de noviembre de 2023 y, como reveló Trend Micro el mes pasado, también se explotó para eludir las indicaciones de seguridad de Windows al abrir archivos URL para implementar el malware ladrón de información Phemedrone.


El día cero se utiliza para dirigirse a los operadores de los mercados financieros

El día cero que Microsoft parcheó hoy se utilizó en ataques dirigidos a "operadores de divisas que participan en el mercado de comercio de divisas de alto riesgo", con el probable objetivo final de ser el robo de datos o la implementación de ransomware en una etapa posterior.

"A finales de diciembre de 2023, comenzamos a rastrear una campaña del grupo Water Hydra que contenía herramientas, tácticas y procedimientos (TTP) similares que implicaban abusar de los accesos directos de Internet (. URL) y componentes de creación y control de versiones distribuidos basados en web (WebDAV)", explicó Trend Micro.

"Llegamos a la conclusión de que llamar a un acceso directo dentro de otro acceso directo era suficiente para evadir SmartScreen, que no aplicaba correctamente Mark-of-the-Web (MotW), un componente crítico de Windows que alerta a los usuarios cuando abren o ejecutan archivos de una fuente no confiable".

Water Hydra aprovechó CVE-2024-21412 para atacar los foros de comercio de divisas y los canales de Telegram de comercio de acciones en ataques de spearphishing, impulsando un gráfico de acciones malicioso que enlazaba con un sitio de información comercial comprometido de Rusia (fxbulls[.] ru) haciéndose pasar por una plataforma de bróker de Forex (fxbulls[.] com).

El objetivo de los atacantes era engañar a los comerciantes objetivo para que instalaran el malware DarkMe a través de la ingeniería social.

Las tácticas que utilizaron incluyen la publicación de mensajes en inglés y ruso en los que se solicitaba u ofrecía orientación comercial y la difusión de herramientas financieras y de acciones falsificadas relacionadas con el análisis técnico de gráficos y las herramientas de indicadores gráficos.



Los hackers de Water Hydra han explotado otras vulnerabilidades de día cero en el pasado. Por ejemplo, utilizaron una vulnerabilidad de alta gravedad (CVE-2023-38831) en el software WinRAR utilizado por más de 500 millones de usuarios para comprometer las cuentas de trading varios meses antes de que estuviera disponible un parche.

Más tarde, otros proveedores vincularon la explotación CVE-2023-38831 con múltiples grupos de piratas informáticos respaldados por el gobierno, incluidos los grupos de amenazas Sandworm, APT28, APT40, DarkPink (NSFOCUS) y Konni (Knownsec) de Rusia, China y Corea del Norte.

Hoy, Microsoft parcheó un segundo Windows SmartScreen de día cero (CVE-2024-21351) explotado en la naturaleza que podría permitir a los atacantes inyectar código en SmartScreen y obtener la ejecución de código.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un actor de amenazas filtró 200.000 registros en un foro de hackers, afirmando que contenían los números de teléfono móvil, las direcciones de correo electrónico y otra información personal de los usuarios de Facebook Marketplace.

BleepingComputer verificó algunos de los datos filtrados haciendo coincidir las direcciones de correo electrónico y los números de teléfono en registros aleatorios dentro de los datos de muestra compartidos por IntelBroker, el actor de amenazas que filtró los datos en línea.

Un portavoz de Meta no estuvo disponible de inmediato para hacer comentarios cuando BleepingComputer se puso en contacto con él el día de hoy.

IntelBroker afirma que esta base de datos parcial de Facebook Marketplace fue robada por alguien que usó el identificador de Discord 'algoatson' después de piratear los sistemas de un contratista de Meta.

"En octubre de 2023, un ciberdelincuente con el nombre de 'algoatson' en Discord, violó a un contratista que administra servicios en la nube para Facebook y robó su base de datos parcial de usuarios de 200,000 entradas", dice IntelBroker.

La base de datos filtrada contiene una amplia variedad de información de identificación personal (PII), incluidos nombres, números de teléfono, direcciones de correo electrónico, ID de Facebook e información de perfil de Facebook.

Los actores de amenazas pueden usar las direcciones de correo electrónico filtradas en línea en ataques de phishing y los números de teléfono móvil de los usuarios de Facebook Marketplace en ataques de phishing móvil.

Los números de teléfono móvil y la información personal expuestos también se pueden utilizar en ataques de intercambio de SIM que les permitirían robar códigos de autenticación multifactor enviados por SMS y secuestrar las cuentas de sus objetivos.


IntelBroker es conocido por la violación de DC Health Link, que llevó a una audiencia en el Congreso después de que los datos personales de los miembros y el personal de la Cámara de Representantes de EE. UU. se filtraran en línea.

Otros incidentes de ciberseguridad vinculados a IntelBroker son la venta de datos robados de Hewlett Packard Enterprise (HPE), una supuesta violación de General Electric Aviation y la violación del servicio de comestibles Weee!.

La filtración de datos de Facebook Marketplace no es el primer incidente de este tipo que Meta ha experimentado en los últimos años.

En noviembre de 2022, Meta recibió una multa de 265 millones de euros (275,5 millones de dólares) por no proteger la información personal de los usuarios de Facebook de los scrapers después de que se filtraran datos vinculados a más de 533 millones de cuentas de Facebook en un foro de hackers en abril de 2021.

Los datos robados aparecieron por primera vez en una comunidad de hackers en junio de 2020 y contenían información que podía extraerse de los perfiles públicos y de los números de teléfono móvil privados de las cuentas afectadas.

A 533.313.128 usuarios de Facebook se les filtraron sus datos, y la información expuesta incluía sus números de teléfono móvil, ID de Facebook, nombres, géneros, ubicaciones, estados de relación, ocupaciones, fechas de nacimiento y direcciones de correo electrónico.

Casi todos los registros de usuarios de Facebook filtrados en abril de 2021 incluían los números de teléfono móvil, las identificaciones de Facebook y los nombres de los usuarios, según muestras de los datos de Facebook vistos por BleepingComputer en ese momento.

La filtración de datos de abril de 2021 también incluía los números de teléfono de tres de los fundadores de Facebook (es decir, Mark Zuckerberg, Chris Hughes y Dustin Moskovitz).

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los incidentes de ciberseguridad de Midnight Blizzard y Cloudflare-Atlassian hicieron saltar las alarmas sobre las vulnerabilidades inherentes a las principales plataformas SaaS. Estos incidentes ilustran lo que está en juego en las brechas de SaaS: salvaguardar la integridad de las aplicaciones SaaS y sus datos confidenciales es fundamental, pero no es fácil. Los vectores de amenazas comunes, como el sofisticado spear-phishing, las configuraciones incorrectas y las vulnerabilidades en las integraciones de aplicaciones de terceros, demuestran los complejos desafíos de seguridad a los que se enfrentan los sistemas de TI.

En el caso de Midnight Blizzard, la pulverización de contraseñas contra un entorno de prueba fue el vector de ataque inicial. En el caso de Cloudflare-Atlassian, los actores de amenazas iniciaron el ataque a través de tokens OAuth comprometidos de una violación anterior en Okta, un proveedor de seguridad de identidad SaaS.

¿Qué pasó exactamente?

Violación de Microsoft Midnight Blizzard#
Microsoft fue atacado por los piratas informáticos rusos "Midnight Blizzard" (también conocidos como Nobelium, APT29 o Cozy Bear) que están vinculados al SVR, la unidad del servicio de inteligencia exterior del Kremlin.

En la brecha de Microsoft, los actores de amenazas:

• Se usó una estrategia de difusión de contraseñas en una cuenta heredada y cuentas de prueba históricas que no tenían habilitada la autenticación multifactor (MFA). Según Microsoft, los actores de amenazas "[utilizaron] un número bajo de intentos para evadir la detección y evitar los bloqueos de cuentas en función del volumen de fallas".
• Se aprovechó la cuenta heredada comprometida como punto de entrada inicial para luego secuestrar una aplicación OAuth de prueba heredada. Esta aplicación OAuth heredada tenía permisos de alto nivel para acceder al entorno corporativo de Microsoft.
• Se crearon aplicaciones de OAuth maliciosas aprovechando los permisos de la aplicación de OAuth heredada. Debido a que los actores de amenazas controlaban la aplicación OAuth heredada, podían mantener el acceso a las aplicaciones incluso si perdían el acceso a la cuenta comprometida inicialmente.
• Se concedieron permisos de administrador de Exchange y credenciales de administrador a sí mismos.
• Escalaron los privilegios de OAuth a un nuevo usuario, que ellos controlaban.
• Dio su consentimiento para que las aplicaciones OAuth maliciosas usaran su cuenta de usuario recién creada.
• Se amplió aún más el acceso a la aplicación heredada concediéndole acceso completo a los buzones de correo de M365 Exchange Online. Con este acceso, Midnight Blizzard pudo ver las cuentas de correo electrónico de M365 pertenecientes a miembros del personal superior y filtrar correos electrónicos y archivos adjuntos corporativos.

Brecha entre Cloudflare y Atlassian

El Día de Acción de Gracias, el 23 de noviembre de 2023, los sistemas Atlassian de Cloudflare también se vieron comprometidos por un ataque de estado-nación.

• Esta infracción, que comenzó el 15 de noviembre de 2023, fue posible gracias al uso de credenciales comprometidas que no se habían cambiado tras una infracción anterior en Okta en octubre de 2023.
• Los atacantes accedieron a la wiki interna de Cloudflare y a la base de datos de errores, lo que les permitió ver 120 repositorios de código en la instancia de Atlassian de Cloudflare.
• 76 repositorios de código fuente relacionados con tecnologías operativas clave fueron potencialmente exfiltrados.
• Cloudflare detectó al actor de amenazas el 23 de noviembre porque el actor de amenazas conectó una cuenta de servicio de Smartsheet a un grupo de administradores en Atlassian.

Los actores de amenazas se dirigen cada vez más a SaaS

Estas brechas son parte de un patrón más amplio de actores de estados-nación que atacan a los proveedores de servicios SaaS, incluidos, entre otros, el espionaje y la recopilación de inteligencia. Midnight Blizzard participó anteriormente en importantes operaciones cibernéticas, incluido el ataque de SolarWinds de 2021.

Estos incidentes subrayan la importancia de la supervisión continua de sus entornos SaaS y el riesgo continuo que plantean los adversarios cibernéticos sofisticados que se dirigen a la infraestructura crítica y a la pila tecnológica operativa. También destacan vulnerabilidades significativas relacionadas con la gestión de identidades SaaS y la necesidad de prácticas estrictas de gestión de riesgos de aplicaciones de terceros.

Los atacantes utilizan tácticas, técnicas y procedimientos (TTP) comunes para vulnerar a los proveedores de SaaS a través de la siguiente cadena de eliminación:

• Acceso inicial: Difusión de contraseñas, secuestro de OAuth
• Persistencia: suplanta a un administrador y crea OAuth adicional
• Evasión de defensa: OAuth con privilegios altos, sin MFA
• Movimiento lateral: compromiso más amplio de las aplicaciones conectadas
• Exfiltración de datos: extraiga datos confidenciales y privilegiados de las aplicaciones

Rompiendo la cadena de eliminación de SaaS

Una forma eficaz de romper la cadena de eliminación antes de tiempo es con la supervisión continua, la aplicación granular de políticas y la gestión proactiva del ciclo de vida en sus entornos SaaS. Una plataforma SaaS Security Posture Management (SSPM) como AppOmni puede ayudar a detectar y alertar sobre:

• Acceso inicial: Reglas listas para usar para detectar el riesgo de credenciales, incluida la pulverización de contraseñas, los ataques de fuerza bruta y las políticas de MFA no aplicadas
• Persistencia: Escanee e identifique los permisos de OAuth y detecte el secuestro de OAuth
• Evasión de defensa: Comprobaciones de políticas de acceso, detectan si se crea un nuevo proveedor de identidad (IdP), detectan cambios de permisos.
• Movimiento lateral: Supervise los inicios de sesión y el acceso con privilegios, detecte combinaciones tóxicas y comprenda el radio de explosión de una cuenta potencialmente comprometida

Nota: Este artículo ha sido escrito por Beverly Nevalga, AppOmni.
Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta