Mensajes recientes
#11
Noticias Informáticas / Entrega de malware a través de...
Último mensaje por AXCESS - Hoy a las 10:10:21 AMNo tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Los piratas informáticos norcoreanos han estado explotando el mecanismo de actualización del antivirus eScan para instalar puertas traseras en grandes redes corporativas y entregar mineros de criptomonedas a través del malware GuptiMiner.
Los investigadores describen a GuptiMiner como "una amenaza altamente sofisticada" que puede realizar solicitudes DNS a los servidores DNS del atacante, extraer cargas útiles de imágenes, firmar sus cargas útiles y realizar descargas de DLL.
Entrega de GuptiMiner a través de actualizaciones de eScan
En un informe publicado, la compañía de ciberseguridad Avast dice que el actor de amenazas detrás de GuptiMiner tenía una posición de adversario en el medio (AitM) para secuestrar el paquete de actualización de definición de virus normal y reemplazarlo con uno malicioso llamado 'updll62.dlz. '
El archivo malicioso incluye las actualizaciones de antivirus necesarias, así como un malware GuptiMiner como un archivo DLL llamado "version.dll".
El actualizador de eScan procesa el paquete normalmente, lo descomprime y lo ejecuta. Durante esa etapa, los archivos binarios legítimos de eScan descargan la DLL, lo que otorga al malware privilegios a nivel de sistema.
A continuación, la DLL recupera cargas útiles adicionales de la infraestructura del atacante, establece persistencia en el host a través de tareas programadas, realiza manipulación de DNS, inyecta shellcode en procesos legítimos, utiliza virtualización de código, almacena cargas útiles cifradas con XOR en el registro de Windows y extrae PE de PNG.
GuptiMiner también verifica si el sistema que ejecuta tiene más de 4 núcleos de CPU y 4 GB de RAM para evadir entornos sandbox, y determina si Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer, Process Monitor y OllyDbg están activos.
Los productos AhnLab y Cisco Talos también se desactivan si se ejecutan en la máquina atacada. A continuación, se muestra un diagrama completo de la cadena de infección:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Los investigadores de Avast dicen que GuptiMiner puede estar vinculado al grupo APT norcoreano Kimsuki, basándose en las similitudes entre la función de robo de información y el keylogger Kimsuky.
Los investigadores también descubrieron que algunas partes de la operación GuptiMiner sugieren una posible conexión con Kimsuki. Un punto en común es el uso del dominio mygamesonline[.]org, que normalmente se ve en las operaciones de Kimsuky.
Herramientas de malware implementadas
Los piratas informáticos utilizaron GuptiMiner para implementar múltiples malware en sistemas comprometidos, incluidas dos puertas traseras distintas y el minero XMRig Monero.
La primera puerta trasera es una versión mejorada de Putty Link, implementada en sistemas corporativos para escanear la red local en busca de sistemas vulnerables y puntos de pivote para movimiento lateral.
Busca específicamente sistemas Windows 7 y Windows Server 2008, explotándolos a través de túneles de tráfico SMB.
La segunda puerta trasera es un malware modular complejo que escanea el host en busca de claves privadas almacenadas y billeteras de criptomonedas, y crea una clave de registro para marcar la finalización del escaneo, para evitar repeticiones ruidosas.
Puede aceptar comandos para instalar módulos adicionales en el registro, mejorando aún más sus capacidades dentro de entornos infectados. Sin embargo, Avast no proporcionó detalles adicionales.
Los atacantes también dejaron caer el minero XMRig en muchos casos, lo que contrasta con la sofisticación exhibida en la campaña analizada y podría ser un intento de desviar la atención de la línea de ataque principal.
La respuesta de eScan
Los investigadores de Avast revelaron la vulnerabilidad explotada a eScan y el proveedor de antivirus confirmó que el problema estaba solucionado.
eScan también dijo que el último informe similar que recibieron fue en 2019. En 2020, el proveedor implementó un mecanismo de verificación más sólido para asegurarse de que los binarios no firmados fueran rechazados.
En la implementación más reciente, las descargas de actualizaciones de eScan se realizan a través de HTTPS para garantizar una comunicación cifrada para los clientes que interactúan con los servidores orientados a la nube del proveedor.
Sin embargo, Avast informa que continúa observando nuevas infecciones por parte de GuptiMiner, lo que podría indicar clientes de eScan obsoletos.
La lista completa de indicadores de compromiso (IoC) de GuptiMiner para ayudar a los defensores a mitigar esta amenaza se puede encontrar en esta página de GitHub:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Los piratas informáticos norcoreanos han estado explotando el mecanismo de actualización del antivirus eScan para instalar puertas traseras en grandes redes corporativas y entregar mineros de criptomonedas a través del malware GuptiMiner.
Los investigadores describen a GuptiMiner como "una amenaza altamente sofisticada" que puede realizar solicitudes DNS a los servidores DNS del atacante, extraer cargas útiles de imágenes, firmar sus cargas útiles y realizar descargas de DLL.
Entrega de GuptiMiner a través de actualizaciones de eScan
En un informe publicado, la compañía de ciberseguridad Avast dice que el actor de amenazas detrás de GuptiMiner tenía una posición de adversario en el medio (AitM) para secuestrar el paquete de actualización de definición de virus normal y reemplazarlo con uno malicioso llamado 'updll62.dlz. '
El archivo malicioso incluye las actualizaciones de antivirus necesarias, así como un malware GuptiMiner como un archivo DLL llamado "version.dll".
El actualizador de eScan procesa el paquete normalmente, lo descomprime y lo ejecuta. Durante esa etapa, los archivos binarios legítimos de eScan descargan la DLL, lo que otorga al malware privilegios a nivel de sistema.
A continuación, la DLL recupera cargas útiles adicionales de la infraestructura del atacante, establece persistencia en el host a través de tareas programadas, realiza manipulación de DNS, inyecta shellcode en procesos legítimos, utiliza virtualización de código, almacena cargas útiles cifradas con XOR en el registro de Windows y extrae PE de PNG.
GuptiMiner también verifica si el sistema que ejecuta tiene más de 4 núcleos de CPU y 4 GB de RAM para evadir entornos sandbox, y determina si Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer, Process Monitor y OllyDbg están activos.
Los productos AhnLab y Cisco Talos también se desactivan si se ejecutan en la máquina atacada. A continuación, se muestra un diagrama completo de la cadena de infección:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Los investigadores de Avast dicen que GuptiMiner puede estar vinculado al grupo APT norcoreano Kimsuki, basándose en las similitudes entre la función de robo de información y el keylogger Kimsuky.
Los investigadores también descubrieron que algunas partes de la operación GuptiMiner sugieren una posible conexión con Kimsuki. Un punto en común es el uso del dominio mygamesonline[.]org, que normalmente se ve en las operaciones de Kimsuky.
Herramientas de malware implementadas
Los piratas informáticos utilizaron GuptiMiner para implementar múltiples malware en sistemas comprometidos, incluidas dos puertas traseras distintas y el minero XMRig Monero.
La primera puerta trasera es una versión mejorada de Putty Link, implementada en sistemas corporativos para escanear la red local en busca de sistemas vulnerables y puntos de pivote para movimiento lateral.
Busca específicamente sistemas Windows 7 y Windows Server 2008, explotándolos a través de túneles de tráfico SMB.
La segunda puerta trasera es un malware modular complejo que escanea el host en busca de claves privadas almacenadas y billeteras de criptomonedas, y crea una clave de registro para marcar la finalización del escaneo, para evitar repeticiones ruidosas.
Puede aceptar comandos para instalar módulos adicionales en el registro, mejorando aún más sus capacidades dentro de entornos infectados. Sin embargo, Avast no proporcionó detalles adicionales.
Los atacantes también dejaron caer el minero XMRig en muchos casos, lo que contrasta con la sofisticación exhibida en la campaña analizada y podría ser un intento de desviar la atención de la línea de ataque principal.
La respuesta de eScan
Los investigadores de Avast revelaron la vulnerabilidad explotada a eScan y el proveedor de antivirus confirmó que el problema estaba solucionado.
eScan también dijo que el último informe similar que recibieron fue en 2019. En 2020, el proveedor implementó un mecanismo de verificación más sólido para asegurarse de que los binarios no firmados fueran rechazados.
En la implementación más reciente, las descargas de actualizaciones de eScan se realizan a través de HTTPS para garantizar una comunicación cifrada para los clientes que interactúan con los servidores orientados a la nube del proveedor.
Sin embargo, Avast informa que continúa observando nuevas infecciones por parte de GuptiMiner, lo que podría indicar clientes de eScan obsoletos.
La lista completa de indicadores de compromiso (IoC) de GuptiMiner para ayudar a los defensores a mitigar esta amenaza se puede encontrar en esta página de GitHub:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#12
Dudas y pedidos generales / Re:Reverse Shell
Último mensaje por Tux0 - Hoy a las 08:49:35 AMNo. O en la mayoría de los casos no.
Cuandp usas una VPN, tienes una IP pública que te proporciona el servidor VPN, es tu IP de salida a internet, pero no es tu IP pública para este tipo de cosas.
Es decir. pongamos que tu IP pública entes de la VPN es 82.0.0.0 (no es una IP ireal, pero es solo para el ejemplo), y después de la VPN, tu IP pública es 85.0.0.0 Bien, cuando tú quieres una shell reversa, tienes que darle tu IP pública real (la de antes de la VPN), es decir, la 82.0.0.0, porque la que te proporciona la VPN realmente no es tuya.
Esto es en la mayoría de los casos. Otra cosa es que tengas un servidor VPN en tu casa, y saliendo con tu misma IP, buscando solo privacidad y entorno local fuera de tu red, pero creo que no es el caso.
Cuandp usas una VPN, tienes una IP pública que te proporciona el servidor VPN, es tu IP de salida a internet, pero no es tu IP pública para este tipo de cosas.
Es decir. pongamos que tu IP pública entes de la VPN es 82.0.0.0 (no es una IP ireal, pero es solo para el ejemplo), y después de la VPN, tu IP pública es 85.0.0.0 Bien, cuando tú quieres una shell reversa, tienes que darle tu IP pública real (la de antes de la VPN), es decir, la 82.0.0.0, porque la que te proporciona la VPN realmente no es tuya.
Esto es en la mayoría de los casos. Otra cosa es que tengas un servidor VPN en tu casa, y saliendo con tu misma IP, buscando solo privacidad y entorno local fuera de tu red, pero creo que no es el caso.
#13
Dudas y pedidos generales / Re:Averiguar contraseña de un ...
Último mensaje por Tux0 - Hoy a las 08:41:41 AMSi hubiera un método que, sin ingeniería social como phishing, por ejemplo, te diera la password de cualquier red social, ese fallo de seguridad costaría millones de euros. Y en el momento de publicarse, no pasarían más de 2 días, y ya no funcionaría.
Espero que esto responda a tu pregunta.
Espero que esto responda a tu pregunta.
#14
Dudas y pedidos generales / Re:Empezando...
Último mensaje por Tux0 - Hoy a las 08:38:59 AMYp te recomendaría que empieces por lo que más te gusta (wifi, pentest, exploits, linux, web, etc.), ya se te irán abriendo nuevas incógnitas y temas por los que puedas seguir aprendiendo.
#15
Dudas y pedidos generales / Re:Instalar sistema diferente ...
Último mensaje por Tux0 - Hoy a las 08:36:03 AMVirtual sin duda, es mi opinión.
Y por supuesto, si estás usando VirtualBox, bajarte la imagen de virtualBox, lo mismo que si usas VMware.
Y por supuesto, si estás usando VirtualBox, bajarte la imagen de virtualBox, lo mismo que si usas VMware.
#16
Dudas y pedidos generales / Re:Plan curso undercode
Último mensaje por Josemirabal69 - Hoy a las 07:31:06 AMEsperando que salga la revista para cuando será el nuevo curso
#17
Dudas y pedidos generales / Técnicos
Último mensaje por sergiot - Hoy a las 12:14:33 AMQué técnicos de confianza tienen para reparar una Notebook con la pantalla mojada
Gracias
Gracias
#18
Dudas y pedidos generales / Re:[SOLUCIONADO] Bajar torrent
Último mensaje por Roxana - Abril 25, 2024, 11:30:33 PMMuchas gracias ppr la info
#19
Dudas y pedidos generales / Re:[SOLUCIONADO] Curso qarmy
Último mensaje por Roxana - Abril 25, 2024, 11:28:50 PMA mi tamb me interesa saber cdo es el curso. Se online? Gracias
#20
Noticias Informáticas / Se hunde el interés por el App...
Último mensaje por AXCESS - Abril 25, 2024, 10:58:15 PMNo tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
El Apple Vision Pro, *El Ordenador Espacial", denominado así por Apple y presentado en la WWDC 2023, es una propuesta tecnológica interesante y un dispositivo que reinventó los conceptos de realidad mixta y realidad aumentada. Es el gran proyecto personal de Tim Cook como CEO de Apple.
Pese a ser anunciado en junio de 2023, no salió a la venta hasta principios de febrero de este año, y que además lo hizo exclusivamente en Estados Unidos, con un plan de expansión internacional comedido.
Las críticas, tras su llegada al mercado, en general fueron positivas y, como cabía esperar, las primeras personas que salieron a la calle con un Apple Vision Pro generaron curiosidad.
Poco después, sin embargo, se empezó a recibir noticias sobre las primeras devoluciones y, si bien es cierto que al menos parte de ellas, eran puro teatro (en algunos casos el visor se había comprado con la intención de probarlo, devolverlo y, de paso, hacer un poco de ruido), también las hubo totalmente legítimas, por razones más que comprensibles y que señalan, de manera muy directa, en la dirección de los puntos pocos atractivos del Apple Vision Pro.
Desde entonces, y hasta ahora, apenas se ha escuchado volver a hablar del Ordenador Espacial, lo que ya es una señal en sí mismo. Una señal que ahora ha sido verbalizada por Mark Gurman, que afirma en su boletín semanal que el interés por Apple Vision Pro ha decaído sustancialmente, y lo ha hecho de dos modos especialmente relevantes: menos ventas y menos uso del dispositivo por parte de los usuarios que lo han comprado.
Con respecto al primer punto, citando información que le habrían proporcionado empleados de algunas Apple Store, se ha pasado de vender una media (por tienda) de dos unidades diarias a unas pocas unidades (sin cuantificar) por semana. Además, y a diferencia de lo que ocurría al principio, parece ser que cada vez hay más personas que reservan una sesión de prueba, paso previo a la compra de Apple Vision Pro, pero finalmente no acuden a la misma.
En cuanto al uso, en este punto habla por experiencia propia, afirmando que ha pasado de emplearlo una o varias veces al día, a tan solo una media de un par de veces por semana. Al abordar esta disminución en su uso, Gurman señala algo que ya hemos escuchado en anteriores ocasiones, y es que su uso no es una experiencia cómoda, y que lo que le ofrece Apple Vision Pro no compensa esa deficiencia. Y, aunque Apple Vision Pro incorpora alguna función en este sentido, también plantea que emplearlo cuando está con otras personas no le resulta cómodo, que termina por sentirse aislado de dicho entorno.
La actual es la primera generación de Apple Vision Pro, y una de las cosas que ha demostrado Apple a lo largo de su historia es que es capaz de extraer un enorme aprendizaje de las primeras generaciones de sus dispositivos para mejorar las segundas y sucesivas.
En este caso hablamos de un dispositivo con un precio de de 3.500 dólares, y que por lo tanto sus usuarios esperarían que llegara más pulido. Así, la gran duda es si llegará a haber una segunda generación.
Fuente:
MuyComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
El Apple Vision Pro, *El Ordenador Espacial", denominado así por Apple y presentado en la WWDC 2023, es una propuesta tecnológica interesante y un dispositivo que reinventó los conceptos de realidad mixta y realidad aumentada. Es el gran proyecto personal de Tim Cook como CEO de Apple.
Pese a ser anunciado en junio de 2023, no salió a la venta hasta principios de febrero de este año, y que además lo hizo exclusivamente en Estados Unidos, con un plan de expansión internacional comedido.
Las críticas, tras su llegada al mercado, en general fueron positivas y, como cabía esperar, las primeras personas que salieron a la calle con un Apple Vision Pro generaron curiosidad.
Poco después, sin embargo, se empezó a recibir noticias sobre las primeras devoluciones y, si bien es cierto que al menos parte de ellas, eran puro teatro (en algunos casos el visor se había comprado con la intención de probarlo, devolverlo y, de paso, hacer un poco de ruido), también las hubo totalmente legítimas, por razones más que comprensibles y que señalan, de manera muy directa, en la dirección de los puntos pocos atractivos del Apple Vision Pro.
Desde entonces, y hasta ahora, apenas se ha escuchado volver a hablar del Ordenador Espacial, lo que ya es una señal en sí mismo. Una señal que ahora ha sido verbalizada por Mark Gurman, que afirma en su boletín semanal que el interés por Apple Vision Pro ha decaído sustancialmente, y lo ha hecho de dos modos especialmente relevantes: menos ventas y menos uso del dispositivo por parte de los usuarios que lo han comprado.
Con respecto al primer punto, citando información que le habrían proporcionado empleados de algunas Apple Store, se ha pasado de vender una media (por tienda) de dos unidades diarias a unas pocas unidades (sin cuantificar) por semana. Además, y a diferencia de lo que ocurría al principio, parece ser que cada vez hay más personas que reservan una sesión de prueba, paso previo a la compra de Apple Vision Pro, pero finalmente no acuden a la misma.
En cuanto al uso, en este punto habla por experiencia propia, afirmando que ha pasado de emplearlo una o varias veces al día, a tan solo una media de un par de veces por semana. Al abordar esta disminución en su uso, Gurman señala algo que ya hemos escuchado en anteriores ocasiones, y es que su uso no es una experiencia cómoda, y que lo que le ofrece Apple Vision Pro no compensa esa deficiencia. Y, aunque Apple Vision Pro incorpora alguna función en este sentido, también plantea que emplearlo cuando está con otras personas no le resulta cómodo, que termina por sentirse aislado de dicho entorno.
La actual es la primera generación de Apple Vision Pro, y una de las cosas que ha demostrado Apple a lo largo de su historia es que es capaz de extraer un enorme aprendizaje de las primeras generaciones de sus dispositivos para mejorar las segundas y sucesivas.
En este caso hablamos de un dispositivo con un precio de de 3.500 dólares, y que por lo tanto sus usuarios esperarían que llegara más pulido. Así, la gran duda es si llegará a haber una segunda generación.
Fuente:
MuyComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
