Mensajes recientes

Páginas1 2 3 ... 10
#1
Dudas y pedidos generales / Re:Busco Trabajo y consejo par...
Último mensaje por belupietra - Abril 21, 2025, 09:00:56 PM
Vos decís que pueda? Me postulé mucho por LinkedIn y no tengo noticias la verdad T.T
#2
Ingeniería Inversa / Solucion crackme1 de tHE ANALY...
Último mensaje por Flamer - Abril 21, 2025, 07:09:31 PM
Hola amigos hoy vengo con un pequeño tutorial es la solucion de un crackme sencillo es para novatos bueno empesemos este es el crackme



asi que lo abrimos con el x32dbg y vemos en los string la frase



damos doble clic y no manda a esta zona



como ven en la imagen se mira donde esta la api que compara y donde se genera el serial asi que yo puse un breakpoint en la direccion 0040110c

        
Citar0040110C | 0FBE840D 48FFFFFF        | movsx eax,byte ptr ss:[ebp+ecx-B8]                
00401114 | 41                                  | inc ecx                                            
00401115 | 33C1                              | xor eax,ecx                                        
00401117 | 03D8                              | add ebx,eax                                        
00401119 | 3B4D D8                        | cmp ecx,dword ptr ss:[ebp-28]                      
0040111C | 75 EE                             | jne k4n1.40110C                                    
0040111E | 6BC0 06                         | imul eax,eax,6                                    
00401121 | C1E3 07                         | shl ebx,7                                          
00401124 | 03C3                             | add eax,ebx                                        
00401126 | 8945 C8                         | mov dword ptr ss:[ebp-38],eax                      

y veo que lee letra por letra del nombre que ingresamos y luego incrementa ECX para despues xorear el valor ascii del nombre ingresado que esta en EAX con ECX  para despues sumar lo en EBX he irlo almacenando hay....al salir de ese bucle multiplica el valor EAX con 6 y despues sigue una instruccion shl 7 lo que hace es desplazar 7 bits a la deracha si ingreso Flamer como nombre EBX valdra 254 en hexadecimal en binario es:

0010 0101 0100     ahora le aplicamos el desplazamiento de 7 bits asi
0010 0101 0100   0000 000  ahora EBX valdra 12A00 en hexadecimal

despues ese valor es sumado con EAX en la linea 00401124 y ese sera el serial resultante para el crackme aqui les dejo el keygen

Código: text
<html>
<head><title>keygen crackme1 de tHE ANALYST ...::::By Flamer::::...</title>
</head>
<body bgcolor="black">
<center>
<marquee style="color:white;font-size:50;">keygen crackme1 de tHE ANALYST ...::::By Flamer::::...</marquee><br><br><br><br><br><br>
<div style="color:white;font-size:30;">
Nombre:&nbsp;&nbsp;<input type="text" id="nom" style="background-color:black;color:white;text-align:center;width:400;height:30;"><br>

Password:<input type="text" id="pass" style="background-color:black;color:white;text-align:center;width:400;height:30;""><br><br>
</div>

<input type="button" value="Generar" onclick="star(0)" style="width:100;height:30;">
<input type="button" value="Automatico" onclick="star(1)" style="width:100;height:30;">
<input type="button" value="Detener" onclick="stop()" style="width:100;height:30;">
<input type="button" value="Limpiar" onclick="clear()" style="width:100;height:30;">

</center>
<script>
let time=0

function star(y)
{
   let x,digito,d,ebx=0,serial="",cadena="",largo,digi,nick=""
   
   if(y==1)
   {
      cadena="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789"
	  largo=parseInt(Math.random()*(26-5)+5)
	  l=cadena.length - 1
	  
	  for(x=0;x<largo;x++)
	  {
	     digi=parseInt(Math.random()*(l-0)+0)
		 nick+=cadena.substring(digi-1,digi)
	  }
	  document.getElementById("nom").value=nick
   }
   else
   {   
      nick=document.getElementById("nom").value
   }
   
   for(x=1;x<=nick.length;x++)
   {
      digito=nick.substring(x-1,x)
	  d=digito.charCodeAt(0) ^ x 
	  ebx+=d
   }
   d=d*6
   ebx=(ebx*128)+d
   serial=ebx.toString(16)
   document.getElementById("pass").value=serial.toUpperCase()
   
   if(y==1)
   {
       time=setTimeout("star(1)",10)
   }
}
function stop()
{
   clearTimeout(time)
}
function clear()
{
   document.getElementById("nom").value=""
   document.getElementById("pass").value=""
}
</script>
</body>
</html>



como ven la clave para Flamer es 12CB8

saludos Flamer y espero les guste el keygen esta hecho en html y javascript....para el desplazamiento en el codigo javascript solo multiplique por 128 por que 2 elevado a la 7 es 128



el crackme lo pueden descargar de la pagina  No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#3
Dudas y pedidos generales / Re:Educación it
Último mensaje por Cris1129 - Abril 21, 2025, 05:40:32 PM
Muchas gracias por responder
#4
Noticias Informáticas / El Caso Ellis Pinsky: El adole...
Último mensaje por Dragora - Abril 21, 2025, 02:23:29 PM

Uno de los casos más impactantes de cibercrimen juvenil en el ecosistema cripto tiene como protagonista a Ellis Pinsky, un adolescente que, con solo 15 años, logró robar 562 bitcoins, valorados entonces en más de 24 millones de dólares. Este robo se llevó a cabo mediante una técnica de ingeniería social conocida como SIM swapping, y tuvo como víctima al empresario y referente de las criptomonedas, Michael Terpin.

De Call of Duty al hacking avanzado

La historia de Pinsky comenzó de forma aparentemente inocente. A los 12 años, era un joven entusiasta de los videojuegos, en particular Call of Duty. Pero su curiosidad por la tecnología lo llevó a explorar herramientas más complejas como Wireshark, utilizada para rastrear direcciones IP.

En poco tiempo, Pinsky comenzó a experimentar con ataques DDoS, técnicas de doxxing e incluso inyección SQL en bases de datos. A los 13 años, ya era parte activa de OGUsers, una comunidad de hackers especializada en la compraventa de cuentas valiosas en redes sociales.

Citar"Siempre he sido autodidacta, siempre he sido muy persistente", afirma Pinsky sobre sus inicios.

El descubrimiento del SIM Swapping

En 2016, Ellis descubrió una de las técnicas más potentes y peligrosas del hacking: el SIM swapping. Esta técnica consiste en engañar a empleados de compañías telefónicas para que transfieran el número de una víctima a una tarjeta SIM controlada por el atacante. Con ello, es posible interceptar códigos de autenticación de dos factores, acceder a correos electrónicos y, en algunos casos, a billeteras de criptomonedas.

Fue a través del SIM swapping como Pinsky orquestó uno de los robos más sonados del mundo cripto.

El ataque a Michael Terpin: un robo de 24 millones de dólares en criptomonedas

El 7 de enero de 2018, un usuario conocido como 'Harry' contactó a Pinsky con un objetivo claro: hackear el número de teléfono de un cliente de AT&T. Ese número pertenecía a Michael Terpin, una figura influyente en el universo de las criptodivisas.

Mediante ingeniería social, lograron que empleados de AT&T transfirieran el número de Terpin a una SIM bajo su control. Acto seguido, ambos adolescentes crearon un script automatizado para buscar archivos relacionados con criptomonedas en los correos electrónicos de Terpin.

El archivo clave y el botín digital

Durante el acceso a la cuenta de Outlook de Terpin, encontraron un archivo titulado "Claves". El tiempo era limitado: sabían que la víctima notaría pronto la pérdida de señal. En cuestión de minutos, accedieron a varias wallets.

Aunque una contenía más de 900 millones de dólares en criptoactivos, no lograron desbloquearla. Sin embargo, otra wallet contenía 3 millones de tokens Triggers, valorados en 7 dólares cada uno. Fue su golpe maestro.

Para blanquear el dinero, Pinsky acudió a Twitter preguntando si alguien tenía una cuenta en Binance para cambiar los tokens por Bitcoin. La operación fue masiva, generando comisiones elevadas y una caída del valor de los tokens, pero lograron convertir el botín en 562 bitcoins.

La caída: de hacker a perseguido por la ley

Durante meses, Pinsky vivió con ansiedad, esperando la llegada del FBI. Pero al ver que no ocurría nada, bajó la guardia. Compró un reloj de lujo y escondió 100.000 dólares en efectivo bajo su cama.

El giro llegó cuando el abogado de Terpin envió un correo a la madre de Pinsky en 2018, acusándolo directamente y detallando el robo. Fue un punto de inflexión para el adolescente:

Citar"Fue la primera vez que me di cuenta de que este videojuego en el que he estado viviendo se hizo real", relató.


El proceso legal y la devolución de los fondos

Tras el enfrentamiento legal, Pinsky devolvió los 562 bitcoins, el reloj de lujo y el dinero en efectivo. No obstante, Terpin exigió 71,4 millones de dólares, amparado en la ley RICO, que permite triplicar las indemnizaciones en casos de crimen organizado. Sin embargo, no pudo recuperar más fondos, ya que no se hallaron más activos a nombre del joven.

Sospechas, amenazas y una nueva vida

Terpin siempre sospechó que Pinsky podría haber ocultado dinero proveniente de otros ataques similares. Esta creencia desató situaciones peligrosas, como el allanamiento de la vivienda familiar, donde individuos exigían la devolución del dinero. Como medida de protección, la familia adquirió un rifle de asalto y comenzó a entrenarse.

Hoy en día, Ellis Pinsky intenta rehacer su vida. Actualmente estudia en la universidad y ha fundado Rentr, una aplicación para la compraventa entre particulares.

Citar"Quiero profundamente distanciarme de todas estas cosas. Es tan feo, tan malo, tan asqueroso. No hay nada más que quiero hacer que seguir adelante", declaró.

El caso que marcó un antes y un después en la seguridad cripto

El caso de Ellis Pinsky no solo revela cómo un adolescente con conocimientos avanzados puede vulnerar sistemas complejos, sino también la fragilidad de muchas plataformas frente al SIM swapping. Este ataque demostró que incluso figuras reconocidas como Michael Terpin pueden ser vulnerables si no se aplican capas adicionales de seguridad.

Para empresas y usuarios, la lección es clara: reforzar la autenticación, evitar depender únicamente del número telefónico y mantener las claves de criptoactivos en almacenamiento seguro fuera del alcance digital.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#5
Noticias Informáticas / Phishing con DKIM: el sofistic...
Último mensaje por Dragora - Abril 21, 2025, 02:11:54 PM

Una nueva y sofisticada campaña de phishing avanzado ha llamado la atención de la comunidad de ciberseguridad al aprovechar una combinación de debilidades en los sistemas de Google, específicamente en el uso de DKIM, OAuth y Google Sites, para engañar a los usuarios con correos aparentemente legítimos.

El ataque, descubierto por Nick Johnson, desarrollador principal de Ethereum Name Service (ENS), emplea una técnica conocida como "phishing de repetición DKIM", que permite a los atacantes enviar correos firmados con el sello DKIM de Google, lo que les ayuda a evadir filtros de spam y parecer auténticos para los destinatarios.

Un correo falso que pasa todas las verificaciones

Todo comenzó cuando Johnson recibió un correo electrónico fraudulento con apariencia legítima. El mensaje, que parecía proceder de la dirección No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, notificaba una supuesta citación judicial para obtener acceso a su cuenta. El correo incluso fue categorizado por Gmail junto con otras alertas de seguridad reales, lo que aumentaba su credibilidad.

Lo más alarmante es que el mensaje pasó todas las verificaciones de autenticación, incluyendo DomainKeys Identified Mail (DKIM). Esto significa que, desde la perspectiva del sistema de correo, el mensaje realmente parecía haber sido enviado por Google.

Sin embargo, Johnson detectó algo extraño: el enlace del supuesto "portal de soporte" no dirigía a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, sino a una página en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. Aunque sigue siendo un dominio legítimo de Google, este servicio permite a cualquier usuario crear sitios web personalizados, lo que lo convierte en una plataforma atractiva para ataques de phishing alojado en dominios de confianza.

Cómo funciona el ataque de phishing con repetición DKIM

La parte más técnica e ingeniosa del ataque radica en cómo se genera el correo fraudulento que pasa la validación DKIM. Johnson explicó que el atacante:

  • Registra un dominio personalizado y crea una cuenta de Google, utilizando una dirección como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.
  • Crea una aplicación OAuth en Google Cloud y utiliza como nombre de la app el contenido completo del mensaje de phishing, insertando grandes espacios en blanco para ocultar la notificación de Google al pie del mensaje.
  • Concede permisos OAuth a esa cuenta, lo que activa el envío automático de una alerta de seguridad real de Google al correo de la cuenta creada.
  • Finalmente, el atacante reenvía ese correo firmado por Google a las víctimas.

Como el correo fue originalmente generado y firmado por Google, la firma DKIM es válida y pasa todas las comprobaciones SPF, DKIM y DMARC. A su vez, al nombrar la cuenta como me@dominio, Gmail presenta el mensaje como si fuera una alerta relacionada con el correo del destinatario.

Encubrimiento perfecto: phishing alojado en Google Sites

El enlace contenido en el correo dirigía a un portal falso que imitaba perfectamente la apariencia del verdadero centro de soporte de Google. A simple vista, la diferencia era mínima: el dominio base era No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, no No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. Esta técnica de phishing dentro de dominios legítimos reduce significativamente las probabilidades de que los usuarios identifiquen el engaño.

Johnson describió la página falsa como "un duplicado exacto del verdadero portal de soporte de Google", lo que refuerza la efectividad del ataque.

Ataques similares en otras plataformas: el caso de PayPal

El mismo tipo de táctica ha sido replicado con éxito en otras plataformas, como PayPal. En marzo, una campaña de phishing aprovechó la función de "dirección de regalo" en las cuentas de PayPal para vincular una nueva dirección de correo con un campo de texto adicional donde se colocaba el mensaje fraudulento.

El sistema de PayPal enviaba automáticamente un correo de confirmación a esa dirección, y el atacante simplemente lo reenviaba a una lista de distribución de víctimas. Al igual que en el caso de Google, el mensaje era firmado por los servidores de correo de PayPal, pasando las verificaciones DKIM.

Respuesta de Google y análisis técnico

Johnson informó del problema a Google a través de su programa de reporte de errores. Inicialmente, la compañía respondió que el sistema "estaba funcionando según lo previsto". No obstante, tras una segunda revisión, Google reconoció la debilidad en el proceso y confirmó que está trabajando para implementar mejoras de seguridad en OAuth para mitigar esta clase de abusos.

La empresa EasyDMARC, especializada en autenticación de correo electrónico, también analizó el caso y publicó una explicación técnica detallada del ataque de phishing con repetición DKIM, validando los hallazgos de Johnson y ofreciendo recomendaciones para protegerse.

¿Por qué este ataque es tan efectivo?

El éxito del ataque radica en el uso de servicios legítimos para fines maliciosos. Al originarse en Google, pasar DKIM y usar sitios bajo dominios oficiales como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, los mensajes evaden los filtros de seguridad más comunes y aprovechan la confianza del usuario en marcas reconocidas.

Además, la utilización de elementos como OAuth y la estructura interna de Gmail ayuda a camuflar aún más la estafa, haciendo que incluso usuarios experimentados puedan caer.

Recomendaciones para evitar caer en estos ataques

Para protegerse de esta técnica avanzada de phishing, es importante seguir estas buenas prácticas:

  • Verificar siempre la URL completa de cualquier enlace, incluso si proviene de un dominio confiable.
  • No confiar únicamente en las verificaciones DKIM o SPF como indicadores de autenticidad.
  • Evitar hacer clic en enlaces de correos electrónicos inesperados, incluso si parecen provenir de servicios oficiales.
  • Usar extensiones o herramientas de análisis de cabeceras de correo para comprobar el origen real del mensaje.
  • Activar la verificación en dos pasos para cuentas sensibles como Gmail y PayPal.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#6
Noticias Informáticas / Scallywag, utiliza plugins mal...
Último mensaje por Dragora - Abril 21, 2025, 02:04:31 PM

Una sofisticada campaña de fraude publicitario digital llamada Scallywag ha sido desmantelada parcialmente tras generar hasta 1.400 millones de solicitudes fraudulentas de anuncios por día. Esta operación global monetizaba sitios de piratería y plataformas de acortamiento de enlaces utilizando complementos de WordPress diseñados específicamente para evadir sistemas de detección y generar ingresos ilegítimos.

El descubrimiento de esta red fue realizado por HUMAN, una reconocida firma de ciberseguridad especializada en detección de bots y fraude en medios digitales. Su investigación reveló una infraestructura formada por 407 dominios que trabajaban de forma coordinada para redirigir a los usuarios a páginas llenas de anuncios falsos, simulando tráfico legítimo para los anunciantes.

Cómo funciona Scallywag: plugins de WordPress y sitios intermediarios

A diferencia de otras campañas de fraude digital, Scallywag opera como un fraude como servicio (FaaS). Su modelo se basa en la distribución de cuatro complementos de WordPress maliciosos que permiten a ciberdelincuentes crear flujos automatizados de ingresos desde sitios con contenido de baja calidad o ilegal. Los plugins identificados son:

  • Soralink (2016)
  • Yu Idea (2017)
  • WPSafeLink (2020)
  • Droplink (2022)

Estos complementos han sido utilizados por múltiples actores maliciosos que configuran sus propios esquemas de fraude publicitario. Algunos incluso han subido tutoriales a YouTube explicando cómo instalarlos y utilizarlos, facilitando el acceso a este modelo de monetización fraudulenta.

De los cuatro, Droplink se distribuye gratuitamente, pero obliga a los usuarios a realizar ciertas acciones que generan ingresos a los desarrolladores, como parte de un modelo de afiliación disfrazado.

Monetización de sitios de piratería a través de redirecciones

Scallywag se apoya principalmente en sitios web que ofrecen contenido pirata, como películas, series, videojuegos o software premium. Los visitantes acceden a estos portales buscando enlaces de descarga, y al hacer clic en ellos, son redirigidos a través de una cadena de sitios intermedios cargados con anuncios fraudulentos.

Estos sitios intermediarios están impulsados por los plugins de WordPress de Scallywag, que gestionan el proceso completo de redirección, desde la verificación CAPTCHA hasta temporizadores obligatorios que simulan interacción del usuario. En muchas ocasiones, las páginas intermedias muestran un blog limpio si detectan escaneos automatizados o bots de plataformas publicitarias, en un proceso conocido como encubrimiento.

Este enfoque permite que el contenido malicioso pase desapercibido para los anunciantes legítimos, quienes normalmente bloquean la piratería y los acortadores de URL por los riesgos legales, el fraude publicitario y la seguridad de marca.

Asociación gris con sitios piratas

Cabe destacar que no todos los sitios piratas involucrados en esta red son operados directamente por los creadores de Scallywag. En muchos casos, los administradores de estos sitios forman "asociaciones grises" con los operadores del fraude, cediendo el control de la monetización a cambio de recibir ingresos compartidos.

Este modelo colaborativo ha permitido a Scallywag extender su influencia rápidamente, aprovechando el tráfico masivo que generan los sitios piratas sin asumir directamente su operación ni exposición legal.

La caída de Scallywag: análisis, detección y respuesta

El equipo de HUMAN logró identificar la actividad de Scallywag tras detectar comportamientos inusuales en blogs de WordPress aparentemente legítimos, como picos de impresiones publicitarias, mecanismos de encubrimiento y flujos de tráfico forzado. Utilizando técnicas avanzadas de análisis de tráfico, HUMAN clasificó la red como fraudulenta y colaboró con proveedores de anuncios digitales para bloquear sus solicitudes de oferta.

Gracias a estas acciones, el tráfico fraudulento de Scallywag se redujo en un 95%, provocando una caída masiva en los ingresos generados por la red. Muchos de los actores involucrados abandonaron el esquema y comenzaron a buscar nuevas formas de monetización ilícita.

Persistencia de la amenaza y evolución de los actores

A pesar de la desactivación temporal de su ecosistema, los operadores detrás de Scallywag han demostrado una gran capacidad de adaptación. En respuesta a los bloqueos, intentaron evadir la detección utilizando nuevos dominios, redes de redirección abiertas y técnicas para ocultar el referer real del tráfico.

Si bien HUMAN logró identificar y bloquear estos nuevos intentos, se espera que los responsables continúen desarrollando nuevas variantes o incluso trasladen su operación a otras plataformas CMS o métodos de monetización engañosos.

Recomendaciones para protegerse del fraude publicitario

Las empresas del ecosistema publicitario digital, así como administradores de sitios web, deben tomar medidas preventivas para evitar verse involucrados, directa o indirectamente, en esquemas de fraude como Scallywag:

  • Auditar regularmente los complementos de WordPress instalados, evitando extensiones de origen dudoso o poco documentado.
  • Monitorear el tráfico de red en busca de patrones sospechosos, como tasas de impresión anómalas o visitas desde acortadores de URL poco conocidos.
  • Colaborar con plataformas de detección de fraude como HUMAN para implementar soluciones antifraude avanzadas.
  • Evitar monetizar sitios con contenido pirata, ya que estos son objetivos prioritarios para esquemas publicitarios fraudulentos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#7
Noticias Informáticas / Aumento de ciberataques global...
Último mensaje por Dragora - Abril 21, 2025, 01:56:41 PM

Un reciente informe de la firma de ciberseguridad Trustwave SpiderLabs ha revelado un preocupante aumento en la actividad maliciosa proveniente de direcciones IP asociadas con Proton66, un proveedor ruso de alojamiento a prueba de balas. Esta infraestructura, conocida por facilitar operaciones cibercriminales, ha sido vinculada con esfuerzos masivos de escaneo, ataques de fuerza bruta y explotación activa de vulnerabilidades críticas, afectando a organizaciones a nivel mundial desde enero de 2025.

Los bloques de red 45.135.232.0/24 y 45.140.17.0/24 se destacaron por su alta actividad maliciosa. De acuerdo con los investigadores de seguridad Pawel Knapczyk y Dawid Nesterowicz, muchas de las direcciones IP involucradas no habían sido utilizadas previamente o habían permanecido inactivas por más de dos años, lo que sugiere un resurgimiento controlado por actores sofisticados.

Proton66 y su vínculo con redes de cibercrimen

Proton66 opera bajo el sistema autónomo AS58061 y está relacionado con otro sistema denominado PROSPERO. Según la empresa de seguridad francesa Intrinsec, esta infraestructura está fuertemente vinculada a servicios de alojamiento a prueba de balas conocidos como Securehost y BEARHOST, comúnmente publicitados en foros clandestinos rusos.

Estos servicios son atractivos para los ciberdelincuentes debido a su tolerancia hacia actividades ilegales, como el hosting de servidores C2 (comando y control), páginas de phishing, y la distribución de malware. Algunas familias de malware como GootLoader, SpyNote, XWorm, StrelaStealer y WeaXor han utilizado Proton66 para sus campañas.

Explotación de vulnerabilidades críticas

Durante febrero de 2025, se identificaron ataques provenientes de la IP 193.143.1[.]65 de Proton66 que intentaban explotar vulnerabilidades recientemente descubiertas, entre ellas:

  • CVE-2025-0108: omisión de autenticación en Palo Alto Networks PAN-OS
  • CVE-2024-41713: validación de entrada deficiente en NuPoint MiCollab NPM
  • CVE-2024-10914: inyección de comandos en dispositivos D-Link NAS
  • CVE-2024-55591 y CVE-2025-24472: fallas de autenticación en Fortinet FortiOS

Estas dos últimas vulnerabilidades fueron utilizadas por un corredor de acceso inicial conocido como Mora_001, que introdujo una nueva variante de ransomware llamada SuperBlack. Esta amenaza cifra los datos de las víctimas y exige un rescate para su recuperación, siguiendo patrones cada vez más comunes en el panorama de ransomware como servicio (RaaS).

Malware y phishing dirigido a dispositivos Android

Otra táctica ampliamente utilizada por los operadores vinculados a Proton66 incluye el uso de sitios WordPress comprometidos para redirigir a usuarios de Android hacia páginas de phishing. En particular, se identificó la IP 91.212.166[.]21 como origen de scripts maliciosos en JavaScript diseñados para engañar a las víctimas y hacerlas descargar aplicaciones APK infectadas.

Estas campañas simulan páginas de Google Play y están dirigidas principalmente a usuarios que hablan francés, español y griego. Los scripts de redirección están cuidadosamente ofuscados y utilizan servicios como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta e No tienes permitido ver enlaces. Registrate o Entra a tu cuenta para detectar el uso de VPNs, proxies y verificar si el dispositivo es Android antes de ejecutar la redirección.

Ingeniería social y ataques dirigidos

Además del malware móvil, Trustwave identificó un ataque dirigido a usuarios de habla coreana, en el que se utilizó un archivo ZIP alojado en Proton66 que implementa XWorm mediante técnicas de ingeniería social. La infección comienza con un archivo LNK que ejecuta una cadena de comandos PowerShell y Visual Basic, culminando con la descarga de un archivo DLL codificado en Base64 que instala el malware.

De forma paralela, los investigadores detectaron una campaña de phishing por correo electrónico contra usuarios de habla alemana. Esta campaña distribuía StrelaStealer, un ladrón de credenciales que se comunica con la IP 193.143.1[.]205, también alojada en la red de Proton66.

En otro hallazgo importante, se observó actividad relacionada con WeaXor, una variante del ransomware Mallox, la cual se comunicaba con el servidor 193.143.1[.]139, fortaleciendo aún más la conexión de Proton66 con amenazas activas.

Recomendaciones de ciberseguridad

Dada la variedad y peligrosidad de las amenazas asociadas a Proton66, los expertos de Trustwave recomiendan a las organizaciones:

  • Bloquear todos los rangos CIDR vinculados a Proton66 (como 45.135.232.0/24, 45.140.17.0/24, 193.143.1.0/24).
  • Implementar reglas de firewall específicas para denegar tráfico entrante y saliente desde y hacia direcciones IP maliciosas conocidas.
  • Monitorear activamente la red en busca de conexiones sospechosas o no autorizadas hacia infraestructura asociada a alojamiento a prueba de balas.
  • Actualizar los sistemas y aplicaciones para mitigar la explotación de vulnerabilidades como las CVE mencionadas anteriormente.

También se sugiere prestar atención a posibles vínculos con otros proveedores como Chang Way Technologies, supuestamente relacionado con Hong Kong, cuya infraestructura también ha sido vinculada a estas amenazas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#8
Hacking Tools / Instagram-Brute-Force-2024
Último mensaje por mr_zidd - Abril 21, 2025, 03:12:45 AM
Herramienta de brutforce para instagram con soporte para procesamiento por GPU

con soporte para Python 3.13 x64 en Unix / Linux / Mac / Windows 8.1 (y versiones mas altas)

La herramienta hace uso de selenium así que Chrome (o alguna variante) tiene que estar habilitada dentro del sistema operativo.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#9
Cursos, manuales y libros / Re:English magazine collection
Último mensaje por Proculin - Abril 21, 2025, 03:11:06 AM
The New York Times Best Sellers Fiction - April 27, 2025

Language: English | Format: epub | 2025 | Size: 46.9 MB

List:
01. ENCHANTRA by Kaylie Smith
02. SAY YOU'LL REMEMBER ME by Abby Jimenez
03. ONYX STORM by Rebecca Yarros
04. BLOOD OF HERCULES by Jasmine Mas
05. FIREBIRD by Juliette Cross
06. BROKEN COUNTRY by Clare Leslie Hall
07. THE HOUSEMAID by Freida McFadden
08. FOURTH WING by Rebecca Yarros
09. THE GRIFFIN SISTERS' GREATEST HITS by Jennifer Weiner
10. THE NIGHTINGALE by Kristin Hannah
11. THE WEDDING PEOPLE by Alison Espach
12. THE FROZEN RIVER by Ariel Lawhon
13. VERITY by Colleen Hoover
14. LETHAL PREY by John Sandford
15. THE CRASH by Freida McFadden




Código: text
https://www.up-4ever.net/hktib9gzn8gj
https://mega4upload.net/bom97v61by8l
https://filespayouts.com/xez543igph7k/NBS27apr25.rar
https://www.file-upload.org/nlidl22lo2kv
https://rg.to/file/5ee9aba94dcd7190d0e31534700b684a
#10
Noticias Informáticas / Detectan paquetes maliciosos e...
Último mensaje por Dragora - Abril 20, 2025, 07:32:01 PM

Investigadores en ciberseguridad han identificado tres paquetes maliciosos en el registro npm, diseñados para hacerse pasar por una biblioteca legítima de bots de Telegram para Node.js. Estos paquetes, distribuidos en el ecosistema de JavaScript, contienen puertas traseras SSH y funciones de exfiltración de datos, representando una grave amenaza para la seguridad de desarrolladores y sistemas de producción.

Paquetes npm maliciosos detectados

Los paquetes identificados son:

  • node-telegram-utils (132 descargas)
  • node-telegram-bots-api (82 descargas)
  • node-telegram-util (73 descargas)

Según la empresa de seguridad Socket, especializada en proteger la cadena de suministro de software, estos paquetes imitan la biblioteca legítima node-telegram-bot-api, que acumula más de 100,000 descargas semanales. A pesar de su menor alcance, los paquetes fraudulentos todavía están disponibles para su descarga en npm al momento del análisis.

Citar"Aunque las descargas son limitadas, basta con comprometer un único entorno para permitir el acceso no autorizado a servidores de desarrollo o producción", advirtió Kush Pandya, investigador de seguridad en Socket.

Técnicas utilizadas: Starjacking y persistencia en Linux

Los atacantes emplean una técnica conocida como starjacking para simular popularidad y legitimidad. Este método consiste en vincular el paquete malicioso a un repositorio GitHub de una biblioteca auténtica, aprovechando la falta de validación entre el paquete de npm y su fuente en GitHub. Esto engaña a los desarrolladores al hacer que el paquete parezca confiable.

Además, el análisis reveló que los paquetes están específicamente diseñados para funcionar en sistemas Linux. Una vez ejecutados, agregan dos claves SSH al archivo ~/.ssh/authorized_keys, permitiendo a los atacantes un acceso remoto persistente al sistema comprometido.

Los scripts maliciosos también:

  • Recopilan el nombre de usuario y la dirección IP externa del sistema mediante ipinfo[.]io.
  • Se conectan a un servidor remoto (solana.validator[.]blog) para validar la infección.
  • Mantienen el acceso incluso después de eliminar el paquete, ya que las claves SSH insertadas no se eliminan automáticamente.

Otro caso: paquete malicioso @naderabdi/merchant-advcash

La alerta de Socket también incluye un nuevo paquete malicioso denominado @naderabdi/merchant-advcash, el cual simula ser una integración de Volet (antes Advcash) para aceptar pagos con criptomonedas o moneda fiat. Sin embargo, el código contiene una carga útil oculta que establece un shell inverso a un servidor remoto.

A diferencia de otros paquetes que ejecutan código malicioso durante la instalación, este lo hace en tiempo de ejecución, específicamente después de una transacción de pago exitosa. Esta táctica dificulta la detección mediante herramientas automatizadas, ya que el comportamiento malicioso solo se activa en escenarios muy concretos.

Riesgos para la cadena de suministro y medidas de protección

Estos incidentes refuerzan el creciente riesgo de los ataques a la cadena de suministro de software, particularmente en ecosistemas abiertos como npm. El uso de técnicas de evasión avanzadas, persistencia remota y suplantación de bibliotecas populares convierte a estos paquetes en amenazas sofisticadas.

Los desarrolladores deben:

  • Verificar manualmente la autenticidad de los paquetes y sus repositorios vinculados.
  • Implementar herramientas de análisis estático y detección de malware en dependencias de terceros.
  • Monitorear actividades inusuales tras la instalación de nuevos paquetes npm, especialmente aquellos con pocas descargas o actualizados recientemente.


Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Páginas1 2 3 ... 10