Mensajes recientes
#1
Noticias Informáticas / Posibles problemas con Win 11 ...
Último mensaje por AXCESS - Hoy a las 10:16:06 AMNo tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Con Windows 11 24H2 preparado para tener aplicaciones con uso intensivo de IA, Microsoft ha agregado un código que le advertirá si su PC no cumple con los requisitos de hardware, según el código desenterrado por el detective Albacore de Twitter/X (a través de Neowin). La advertencia se mostrará como una marca de agua para que sepa que no puede usar ciertas aplicaciones integradas con tecnología de IA debido a una CPU no compatible.
Anteriormente, se pensaba que solo PopCnt era el único requisito posterior, pero la codificación reveló un requisito SSE4.2 obligatorio. De todos modos, esto no haría mucha diferencia para prácticamente la mayoría de los usuarios, ya que las CPU que admiten Windows 11 tienen instrucciones SSE 4.2. Aun así, es interesante ver a Microsoft agregar esta verificación para sus aplicaciones impulsadas por IA. Es probable que algunas de estas aplicaciones sean Advanced Copilot y AI File Explorer. También se reveló que la próxima versión de Windows 11 incluirá una súper resolución DirectX AI.
Albacore investigó Windows 11 Insider Build 26200 y descubrió que AI Explorer tenía requisitos de AI Explorer codificados en el sistema operativo. La codificación incluía requisitos de hardware para la CPU con las instrucciones requeridas y un mínimo de 16 GB de memoria. Por ejemplo, instaló la versión Insider en un sistema con una CPU ARM64. Albacore encontró una manera de evitar esta verificación deshabilitando el ID 48486440 en la compilación RTM.
Curiosamente, el gigante del software agregó esta verificación ya que Windows 11 24H2 no arrancará sin estos conjuntos de instrucciones, según un informe anterior. Aunque es especulativo, uno se preguntaría si la compañía tiene este paso adicional en caso de que alguien use derivaciones para forzar el arranque del sistema operativo con una CPU no compatible.
Esta verificación llega en un momento en el que Windows 11 ha sido cada vez más criticado por los entusiastas.
Microsoft decidió mostrar anuncios con enlaces a su tienda de aplicaciones en forma de "recomendaciones" en el menú Inicio. Hace unos días, un antiguo desarrollador criticó el rendimiento del menú Inicio. Microsoft también reprimió la capacidad de personalizar la interfaz de usuario de Windows 11 utilizando aplicaciones conocidas.
Simplemente tendremos que ver cómo es la experiencia del usuario con la próxima actualización y qué tan flexible está dispuesto a ser Microsoft con la amplia variedad de CPU y otros componentes que se utilizan hoy en día.
Fuente:
Tom´s Hardware
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Con Windows 11 24H2 preparado para tener aplicaciones con uso intensivo de IA, Microsoft ha agregado un código que le advertirá si su PC no cumple con los requisitos de hardware, según el código desenterrado por el detective Albacore de Twitter/X (a través de Neowin). La advertencia se mostrará como una marca de agua para que sepa que no puede usar ciertas aplicaciones integradas con tecnología de IA debido a una CPU no compatible.
Anteriormente, se pensaba que solo PopCnt era el único requisito posterior, pero la codificación reveló un requisito SSE4.2 obligatorio. De todos modos, esto no haría mucha diferencia para prácticamente la mayoría de los usuarios, ya que las CPU que admiten Windows 11 tienen instrucciones SSE 4.2. Aun así, es interesante ver a Microsoft agregar esta verificación para sus aplicaciones impulsadas por IA. Es probable que algunas de estas aplicaciones sean Advanced Copilot y AI File Explorer. También se reveló que la próxima versión de Windows 11 incluirá una súper resolución DirectX AI.
Albacore investigó Windows 11 Insider Build 26200 y descubrió que AI Explorer tenía requisitos de AI Explorer codificados en el sistema operativo. La codificación incluía requisitos de hardware para la CPU con las instrucciones requeridas y un mínimo de 16 GB de memoria. Por ejemplo, instaló la versión Insider en un sistema con una CPU ARM64. Albacore encontró una manera de evitar esta verificación deshabilitando el ID 48486440 en la compilación RTM.
Curiosamente, el gigante del software agregó esta verificación ya que Windows 11 24H2 no arrancará sin estos conjuntos de instrucciones, según un informe anterior. Aunque es especulativo, uno se preguntaría si la compañía tiene este paso adicional en caso de que alguien use derivaciones para forzar el arranque del sistema operativo con una CPU no compatible.
Esta verificación llega en un momento en el que Windows 11 ha sido cada vez más criticado por los entusiastas.
Microsoft decidió mostrar anuncios con enlaces a su tienda de aplicaciones en forma de "recomendaciones" en el menú Inicio. Hace unos días, un antiguo desarrollador criticó el rendimiento del menú Inicio. Microsoft también reprimió la capacidad de personalizar la interfaz de usuario de Windows 11 utilizando aplicaciones conocidas.
Simplemente tendremos que ver cómo es la experiencia del usuario con la próxima actualización y qué tan flexible está dispuesto a ser Microsoft con la amplia variedad de CPU y otros componentes que se utilizan hoy en día.
Fuente:
Tom´s Hardware
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#2
Noticias Informáticas / GPT-4 puede explotar vulnerabi...
Último mensaje por AXCESS - Hoy a las 10:13:49 AMNo tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Un grupo de investigadores de la Universidad de Illinois Urbana-Champaign (UIUC) ha investigado los LLM y su eficacia para explotar las vulnerabilidades de ciberseguridad.
Anteriormente, los individuos han realizado varios experimentos para probar la capacidad de los agentes de LLM para "piratear sitios web de forma autónoma", se lee en el artículo de investigación. Sin embargo, estas pruebas son exclusivas de vulnerabilidades simples.
Ahora, los investigadores de UIUC han probado su teoría y han demostrado que, en ciertos casos, "los agentes LLM pueden explotar de forma autónoma vulnerabilidades de un día (one-day vulnerabilities)en sistemas del mundo real".
Los investigadores de UIUC recopilaron un conjunto de datos de 15 vulnerabilidades de un día que incluían "aquellas categorizadas como de gravedad crítica en la descripción de CVE".
La descripción de vulnerabilidades y exposiciones comunes, o CVE, es una base de datos de información compartida públicamente sobre vulnerabilidades y exposiciones de ciberseguridad.
Cuando los investigadores proporcionaron a GPT-4 la descripción de CVE, el LLM tuvo una efectividad del 87 % en la explotación de estas vulnerabilidades, en comparación con el 0 % de: GPT-3.5, otros LLM de código abierto, y escáneres de vulnerabilidades ampliamente utilizados como Zap y Metasploit.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
El estudio encontró que GPT-4 solo falló en dos vulnerabilidades (Iris XSS y Hertzbeat RCE).
Sin embargo, a pesar de su impresionante rendimiento, GPT-4 requiere la descripción CVE para explotar estas vulnerabilidades de forma eficaz. Sin él, sólo podría explotar el 7% de las vulnerabilidades de forma independiente.
Cada vez es más barato
El estudio encuentra que utilizar LLM para explotar vulnerabilidades es posiblemente más barato y más eficiente que el trabajo humano.
Se estima que utilizar un LLM cuesta aproximadamente 9 dólares por exploit, mientras que se estima que un experto en ciberseguridad cuesta alrededor de 50 dólares por hora y tarda 30 minutos por vulnerabilidad.
Los investigadores estiman que utilizar un individuo en lugar de un LLM podría costar a los piratas informáticos un total de 25 dólares, lo que hace que el uso de un LLM sea 2,8 veces más barato que el trabajo humano.
Además, el estudio afirma que los agentes de LLM son "trivialmente escalables en contraste con el trabajo humano", lo que los hace posiblemente más efectivos que los piratas informáticos humanos.
"Los Gatos" explotan los LLM
La información recopilada por estos investigadores plantea dudas sobre el uso generalizado de los LLM.
Los LLM han ganado popularidad debido a su capacidad para apoyar a las personas en su vida profesional y personal.
Sin embargo, se sabe que hackers explotan los LLM para perfeccionar sus habilidades e incluso implementar ataques.
Anteriormente, Microsoft reveló que había rastreado grupos de piratería afiliados a la inteligencia militar rusa, la Guardia Revolucionaria de Irán y los gobiernos de China y Corea del Norte mientras intentaban perfeccionar sus campañas de piratería utilizando grandes modelos de lenguaje.
Altos funcionarios de ciberseguridad en Occidente han estado advirtiendo desde el año pasado que actores deshonestos estaban abusando de tales herramientas, aunque hasta ahora los detalles específicos han sido escasos.
En este contexto, los actores de amenazas han utilizado los LLM para realizar investigaciones maliciosas, escribir correos electrónicos de phishing convincentes u obtener información sobre agencias de inteligencia rivales.
Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Un grupo de investigadores de la Universidad de Illinois Urbana-Champaign (UIUC) ha investigado los LLM y su eficacia para explotar las vulnerabilidades de ciberseguridad.
Anteriormente, los individuos han realizado varios experimentos para probar la capacidad de los agentes de LLM para "piratear sitios web de forma autónoma", se lee en el artículo de investigación. Sin embargo, estas pruebas son exclusivas de vulnerabilidades simples.
Ahora, los investigadores de UIUC han probado su teoría y han demostrado que, en ciertos casos, "los agentes LLM pueden explotar de forma autónoma vulnerabilidades de un día (one-day vulnerabilities)en sistemas del mundo real".
Los investigadores de UIUC recopilaron un conjunto de datos de 15 vulnerabilidades de un día que incluían "aquellas categorizadas como de gravedad crítica en la descripción de CVE".
La descripción de vulnerabilidades y exposiciones comunes, o CVE, es una base de datos de información compartida públicamente sobre vulnerabilidades y exposiciones de ciberseguridad.
Cuando los investigadores proporcionaron a GPT-4 la descripción de CVE, el LLM tuvo una efectividad del 87 % en la explotación de estas vulnerabilidades, en comparación con el 0 % de: GPT-3.5, otros LLM de código abierto, y escáneres de vulnerabilidades ampliamente utilizados como Zap y Metasploit.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
El estudio encontró que GPT-4 solo falló en dos vulnerabilidades (Iris XSS y Hertzbeat RCE).
Sin embargo, a pesar de su impresionante rendimiento, GPT-4 requiere la descripción CVE para explotar estas vulnerabilidades de forma eficaz. Sin él, sólo podría explotar el 7% de las vulnerabilidades de forma independiente.
Cada vez es más barato
El estudio encuentra que utilizar LLM para explotar vulnerabilidades es posiblemente más barato y más eficiente que el trabajo humano.
Se estima que utilizar un LLM cuesta aproximadamente 9 dólares por exploit, mientras que se estima que un experto en ciberseguridad cuesta alrededor de 50 dólares por hora y tarda 30 minutos por vulnerabilidad.
Los investigadores estiman que utilizar un individuo en lugar de un LLM podría costar a los piratas informáticos un total de 25 dólares, lo que hace que el uso de un LLM sea 2,8 veces más barato que el trabajo humano.
Además, el estudio afirma que los agentes de LLM son "trivialmente escalables en contraste con el trabajo humano", lo que los hace posiblemente más efectivos que los piratas informáticos humanos.
"Los Gatos" explotan los LLM
La información recopilada por estos investigadores plantea dudas sobre el uso generalizado de los LLM.
Los LLM han ganado popularidad debido a su capacidad para apoyar a las personas en su vida profesional y personal.
Sin embargo, se sabe que hackers explotan los LLM para perfeccionar sus habilidades e incluso implementar ataques.
Anteriormente, Microsoft reveló que había rastreado grupos de piratería afiliados a la inteligencia militar rusa, la Guardia Revolucionaria de Irán y los gobiernos de China y Corea del Norte mientras intentaban perfeccionar sus campañas de piratería utilizando grandes modelos de lenguaje.
Altos funcionarios de ciberseguridad en Occidente han estado advirtiendo desde el año pasado que actores deshonestos estaban abusando de tales herramientas, aunque hasta ahora los detalles específicos han sido escasos.
En este contexto, los actores de amenazas han utilizado los LLM para realizar investigaciones maliciosas, escribir correos electrónicos de phishing convincentes u obtener información sobre agencias de inteligencia rivales.
Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#3
Noticias Informáticas / EEUU fuerza a ByteDance a vend...
Último mensaje por AXCESS - Hoy a las 10:11:47 AMNo tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Ser un servicio extremadamente exitoso, como es el caso de TikTok, no te garantiza ni remotamente el poder relajarte y disfrutar del éxito, especialmente si tu actividad se ve en medio del juego cruzado del actual panorama geopolítico, y todavía más si una de las partes (y no en solitario) considera que estás colaborando con la otra. El contexto es, claro, la actual tensión entre China y Estados Unidos, y las acusaciones por parte de las autoridades estadounidenses de que ByteDance, propietaria del servicio, no tiene reparo en ceder datos (obtenidos a través de TikTok), al gobierno del gigante asiático.
Los problemas para TikTok en Estados Unidos no son algo nuevo. Recordemos que, en la pasada administración, Donald Trump llegó a dar orden de bloquear el acceso al servicio desde Estados Unidos, si bien es cierto que posteriormente esta medida fue revertida. Y la llegada de un nuevo inquilino al 1.600 de Pennsylvania Avenue tampoco marcó un gran cambio al respecto, al punto de que hace poco más de un año ya se planteó un primer ultimátum que planteaba que el servicio debía pasar a manos de otra empresa (como ya se planteó durante la administración Trump), o se enfrentaría a medidas como un posible bloqueo. Dicha medida de presión concedía, eso sí, un plazo de un año. No obstante, en aquella ocasión la medida no contó con el apoyo del Senado.
Aquello ocurrió... efectivamente, hace poco más de un año, y como ya sabrás o habrás intuido, TikTok sigue perteneciendo a ByteDance que, eso sí, afirma haber tomado medidas para disipar las sospechas de las autoridades estadounidenses, como trasladar la gestión de los datos del servicio a servidores de Oracle en EEUU. Todos estos pasos, sin embargo, no han sido suficientes para el ejecutivo de Joe Biden, que ha optado por una línea más dura.
Así, según leemos en TechCrunch, el Senado de Estados Unidos ha aprobado un proyecto de ley que prohibirá TikTok en EEUU si ByteDance no vende el servicio. El texto acordado y votado por una amplia mayoría de senadores de ambos partidos (aunque, para sumar apoyos, la votación se vinculó a la aprobación de ayuda exterior crítica a Israel, Taiwán y Ucrania), concede un plazo de nueve meses, con un margen extra de 90 días, por lo que de nuevo volvemos a hablar de un plazo real de un año. El texto aprobado debe ser firmado por el presidente Biden para que entre en efecto y se inicie la cuenta atrás, pero está previsto que dicha firma se produzca hoy mismo.
ByteDance, como cabía esperar, ya ha comunicado que recurrirá a la justicia para intentar frenar este movimiento, además de apelar al volumen de usuarios y de negocio que genera en Estados Unidos, y que cifra en 14.700 millones de dólares para las pequeñas y medianas empresas del país. Por su parte, también se han pronunciado en contra de esta medida entidades como la Electronic Frontier Foundation, así como personalidades como Steve Wozniak y, para sorpresa de muchos, precisamente quien pretendió tomar una medida similar en 2020, Donald Trump, si bien en este caso resulta bastante evidente que se trata de una afirmación con fines electoralistas.
Ahora, claro, la gran pregunta es qué ocurrirá con TikTok si ByteDance no consigue frenar la aplicación de este texto de ley mediante la justicia. Aunque no es imposible, parece poco probable que opte por la venta a alguna empresa que tenga el visto bueno por parte de las autoridades estadounidenses. Y es que, aunque la venta pueda generar una enorme cantidad de ingresos, no debemos olvidar que hablamos de uno de los servicios más exitosos, especialmente entre una audiencia muy codiciada, los más jóvenes. Según datos recientes, TikTok ya supera los mil millones de usuarios, de los que aproximadamente 170 millones son estadounidenses. Así, el bloqueo en dicho país supondría renunciar a alrededor de un 17% de su base de usuarios lo que, visto desde la otra perspectiva, supone retener cerca del 83%.
Fuente:
MuyComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Ser un servicio extremadamente exitoso, como es el caso de TikTok, no te garantiza ni remotamente el poder relajarte y disfrutar del éxito, especialmente si tu actividad se ve en medio del juego cruzado del actual panorama geopolítico, y todavía más si una de las partes (y no en solitario) considera que estás colaborando con la otra. El contexto es, claro, la actual tensión entre China y Estados Unidos, y las acusaciones por parte de las autoridades estadounidenses de que ByteDance, propietaria del servicio, no tiene reparo en ceder datos (obtenidos a través de TikTok), al gobierno del gigante asiático.
Los problemas para TikTok en Estados Unidos no son algo nuevo. Recordemos que, en la pasada administración, Donald Trump llegó a dar orden de bloquear el acceso al servicio desde Estados Unidos, si bien es cierto que posteriormente esta medida fue revertida. Y la llegada de un nuevo inquilino al 1.600 de Pennsylvania Avenue tampoco marcó un gran cambio al respecto, al punto de que hace poco más de un año ya se planteó un primer ultimátum que planteaba que el servicio debía pasar a manos de otra empresa (como ya se planteó durante la administración Trump), o se enfrentaría a medidas como un posible bloqueo. Dicha medida de presión concedía, eso sí, un plazo de un año. No obstante, en aquella ocasión la medida no contó con el apoyo del Senado.
Aquello ocurrió... efectivamente, hace poco más de un año, y como ya sabrás o habrás intuido, TikTok sigue perteneciendo a ByteDance que, eso sí, afirma haber tomado medidas para disipar las sospechas de las autoridades estadounidenses, como trasladar la gestión de los datos del servicio a servidores de Oracle en EEUU. Todos estos pasos, sin embargo, no han sido suficientes para el ejecutivo de Joe Biden, que ha optado por una línea más dura.
Así, según leemos en TechCrunch, el Senado de Estados Unidos ha aprobado un proyecto de ley que prohibirá TikTok en EEUU si ByteDance no vende el servicio. El texto acordado y votado por una amplia mayoría de senadores de ambos partidos (aunque, para sumar apoyos, la votación se vinculó a la aprobación de ayuda exterior crítica a Israel, Taiwán y Ucrania), concede un plazo de nueve meses, con un margen extra de 90 días, por lo que de nuevo volvemos a hablar de un plazo real de un año. El texto aprobado debe ser firmado por el presidente Biden para que entre en efecto y se inicie la cuenta atrás, pero está previsto que dicha firma se produzca hoy mismo.
ByteDance, como cabía esperar, ya ha comunicado que recurrirá a la justicia para intentar frenar este movimiento, además de apelar al volumen de usuarios y de negocio que genera en Estados Unidos, y que cifra en 14.700 millones de dólares para las pequeñas y medianas empresas del país. Por su parte, también se han pronunciado en contra de esta medida entidades como la Electronic Frontier Foundation, así como personalidades como Steve Wozniak y, para sorpresa de muchos, precisamente quien pretendió tomar una medida similar en 2020, Donald Trump, si bien en este caso resulta bastante evidente que se trata de una afirmación con fines electoralistas.
Ahora, claro, la gran pregunta es qué ocurrirá con TikTok si ByteDance no consigue frenar la aplicación de este texto de ley mediante la justicia. Aunque no es imposible, parece poco probable que opte por la venta a alguna empresa que tenga el visto bueno por parte de las autoridades estadounidenses. Y es que, aunque la venta pueda generar una enorme cantidad de ingresos, no debemos olvidar que hablamos de uno de los servicios más exitosos, especialmente entre una audiencia muy codiciada, los más jóvenes. Según datos recientes, TikTok ya supera los mil millones de usuarios, de los que aproximadamente 170 millones son estadounidenses. Así, el bloqueo en dicho país supondría renunciar a alrededor de un 17% de su base de usuarios lo que, visto desde la otra perspectiva, supone retener cerca del 83%.
Fuente:
MuyComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#4
Noticias Informáticas / Entrega de malware a través de...
Último mensaje por AXCESS - Hoy a las 10:10:21 AMNo tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Los piratas informáticos norcoreanos han estado explotando el mecanismo de actualización del antivirus eScan para instalar puertas traseras en grandes redes corporativas y entregar mineros de criptomonedas a través del malware GuptiMiner.
Los investigadores describen a GuptiMiner como "una amenaza altamente sofisticada" que puede realizar solicitudes DNS a los servidores DNS del atacante, extraer cargas útiles de imágenes, firmar sus cargas útiles y realizar descargas de DLL.
Entrega de GuptiMiner a través de actualizaciones de eScan
En un informe publicado, la compañía de ciberseguridad Avast dice que el actor de amenazas detrás de GuptiMiner tenía una posición de adversario en el medio (AitM) para secuestrar el paquete de actualización de definición de virus normal y reemplazarlo con uno malicioso llamado 'updll62.dlz. '
El archivo malicioso incluye las actualizaciones de antivirus necesarias, así como un malware GuptiMiner como un archivo DLL llamado "version.dll".
El actualizador de eScan procesa el paquete normalmente, lo descomprime y lo ejecuta. Durante esa etapa, los archivos binarios legítimos de eScan descargan la DLL, lo que otorga al malware privilegios a nivel de sistema.
A continuación, la DLL recupera cargas útiles adicionales de la infraestructura del atacante, establece persistencia en el host a través de tareas programadas, realiza manipulación de DNS, inyecta shellcode en procesos legítimos, utiliza virtualización de código, almacena cargas útiles cifradas con XOR en el registro de Windows y extrae PE de PNG.
GuptiMiner también verifica si el sistema que ejecuta tiene más de 4 núcleos de CPU y 4 GB de RAM para evadir entornos sandbox, y determina si Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer, Process Monitor y OllyDbg están activos.
Los productos AhnLab y Cisco Talos también se desactivan si se ejecutan en la máquina atacada. A continuación, se muestra un diagrama completo de la cadena de infección:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Los investigadores de Avast dicen que GuptiMiner puede estar vinculado al grupo APT norcoreano Kimsuki, basándose en las similitudes entre la función de robo de información y el keylogger Kimsuky.
Los investigadores también descubrieron que algunas partes de la operación GuptiMiner sugieren una posible conexión con Kimsuki. Un punto en común es el uso del dominio mygamesonline[.]org, que normalmente se ve en las operaciones de Kimsuky.
Herramientas de malware implementadas
Los piratas informáticos utilizaron GuptiMiner para implementar múltiples malware en sistemas comprometidos, incluidas dos puertas traseras distintas y el minero XMRig Monero.
La primera puerta trasera es una versión mejorada de Putty Link, implementada en sistemas corporativos para escanear la red local en busca de sistemas vulnerables y puntos de pivote para movimiento lateral.
Busca específicamente sistemas Windows 7 y Windows Server 2008, explotándolos a través de túneles de tráfico SMB.
La segunda puerta trasera es un malware modular complejo que escanea el host en busca de claves privadas almacenadas y billeteras de criptomonedas, y crea una clave de registro para marcar la finalización del escaneo, para evitar repeticiones ruidosas.
Puede aceptar comandos para instalar módulos adicionales en el registro, mejorando aún más sus capacidades dentro de entornos infectados. Sin embargo, Avast no proporcionó detalles adicionales.
Los atacantes también dejaron caer el minero XMRig en muchos casos, lo que contrasta con la sofisticación exhibida en la campaña analizada y podría ser un intento de desviar la atención de la línea de ataque principal.
La respuesta de eScan
Los investigadores de Avast revelaron la vulnerabilidad explotada a eScan y el proveedor de antivirus confirmó que el problema estaba solucionado.
eScan también dijo que el último informe similar que recibieron fue en 2019. En 2020, el proveedor implementó un mecanismo de verificación más sólido para asegurarse de que los binarios no firmados fueran rechazados.
En la implementación más reciente, las descargas de actualizaciones de eScan se realizan a través de HTTPS para garantizar una comunicación cifrada para los clientes que interactúan con los servidores orientados a la nube del proveedor.
Sin embargo, Avast informa que continúa observando nuevas infecciones por parte de GuptiMiner, lo que podría indicar clientes de eScan obsoletos.
La lista completa de indicadores de compromiso (IoC) de GuptiMiner para ayudar a los defensores a mitigar esta amenaza se puede encontrar en esta página de GitHub:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Los piratas informáticos norcoreanos han estado explotando el mecanismo de actualización del antivirus eScan para instalar puertas traseras en grandes redes corporativas y entregar mineros de criptomonedas a través del malware GuptiMiner.
Los investigadores describen a GuptiMiner como "una amenaza altamente sofisticada" que puede realizar solicitudes DNS a los servidores DNS del atacante, extraer cargas útiles de imágenes, firmar sus cargas útiles y realizar descargas de DLL.
Entrega de GuptiMiner a través de actualizaciones de eScan
En un informe publicado, la compañía de ciberseguridad Avast dice que el actor de amenazas detrás de GuptiMiner tenía una posición de adversario en el medio (AitM) para secuestrar el paquete de actualización de definición de virus normal y reemplazarlo con uno malicioso llamado 'updll62.dlz. '
El archivo malicioso incluye las actualizaciones de antivirus necesarias, así como un malware GuptiMiner como un archivo DLL llamado "version.dll".
El actualizador de eScan procesa el paquete normalmente, lo descomprime y lo ejecuta. Durante esa etapa, los archivos binarios legítimos de eScan descargan la DLL, lo que otorga al malware privilegios a nivel de sistema.
A continuación, la DLL recupera cargas útiles adicionales de la infraestructura del atacante, establece persistencia en el host a través de tareas programadas, realiza manipulación de DNS, inyecta shellcode en procesos legítimos, utiliza virtualización de código, almacena cargas útiles cifradas con XOR en el registro de Windows y extrae PE de PNG.
GuptiMiner también verifica si el sistema que ejecuta tiene más de 4 núcleos de CPU y 4 GB de RAM para evadir entornos sandbox, y determina si Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer, Process Monitor y OllyDbg están activos.
Los productos AhnLab y Cisco Talos también se desactivan si se ejecutan en la máquina atacada. A continuación, se muestra un diagrama completo de la cadena de infección:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Los investigadores de Avast dicen que GuptiMiner puede estar vinculado al grupo APT norcoreano Kimsuki, basándose en las similitudes entre la función de robo de información y el keylogger Kimsuky.
Los investigadores también descubrieron que algunas partes de la operación GuptiMiner sugieren una posible conexión con Kimsuki. Un punto en común es el uso del dominio mygamesonline[.]org, que normalmente se ve en las operaciones de Kimsuky.
Herramientas de malware implementadas
Los piratas informáticos utilizaron GuptiMiner para implementar múltiples malware en sistemas comprometidos, incluidas dos puertas traseras distintas y el minero XMRig Monero.
La primera puerta trasera es una versión mejorada de Putty Link, implementada en sistemas corporativos para escanear la red local en busca de sistemas vulnerables y puntos de pivote para movimiento lateral.
Busca específicamente sistemas Windows 7 y Windows Server 2008, explotándolos a través de túneles de tráfico SMB.
La segunda puerta trasera es un malware modular complejo que escanea el host en busca de claves privadas almacenadas y billeteras de criptomonedas, y crea una clave de registro para marcar la finalización del escaneo, para evitar repeticiones ruidosas.
Puede aceptar comandos para instalar módulos adicionales en el registro, mejorando aún más sus capacidades dentro de entornos infectados. Sin embargo, Avast no proporcionó detalles adicionales.
Los atacantes también dejaron caer el minero XMRig en muchos casos, lo que contrasta con la sofisticación exhibida en la campaña analizada y podría ser un intento de desviar la atención de la línea de ataque principal.
La respuesta de eScan
Los investigadores de Avast revelaron la vulnerabilidad explotada a eScan y el proveedor de antivirus confirmó que el problema estaba solucionado.
eScan también dijo que el último informe similar que recibieron fue en 2019. En 2020, el proveedor implementó un mecanismo de verificación más sólido para asegurarse de que los binarios no firmados fueran rechazados.
En la implementación más reciente, las descargas de actualizaciones de eScan se realizan a través de HTTPS para garantizar una comunicación cifrada para los clientes que interactúan con los servidores orientados a la nube del proveedor.
Sin embargo, Avast informa que continúa observando nuevas infecciones por parte de GuptiMiner, lo que podría indicar clientes de eScan obsoletos.
La lista completa de indicadores de compromiso (IoC) de GuptiMiner para ayudar a los defensores a mitigar esta amenaza se puede encontrar en esta página de GitHub:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#5
Dudas y pedidos generales / Re:Reverse Shell
Último mensaje por Tux0 - Hoy a las 08:49:35 AMNo. O en la mayoría de los casos no.
Cuandp usas una VPN, tienes una IP pública que te proporciona el servidor VPN, es tu IP de salida a internet, pero no es tu IP pública para este tipo de cosas.
Es decir. pongamos que tu IP pública entes de la VPN es 82.0.0.0 (no es una IP ireal, pero es solo para el ejemplo), y después de la VPN, tu IP pública es 85.0.0.0 Bien, cuando tú quieres una shell reversa, tienes que darle tu IP pública real (la de antes de la VPN), es decir, la 82.0.0.0, porque la que te proporciona la VPN realmente no es tuya.
Esto es en la mayoría de los casos. Otra cosa es que tengas un servidor VPN en tu casa, y saliendo con tu misma IP, buscando solo privacidad y entorno local fuera de tu red, pero creo que no es el caso.
Cuandp usas una VPN, tienes una IP pública que te proporciona el servidor VPN, es tu IP de salida a internet, pero no es tu IP pública para este tipo de cosas.
Es decir. pongamos que tu IP pública entes de la VPN es 82.0.0.0 (no es una IP ireal, pero es solo para el ejemplo), y después de la VPN, tu IP pública es 85.0.0.0 Bien, cuando tú quieres una shell reversa, tienes que darle tu IP pública real (la de antes de la VPN), es decir, la 82.0.0.0, porque la que te proporciona la VPN realmente no es tuya.
Esto es en la mayoría de los casos. Otra cosa es que tengas un servidor VPN en tu casa, y saliendo con tu misma IP, buscando solo privacidad y entorno local fuera de tu red, pero creo que no es el caso.
#6
Dudas y pedidos generales / Re:Averiguar contraseña de un ...
Último mensaje por Tux0 - Hoy a las 08:41:41 AMSi hubiera un método que, sin ingeniería social como phishing, por ejemplo, te diera la password de cualquier red social, ese fallo de seguridad costaría millones de euros. Y en el momento de publicarse, no pasarían más de 2 días, y ya no funcionaría.
Espero que esto responda a tu pregunta.
Espero que esto responda a tu pregunta.
#7
Dudas y pedidos generales / Re:Empezando...
Último mensaje por Tux0 - Hoy a las 08:38:59 AMYp te recomendaría que empieces por lo que más te gusta (wifi, pentest, exploits, linux, web, etc.), ya se te irán abriendo nuevas incógnitas y temas por los que puedas seguir aprendiendo.
#8
Dudas y pedidos generales / Re:Instalar sistema diferente ...
Último mensaje por Tux0 - Hoy a las 08:36:03 AMVirtual sin duda, es mi opinión.
Y por supuesto, si estás usando VirtualBox, bajarte la imagen de virtualBox, lo mismo que si usas VMware.
Y por supuesto, si estás usando VirtualBox, bajarte la imagen de virtualBox, lo mismo que si usas VMware.
#9
Dudas y pedidos generales / Re:Plan curso undercode
Último mensaje por Josemirabal69 - Hoy a las 07:31:06 AMEsperando que salga la revista para cuando será el nuevo curso
#10
Dudas y pedidos generales / Técnicos
Último mensaje por sergiot - Hoy a las 12:14:33 AMQué técnicos de confianza tienen para reparar una Notebook con la pantalla mojada
Gracias
Gracias
