El informe más reciente de Gcore Radar y sus secuelas han puesto de manifiesto un aumento drástico de los ataques DDoS en múltiples sectores. A principios de 2023, la fuerza media de los ataques alcanzaba los 800 Gbps, pero ahora, incluso un pico de hasta 1,5+ Tbps no es sorprendente. Para tratar de romper las defensas de Gcore, los perpetradores hicieron dos intentos con dos estrategias diferentes. Siga leyendo para descubrir lo que sucedió y descubra cómo el proveedor de seguridad detuvo a los atacantes en seco sin afectar la experiencia de los usuarios finales.

Un potente ataque DDoS

En noviembre de 2023, uno de los clientes de Gcore de la industria del juego fue objeto de dos ataques DDoS masivos, con un máximo de 1,1 y 1,6 Tbps respectivamente. Los atacantes desplegaron varias técnicas en un intento infructuoso de comprometer los mecanismos de protección de Gcore.

Ataque #1: DDoS basado en UDP de 1,1 Tbps

En el primer ataque cibernético, los atacantes enviaron un aluvión de tráfico UDP a un servidor objetivo, con un máximo de 1,1 Tbps. Se emplearon dos métodos:

• Mediante el uso de puertos de origen UDP aleatorios, esperaban evadir los mecanismos de filtrado convencionales.
• Los atacantes ocultaron su identidad genuina falsificando las direcciones IP de origen.

Se trataba de un ataque clásico de inundación (o volumétrico), en el que los atacantes esperaban consumir todo el ancho de banda disponible de un centro de datos o red, abrumando los servidores objetivo con tráfico y haciéndolos no disponibles para los usuarios legítimos.

El siguiente gráfico muestra el tráfico del cliente durante el ataque. El pico de 1,1 Tbps muestra un intento agresivo pero de corta duración de inundar la red con datos. La línea verde ("total.general.input") muestra todo el tráfico entrante. Las otras líneas de colores en el gráfico representan las respuestas de la red, incluidas las medidas para filtrar y descartar el tráfico malicioso, a medida que el sistema administra la avalancha de datos.


Ataque #2: DDoS basado en TCP de 1,6 Tbps


Esta vez, los atacantes intentaron explotar el protocolo TCP con una combinación de tráfico SYN flood, PSH y ACK.

En un ataque de inundación SYN, varios paquetes SYN se entregan al servidor de destino sin paquetes ACK. Esto significa que el servidor genera una conexión semiabierta para cada paquete SYN. Si tiene éxito, el servidor finalmente se quedará sin recursos y dejará de aceptar conexiones.

La fase PSH, ACK del ataque envía rápidamente datos al sistema objetivo. El indicador ACK indica que el servidor recibió el paquete anterior. Esto empuja al sistema a manejar los datos con prontitud, desperdiciando recursos. Un ataque de inundación SYN que utiliza paquetes PSH, ACK es más difícil de defender que una inundación SYN, ya que el indicador PSH hace que el servidor procese el contenido del paquete inmediatamente, consumiendo más recursos.

Al igual que antes, el objetivo era sobrecargar los servidores del cliente y hacer que sus servicios fueran inaccesibles para los usuarios autorizados. Esta inundación SYN tuvo un volumen máximo de 685,77 Mbps y el PSH, ACK tuvo una magnitud de 906,73 Mbps.

Estrategias defensivas de Gcore

La protección DDoS de Gcore neutralizó eficazmente ambos ataques al tiempo que preservó el servicio regular para los usuarios finales del cliente. El enfoque general para defenderse de las amenazas de seguridad DDoS incluye varias técnicas, como las defensas de primera línea de Gcore:

• Conformado dinámico del tráfico: Las tasas de tráfico ajustadas dinámicamente mitigan eficazmente el impacto del ataque al tiempo que garantizan la continuidad de los servicios críticos. Con el fin de priorizar el tráfico genuino y ralentizar las transmisiones dañinas, se utilizan umbrales adaptativos y restricciones de velocidad.
• Detección de anomalías y cuarentena: Los modelos basados en el aprendizaje automático analizan el comportamiento para identificar anomalías. Cuando se produce una anomalía, los mecanismos de cuarentena automatizados redirigen el tráfico erróneo a segmentos aislados para un análisis adicional.
• Filtros de expresiones regulares: Para bloquear cargas malintencionadas sin interrumpir el tráfico legítimo, se implementan reglas de filtro basadas en expresiones regulares. Su ajuste fino continuo garantiza una protección óptima sin falsos positivos.
• Inteligencia colaborativa de amenazas: Gcore participa activamente en el intercambio de inteligencia de amenazas con sus pares de la industria. Los conocimientos colectivos y las fuentes de amenazas en tiempo real guían las técnicas de seguridad de Gcore, lo que permite una respuesta rápida a los vectores de ataque en desarrollo.

Al emplear estas estrategias, Gcore pudo mitigar eficazmente el impacto de los ataques DDoS y proteger la plataforma de sus clientes de las interrupciones, anulando posibles pérdidas financieras y de reputación.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Varias vulnerabilidades de seguridad denominadas colectivamente LogoFAIL afectan a los componentes de análisis de imágenes en el código UEFI de varios proveedores. Los investigadores advierten que podrían ser explotados para secuestrar el flujo de ejecución del proceso de arranque y para entregar bootkits.

Debido a que los problemas se encuentran en las bibliotecas de análisis de imágenes, que los proveedores usan para mostrar logotipos durante la rutina de arranque, tienen un amplio impacto y se extienden a las arquitecturas x86 y ARM.

Según los investigadores de la plataforma de seguridad de la cadena de suministro de firmware Binarly, la marca ha introducido riesgos de seguridad innecesarios, lo que permite ejecutar cargas útiles maliciosas mediante la inyección de archivos de imagen en la partición del sistema EFI (ESP).

Descubrimiento e impacto de LogoFAIL
El abuso de los analizadores de imágenes para ataques a la Interfaz Unificada de Firmware Extensible (UEFI) se demostró en 2009 cuando los investigadores Rafal Wojtczuk y Alexander Tereshkin presentaron cómo se podía explotar un error del analizador de imágenes BMP para infectar el BIOS para la persistencia del malware.

El descubrimiento de las vulnerabilidades de LogoFAIL comenzó como un pequeño proyecto de investigación sobre superficies de ataque de componentes de análisis de imágenes en el contexto de código de análisis personalizado u obsoleto en el firmware UEFI.

Los investigadores descubrieron que un atacante podría almacenar una imagen o logotipo malicioso en la partición del sistema EFI (ESP) o en secciones sin firmar de una actualización de firmware.



La plantación de malware de esta manera garantiza la persistencia en el sistema que prácticamente no se detecta, como se ilustra en ataques anteriores que aprovechan los componentes UEFI infectados [1, 2].

LogoFAIL no afecta a la integridad del tiempo de ejecución porque no hay necesidad de modificar el gestor de arranque o el firmware, un método visto con la vulnerabilidad BootHole o el bootkit BlackLotus.

En un vídeo que Binarly compartió de forma privada con BleepingComputer, la ejecución del script de prueba de concepto (PoC) y el reinicio del dispositivo dieron como resultado la creación de un archivo arbitrario en el sistema.

Los investigadores destacan que, debido a que no es específico del silicio, las vulnerabilidades de LogoFAIL afectan a los proveedores y chips de múltiples fabricantes. Los problemas están presentes en los productos de muchos de los principales fabricantes de dispositivos que utilizan firmware UEFI en dispositivos de consumo y de nivel empresarial.

Binarly ya ha determinado que cientos de dispositivos de Intel, Acer, Lenovo y otros proveedores son potencialmente vulnerables, al igual que los tres principales proveedores independientes de código de firmware UEFI personalizado: AMI, Insyde y Phoenix.

Sin embargo, también vale la pena señalar que el alcance exacto del impacto de LogoFAIL aún se está determinando.

"Si bien todavía estamos en el proceso de comprender el alcance real de LogoFAIL, ya descubrimos que cientos de dispositivos de consumo y de nivel empresarial son posiblemente vulnerables a este nuevo ataque", dicen los investigadores.

Los detalles técnicos completos de LogoFAIL se presentarán el 6 de diciembre en la conferencia de seguridad Black Hat Europe en Londres.

De acuerdo con el resumen de la presentación de LogoFAIL, los investigadores revelaron sus hallazgos a múltiples proveedores de dispositivos (Intel, Acer, Lenovo) y a los tres principales proveedores de UEFI.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha comenzado a implementar su asistente Copilot AI en Windows 10 con la actualización preliminar no relacionada con la seguridad del KB5032278 de noviembre de 2023 para sistemas que ejecutan Windows 10, versión 22H2.

Hace dos semanas, la compañía presentó Copilot a Windows 10 Insiders con sistemas no administrados elegibles que ejecutan las ediciones Windows 10 22H2 Home y Pro.

El asistente de IA se presentó por primera vez en septiembre, inicialmente disponible en dispositivos Windows 11 22H2 y ahora habilitado de forma predeterminada en dispositivos Windows 11 23H2.

La versión preliminar de Copilot en Windows 10 ahora se está implementando solo en algunos mercados globales. América del Norte, partes de Asia y América del Sur son los mercados principales para esta versión preliminar, y otros adicionales se unirán gradualmente al lanzamiento más adelante.

"Si está interesado en experimentar Copilot en Windows lo antes posible, puede hacerlo yendo a Configuración > Actualización y seguridad > Windows Update. Activa "Obtener las últimas actualizaciones tan pronto como estén disponibles" y Buscar actualizaciones", dijo Microsoft.

Como Microsoft agregó el jueves, Copilot en Windows es incompatible con los sistemas Windows donde la barra de tareas se coloca verticalmente en el lado derecho o izquierdo de la pantalla.

"Para acceder a Copilot en Windows, asegúrese de que la barra de tareas esté colocada horizontalmente en la parte superior o inferior de la pantalla. Estamos trabajando en una resolución y proporcionaremos una actualización en una próxima versión", dijo Redmond.

Es importante tener en cuenta que las actualizaciones mensuales "C" como KB5032278 son opcionales y, a diferencia de las actualizaciones de seguridad de Patch Tuesday, no vienen con correcciones para fallas de seguridad.

Aquellos que quieran instalar la versión preliminar de actualización acumulativa de este mes pueden ir a Configuración > Windows Update y hacer clic en 'Descargar e instalar' después de buscar actualizaciones.

También puede descargar la actualización desde el catálogo de Microsoft Update para instalarla manualmente.


Otros aspectos destacados de la actualización de la versión preliminar de noviembre

La versión acumulativa opcional de Windows 10 KB5032278 también viene con mejoras y 18 correcciones de errores, algunas de las más significativas que se destacan a continuación:

• Si usas dispositivos Home o Pro-consumer o dispositivos empresariales no administrados, puedes obtener algunas de las experiencias más recientes tan pronto como estén listas. Para hacerlo, vaya a Configuración > Actualización y seguridad > Windows Update. Activa la opción Obtener las últimas actualizaciones tan pronto como estén disponibles.
• Esta actualización agrega una nueva funcionalidad que afecta a los valores predeterminados de la aplicación.
• Esta actualización agrega notificaciones de suscripción de Windows Update a la pantalla al iniciar sesión.
• Esta actualización soluciona un problema que hace que el modo IE deje de responder. Esto ocurre cuando tiene varias pestañas del modo IE abiertas.
• Esta actualización soluciona un problema que afecta al cursor. Su movimiento se retrasa en algunos escenarios de captura de pantalla.
• Esta actualización soluciona un problema que afecta al teclado táctil. Es posible que no aparezca durante la configuración rápida (OOBE).

Puede encontrar la lista completa de correcciones y mejoras incluidas con esta actualización preliminar en el boletín de soporte técnico de KB5026436 publicado por Microsoft el día de hoy.

Redmond también dijo el jueves que se omitirá la actualización de vista previa de diciembre de 2023, y que la compañía reanudará el ciclo de lanzamiento habitual en enero.

"Debido a la reducción de las operaciones durante las vacaciones occidentales y el próximo año nuevo, no habrá una versión preliminar que no sea de seguridad para el mes de diciembre de 2023", dijo Microsoft.

"Habrá un lanzamiento de seguridad mensual para diciembre de 2023. El servicio mensual normal para las versiones preliminares de seguridad y no de seguridad se reanudará en enero de 2024".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha descubierto un nuevo malware para Android llamado FjordPhantom que utiliza la virtualización para ejecutar código malicioso en un contenedor y evadir la detección.

El malware fue descubierto por Promon, cuyos analistas informan que actualmente se propaga a través de correos electrónicos, SMS y aplicaciones de mensajería dirigidas a aplicaciones bancarias en Indonesia, Tailandia, Vietnam, Singapur y Malasia.

Se engaña a las víctimas para que descarguen lo que parecen ser aplicaciones bancarias legítimas, pero que contienen código malicioso que se ejecuta en un entorno virtual para atacar la aplicación bancaria real.

FjordPhantom tiene como objetivo robar credenciales de cuentas bancarias en línea y manipular transacciones mediante la realización de fraudes en el dispositivo.

El informe de Promon destaca un caso en el que FjordPhantom robó 280.000 dólares de una sola víctima, lo que fue posible gracias a la combinación de la naturaleza evasiva del malware con la ingeniería social, como las llamadas supuestamente de los agentes de servicio al cliente de los bancos.

Virtualización como evasión en Android

En Android, varias aplicaciones pueden ejecutarse en entornos aislados conocidos como "contenedores" por razones legítimas, como ejecutar varias instancias de la misma aplicación con diferentes cuentas.

FjordPhantom incorpora una solución de virtualización de proyectos de código abierto para crear un contenedor virtual en el dispositivo sin que el usuario lo sepa.

Al iniciarse, el malware instala el APK de la aplicación bancaria que el usuario pretendía descargar y ejecuta código malicioso dentro del mismo contenedor, convirtiéndolo en parte del proceso de confianza.

Con la aplicación bancaria ejecutándose dentro de su contenedor virtual, FjordPhantom puede inyectar su código para enganchar API clave que le permiten capturar credenciales, manipular transacciones, interceptar información confidencial, etc.

En algunas aplicaciones, el marco de enganche del malware también manipula los elementos de la interfaz de usuario para cerrar automáticamente los cuadros de diálogo de advertencia y mantener a la víctima inconsciente del compromiso.


Promon señala que este truco de virtualización rompe el concepto de seguridad 'Android Sandbox', que evita que las aplicaciones accedan a los datos de las demás o interfieran con sus operaciones, ya que las aplicaciones dentro de un contenedor comparten la misma caja de arena.

Este es un ataque particularmente astuto porque la aplicación bancaria en sí no se modifica, por lo que la detección de manipulación de código no ayuda a detectar la amenaza.

Además, al enganchar las API relacionadas con GooglePlayServices, para que parezcan no estar disponibles en el dispositivo, FjordPhantom dificulta las comprobaciones de seguridad relacionadas con la raíz.

Los ganchos del malware incluso se extienden al registro, lo que puede proporcionar consejos a los desarrolladores sobre cómo realizar ataques más específicos en diferentes aplicaciones.

Promon comenta que esta es una señal de desarrollo activo, elevando el riesgo de que FjordPhantom amplíe su alcance de orientación más allá de los países mencionados en futuras versiones.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Zyxel ha abordado múltiples problemas de seguridad, incluidos tres críticos que podrían permitir que un atacante no autenticado ejecute comandos del sistema operativo en dispositivos vulnerables de almacenamiento conectado a la red (NAS).

Los sistemas NAS de Zyxel se utilizan para almacenar datos en una ubicación centralizada en la red. Están diseñados para grandes volúmenes de datos y ofrecen funciones como copia de seguridad de datos, transmisión de medios u opciones de uso compartido personalizadas.

Los usuarios típicos de Zyxel NAS incluyen pequeñas y medianas empresas que buscan una solución que combine funciones de gestión de datos, trabajo remoto y colaboración, así como profesionales de TI que configuran sistemas de redundancia de datos, o videógrafos y artistas digitales que trabajan con archivos grandes.

En un boletín de seguridad publicado hoy, el proveedor advierte de los siguientes fallos que afectan a los dispositivos NAS326 que ejecutan la versión 5.21(AAZF.14)C0 y anteriores, y a los NAS542 con la versión 5.21(ABAG.11)C0 y anteriores.

• CVE-2023-35137: Vulnerabilidad de autenticación incorrecta en el módulo de autenticación de los dispositivos Zyxel NAS, que permite a los atacantes no autenticados obtener información del sistema a través de una URL diseñada. (puntuación de gravedad alta de 7,5)
• CVE-2023-35138: Fallo de inyección de comandos en la función "show_zysync_server_contents" en los dispositivos NAS Zyxel, lo que permite a los atacantes no autenticados ejecutar comandos del sistema operativo a través de una solicitud HTTP POST elaborada. (puntuación de gravedad crítica de 9,8)
• CVE-2023-37927: Vulnerabilidad en el programa CGI de los dispositivos Zyxel NAS, que permite a los atacantes autenticados ejecutar comandos del sistema operativo con una URL diseñada. (puntuación de gravedad alta de 8,8)
• CVE-2023-37928: Inyección de comandos posterior a la autenticación en el servidor WSGI de los dispositivos NAS Zyxel, lo que permite a los atacantes autenticados ejecutar comandos del sistema operativo a través de una URL diseñada. (puntuación de gravedad alta de 8,8)
• CVE-2023-4473: Fallo de inyección de comandos en el servidor web de los dispositivos NAS Zyxel, que permite a los atacantes no autenticados ejecutar comandos del sistema operativo a través de una URL diseñada. (puntuación de gravedad crítica de 9,8)
• CVE-2023-4474: Vulnerabilidad en el servidor WSGI de los dispositivos NAS Zyxel, que permite a los atacantes no autenticados ejecutar comandos del sistema operativo con una URL diseñada. (puntuación de gravedad crítica de 9,8)

Los actores de amenazas podrían explotar las vulnerabilidades anteriores para obtener acceso no autorizado, ejecutar algunos comandos del sistema operativo, obtener información confidencial del sistema o tomar el control completo de los dispositivos NAS Zyxel afectados.

Para hacer frente a estos riesgos, se recomienda a los usuarios de NAS326 que actualicen a la versión V5.21(AAZF.15)C0 o posterior. Los usuarios de NAS542 deben actualizar su firmware a V5.21(ABAG.12)C0 o posterior, lo que corrige los defectos anteriores.

El proveedor no ha proporcionado ningún consejo de mitigación ni soluciones alternativas, siendo una actualización de firmware la acción recomendada.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha observado una campaña de ransomware CACTUS que explota fallas de seguridad recientemente reveladas en una plataforma de análisis e inteligencia empresarial en la nube llamada Qlik Sense para obtener un punto de apoyo en entornos específicos.

"Esta campaña marca el primer caso documentado [...] donde los actores de amenazas que implementan el ransomware CACTUS han explotado vulnerabilidades en Qlik Sense para el acceso inicial", dijeron los investigadores de Arctic Wolf Stefan Hostetler, Markus Neis y Kyle Pagelow.

La compañía de ciberseguridad, que dijo que está respondiendo a "varios casos" de explotación del software, señaló que es probable que los ataques se aprovechen de tres fallas que se han revelado en los últimos tres meses:

• CVE-2023-41265 (puntuación CVSS: 9,9): una vulnerabilidad de tunelización de solicitudes HTTP que permite a un atacante remoto elevar sus privilegios y enviar solicitudes que son ejecutadas por el servidor backend que aloja la aplicación de repositorio.
• CVE-2023-41266 (puntuación CVSS: 6,5): una vulnerabilidad de recorrido de ruta que permite a un atacante remoto no autenticado transmitir solicitudes HTTP a puntos de conexión no autorizados.
• CVE-2023-48365 (puntuación CVSS: 9,9): una vulnerabilidad de ejecución remota de código no autenticada que surge debido a una validación incorrecta de encabezados HTTP, lo que permite a un atacante remoto elevar sus privilegios mediante la tunelización de solicitudes HTTP.

Vale la pena señalar que CVE-2023-48365 es el resultado de un parche incompleto para CVE-2023-41265, que junto con CVE-2023-41266, fue revelado por Praetorian a fines de agosto de 2023. El 2023 de noviembre de 48365 se envió una corrección para CVE-20-2023.

En los ataques observados por Arctic Wolf, una explotación exitosa de las fallas es seguida por el abuso del servicio Qlik Sense Scheduler para generar procesos que están diseñados para descargar herramientas adicionales con el objetivo de establecer la persistencia y configurar el control remoto.

Esto incluye ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk y Plink. También se ha observado que los actores de amenazas desinstalan el software de Sophos, cambian la contraseña de la cuenta de administrador y crean un túnel RDP a través de Plink.

Las cadenas de ataque culminan con el despliegue del ransomware CACTUS, y los atacantes también utilizan rclone para la exfiltración de datos.

El panorama del ransomware en constante evolución

La revelación se produce a medida que el panorama de amenazas de ransomware se ha vuelto más sofisticado y la economía clandestina ha evolucionado para facilitar los ataques a escala a través de una red de corredores de acceso inicial y propietarios de botnets que revenden el acceso a los sistemas de las víctimas a varios actores afiliados.

Según los datos recopilados por la empresa de ciberseguridad industrial Dragos, el número de ataques de ransomware que afectan a las organizaciones industriales disminuyó de 253 en el segundo trimestre de 2023 a 231 en el tercer trimestre. Por el contrario, solo en el mes de octubre de 318 se registraron 2023 ataques de ransomware en todos los sectores.

A pesar de los esfuerzos continuos de los gobiernos de todo el mundo para hacer frente al ransomware, el modelo de negocio del ransomware como servicio (RaaS) ha seguido siendo una vía duradera y lucrativa para extorsionar a los objetivos.

Se estima que Black Basta, un prolífico grupo de ransomware que entró en escena en abril de 2022, ha obtenido ganancias ilegales por una suma de al menos USD 107 millones en pagos de rescate de Bitcoin de más de 90 víctimas, según una nueva investigación conjunta publicada por Elliptic y Corvus Insurance.

La mayoría de estos ingresos se blanquearon a través de Garantex, un exchange de criptomonedas ruso que fue sancionado por el gobierno de Estados Unidos en abril de 2022 por facilitar las transacciones con el mercado de la darknet de Hydra.

Además, el análisis descubrió pruebas que vinculaban a Black Basta con el ahora desaparecido grupo ruso de ciberdelincuencia Conti, que dejó de funcionar casi al mismo tiempo que surgió el primero, así como con QakBot, que se utilizó para desplegar el ransomware.

"Aproximadamente el 10% del monto del rescate se envió a Qakbot, en los casos en que estuvieron involucrados en proporcionar acceso a la víctima", señaló Elliptic, y agregó que "rastreó Bitcoin por valor de varios millones de dólares desde billeteras vinculadas a Conti hasta las asociadas con el operador Black Basta".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Google ha revelado un nuevo vectorizador de texto multilingüe llamado RETVec (abreviatura de Resilient and Efficient Text Vectorizer) para ayudar a detectar contenido potencialmente dañino como spam y correos electrónicos maliciosos en Gmail.

"RETVec está entrenado para ser resistente a las manipulaciones a nivel de caracteres, incluida la inserción, la eliminación, los errores tipográficos, los homoglifos, la sustitución de LEET y más", según la descripción del proyecto en GitHub.

"El modelo RETVec se entrena sobre un novedoso codificador de caracteres que puede codificar todos los caracteres y palabras UTF-8 de manera eficiente".

Si bien grandes plataformas como Gmail y YouTube se basan en modelos de clasificación de texto para detectar ataques de phishing, comentarios inapropiados y estafas, se sabe que los actores de amenazas diseñan contraestrategias para eludir estas medidas de defensa.

Se ha observado que recurren a manipulaciones de texto adversariales, que van desde el uso de homoglifos hasta el relleno de palabras clave y caracteres invisibles.

RETVec, que funciona en más de 100 idiomas listos para usar, tiene como objetivo ayudar a crear clasificadores de texto más resistentes y eficientes en el lado del servidor y en el dispositivo, al mismo tiempo que son más robustos y eficientes.

La vectorización es una metodología en el procesamiento del lenguaje natural (PLN) para asignar palabras o frases del vocabulario a una representación numérica correspondiente con el fin de realizar análisis adicionales, como el análisis de sentimientos, la clasificación de texto y el reconocimiento de entidades con nombre.


"Debido a su novedosa arquitectura, RETVec funciona de forma inmediata en todos los idiomas y en todos los caracteres UTF-8 sin necesidad de preprocesamiento de texto, lo que lo convierte en el candidato ideal para implementaciones de clasificación de texto en dispositivos, web y a gran escala", señalaron Elie Bursztein y Marina Zhang de Google.

El gigante tecnológico dijo que la integración del vectorizador a Gmail mejoró la tasa de detección de spam sobre la línea de base en un 38% y redujo la tasa de falsos positivos en un 19,4%. También redujo el uso de la Unidad de Procesamiento de Tensores (TPU) del modelo en un 83%.

"Los modelos entrenados con RETVec exhiben una velocidad de inferencia más rápida debido a su representación compacta. Tener modelos más pequeños reduce los costos computacionales y disminuye la latencia, lo cual es fundamental para las aplicaciones a gran escala y los modelos en el dispositivo", agregaron Bursztein y Zhang.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha observado que una variante de una cepa de ransomware conocida como DJVU se distribuye en forma de software crackeado.

"Si bien este patrón de ataque no es nuevo, se han observado incidentes que involucran una variante de DJVU que agrega la extensión .xaro a los archivos afectados y exige un rescate por un descifrador que infecta los sistemas junto con una gran cantidad de cargadores de productos básicos y ladrones de información", dijo el investigador de seguridad de Cybereason, Ralph Villanueva.

La nueva variante ha sido bautizada como Xaro por la firma estadounidense de ciberseguridad.

DJVU, en sí mismo una variante del ransomware STOP, suele aparecer en escena haciéndose pasar por servicios o aplicaciones legítimos. También se entrega como una carga útil de SmokeLoader.

Un aspecto importante de los ataques DJVU es el despliegue de malware adicional, como ladrones de información (por ejemplo, RedLine Stealer y Vidar), lo que los hace más dañinos por naturaleza.

En la última cadena de ataque documentada por Cybereason, Xaro se propaga como un archivo comprimido de una fuente dudosa que se hace pasar por un sitio que ofrece software gratuito legítimo.

Abrir el archivo comprimido conduce a la ejecución de un supuesto binario de instalación para un software de escritura de PDF llamado CutePDF que, en realidad, es un servicio de descarga de malware de pago por instalación conocido como PrivateLoader.

PrivateLoader, por su parte, establece contacto con un servidor de comando y control (C2) para obtener una amplia gama de familias de malware de robo y cargador como RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig y Fabookie, además de eliminar Xaro.

"Este enfoque de escopeta para la descarga y ejecución de malware básico se observa comúnmente en las infecciones de PrivateLoader que se originan en sitios sospechosos de software gratuito o crackeado", explicó Villanueva.

El objetivo parece ser recopilar y exfiltrar información confidencial para una doble extorsión, así como garantizar el éxito del ataque, incluso si una de las cargas útiles es bloqueada por el software de seguridad.

Xaro, además de generar una instancia del ladrón de información Vidar, es capaz de cifrar archivos en el host infectado, antes de dejar caer una nota de rescate, instando a la víctima a ponerse en contacto con el actor de amenazas para pagar $ 980 por la clave privada y la herramienta de descifrado, un precio que se reduce en un 50% a $ 490 si se aborda dentro de las 72 horas.

En todo caso, la actividad ilustra los riesgos que conlleva la descarga de software gratuito de fuentes no confiables. El mes pasado, Sucuri detalló otra campaña llamada FakeUpdateRU en la que los visitantes de sitios web comprometidos reciben avisos falsos de actualización del navegador para entregar RedLine Stealer.

"Se sabe que los actores de amenazas favorecen el software gratuito disfrazado como una forma de implementar código malicioso de forma encubierta", dijo Villanueva. "La velocidad y la amplitud del impacto en las máquinas infectadas deben ser comprendidas cuidadosamente por las redes empresariales que buscan defenderse a sí mismas y a sus datos".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La falla de seguridad crítica recientemente revelada que afecta a Apache ActiveMQ está siendo explotada activamente por los actores de amenazas para distribuir una nueva botnet basada en Go llamada GoTitan, así como un programa .NET conocido como PrCtrl Rat que es capaz de apoderarse de forma remota de los hosts infectados.

Los ataques implican la explotación de un error de ejecución remota de código (CVE-2023-46604, puntuación CVSS: 10.0) que ha sido utilizado como arma por varios equipos de piratas informáticos, incluido Lazarus Group, en las últimas semanas.

Después de una violación exitosa, se ha observado que los actores de amenazas sueltan cargas útiles de la siguiente etapa desde un servidor remoto, uno de los cuales es GoTitan, una botnet diseñada para orquestar ataques de denegación de servicio distribuido (DDoS) a través de protocolos como HTTP, UDP, TCP y TLS.

"El atacante solo proporciona binarios para arquitecturas x64, y el malware realiza algunas comprobaciones antes de ejecutarse", dijo la investigadora de Fortinet Fortiguard Labs, Cara Lin, en un análisis del martes.

"También crea un archivo llamado 'c.log' que registra el tiempo de ejecución y el estado del programa. Este archivo parece ser un registro de depuración para el desarrollador, lo que sugiere que GoTitan todavía se encuentra en una etapa temprana de desarrollo".


Fortinet dijo que también observó casos en los que los servidores Apache ActiveMQ susceptibles están siendo atacados para implementar otra botnet DDoS llamada Ddostf, malware Kinsing para cryptojacking y un marco de comando y control (C2) llamado Sliver.

Otro malware notable entregado es un troyano de acceso remoto denominado PrCtrl Rat que establece contacto con un servidor C2 para recibir comandos adicionales para su ejecución en el sistema, recolectar archivos y descargar y cargar archivos desde y hacia el servidor.

"Al momento de escribir este artículo, aún no hemos recibido ningún mensaje del servidor, y el motivo detrás de la difusión de esta herramienta sigue sin estar claro", dijo Lin. "Sin embargo, una vez que se infiltra en el entorno de un usuario, el servidor remoto obtiene el control del sistema".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de Eurecom han desarrollado seis nuevos ataques denominados colectivamente 'BLUFFS' que pueden romper el secreto de las sesiones de Bluetooth, lo que permite la suplantación de dispositivos y los ataques de intermediario (MitM).

Daniele Antonioli, quien descubrió los ataques, explica que BLUFFS explota dos fallas previamente desconocidas en el estándar Bluetooth relacionadas con la forma en que se derivan las claves de sesión para descifrar los datos a cambio.

Estas fallas no son específicas de las configuraciones de hardware o software, sino que son arquitectónicas, lo que significa que afectan a Bluetooth en un nivel fundamental.

Los problemas se rastrean con el identificador CVE-2023-24023 y afectan a las especificaciones principales de Bluetooth 4.2 a 5.4.

Teniendo en cuenta el uso generalizado del estándar de comunicación inalámbrica bien establecido y las versiones afectadas por los exploits, BLUFFS podría funcionar contra miles de millones de dispositivos, incluidas computadoras portátiles, teléfonos inteligentes y otros dispositivos móviles.

Cómo funciona BLUFFS

BLUFFS es una serie de exploits dirigidos a Bluetooth, con el objetivo de romper el secreto de las sesiones de Bluetooth hacia adelante y hacia el futuro, comprometiendo la confidencialidad de las comunicaciones pasadas y futuras entre dispositivos.

Esto se logra explotando cuatro fallas en el proceso de derivación de claves de sesión, dos de las cuales son nuevas, para forzar la derivación de una clave de sesión (SKC) corta, débil y predecible.

A continuación, el atacante fuerza bruta la clave, lo que le permite descifrar las comunicaciones pasadas y descifrar o manipular las comunicaciones futuras.


La ejecución del ataque presupone que el atacante está dentro del alcance de Bluetooth de los dos objetivos que intercambian datos y se hace pasar por uno para negociar una clave de sesión débil con el otro, proponiendo el valor de entropía de clave más bajo posible y utilizando un diversificador de clave de sesión constante.


El artículo publicado presenta seis tipos de ataques BLUFFS, que cubren varias combinaciones de ataques de suplantación de identidad y MitM, que funcionan independientemente de si las víctimas admiten conexiones seguras (SC) o conexiones seguras heredadas (LSC).

Los investigadores desarrollaron y compartieron un conjunto de herramientas en GitHub que demuestra la efectividad de BLUFFS. Incluye un script de Python para probar los ataques, los parches de ARM, el analizador y las muestras PCAP capturadas durante sus pruebas.

Impacto y remediación

BLUFFS afecta a Bluetooth 4.2, lanzado en diciembre de 2014, y a todas las versiones hasta la última, Bluetooth 5.4, lanzada en febrero de 2023.

El documento de Eurecom presenta los resultados de las pruebas de BLUFFS contra varios dispositivos, incluidos teléfonos inteligentes, auriculares y computadoras portátiles, que ejecutan las versiones 4.1 a 5.2 de Bluetooth. Se confirmó que todos ellos eran susceptibles a al menos tres de los seis ataques de BLUFFS.


El documento también propone las siguientes modificaciones compatibles con versiones anteriores que mejorarían la derivación de claves de sesión y mitigarían BLUFFS y amenazas similares:

• Introducir una nueva "función de derivación de claves" (KDF) para conexiones seguras heredadas (LSC) que implique el intercambio y la verificación mutuos de nonce, lo que agrega una sobrecarga mínima.
• Los dispositivos deben utilizar una clave de emparejamiento compartida para la autenticación mutua de los diversificadores de claves, lo que garantiza la legitimidad de los participantes de la sesión.
• Aplique el modo Conexiones seguras (SC) siempre que sea posible.
• Mantenga una caché de diversificadores de claves de sesión para evitar su reutilización.

Bluetooth SIG (Grupo de Interés Especial), la organización sin fines de lucro que supervisa el desarrollo del estándar Bluetooth y es responsable de licenciar la tecnología, ha recibido el informe de Eurecom y ha publicado una declaración en su sitio.

La organización sugiere que las implementaciones rechacen las conexiones con una intensidad de clave baja por debajo de siete octetos, utilicen el "Modo de seguridad 4 Nivel 4", que garantiza un nivel de seguridad de cifrado más alto, y operen en modo "Solo conexiones seguras" cuando se emparejen.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Agencia de Exploración Aeroespacial de Japón (JAXA, por sus siglas en inglés) fue hackeada en un ciberataque durante el verano, lo que puede haber puesto en riesgo tecnología y datos sensibles relacionados con el espacio.

La brecha de seguridad fue descubierta este otoño cuando las autoridades policiales alertaron a la agencia espacial de Japón de que sus sistemas estaban comprometidos, como informó por primera vez The Yomiuri Shimbun.

Al confirmar la infiltración, el secretario jefe del gabinete de Japón, Hirokazu Matsuno, reveló en una conferencia de prensa que los atacantes obtuvieron acceso al servidor Active Directory (AD) de la agencia, un componente crucial que supervisa las operaciones de red de JAXA.

Es probable que este servidor contenga información crítica, como las credenciales de los empleados, lo que aumenta significativamente el impacto potencial de la infracción.

En respuesta al incidente, JAXA ahora está trabajando con expertos en ciberseguridad del gobierno y las fuerzas del orden como parte de una investigación en curso para determinar el alcance del compromiso de seguridad.

Aunque no se ha confirmado ninguna filtración de datos relacionada con la violación de JAXA, un funcionario de JAXA expresó su preocupación, afirmando: "Mientras el servidor AD fue hackeado, era muy probable que la mayor parte de la información fuera visible. Esta es una situación muy grave".

Atacado por piratas informáticos estatales chinos en 2016 y 2017

Si bien el ataque cibernético aún no se ha atribuido, se alinea con un esfuerzo concertado de ciberespionaje para recopilar y robar información confidencial almacenada en los servidores de la agencia.

Establecida en 2003, JAXA es la institución nacional de investigación y desarrollo aeroespacial de Japón. En 2012, su mandato se amplió para abarcar el desarrollo espacial militar, incluido el desarrollo de sistemas de alerta temprana de misiles basados en el espacio.

Este incidente no es el primer roce de la agencia con brechas de seguridad, ya que también fue atacada en 2016 y 2017, cuando casi 200 instituciones y empresas de investigación japonesas relacionadas con la defensa fueron objeto de un ataque cibernético generalizado.

El Departamento de Policía Metropolitana de Japón atribuyó los ataques a un grupo de hackers militares chinos identificados como Tick, también conocido por los alias BRONZE BUTLER y STALKER PANDA, en abril de 2021.

En septiembre de 2023, las fuerzas del orden y las agencias de ciberseguridad de EE. UU. y Japón advirtieron en un aviso conjunto que los piratas informáticos BlackTech respaldados por el estado chino estaban colocando puertas traseras en los dispositivos de red corporativa.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

General Electric está investigando las afirmaciones de que un actor de amenazas violó el entorno de desarrollo de la compañía en un ataque cibernético y filtró datos supuestamente robados.

General Electric (GE) es una empresa multinacional estadounidense con divisiones en las industrias de energía, energía renovable y aeroespacial.

A principios de este mes, un actor de amenazas llamado IntelBroker intentó vender el acceso a los "pipelines de desarrollo y software" de General Electric por 500 dólares en un foro de piratería.

Después de no vender dicho supuesto acceso, el actor de amenazas volvió a publicar que ahora están vendiendo tanto el acceso a la red como los datos supuestamente robados.

"Anteriormente enumeré el acceso a General Electrics, sin embargo, ningún comprador serio me ha respondido o hecho un seguimiento. Ahora estoy vendiendo todo aquí por separado, incluido el acceso (SSH, SVN, etc.)", publicó el actor de amenazas en un foro de piratería.

"Los datos incluyen una gran cantidad de información militar relacionada con DARPA, archivos, archivos SQL, documentos, etc."


Como prueba de la infracción, el actor de amenazas compartió capturas de pantalla de lo que afirman que son datos robados de GE, incluida una base de datos de GE Aviations que parece contener información sobre proyectos militares.

En una declaración a BleepingComputer, GE confirmó que están al tanto de las afirmaciones del hacker y están investigando la supuesta filtración de datos.

"Estamos al tanto de las afirmaciones hechas por un mal actor con respecto a los datos de GE y estamos investigando estas afirmaciones. Tomaremos las medidas apropiadas para ayudar a proteger la integridad de nuestros sistemas", dijo un portavoz de GE a BleepingComputer.

Si bien la violación no se ha confirmado, IntelBroker es un pirata informático conocido por ciberataques exitosos y de alto perfil en el pasado.

Esto incluye una violación del servicio de comestibles Weee! y el robo de información personal confidencial del programa D.C. Health Link del Distrito de Columbia.

DC Health Link es un mercado de atención médica para Washington, D.C., utilizado por muchos empleados de la Casa Blanca y de la Casa y sus familias.

En marzo, IntelBroker violó DC Health Link y afirmó haber vendido una base de datos robada que contenía la información personal de miles de personas.

Esta violación dio lugar a una amplia cobertura mediática y a una audiencia en el Congreso para obtener más información e investigar cómo se produjo la infracción.

Durante la audiencia, Mila Kofman, directora ejecutiva de la Autoridad de Intercambio de Beneficios de Salud del Distrito de Columbia, explicó que los datos se expusieron a través de un servidor que estaba mal configurado para que fuera accesible en línea.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los usuarios de Google Drive informan que los archivos recientes almacenados en la nube han desaparecido repentinamente, y el servicio en la nube ha vuelto a ser una instantánea de almacenamiento como era entre abril y mayo de 2023.

Google Drive es un servicio de almacenamiento basado en la nube que permite a las personas almacenar y acceder a archivos desde cualquier dispositivo conectado a Internet a través de su cuenta de Google. Es un servicio muy utilizado por particulares y empresas (como parte de Google Workspace).

Un problema de tendencia reportado en los foros de soporte de Google a partir de la semana pasada describe una situación en la que las personas dicen que perdieron datos recientes y cambios en la estructura de carpetas.

"Aquí hay un problema grave que debe escalar urgentemente. Tenemos un ticket de soporte abierto, esto no ha sido útil hasta la fecha", dijo un usuario de Google Drive en el hilo de soporte.

"Pago extra cada mes para almacenar carpetas en la nube para que esté seguro, por lo que es devastador que todo mi trabajo parezca haberse perdido", publicó otro usuario de Google Drive.

Los registros de actividad de las cuentas afectadas no muestran ningún cambio reciente, lo que confirma que los propios usuarios no las eliminaron accidentalmente.

En general, no hay indicios de un error del usuario, sino más bien de un problema con el sistema del servicio que impidió la sincronización de datos entre los dispositivos locales y Google Cloud en algún momento.

Algunos usuarios tienen cachés sin conexión que pueden contener los datos que faltan, pero no existe ningún método conocido para restaurar el acceso a los datos que contienen.

Los agentes de soporte voluntarios de Google han publicado una supuesta respuesta de los ingenieros de soporte de Google que confirma que ya están investigando el problema. Sin embargo, aún no se ha proporcionado una estimación para una solución.


La recomendación para los afectados es evitar realizar cambios en la carpeta raíz/datos hasta que la situación se aclare y se determine la causa raíz del problema.

Es comprensible que muchos usuarios se sientan frustrados por la pérdida de datos críticos que confiaron al servicio basado en la nube y, en muchos casos, pagaron por el alojamiento de sus archivos.

Un aspecto notable de la situación es que los foros de soporte de Google están respaldados por voluntarios con una visión o comprensión limitada del servicio en la nube, por lo que la falta de asistencia efectiva en problemas críticos como este lo empeora aún más.

BleepingComputer se ha puesto en contacto con Google para obtener una actualización sobre el estado de la investigación interna y si los archivos perdidos son recuperables o se pierden irreversiblemente, pero no hemos recibido una respuesta en el momento de la publicación.

En esta situación, los usuarios de Google Drive deben abstenerse de cambiar su almacenamiento en la nube, ya que podría complicar el proceso de recuperación. En su lugar, lo mejor que puedes hacer es ponerte en contacto con el servicio de asistencia de Google, abrir un nuevo caso y estar atento a las actualizaciones oficiales.

Hasta que se resuelva el problema, sería más prudente hacer una copia de seguridad de los archivos importantes localmente o utilizar un servicio en la nube diferente.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha observado que los actores de amenazas norcoreanos detrás de las cepas de malware de macOS, como RustBucket y KANDYKORN, "mezclan y combinan" diferentes elementos de las dos cadenas de ataque dispares, aprovechando los cuentagotas de RustBucket para entregar KANDYKORN.

Los hallazgos provienen de la firma de ciberseguridad SentinelOne, que también vinculó un tercer malware específico de macOS llamado ObjCShellz a la campaña RustBucket.

RustBucket se refiere a un grupo de actividad vinculado al Grupo Lazarus en el que una versión de puerta trasera de una aplicación de lectura de PDF, denominada SwiftLoader, se utiliza como conducto para cargar un malware de la siguiente etapa escrito en Rust al ver un documento de señuelo especialmente diseñado.

La campaña KANDYKORN, por otro lado, se refiere a una operación cibernética maliciosa en la que los ingenieros de blockchain de una plataforma de intercambio de criptomonedas sin nombre fueron atacados a través de Discord para iniciar una sofisticada secuencia de ataque de varias etapas que condujo al despliegue del troyano de acceso remoto residente de memoria con todas las funciones del mismo nombre.

La tercera pieza del rompecabezas de ataque es ObjCShellz, que Jamf Threat Labs reveló a principios de este mes como una carga útil de etapa posterior que actúa como un shell remoto que ejecuta comandos de shell enviados desde el servidor atacante.


Un análisis más detallado de estas campañas por parte de SentinelOne ha demostrado que el Grupo Lazarus está utilizando SwiftLoader para distribuir KANDYKORN, lo que corrobora un informe reciente de Mandiant, propiedad de Google, sobre cómo diferentes grupos de hackers de Corea del Norte están tomando prestadas cada vez más las tácticas y herramientas de los demás.

"El panorama cibernético de la RPDC ha evolucionado hasta convertirse en una organización optimizada con herramientas compartidas y esfuerzos de focalización", señaló Mandiant. "Este enfoque flexible de la asignación de tareas dificulta que los defensores rastreen, atribuyan y frustren actividades maliciosas, al tiempo que permite que este adversario ahora colaborativo se mueva sigilosamente con mayor velocidad y adaptabilidad".

Esto incluye el uso de nuevas variantes del stager SwiftLoader que pretende ser un ejecutable llamado EdoneViewer pero, en realidad, se pone en contacto con un dominio controlado por un actor para recuperar la RAT KANDYKORN en función de las superposiciones en la infraestructura y las tácticas empleadas.

La revelación se produce cuando el Centro de Respuesta a Emergencias de Seguridad (ASEC) de AhnLab implicó a Andariel, un subgrupo dentro de Lazarus, a ataques cibernéticos que explotan una falla de seguridad en Apache ActiveMQ (CVE-2023-46604, puntuación CVSS: 10.0) para instalar puertas traseras NukeSped y TigerRAT.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de ciberseguridad han descubierto un caso de "autenticación forzada" que podría explotarse para filtrar los tokens NT LAN Manager (NTLM) de un usuario de Windows engañando a una víctima para que abra un archivo de Microsoft Access especialmente diseñado.

El ataque aprovecha una característica legítima de la solución del sistema de administración de bases de datos que permite a los usuarios vincularse a orígenes de datos externos, como una tabla remota de SQL Server.

"Los atacantes pueden abusar de esta característica para filtrar automáticamente los tokens NTLM del usuario de Windows a cualquier servidor controlado por el atacante, a través de cualquier puerto TCP, como el puerto 80", dijo el investigador de seguridad de Check Point, Haifei Li. "El ataque puede lanzarse siempre que la víctima abra un archivo .accdb o .mdb. De hecho, cualquier tipo de archivo de Office más común (como un .rtf) también puede funcionar".

NTLM, un protocolo de autenticación introducido por Microsoft en 1993, es un protocolo de desafío-respuesta que se usa para autenticar a los usuarios durante el inicio de sesión. A lo largo de los años, se ha descubierto que es vulnerable a los ataques de fuerza bruta, pass-the-hash y relay.

El último ataque, en pocas palabras, abusa de la característica de tabla vinculada en Access para filtrar los hashes NTLM a un servidor controlado por actores incrustando un archivo .accdb con un vínculo de base de datos SQL Server remoto dentro de un documento de MS Word utilizando un mecanismo llamado Object Linking and Embedding (OLE).


"Un atacante puede configurar un servidor que controle, escuchando en el puerto 80, y poner su dirección IP en el campo anterior de 'alias de servidor'", explicó Li. "Luego pueden enviar el archivo de la base de datos, incluida la tabla vinculada, a la víctima".

Si la víctima abre el archivo y hace clic en la tabla vinculada, el cliente víctima se pone en contacto con el servidor controlado por el atacante para la autenticación, lo que permite a este último llevar a cabo un ataque de retransmisión iniciando un proceso de autenticación con un servidor NTLM de destino en la misma organización.

A continuación, el servidor no autorizado recibe el desafío, se lo pasa a la víctima como parte del proceso de autenticación y obtiene una respuesta válida, que finalmente se transmite al servidor NTLM.

Si bien Microsoft ha publicado mitigaciones para el problema en la versión de Office/Access (Canal actual, versión 2306, compilación 16529.20182) luego de la divulgación responsable en enero de 2023, 0patch ha lanzado correcciones no oficiales para Office 2010, Office 2013, Office 2016, Office 2019 y Office 365.

El desarrollo también se produce cuando Microsoft anunció planes para descontinuar NTLM en Windows 11 en favor de Kerberos para mejorar la seguridad.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Asociación de Pilotos Aliados (APA, por sus siglas en inglés), un sindicato que representa a 15.000 pilotos de American Airlines, reveló un ataque de ransomware que afectó a sus sistemas el lunes.

El sindicato APA fue fundado en 1963 y actualmente es el mayor sindicato independiente de pilotos del mundo.

"El 30 de octubre experimentamos un incidente de ciberseguridad. Tras el descubrimiento del incidente, inmediatamente tomamos medidas para proteger nuestra red. Nuestro equipo de TI, con el apoyo de expertos externos, continúa trabajando sin parar para restaurar nuestros sistemas", dijo el sindicato en un comunicado visto por el analista de amenazas de Emsisoft, Brett Callow.

"Si bien la investigación está en curso, podemos compartir que hemos determinado que el incidente se debió a un ransomware y que ciertos sistemas estaban encriptados".

APA dijo que su equipo de TI y expertos externos están trabajando en la restauración de los sistemas afectados por el ataque de ransomware a partir de copias de seguridad, con un enfoque inicial en traer de vuelta primero productos y herramientas orientados a la prueba piloto en las próximas horas y días.

El sindicato ha iniciado una investigación dirigida por expertos en ciberseguridad para evaluar el alcance total del incidente y su impacto en los datos almacenados en los sistemas comprometidos.

La APA aún no ha compartido si la información personal de los pilotos se vio comprometida en el ataque o el número exacto de personas afectadas.

Gregg Overman, director de comunicaciones del sindicato, dijo a BleepingComputer que la organización no podía proporcionar más detalles más allá de lo que se había revelado cuando se le pidió que vinculara el incidente con una operación de ransomware.


Los pilotos de American Airlines también fueron informados sobre una violación de datos que afectó su información personal en junio después del hackeo de abril de Pilot Credentials, un proveedor externo que administra las solicitudes de pilotos y los portales de reclutamiento de múltiples aerolíneas.

En las notificaciones de violación enviadas a las personas afectadas, American Airlines dijo que los atacantes obtuvieron acceso a información confidencial perteneciente a 5745 pilotos y solicitantes.

La información expuesta en la violación de terceros de abril incluye nombres y números de Seguro Social, números de licencia de conducir, números de pasaporte, fechas de nacimiento, números de certificado de aviador y otros números de identificación emitidos por el gobierno.

En septiembre de 2022, American Airlines reveló una violación de datos que afectó a más de 1.708 clientes y empleados después de que varias cuentas de correo electrónico de empleados se vieran comprometidas en un ataque de phishing en julio de 2022.

Un año antes, en marzo de 2021, la aerolínea reveló otra violación de datos después de que los piratas informáticos hicieran el Sistema de Servicio al Pasajero (PSS) utilizado por varias aerolíneas y operado por el gigante mundial de la tecnología de la información aérea SITA.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Discord cambiará a enlaces CDN temporales para todos los usuarios a finales de año para evitar que los atacantes utilicen su red de entrega de contenido para la entrega de malware.

"Discord está evolucionando su enfoque de las URL de CDN de archivos adjuntos para crear una experiencia más segura para los usuarios. En particular, esto ayudará a nuestro equipo de seguridad a restringir el acceso al contenido marcado y, en general, a reducir la cantidad de malware distribuido mediante nuestra CDN", dijo Discord a BleepingComputer.

"No hay ningún impacto para los usuarios de Discord que comparten contenido dentro del cliente de Discord. Todos los enlaces dentro del cliente se actualizarán automáticamente. Si los usuarios utilizan Discord para alojar archivos, les recomendamos que busquen un servicio más adecuado.

"Los desarrolladores de Discord pueden ver un impacto mínimo y estamos trabajando en estrecha colaboración con la comunidad en la transición. Estos cambios se implementarán a finales de este año y compartiremos más información con los desarrolladores en las próximas semanas".

Después de que el cambio de alojamiento de archivos (descrito por Discord como aplicación de autenticación) se implemente a finales de este año, todos los enlaces a los archivos cargados en los servidores de Discord caducarán después de 24 horas.

Las URL de CDN vendrán con tres nuevos parámetros que agregarán marcas de tiempo de vencimiento y firmas únicas que seguirán siendo válidas hasta que caduquen los enlaces, lo que evitará el uso de la CDN de Discord para el alojamiento permanente de archivos.

Si bien estos parámetros ya se están agregando a los enlaces de Discord, aún deben aplicarse, y los enlaces compartidos fuera de los servidores de Discord solo caducarán una vez que la compañía implemente sus cambios en la aplicación de la autenticación.

"Para mejorar la seguridad de la CDN de Discord, las URL de CDN adjuntas tienen 3 nuevos parámetros de URL: ex, is y hm. Una vez que comience la aplicación de la autenticación a finales de este año, los enlaces con una firma determinada (hm) seguirán siendo válidos hasta la marca de tiempo de vencimiento (ex)", explicó el equipo de desarrollo de Discord en una publicación compartida en el servidor de Discord Developers.

"Para acceder al enlace de CDN adjunto después de que caduque el vínculo, la aplicación deberá obtener una nueva URL de CDN. La API devolverá automáticamente URL válidas y no caducadas cuando acceda a recursos que contengan una URL de CDN de archivos adjuntos, como cuando recupere un mensaje".

Un paso de gigante en la batalla contra el malware

Se trata de un paso muy esperado hacia los retos a los que se enfrenta Discord para frenar las actividades de ciberdelincuencia en su plataforma, ya que sus servidores han servido durante mucho tiempo como caldo de cultivo para actividades maliciosas asociadas a grupos de hackers con motivaciones financieras y respaldados por el Estado.

Las capacidades de alojamiento permanente de archivos de Discord se han utilizado indebidamente con frecuencia para distribuir malware y exfiltrar datos recopilados de sistemas comprometidos mediante webhooks.

A pesar de la escalada de este problema en los últimos años, Discord ha luchado hasta ahora por implementar medidas efectivas para disuadir el abuso de su plataforma por parte de los ciberdelincuentes y abordar el problema de manera decisiva o, al menos, limitar su impacto.

Según un informe reciente de la empresa de ciberseguridad Trellix, las URL de CDN de Discord han sido explotadas por al menos 10.000 operaciones de malware para lanzar cargas útiles maliciosas de segunda etapa en los sistemas infectados.

Estas cargas útiles consisten principalmente en cargadores de malware y scripts que instalan malware, como RedLine stealer, Vidar, AgentTesla, zgRAT y Raccoon stealer.

Según los datos de Trellix, varias familias de malware, incluidas Agent Tesla, UmbralStealer, Stealerium y zgRAT, también han utilizado webhooks de Discord en los últimos años para robar información confidencial como credenciales, cookies del navegador y billeteras de criptomonedas de dispositivos comprometidos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Google está implementando una insignia de "Revisión de seguridad independiente" en la sección de seguridad de datos de Play Store para las aplicaciones de Android que se han sometido a una auditoría de Evaluación de seguridad de aplicaciones móviles (MASA).

"Hemos lanzado este banner comenzando con las aplicaciones VPN debido a la cantidad sensible y significativa de datos de usuario que manejan estas aplicaciones", dijo Nataliya Stanetsky, del Equipo de Seguridad y Privacidad de Android.

MASA permite a los desarrolladores validar sus aplicaciones de forma independiente con respecto a un estándar de seguridad global, como el Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS), lo que proporciona más transparencia y permite a los usuarios tomar decisiones informadas antes de descargarlas.

Los esfuerzos son parte de un impulso más amplio de Google para hacer de la sección de seguridad de datos una ventanilla única que presente una "visión unificada de la seguridad de las aplicaciones", ofreciendo detalles sobre el tipo de datos que se recopilan, con qué propósito y si se comparten con terceros.


Los desarrolladores de aplicaciones de terceros que estén interesados en participar pueden comunicarse directamente con uno de los seis socios de Authorized Labs, quienes luego probarán la versión pública de la aplicación disponible en Play Store y señalarán posibles problemas de seguridad para su corrección.

"Una vez que la aplicación cumple con todos los requisitos, el laboratorio envía un informe de validación directamente a Google como confirmación, y los desarrolladores serán elegibles para declarar la insignia de seguridad en su formulario de seguridad de datos", señala Google.

"En promedio, el proceso toma alrededor de 2 a 3 semanas desde la evaluación inicial hasta la disponibilidad de la insignia".

Dicho esto, Google enfatizó que el proceso de prueba de seguridad independiente ayuda a los usuarios a verificar si un "desarrollador ha priorizado las prácticas de seguridad y privacidad y se ha comprometido con la seguridad del usuario".

Sin embargo, señaló que la certificación de los estándares de seguridad básicos no implica que una aplicación validada esté libre de vulnerabilidades.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una cepa avanzada de malware que se hace pasar por un minero de criptomonedas ha logrado volar el radar durante más de cinco años, infectando no menos de un millón de dispositivos en todo el mundo en el proceso.

Eso es según los hallazgos de Kaspersky, que ha nombrado a la amenaza StripedFly, describiéndola como un "intrincado marco modular que admite tanto Linux como Windows".

El proveedor ruso de ciberseguridad, que detectó por primera vez las muestras en 2017, dijo que el minero es parte de una entidad mucho más grande que emplea un exploit personalizado EternalBlue SMBv1 atribuido a Equation Group para infiltrarse en sistemas de acceso público.

El shellcode malicioso, entregado a través del exploit, tiene la capacidad de descargar archivos binarios desde un repositorio remoto de Bitbucket, así como ejecutar scripts de PowerShell. También es compatible con una colección de funciones expandibles similares a complementos para recopilar datos confidenciales e incluso desinstalarse a sí mismo.

El shellcode de la plataforma se inserta en el proceso wininit.exe, un proceso legítimo de Windows que inicia el administrador de arranque (BOOTMGR) y maneja la inicialización de varios servicios.

"La carga útil del malware en sí está estructurada como un código ejecutable binario monolítico diseñado para admitir módulos conectables para extender o actualizar su funcionalidad", dijeron los investigadores de seguridad Sergey Belov, Vilen Kamalov y Sergey Lozhkin en un informe técnico publicado la semana pasada.

"Viene equipado con un túnel de red TOR incorporado para la comunicación con los servidores de comando, junto con la funcionalidad de actualización y entrega a través de servicios confiables como GitLab, GitHub y Bitbucket, todos utilizando archivos cifrados personalizados".

Otros módulos de espionaje notables le permiten recopilar credenciales cada dos horas, capturar capturas de pantalla en el dispositivo de la víctima sin ser detectado, grabar la entrada del micrófono e iniciar un proxy inverso para ejecutar acciones remotas.

Al afianzarse con éxito, el malware procede a desactivar el protocolo SMBv1 en el host infectado y propaga el malware a otras máquinas utilizando un módulo de gusano a través de SMB y SSH, utilizando claves recogidas en los sistemas pirateados.

StripedFly logra la persistencia modificando el Registro de Windows o creando entradas del programador de tareas si el intérprete de PowerShell está instalado y el acceso administrativo está disponible. En Linux, la persistencia se logra por medio de un servicio de usuario systemd, un archivo .desktop autoiniciado o modificando los archivos /etc/rc*, profile, bashrc o inittab.

También se ha descargado un minero de criptomonedas Monero que aprovecha las solicitudes de DNS sobre HTTPS (DoH) para resolver los servidores del grupo, lo que añade una capa adicional de sigilo a las actividades maliciosas. Se ha evaluado que el minero se utiliza como señuelo para evitar que el software de seguridad descubra el alcance total de las capacidades del malware.

En un esfuerzo por minimizar la huella, los componentes de malware que se pueden descargar se alojan como binarios cifrados en varios servicios de alojamiento de repositorios de código, como Bitbucket, GitHub o GitLab.

Por ejemplo, el repositorio de Bitbucket operado por el actor de amenazas desde junio de 2018 incluye archivos ejecutables capaces de servir la carga útil inicial de la infección tanto en Windows como en Linux, buscar nuevas actualizaciones y, en última instancia, actualizar el malware.

La comunicación con el servidor de comando y control (C2), que está alojado en la red TOR, se lleva a cabo mediante una implementación personalizada y ligera de un cliente TOR que no se basa en ningún método documentado públicamente.

"El nivel de dedicación demostrado por esta funcionalidad es notable", dijeron los investigadores. "El objetivo de ocultar el servidor C2 a toda costa impulsó el desarrollo de un proyecto único y que requiere mucho tiempo: la creación de su propio cliente TOR".

Otra característica llamativa es que estos repositorios actúan como mecanismos alternativos para que el malware descargue los archivos de actualización cuando su fuente principal (es decir, el servidor C2) deja de responder.

Kaspersky dijo que descubrió además una familia de ransomware llamada ThunderCrypt que comparte importantes superposiciones de código fuente con StripedFly, salvo la ausencia del módulo de infección SMBv1. Se dice que ThunderCrypt se utilizó contra objetivos en Taiwán en 2017.

Los orígenes de StripedFly siguen siendo desconocidos en la actualidad, aunque la sofisticación del marco y sus paralelismos con EternalBlue exhiben todas las características de un actor de amenazas persistentes avanzadas (APT).

Vale la pena señalar que, si bien la filtración del exploit EternalBlue por parte de Shadow Brokers tuvo lugar el 14 de abril de 2017, la primera versión identificada de StripedFly que incorpora EternalBlue data de hace un año, el 9 de abril de 2016. Desde la filtración, el exploit EternalBlue ha sido reutilizado por equipos de hackers norcoreanos y rusos para propagar el malware WannaCry y Petya.

Dicho esto, también hay pruebas de que los grupos de hackers chinos pueden haber tenido acceso a algunos de los exploits de Equation Group antes de que se filtraran en línea, como reveló Check Point en febrero de 2021.

Las similitudes con el malware asociado con el grupo Equation, dijo Kaspersky, también se reflejan en el estilo de codificación y las prácticas que se asemejan a las observadas en STRAITBIZARRE, otra plataforma de espionaje cibernético manejada por el presunto colectivo adversario vinculado a Estados Unidos.

El desarrollo se produce casi dos años después de que los investigadores del Pangu Lab de China detallaran una puerta trasera de "primer nivel" llamada Bvp47 que supuestamente fue utilizada por el Grupo de Ecuación en más de 287 objetivos que abarcan múltiples sectores en 45 países.

No hace falta decir que un aspecto crucial de la campaña que sigue siendo un misterio, aparte de aquellos que diseñaron el malware, es su verdadero propósito.

"Si bien el ransomware ThunderCrypt sugiere un motivo comercial para sus autores, plantea la pregunta de por qué no optaron por el camino potencialmente más lucrativo", dijeron los investigadores.

"Es difícil aceptar la noción de que un malware tan sofisticado y diseñado profesionalmente sirva para un propósito tan trivial, dada toda la evidencia de lo contrario".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta