Se ha descubierto un nuevo malware para Android llamado FjordPhantom que utiliza la virtualización para ejecutar código malicioso en un contenedor y evadir la detección.

El malware fue descubierto por Promon, cuyos analistas informan que actualmente se propaga a través de correos electrónicos, SMS y aplicaciones de mensajería dirigidas a aplicaciones bancarias en Indonesia, Tailandia, Vietnam, Singapur y Malasia.

Se engaña a las víctimas para que descarguen lo que parecen ser aplicaciones bancarias legítimas, pero que contienen código malicioso que se ejecuta en un entorno virtual para atacar la aplicación bancaria real.

FjordPhantom tiene como objetivo robar credenciales de cuentas bancarias en línea y manipular transacciones mediante la realización de fraudes en el dispositivo.

El informe de Promon destaca un caso en el que FjordPhantom robó 280.000 dólares de una sola víctima, lo que fue posible gracias a la combinación de la naturaleza evasiva del malware con la ingeniería social, como las llamadas supuestamente de los agentes de servicio al cliente de los bancos.

Virtualización como evasión en Android

En Android, varias aplicaciones pueden ejecutarse en entornos aislados conocidos como "contenedores" por razones legítimas, como ejecutar varias instancias de la misma aplicación con diferentes cuentas.

FjordPhantom incorpora una solución de virtualización de proyectos de código abierto para crear un contenedor virtual en el dispositivo sin que el usuario lo sepa.

Al iniciarse, el malware instala el APK de la aplicación bancaria que el usuario pretendía descargar y ejecuta código malicioso dentro del mismo contenedor, convirtiéndolo en parte del proceso de confianza.

Con la aplicación bancaria ejecutándose dentro de su contenedor virtual, FjordPhantom puede inyectar su código para enganchar API clave que le permiten capturar credenciales, manipular transacciones, interceptar información confidencial, etc.

En algunas aplicaciones, el marco de enganche del malware también manipula los elementos de la interfaz de usuario para cerrar automáticamente los cuadros de diálogo de advertencia y mantener a la víctima inconsciente del compromiso.


Promon señala que este truco de virtualización rompe el concepto de seguridad 'Android Sandbox', que evita que las aplicaciones accedan a los datos de las demás o interfieran con sus operaciones, ya que las aplicaciones dentro de un contenedor comparten la misma caja de arena.

Este es un ataque particularmente astuto porque la aplicación bancaria en sí no se modifica, por lo que la detección de manipulación de código no ayuda a detectar la amenaza.

Además, al enganchar las API relacionadas con GooglePlayServices, para que parezcan no estar disponibles en el dispositivo, FjordPhantom dificulta las comprobaciones de seguridad relacionadas con la raíz.

Los ganchos del malware incluso se extienden al registro, lo que puede proporcionar consejos a los desarrolladores sobre cómo realizar ataques más específicos en diferentes aplicaciones.

Promon comenta que esta es una señal de desarrollo activo, elevando el riesgo de que FjordPhantom amplíe su alcance de orientación más allá de los países mencionados en futuras versiones.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Zyxel ha abordado múltiples problemas de seguridad, incluidos tres críticos que podrían permitir que un atacante no autenticado ejecute comandos del sistema operativo en dispositivos vulnerables de almacenamiento conectado a la red (NAS).

Los sistemas NAS de Zyxel se utilizan para almacenar datos en una ubicación centralizada en la red. Están diseñados para grandes volúmenes de datos y ofrecen funciones como copia de seguridad de datos, transmisión de medios u opciones de uso compartido personalizadas.

Los usuarios típicos de Zyxel NAS incluyen pequeñas y medianas empresas que buscan una solución que combine funciones de gestión de datos, trabajo remoto y colaboración, así como profesionales de TI que configuran sistemas de redundancia de datos, o videógrafos y artistas digitales que trabajan con archivos grandes.

En un boletín de seguridad publicado hoy, el proveedor advierte de los siguientes fallos que afectan a los dispositivos NAS326 que ejecutan la versión 5.21(AAZF.14)C0 y anteriores, y a los NAS542 con la versión 5.21(ABAG.11)C0 y anteriores.

• CVE-2023-35137: Vulnerabilidad de autenticación incorrecta en el módulo de autenticación de los dispositivos Zyxel NAS, que permite a los atacantes no autenticados obtener información del sistema a través de una URL diseñada. (puntuación de gravedad alta de 7,5)
• CVE-2023-35138: Fallo de inyección de comandos en la función "show_zysync_server_contents" en los dispositivos NAS Zyxel, lo que permite a los atacantes no autenticados ejecutar comandos del sistema operativo a través de una solicitud HTTP POST elaborada. (puntuación de gravedad crítica de 9,8)
• CVE-2023-37927: Vulnerabilidad en el programa CGI de los dispositivos Zyxel NAS, que permite a los atacantes autenticados ejecutar comandos del sistema operativo con una URL diseñada. (puntuación de gravedad alta de 8,8)
• CVE-2023-37928: Inyección de comandos posterior a la autenticación en el servidor WSGI de los dispositivos NAS Zyxel, lo que permite a los atacantes autenticados ejecutar comandos del sistema operativo a través de una URL diseñada. (puntuación de gravedad alta de 8,8)
• CVE-2023-4473: Fallo de inyección de comandos en el servidor web de los dispositivos NAS Zyxel, que permite a los atacantes no autenticados ejecutar comandos del sistema operativo a través de una URL diseñada. (puntuación de gravedad crítica de 9,8)
• CVE-2023-4474: Vulnerabilidad en el servidor WSGI de los dispositivos NAS Zyxel, que permite a los atacantes no autenticados ejecutar comandos del sistema operativo con una URL diseñada. (puntuación de gravedad crítica de 9,8)

Los actores de amenazas podrían explotar las vulnerabilidades anteriores para obtener acceso no autorizado, ejecutar algunos comandos del sistema operativo, obtener información confidencial del sistema o tomar el control completo de los dispositivos NAS Zyxel afectados.

Para hacer frente a estos riesgos, se recomienda a los usuarios de NAS326 que actualicen a la versión V5.21(AAZF.15)C0 o posterior. Los usuarios de NAS542 deben actualizar su firmware a V5.21(ABAG.12)C0 o posterior, lo que corrige los defectos anteriores.

El proveedor no ha proporcionado ningún consejo de mitigación ni soluciones alternativas, siendo una actualización de firmware la acción recomendada.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha observado una campaña de ransomware CACTUS que explota fallas de seguridad recientemente reveladas en una plataforma de análisis e inteligencia empresarial en la nube llamada Qlik Sense para obtener un punto de apoyo en entornos específicos.

"Esta campaña marca el primer caso documentado [...] donde los actores de amenazas que implementan el ransomware CACTUS han explotado vulnerabilidades en Qlik Sense para el acceso inicial", dijeron los investigadores de Arctic Wolf Stefan Hostetler, Markus Neis y Kyle Pagelow.

La compañía de ciberseguridad, que dijo que está respondiendo a "varios casos" de explotación del software, señaló que es probable que los ataques se aprovechen de tres fallas que se han revelado en los últimos tres meses:

• CVE-2023-41265 (puntuación CVSS: 9,9): una vulnerabilidad de tunelización de solicitudes HTTP que permite a un atacante remoto elevar sus privilegios y enviar solicitudes que son ejecutadas por el servidor backend que aloja la aplicación de repositorio.
• CVE-2023-41266 (puntuación CVSS: 6,5): una vulnerabilidad de recorrido de ruta que permite a un atacante remoto no autenticado transmitir solicitudes HTTP a puntos de conexión no autorizados.
• CVE-2023-48365 (puntuación CVSS: 9,9): una vulnerabilidad de ejecución remota de código no autenticada que surge debido a una validación incorrecta de encabezados HTTP, lo que permite a un atacante remoto elevar sus privilegios mediante la tunelización de solicitudes HTTP.

Vale la pena señalar que CVE-2023-48365 es el resultado de un parche incompleto para CVE-2023-41265, que junto con CVE-2023-41266, fue revelado por Praetorian a fines de agosto de 2023. El 2023 de noviembre de 48365 se envió una corrección para CVE-20-2023.

En los ataques observados por Arctic Wolf, una explotación exitosa de las fallas es seguida por el abuso del servicio Qlik Sense Scheduler para generar procesos que están diseñados para descargar herramientas adicionales con el objetivo de establecer la persistencia y configurar el control remoto.

Esto incluye ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk y Plink. También se ha observado que los actores de amenazas desinstalan el software de Sophos, cambian la contraseña de la cuenta de administrador y crean un túnel RDP a través de Plink.

Las cadenas de ataque culminan con el despliegue del ransomware CACTUS, y los atacantes también utilizan rclone para la exfiltración de datos.

El panorama del ransomware en constante evolución

La revelación se produce a medida que el panorama de amenazas de ransomware se ha vuelto más sofisticado y la economía clandestina ha evolucionado para facilitar los ataques a escala a través de una red de corredores de acceso inicial y propietarios de botnets que revenden el acceso a los sistemas de las víctimas a varios actores afiliados.

Según los datos recopilados por la empresa de ciberseguridad industrial Dragos, el número de ataques de ransomware que afectan a las organizaciones industriales disminuyó de 253 en el segundo trimestre de 2023 a 231 en el tercer trimestre. Por el contrario, solo en el mes de octubre de 318 se registraron 2023 ataques de ransomware en todos los sectores.

A pesar de los esfuerzos continuos de los gobiernos de todo el mundo para hacer frente al ransomware, el modelo de negocio del ransomware como servicio (RaaS) ha seguido siendo una vía duradera y lucrativa para extorsionar a los objetivos.

Se estima que Black Basta, un prolífico grupo de ransomware que entró en escena en abril de 2022, ha obtenido ganancias ilegales por una suma de al menos USD 107 millones en pagos de rescate de Bitcoin de más de 90 víctimas, según una nueva investigación conjunta publicada por Elliptic y Corvus Insurance.

La mayoría de estos ingresos se blanquearon a través de Garantex, un exchange de criptomonedas ruso que fue sancionado por el gobierno de Estados Unidos en abril de 2022 por facilitar las transacciones con el mercado de la darknet de Hydra.

Además, el análisis descubrió pruebas que vinculaban a Black Basta con el ahora desaparecido grupo ruso de ciberdelincuencia Conti, que dejó de funcionar casi al mismo tiempo que surgió el primero, así como con QakBot, que se utilizó para desplegar el ransomware.

"Aproximadamente el 10% del monto del rescate se envió a Qakbot, en los casos en que estuvieron involucrados en proporcionar acceso a la víctima", señaló Elliptic, y agregó que "rastreó Bitcoin por valor de varios millones de dólares desde billeteras vinculadas a Conti hasta las asociadas con el operador Black Basta".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Google ha revelado un nuevo vectorizador de texto multilingüe llamado RETVec (abreviatura de Resilient and Efficient Text Vectorizer) para ayudar a detectar contenido potencialmente dañino como spam y correos electrónicos maliciosos en Gmail.

"RETVec está entrenado para ser resistente a las manipulaciones a nivel de caracteres, incluida la inserción, la eliminación, los errores tipográficos, los homoglifos, la sustitución de LEET y más", según la descripción del proyecto en GitHub.

"El modelo RETVec se entrena sobre un novedoso codificador de caracteres que puede codificar todos los caracteres y palabras UTF-8 de manera eficiente".

Si bien grandes plataformas como Gmail y YouTube se basan en modelos de clasificación de texto para detectar ataques de phishing, comentarios inapropiados y estafas, se sabe que los actores de amenazas diseñan contraestrategias para eludir estas medidas de defensa.

Se ha observado que recurren a manipulaciones de texto adversariales, que van desde el uso de homoglifos hasta el relleno de palabras clave y caracteres invisibles.

RETVec, que funciona en más de 100 idiomas listos para usar, tiene como objetivo ayudar a crear clasificadores de texto más resistentes y eficientes en el lado del servidor y en el dispositivo, al mismo tiempo que son más robustos y eficientes.

La vectorización es una metodología en el procesamiento del lenguaje natural (PLN) para asignar palabras o frases del vocabulario a una representación numérica correspondiente con el fin de realizar análisis adicionales, como el análisis de sentimientos, la clasificación de texto y el reconocimiento de entidades con nombre.


"Debido a su novedosa arquitectura, RETVec funciona de forma inmediata en todos los idiomas y en todos los caracteres UTF-8 sin necesidad de preprocesamiento de texto, lo que lo convierte en el candidato ideal para implementaciones de clasificación de texto en dispositivos, web y a gran escala", señalaron Elie Bursztein y Marina Zhang de Google.

El gigante tecnológico dijo que la integración del vectorizador a Gmail mejoró la tasa de detección de spam sobre la línea de base en un 38% y redujo la tasa de falsos positivos en un 19,4%. También redujo el uso de la Unidad de Procesamiento de Tensores (TPU) del modelo en un 83%.

"Los modelos entrenados con RETVec exhiben una velocidad de inferencia más rápida debido a su representación compacta. Tener modelos más pequeños reduce los costos computacionales y disminuye la latencia, lo cual es fundamental para las aplicaciones a gran escala y los modelos en el dispositivo", agregaron Bursztein y Zhang.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha observado que una variante de una cepa de ransomware conocida como DJVU se distribuye en forma de software crackeado.

"Si bien este patrón de ataque no es nuevo, se han observado incidentes que involucran una variante de DJVU que agrega la extensión .xaro a los archivos afectados y exige un rescate por un descifrador que infecta los sistemas junto con una gran cantidad de cargadores de productos básicos y ladrones de información", dijo el investigador de seguridad de Cybereason, Ralph Villanueva.

La nueva variante ha sido bautizada como Xaro por la firma estadounidense de ciberseguridad.

DJVU, en sí mismo una variante del ransomware STOP, suele aparecer en escena haciéndose pasar por servicios o aplicaciones legítimos. También se entrega como una carga útil de SmokeLoader.

Un aspecto importante de los ataques DJVU es el despliegue de malware adicional, como ladrones de información (por ejemplo, RedLine Stealer y Vidar), lo que los hace más dañinos por naturaleza.

En la última cadena de ataque documentada por Cybereason, Xaro se propaga como un archivo comprimido de una fuente dudosa que se hace pasar por un sitio que ofrece software gratuito legítimo.

Abrir el archivo comprimido conduce a la ejecución de un supuesto binario de instalación para un software de escritura de PDF llamado CutePDF que, en realidad, es un servicio de descarga de malware de pago por instalación conocido como PrivateLoader.

PrivateLoader, por su parte, establece contacto con un servidor de comando y control (C2) para obtener una amplia gama de familias de malware de robo y cargador como RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig y Fabookie, además de eliminar Xaro.

"Este enfoque de escopeta para la descarga y ejecución de malware básico se observa comúnmente en las infecciones de PrivateLoader que se originan en sitios sospechosos de software gratuito o crackeado", explicó Villanueva.

El objetivo parece ser recopilar y exfiltrar información confidencial para una doble extorsión, así como garantizar el éxito del ataque, incluso si una de las cargas útiles es bloqueada por el software de seguridad.

Xaro, además de generar una instancia del ladrón de información Vidar, es capaz de cifrar archivos en el host infectado, antes de dejar caer una nota de rescate, instando a la víctima a ponerse en contacto con el actor de amenazas para pagar $ 980 por la clave privada y la herramienta de descifrado, un precio que se reduce en un 50% a $ 490 si se aborda dentro de las 72 horas.

En todo caso, la actividad ilustra los riesgos que conlleva la descarga de software gratuito de fuentes no confiables. El mes pasado, Sucuri detalló otra campaña llamada FakeUpdateRU en la que los visitantes de sitios web comprometidos reciben avisos falsos de actualización del navegador para entregar RedLine Stealer.

"Se sabe que los actores de amenazas favorecen el software gratuito disfrazado como una forma de implementar código malicioso de forma encubierta", dijo Villanueva. "La velocidad y la amplitud del impacto en las máquinas infectadas deben ser comprendidas cuidadosamente por las redes empresariales que buscan defenderse a sí mismas y a sus datos".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La falla de seguridad crítica recientemente revelada que afecta a Apache ActiveMQ está siendo explotada activamente por los actores de amenazas para distribuir una nueva botnet basada en Go llamada GoTitan, así como un programa .NET conocido como PrCtrl Rat que es capaz de apoderarse de forma remota de los hosts infectados.

Los ataques implican la explotación de un error de ejecución remota de código (CVE-2023-46604, puntuación CVSS: 10.0) que ha sido utilizado como arma por varios equipos de piratas informáticos, incluido Lazarus Group, en las últimas semanas.

Después de una violación exitosa, se ha observado que los actores de amenazas sueltan cargas útiles de la siguiente etapa desde un servidor remoto, uno de los cuales es GoTitan, una botnet diseñada para orquestar ataques de denegación de servicio distribuido (DDoS) a través de protocolos como HTTP, UDP, TCP y TLS.

"El atacante solo proporciona binarios para arquitecturas x64, y el malware realiza algunas comprobaciones antes de ejecutarse", dijo la investigadora de Fortinet Fortiguard Labs, Cara Lin, en un análisis del martes.

"También crea un archivo llamado 'c.log' que registra el tiempo de ejecución y el estado del programa. Este archivo parece ser un registro de depuración para el desarrollador, lo que sugiere que GoTitan todavía se encuentra en una etapa temprana de desarrollo".


Fortinet dijo que también observó casos en los que los servidores Apache ActiveMQ susceptibles están siendo atacados para implementar otra botnet DDoS llamada Ddostf, malware Kinsing para cryptojacking y un marco de comando y control (C2) llamado Sliver.

Otro malware notable entregado es un troyano de acceso remoto denominado PrCtrl Rat que establece contacto con un servidor C2 para recibir comandos adicionales para su ejecución en el sistema, recolectar archivos y descargar y cargar archivos desde y hacia el servidor.

"Al momento de escribir este artículo, aún no hemos recibido ningún mensaje del servidor, y el motivo detrás de la difusión de esta herramienta sigue sin estar claro", dijo Lin. "Sin embargo, una vez que se infiltra en el entorno de un usuario, el servidor remoto obtiene el control del sistema".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de Eurecom han desarrollado seis nuevos ataques denominados colectivamente 'BLUFFS' que pueden romper el secreto de las sesiones de Bluetooth, lo que permite la suplantación de dispositivos y los ataques de intermediario (MitM).

Daniele Antonioli, quien descubrió los ataques, explica que BLUFFS explota dos fallas previamente desconocidas en el estándar Bluetooth relacionadas con la forma en que se derivan las claves de sesión para descifrar los datos a cambio.

Estas fallas no son específicas de las configuraciones de hardware o software, sino que son arquitectónicas, lo que significa que afectan a Bluetooth en un nivel fundamental.

Los problemas se rastrean con el identificador CVE-2023-24023 y afectan a las especificaciones principales de Bluetooth 4.2 a 5.4.

Teniendo en cuenta el uso generalizado del estándar de comunicación inalámbrica bien establecido y las versiones afectadas por los exploits, BLUFFS podría funcionar contra miles de millones de dispositivos, incluidas computadoras portátiles, teléfonos inteligentes y otros dispositivos móviles.

Cómo funciona BLUFFS

BLUFFS es una serie de exploits dirigidos a Bluetooth, con el objetivo de romper el secreto de las sesiones de Bluetooth hacia adelante y hacia el futuro, comprometiendo la confidencialidad de las comunicaciones pasadas y futuras entre dispositivos.

Esto se logra explotando cuatro fallas en el proceso de derivación de claves de sesión, dos de las cuales son nuevas, para forzar la derivación de una clave de sesión (SKC) corta, débil y predecible.

A continuación, el atacante fuerza bruta la clave, lo que le permite descifrar las comunicaciones pasadas y descifrar o manipular las comunicaciones futuras.


La ejecución del ataque presupone que el atacante está dentro del alcance de Bluetooth de los dos objetivos que intercambian datos y se hace pasar por uno para negociar una clave de sesión débil con el otro, proponiendo el valor de entropía de clave más bajo posible y utilizando un diversificador de clave de sesión constante.


El artículo publicado presenta seis tipos de ataques BLUFFS, que cubren varias combinaciones de ataques de suplantación de identidad y MitM, que funcionan independientemente de si las víctimas admiten conexiones seguras (SC) o conexiones seguras heredadas (LSC).

Los investigadores desarrollaron y compartieron un conjunto de herramientas en GitHub que demuestra la efectividad de BLUFFS. Incluye un script de Python para probar los ataques, los parches de ARM, el analizador y las muestras PCAP capturadas durante sus pruebas.

Impacto y remediación

BLUFFS afecta a Bluetooth 4.2, lanzado en diciembre de 2014, y a todas las versiones hasta la última, Bluetooth 5.4, lanzada en febrero de 2023.

El documento de Eurecom presenta los resultados de las pruebas de BLUFFS contra varios dispositivos, incluidos teléfonos inteligentes, auriculares y computadoras portátiles, que ejecutan las versiones 4.1 a 5.2 de Bluetooth. Se confirmó que todos ellos eran susceptibles a al menos tres de los seis ataques de BLUFFS.


El documento también propone las siguientes modificaciones compatibles con versiones anteriores que mejorarían la derivación de claves de sesión y mitigarían BLUFFS y amenazas similares:

• Introducir una nueva "función de derivación de claves" (KDF) para conexiones seguras heredadas (LSC) que implique el intercambio y la verificación mutuos de nonce, lo que agrega una sobrecarga mínima.
• Los dispositivos deben utilizar una clave de emparejamiento compartida para la autenticación mutua de los diversificadores de claves, lo que garantiza la legitimidad de los participantes de la sesión.
• Aplique el modo Conexiones seguras (SC) siempre que sea posible.
• Mantenga una caché de diversificadores de claves de sesión para evitar su reutilización.

Bluetooth SIG (Grupo de Interés Especial), la organización sin fines de lucro que supervisa el desarrollo del estándar Bluetooth y es responsable de licenciar la tecnología, ha recibido el informe de Eurecom y ha publicado una declaración en su sitio.

La organización sugiere que las implementaciones rechacen las conexiones con una intensidad de clave baja por debajo de siete octetos, utilicen el "Modo de seguridad 4 Nivel 4", que garantiza un nivel de seguridad de cifrado más alto, y operen en modo "Solo conexiones seguras" cuando se emparejen.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Agencia de Exploración Aeroespacial de Japón (JAXA, por sus siglas en inglés) fue hackeada en un ciberataque durante el verano, lo que puede haber puesto en riesgo tecnología y datos sensibles relacionados con el espacio.

La brecha de seguridad fue descubierta este otoño cuando las autoridades policiales alertaron a la agencia espacial de Japón de que sus sistemas estaban comprometidos, como informó por primera vez The Yomiuri Shimbun.

Al confirmar la infiltración, el secretario jefe del gabinete de Japón, Hirokazu Matsuno, reveló en una conferencia de prensa que los atacantes obtuvieron acceso al servidor Active Directory (AD) de la agencia, un componente crucial que supervisa las operaciones de red de JAXA.

Es probable que este servidor contenga información crítica, como las credenciales de los empleados, lo que aumenta significativamente el impacto potencial de la infracción.

En respuesta al incidente, JAXA ahora está trabajando con expertos en ciberseguridad del gobierno y las fuerzas del orden como parte de una investigación en curso para determinar el alcance del compromiso de seguridad.

Aunque no se ha confirmado ninguna filtración de datos relacionada con la violación de JAXA, un funcionario de JAXA expresó su preocupación, afirmando: "Mientras el servidor AD fue hackeado, era muy probable que la mayor parte de la información fuera visible. Esta es una situación muy grave".

Atacado por piratas informáticos estatales chinos en 2016 y 2017

Si bien el ataque cibernético aún no se ha atribuido, se alinea con un esfuerzo concertado de ciberespionaje para recopilar y robar información confidencial almacenada en los servidores de la agencia.

Establecida en 2003, JAXA es la institución nacional de investigación y desarrollo aeroespacial de Japón. En 2012, su mandato se amplió para abarcar el desarrollo espacial militar, incluido el desarrollo de sistemas de alerta temprana de misiles basados en el espacio.

Este incidente no es el primer roce de la agencia con brechas de seguridad, ya que también fue atacada en 2016 y 2017, cuando casi 200 instituciones y empresas de investigación japonesas relacionadas con la defensa fueron objeto de un ataque cibernético generalizado.

El Departamento de Policía Metropolitana de Japón atribuyó los ataques a un grupo de hackers militares chinos identificados como Tick, también conocido por los alias BRONZE BUTLER y STALKER PANDA, en abril de 2021.

En septiembre de 2023, las fuerzas del orden y las agencias de ciberseguridad de EE. UU. y Japón advirtieron en un aviso conjunto que los piratas informáticos BlackTech respaldados por el estado chino estaban colocando puertas traseras en los dispositivos de red corporativa.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

General Electric está investigando las afirmaciones de que un actor de amenazas violó el entorno de desarrollo de la compañía en un ataque cibernético y filtró datos supuestamente robados.

General Electric (GE) es una empresa multinacional estadounidense con divisiones en las industrias de energía, energía renovable y aeroespacial.

A principios de este mes, un actor de amenazas llamado IntelBroker intentó vender el acceso a los "pipelines de desarrollo y software" de General Electric por 500 dólares en un foro de piratería.

Después de no vender dicho supuesto acceso, el actor de amenazas volvió a publicar que ahora están vendiendo tanto el acceso a la red como los datos supuestamente robados.

"Anteriormente enumeré el acceso a General Electrics, sin embargo, ningún comprador serio me ha respondido o hecho un seguimiento. Ahora estoy vendiendo todo aquí por separado, incluido el acceso (SSH, SVN, etc.)", publicó el actor de amenazas en un foro de piratería.

"Los datos incluyen una gran cantidad de información militar relacionada con DARPA, archivos, archivos SQL, documentos, etc."


Como prueba de la infracción, el actor de amenazas compartió capturas de pantalla de lo que afirman que son datos robados de GE, incluida una base de datos de GE Aviations que parece contener información sobre proyectos militares.

En una declaración a BleepingComputer, GE confirmó que están al tanto de las afirmaciones del hacker y están investigando la supuesta filtración de datos.

"Estamos al tanto de las afirmaciones hechas por un mal actor con respecto a los datos de GE y estamos investigando estas afirmaciones. Tomaremos las medidas apropiadas para ayudar a proteger la integridad de nuestros sistemas", dijo un portavoz de GE a BleepingComputer.

Si bien la violación no se ha confirmado, IntelBroker es un pirata informático conocido por ciberataques exitosos y de alto perfil en el pasado.

Esto incluye una violación del servicio de comestibles Weee! y el robo de información personal confidencial del programa D.C. Health Link del Distrito de Columbia.

DC Health Link es un mercado de atención médica para Washington, D.C., utilizado por muchos empleados de la Casa Blanca y de la Casa y sus familias.

En marzo, IntelBroker violó DC Health Link y afirmó haber vendido una base de datos robada que contenía la información personal de miles de personas.

Esta violación dio lugar a una amplia cobertura mediática y a una audiencia en el Congreso para obtener más información e investigar cómo se produjo la infracción.

Durante la audiencia, Mila Kofman, directora ejecutiva de la Autoridad de Intercambio de Beneficios de Salud del Distrito de Columbia, explicó que los datos se expusieron a través de un servidor que estaba mal configurado para que fuera accesible en línea.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los usuarios de Google Drive informan que los archivos recientes almacenados en la nube han desaparecido repentinamente, y el servicio en la nube ha vuelto a ser una instantánea de almacenamiento como era entre abril y mayo de 2023.

Google Drive es un servicio de almacenamiento basado en la nube que permite a las personas almacenar y acceder a archivos desde cualquier dispositivo conectado a Internet a través de su cuenta de Google. Es un servicio muy utilizado por particulares y empresas (como parte de Google Workspace).

Un problema de tendencia reportado en los foros de soporte de Google a partir de la semana pasada describe una situación en la que las personas dicen que perdieron datos recientes y cambios en la estructura de carpetas.

"Aquí hay un problema grave que debe escalar urgentemente. Tenemos un ticket de soporte abierto, esto no ha sido útil hasta la fecha", dijo un usuario de Google Drive en el hilo de soporte.

"Pago extra cada mes para almacenar carpetas en la nube para que esté seguro, por lo que es devastador que todo mi trabajo parezca haberse perdido", publicó otro usuario de Google Drive.

Los registros de actividad de las cuentas afectadas no muestran ningún cambio reciente, lo que confirma que los propios usuarios no las eliminaron accidentalmente.

En general, no hay indicios de un error del usuario, sino más bien de un problema con el sistema del servicio que impidió la sincronización de datos entre los dispositivos locales y Google Cloud en algún momento.

Algunos usuarios tienen cachés sin conexión que pueden contener los datos que faltan, pero no existe ningún método conocido para restaurar el acceso a los datos que contienen.

Los agentes de soporte voluntarios de Google han publicado una supuesta respuesta de los ingenieros de soporte de Google que confirma que ya están investigando el problema. Sin embargo, aún no se ha proporcionado una estimación para una solución.


La recomendación para los afectados es evitar realizar cambios en la carpeta raíz/datos hasta que la situación se aclare y se determine la causa raíz del problema.

Es comprensible que muchos usuarios se sientan frustrados por la pérdida de datos críticos que confiaron al servicio basado en la nube y, en muchos casos, pagaron por el alojamiento de sus archivos.

Un aspecto notable de la situación es que los foros de soporte de Google están respaldados por voluntarios con una visión o comprensión limitada del servicio en la nube, por lo que la falta de asistencia efectiva en problemas críticos como este lo empeora aún más.

BleepingComputer se ha puesto en contacto con Google para obtener una actualización sobre el estado de la investigación interna y si los archivos perdidos son recuperables o se pierden irreversiblemente, pero no hemos recibido una respuesta en el momento de la publicación.

En esta situación, los usuarios de Google Drive deben abstenerse de cambiar su almacenamiento en la nube, ya que podría complicar el proceso de recuperación. En su lugar, lo mejor que puedes hacer es ponerte en contacto con el servicio de asistencia de Google, abrir un nuevo caso y estar atento a las actualizaciones oficiales.

Hasta que se resuelva el problema, sería más prudente hacer una copia de seguridad de los archivos importantes localmente o utilizar un servicio en la nube diferente.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha observado que los actores de amenazas norcoreanos detrás de las cepas de malware de macOS, como RustBucket y KANDYKORN, "mezclan y combinan" diferentes elementos de las dos cadenas de ataque dispares, aprovechando los cuentagotas de RustBucket para entregar KANDYKORN.

Los hallazgos provienen de la firma de ciberseguridad SentinelOne, que también vinculó un tercer malware específico de macOS llamado ObjCShellz a la campaña RustBucket.

RustBucket se refiere a un grupo de actividad vinculado al Grupo Lazarus en el que una versión de puerta trasera de una aplicación de lectura de PDF, denominada SwiftLoader, se utiliza como conducto para cargar un malware de la siguiente etapa escrito en Rust al ver un documento de señuelo especialmente diseñado.

La campaña KANDYKORN, por otro lado, se refiere a una operación cibernética maliciosa en la que los ingenieros de blockchain de una plataforma de intercambio de criptomonedas sin nombre fueron atacados a través de Discord para iniciar una sofisticada secuencia de ataque de varias etapas que condujo al despliegue del troyano de acceso remoto residente de memoria con todas las funciones del mismo nombre.

La tercera pieza del rompecabezas de ataque es ObjCShellz, que Jamf Threat Labs reveló a principios de este mes como una carga útil de etapa posterior que actúa como un shell remoto que ejecuta comandos de shell enviados desde el servidor atacante.


Un análisis más detallado de estas campañas por parte de SentinelOne ha demostrado que el Grupo Lazarus está utilizando SwiftLoader para distribuir KANDYKORN, lo que corrobora un informe reciente de Mandiant, propiedad de Google, sobre cómo diferentes grupos de hackers de Corea del Norte están tomando prestadas cada vez más las tácticas y herramientas de los demás.

"El panorama cibernético de la RPDC ha evolucionado hasta convertirse en una organización optimizada con herramientas compartidas y esfuerzos de focalización", señaló Mandiant. "Este enfoque flexible de la asignación de tareas dificulta que los defensores rastreen, atribuyan y frustren actividades maliciosas, al tiempo que permite que este adversario ahora colaborativo se mueva sigilosamente con mayor velocidad y adaptabilidad".

Esto incluye el uso de nuevas variantes del stager SwiftLoader que pretende ser un ejecutable llamado EdoneViewer pero, en realidad, se pone en contacto con un dominio controlado por un actor para recuperar la RAT KANDYKORN en función de las superposiciones en la infraestructura y las tácticas empleadas.

La revelación se produce cuando el Centro de Respuesta a Emergencias de Seguridad (ASEC) de AhnLab implicó a Andariel, un subgrupo dentro de Lazarus, a ataques cibernéticos que explotan una falla de seguridad en Apache ActiveMQ (CVE-2023-46604, puntuación CVSS: 10.0) para instalar puertas traseras NukeSped y TigerRAT.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de ciberseguridad han descubierto un caso de "autenticación forzada" que podría explotarse para filtrar los tokens NT LAN Manager (NTLM) de un usuario de Windows engañando a una víctima para que abra un archivo de Microsoft Access especialmente diseñado.

El ataque aprovecha una característica legítima de la solución del sistema de administración de bases de datos que permite a los usuarios vincularse a orígenes de datos externos, como una tabla remota de SQL Server.

"Los atacantes pueden abusar de esta característica para filtrar automáticamente los tokens NTLM del usuario de Windows a cualquier servidor controlado por el atacante, a través de cualquier puerto TCP, como el puerto 80", dijo el investigador de seguridad de Check Point, Haifei Li. "El ataque puede lanzarse siempre que la víctima abra un archivo .accdb o .mdb. De hecho, cualquier tipo de archivo de Office más común (como un .rtf) también puede funcionar".

NTLM, un protocolo de autenticación introducido por Microsoft en 1993, es un protocolo de desafío-respuesta que se usa para autenticar a los usuarios durante el inicio de sesión. A lo largo de los años, se ha descubierto que es vulnerable a los ataques de fuerza bruta, pass-the-hash y relay.

El último ataque, en pocas palabras, abusa de la característica de tabla vinculada en Access para filtrar los hashes NTLM a un servidor controlado por actores incrustando un archivo .accdb con un vínculo de base de datos SQL Server remoto dentro de un documento de MS Word utilizando un mecanismo llamado Object Linking and Embedding (OLE).


"Un atacante puede configurar un servidor que controle, escuchando en el puerto 80, y poner su dirección IP en el campo anterior de 'alias de servidor'", explicó Li. "Luego pueden enviar el archivo de la base de datos, incluida la tabla vinculada, a la víctima".

Si la víctima abre el archivo y hace clic en la tabla vinculada, el cliente víctima se pone en contacto con el servidor controlado por el atacante para la autenticación, lo que permite a este último llevar a cabo un ataque de retransmisión iniciando un proceso de autenticación con un servidor NTLM de destino en la misma organización.

A continuación, el servidor no autorizado recibe el desafío, se lo pasa a la víctima como parte del proceso de autenticación y obtiene una respuesta válida, que finalmente se transmite al servidor NTLM.

Si bien Microsoft ha publicado mitigaciones para el problema en la versión de Office/Access (Canal actual, versión 2306, compilación 16529.20182) luego de la divulgación responsable en enero de 2023, 0patch ha lanzado correcciones no oficiales para Office 2010, Office 2013, Office 2016, Office 2019 y Office 365.

El desarrollo también se produce cuando Microsoft anunció planes para descontinuar NTLM en Windows 11 en favor de Kerberos para mejorar la seguridad.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Asociación de Pilotos Aliados (APA, por sus siglas en inglés), un sindicato que representa a 15.000 pilotos de American Airlines, reveló un ataque de ransomware que afectó a sus sistemas el lunes.

El sindicato APA fue fundado en 1963 y actualmente es el mayor sindicato independiente de pilotos del mundo.

"El 30 de octubre experimentamos un incidente de ciberseguridad. Tras el descubrimiento del incidente, inmediatamente tomamos medidas para proteger nuestra red. Nuestro equipo de TI, con el apoyo de expertos externos, continúa trabajando sin parar para restaurar nuestros sistemas", dijo el sindicato en un comunicado visto por el analista de amenazas de Emsisoft, Brett Callow.

"Si bien la investigación está en curso, podemos compartir que hemos determinado que el incidente se debió a un ransomware y que ciertos sistemas estaban encriptados".

APA dijo que su equipo de TI y expertos externos están trabajando en la restauración de los sistemas afectados por el ataque de ransomware a partir de copias de seguridad, con un enfoque inicial en traer de vuelta primero productos y herramientas orientados a la prueba piloto en las próximas horas y días.

El sindicato ha iniciado una investigación dirigida por expertos en ciberseguridad para evaluar el alcance total del incidente y su impacto en los datos almacenados en los sistemas comprometidos.

La APA aún no ha compartido si la información personal de los pilotos se vio comprometida en el ataque o el número exacto de personas afectadas.

Gregg Overman, director de comunicaciones del sindicato, dijo a BleepingComputer que la organización no podía proporcionar más detalles más allá de lo que se había revelado cuando se le pidió que vinculara el incidente con una operación de ransomware.


Los pilotos de American Airlines también fueron informados sobre una violación de datos que afectó su información personal en junio después del hackeo de abril de Pilot Credentials, un proveedor externo que administra las solicitudes de pilotos y los portales de reclutamiento de múltiples aerolíneas.

En las notificaciones de violación enviadas a las personas afectadas, American Airlines dijo que los atacantes obtuvieron acceso a información confidencial perteneciente a 5745 pilotos y solicitantes.

La información expuesta en la violación de terceros de abril incluye nombres y números de Seguro Social, números de licencia de conducir, números de pasaporte, fechas de nacimiento, números de certificado de aviador y otros números de identificación emitidos por el gobierno.

En septiembre de 2022, American Airlines reveló una violación de datos que afectó a más de 1.708 clientes y empleados después de que varias cuentas de correo electrónico de empleados se vieran comprometidas en un ataque de phishing en julio de 2022.

Un año antes, en marzo de 2021, la aerolínea reveló otra violación de datos después de que los piratas informáticos hicieran el Sistema de Servicio al Pasajero (PSS) utilizado por varias aerolíneas y operado por el gigante mundial de la tecnología de la información aérea SITA.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Discord cambiará a enlaces CDN temporales para todos los usuarios a finales de año para evitar que los atacantes utilicen su red de entrega de contenido para la entrega de malware.

"Discord está evolucionando su enfoque de las URL de CDN de archivos adjuntos para crear una experiencia más segura para los usuarios. En particular, esto ayudará a nuestro equipo de seguridad a restringir el acceso al contenido marcado y, en general, a reducir la cantidad de malware distribuido mediante nuestra CDN", dijo Discord a BleepingComputer.

"No hay ningún impacto para los usuarios de Discord que comparten contenido dentro del cliente de Discord. Todos los enlaces dentro del cliente se actualizarán automáticamente. Si los usuarios utilizan Discord para alojar archivos, les recomendamos que busquen un servicio más adecuado.

"Los desarrolladores de Discord pueden ver un impacto mínimo y estamos trabajando en estrecha colaboración con la comunidad en la transición. Estos cambios se implementarán a finales de este año y compartiremos más información con los desarrolladores en las próximas semanas".

Después de que el cambio de alojamiento de archivos (descrito por Discord como aplicación de autenticación) se implemente a finales de este año, todos los enlaces a los archivos cargados en los servidores de Discord caducarán después de 24 horas.

Las URL de CDN vendrán con tres nuevos parámetros que agregarán marcas de tiempo de vencimiento y firmas únicas que seguirán siendo válidas hasta que caduquen los enlaces, lo que evitará el uso de la CDN de Discord para el alojamiento permanente de archivos.

Si bien estos parámetros ya se están agregando a los enlaces de Discord, aún deben aplicarse, y los enlaces compartidos fuera de los servidores de Discord solo caducarán una vez que la compañía implemente sus cambios en la aplicación de la autenticación.

"Para mejorar la seguridad de la CDN de Discord, las URL de CDN adjuntas tienen 3 nuevos parámetros de URL: ex, is y hm. Una vez que comience la aplicación de la autenticación a finales de este año, los enlaces con una firma determinada (hm) seguirán siendo válidos hasta la marca de tiempo de vencimiento (ex)", explicó el equipo de desarrollo de Discord en una publicación compartida en el servidor de Discord Developers.

"Para acceder al enlace de CDN adjunto después de que caduque el vínculo, la aplicación deberá obtener una nueva URL de CDN. La API devolverá automáticamente URL válidas y no caducadas cuando acceda a recursos que contengan una URL de CDN de archivos adjuntos, como cuando recupere un mensaje".

Un paso de gigante en la batalla contra el malware

Se trata de un paso muy esperado hacia los retos a los que se enfrenta Discord para frenar las actividades de ciberdelincuencia en su plataforma, ya que sus servidores han servido durante mucho tiempo como caldo de cultivo para actividades maliciosas asociadas a grupos de hackers con motivaciones financieras y respaldados por el Estado.

Las capacidades de alojamiento permanente de archivos de Discord se han utilizado indebidamente con frecuencia para distribuir malware y exfiltrar datos recopilados de sistemas comprometidos mediante webhooks.

A pesar de la escalada de este problema en los últimos años, Discord ha luchado hasta ahora por implementar medidas efectivas para disuadir el abuso de su plataforma por parte de los ciberdelincuentes y abordar el problema de manera decisiva o, al menos, limitar su impacto.

Según un informe reciente de la empresa de ciberseguridad Trellix, las URL de CDN de Discord han sido explotadas por al menos 10.000 operaciones de malware para lanzar cargas útiles maliciosas de segunda etapa en los sistemas infectados.

Estas cargas útiles consisten principalmente en cargadores de malware y scripts que instalan malware, como RedLine stealer, Vidar, AgentTesla, zgRAT y Raccoon stealer.

Según los datos de Trellix, varias familias de malware, incluidas Agent Tesla, UmbralStealer, Stealerium y zgRAT, también han utilizado webhooks de Discord en los últimos años para robar información confidencial como credenciales, cookies del navegador y billeteras de criptomonedas de dispositivos comprometidos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Google está implementando una insignia de "Revisión de seguridad independiente" en la sección de seguridad de datos de Play Store para las aplicaciones de Android que se han sometido a una auditoría de Evaluación de seguridad de aplicaciones móviles (MASA).

"Hemos lanzado este banner comenzando con las aplicaciones VPN debido a la cantidad sensible y significativa de datos de usuario que manejan estas aplicaciones", dijo Nataliya Stanetsky, del Equipo de Seguridad y Privacidad de Android.

MASA permite a los desarrolladores validar sus aplicaciones de forma independiente con respecto a un estándar de seguridad global, como el Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS), lo que proporciona más transparencia y permite a los usuarios tomar decisiones informadas antes de descargarlas.

Los esfuerzos son parte de un impulso más amplio de Google para hacer de la sección de seguridad de datos una ventanilla única que presente una "visión unificada de la seguridad de las aplicaciones", ofreciendo detalles sobre el tipo de datos que se recopilan, con qué propósito y si se comparten con terceros.


Los desarrolladores de aplicaciones de terceros que estén interesados en participar pueden comunicarse directamente con uno de los seis socios de Authorized Labs, quienes luego probarán la versión pública de la aplicación disponible en Play Store y señalarán posibles problemas de seguridad para su corrección.

"Una vez que la aplicación cumple con todos los requisitos, el laboratorio envía un informe de validación directamente a Google como confirmación, y los desarrolladores serán elegibles para declarar la insignia de seguridad en su formulario de seguridad de datos", señala Google.

"En promedio, el proceso toma alrededor de 2 a 3 semanas desde la evaluación inicial hasta la disponibilidad de la insignia".

Dicho esto, Google enfatizó que el proceso de prueba de seguridad independiente ayuda a los usuarios a verificar si un "desarrollador ha priorizado las prácticas de seguridad y privacidad y se ha comprometido con la seguridad del usuario".

Sin embargo, señaló que la certificación de los estándares de seguridad básicos no implica que una aplicación validada esté libre de vulnerabilidades.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una cepa avanzada de malware que se hace pasar por un minero de criptomonedas ha logrado volar el radar durante más de cinco años, infectando no menos de un millón de dispositivos en todo el mundo en el proceso.

Eso es según los hallazgos de Kaspersky, que ha nombrado a la amenaza StripedFly, describiéndola como un "intrincado marco modular que admite tanto Linux como Windows".

El proveedor ruso de ciberseguridad, que detectó por primera vez las muestras en 2017, dijo que el minero es parte de una entidad mucho más grande que emplea un exploit personalizado EternalBlue SMBv1 atribuido a Equation Group para infiltrarse en sistemas de acceso público.

El shellcode malicioso, entregado a través del exploit, tiene la capacidad de descargar archivos binarios desde un repositorio remoto de Bitbucket, así como ejecutar scripts de PowerShell. También es compatible con una colección de funciones expandibles similares a complementos para recopilar datos confidenciales e incluso desinstalarse a sí mismo.

El shellcode de la plataforma se inserta en el proceso wininit.exe, un proceso legítimo de Windows que inicia el administrador de arranque (BOOTMGR) y maneja la inicialización de varios servicios.

"La carga útil del malware en sí está estructurada como un código ejecutable binario monolítico diseñado para admitir módulos conectables para extender o actualizar su funcionalidad", dijeron los investigadores de seguridad Sergey Belov, Vilen Kamalov y Sergey Lozhkin en un informe técnico publicado la semana pasada.

"Viene equipado con un túnel de red TOR incorporado para la comunicación con los servidores de comando, junto con la funcionalidad de actualización y entrega a través de servicios confiables como GitLab, GitHub y Bitbucket, todos utilizando archivos cifrados personalizados".

Otros módulos de espionaje notables le permiten recopilar credenciales cada dos horas, capturar capturas de pantalla en el dispositivo de la víctima sin ser detectado, grabar la entrada del micrófono e iniciar un proxy inverso para ejecutar acciones remotas.

Al afianzarse con éxito, el malware procede a desactivar el protocolo SMBv1 en el host infectado y propaga el malware a otras máquinas utilizando un módulo de gusano a través de SMB y SSH, utilizando claves recogidas en los sistemas pirateados.

StripedFly logra la persistencia modificando el Registro de Windows o creando entradas del programador de tareas si el intérprete de PowerShell está instalado y el acceso administrativo está disponible. En Linux, la persistencia se logra por medio de un servicio de usuario systemd, un archivo .desktop autoiniciado o modificando los archivos /etc/rc*, profile, bashrc o inittab.

También se ha descargado un minero de criptomonedas Monero que aprovecha las solicitudes de DNS sobre HTTPS (DoH) para resolver los servidores del grupo, lo que añade una capa adicional de sigilo a las actividades maliciosas. Se ha evaluado que el minero se utiliza como señuelo para evitar que el software de seguridad descubra el alcance total de las capacidades del malware.

En un esfuerzo por minimizar la huella, los componentes de malware que se pueden descargar se alojan como binarios cifrados en varios servicios de alojamiento de repositorios de código, como Bitbucket, GitHub o GitLab.

Por ejemplo, el repositorio de Bitbucket operado por el actor de amenazas desde junio de 2018 incluye archivos ejecutables capaces de servir la carga útil inicial de la infección tanto en Windows como en Linux, buscar nuevas actualizaciones y, en última instancia, actualizar el malware.

La comunicación con el servidor de comando y control (C2), que está alojado en la red TOR, se lleva a cabo mediante una implementación personalizada y ligera de un cliente TOR que no se basa en ningún método documentado públicamente.

"El nivel de dedicación demostrado por esta funcionalidad es notable", dijeron los investigadores. "El objetivo de ocultar el servidor C2 a toda costa impulsó el desarrollo de un proyecto único y que requiere mucho tiempo: la creación de su propio cliente TOR".

Otra característica llamativa es que estos repositorios actúan como mecanismos alternativos para que el malware descargue los archivos de actualización cuando su fuente principal (es decir, el servidor C2) deja de responder.

Kaspersky dijo que descubrió además una familia de ransomware llamada ThunderCrypt que comparte importantes superposiciones de código fuente con StripedFly, salvo la ausencia del módulo de infección SMBv1. Se dice que ThunderCrypt se utilizó contra objetivos en Taiwán en 2017.

Los orígenes de StripedFly siguen siendo desconocidos en la actualidad, aunque la sofisticación del marco y sus paralelismos con EternalBlue exhiben todas las características de un actor de amenazas persistentes avanzadas (APT).

Vale la pena señalar que, si bien la filtración del exploit EternalBlue por parte de Shadow Brokers tuvo lugar el 14 de abril de 2017, la primera versión identificada de StripedFly que incorpora EternalBlue data de hace un año, el 9 de abril de 2016. Desde la filtración, el exploit EternalBlue ha sido reutilizado por equipos de hackers norcoreanos y rusos para propagar el malware WannaCry y Petya.

Dicho esto, también hay pruebas de que los grupos de hackers chinos pueden haber tenido acceso a algunos de los exploits de Equation Group antes de que se filtraran en línea, como reveló Check Point en febrero de 2021.

Las similitudes con el malware asociado con el grupo Equation, dijo Kaspersky, también se reflejan en el estilo de codificación y las prácticas que se asemejan a las observadas en STRAITBIZARRE, otra plataforma de espionaje cibernético manejada por el presunto colectivo adversario vinculado a Estados Unidos.

El desarrollo se produce casi dos años después de que los investigadores del Pangu Lab de China detallaran una puerta trasera de "primer nivel" llamada Bvp47 que supuestamente fue utilizada por el Grupo de Ecuación en más de 287 objetivos que abarcan múltiples sectores en 45 países.

No hace falta decir que un aspecto crucial de la campaña que sigue siendo un misterio, aparte de aquellos que diseñaron el malware, es su verdadero propósito.

"Si bien el ransomware ThunderCrypt sugiere un motivo comercial para sus autores, plantea la pregunta de por qué no optaron por el camino potencialmente más lucrativo", dijeron los investigadores.

"Es difícil aceptar la noción de que un malware tan sofisticado y diseñado profesionalmente sirva para un propósito tan trivial, dada toda la evidencia de lo contrario".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ubuntu 23.10 llegó con puntualidad y un buen montón de novedades de lo más interesantes el pasado jueves, 12 de octubre, pero también lo hizo con un problema de «traducciones maliciosas» debido al cual, Canonical retiró de la circulación las descargas oficiales del sistema. Descargas que ya vuelven a estar disponibles.

Lo cierto, de hecho, es que hubo algún que otro vaivén en lo que a la disponibilidad de las descargas de Ubuntu 23.10 se refiere, pues en un primer momento estaban luego sí, luego volvieron a desaparecer de la vista... Hasta ahora. Por lo tanto, si fuiste una de las personas que se quedaron con las ganas de catar lo nuevo del Linux para seres humano instalando desde cero, tienes vía libre.

Explicando rápido el asunto, el lanzamiento de Ubuntu 23.10 se dio conforme correspondía en fecha y forma, incluyendo en su haber una atractiva lista de novedades para todos los sabores oficiales del sistema de la que dimos cuenta en el anuncio aquí enlazado, con el matiz habitual en este tipo de versiones intermedias como es el escaso tiempo de soporte. Sin embargo, se coló algo que no estaba en el guión.

Como recogimos apenas un día después del lanzamiento, las imágenes de instalación de Ubuntu 23.10 salieron a la luz con una desagradable sorpresa, de la que Canonical tardó poco -o mucho, según se mire- en percatarse: unas «traducciones maliciosas» que al parecer solo afectaron a la traducción ucraniana del instalador de Ubuntu con «mensajes de odio» relacionados con los conflictos en Ucrania y Palestina.

Canonical retiró entonces de la circulación las descargas oficiales del sistema y hasta ahora, que vuelven a estar a disposición del público. Si eres uno de los interesados, ve a la noticia del lanzamiento de Ubuntu 23.10 enlazada más arriba donde además de la lista con todas las descargas de Ubuntu y familia, puedes repasar las novedades para estar al tanto de lo que trae 'Mantic Minotaur'.

Ya advertimos el otro día que ni se trataba de un problema grave, ni afectaba a nadie más que a los usuarios que utilizasen la traducción mencionada. En cualquier caso, todo ha quedado solucionado.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En GNOME ha aparecido una petición de fusión para retirar la sesión de Xorg y hacer que sea un escritorio que funciona únicamente sobre Wayland y apoyado en XWayland para las aplicaciones heredadas. Como suele ser habitual con este tema, las redes se han llenado de comentarios tanto a favor como en contra.

Una cosa hay que tener en cuenta, y es que la sesión de Xorg (o X11, el protocolo que implementa) está bastante abandonada en GNOME, ya que los desarrolladores centran sus esfuerzos desde hace tiempo en Wayland. Xorg tiene a su favor una mayor compatibilidad debido a que todo lo relacionado con el despliegue de gráficos en Linux ha girado en torno a él durante muchos años, mientras que Wayland ofrece mejoras en aspectos como la seguridad, es más eficiente a nivel energético y tiene el camino más llano para soportar características como el HDR.

A estas alturas es obvio que la transición hacia Wayland se está demorando demasiado, y aquí hay factores tanto internos como externos. Los factores internos se basan principalmente en un diseño inicial del protocolo que se quedó muy lejos de cubrir lo necesario para un entorno de escritorio y en que no se trazó o diseñó ninguna vía clara de cómo hacer la transición desde Xorg. Aquí se puede sumar el hecho de que se han tenido que traspasar algunas líneas rojas o romper algunos principios con los que nació Wayland, como por ejemplo que todos los fotogramas deben ser perfectos.

Con el paso de los años han surgido algunas tecnologías que se han encargado de cubrir algunas de las deficiencias de Wayland frente a Xorg, como el mencionado PipeWire y XDG Desktop Portal. La primera no es solo un servidor de sonido al ser también capaz de transmitir imagen, así que es lo empleado por OBS Studio y Kooha para grabar el escritorio desde Wayland, mientras que la segunda es un marco que proporciona lo que se podría llamar como portales de XDG, los cuales permiten acceder a recursos que están fuera de un sandbox. Está estrechamente relacionado con Flatpak, aunque no atado a él, y es, por ejemplo, una parte fundamental de lo que permite a OBS Studio grabar desde una sesión de Wayland (sí, junto a PipeWire).

Entre los factores externos que han dificultado la consolidación de Wayland sobresalen las reticencias de NVIDIA a la hora de adoptar los mecanismos estándares que fueron acordados por el resto, entre ellos AMD e Intel. El gigante verde parece estar inmerso en la actualidad en una transición para soportar Wayland correctamente, cosa que parece no hacer del todo bien en estos momentos. La compañía está intentando recorrer en poco tiempo la ventaja de al menos cinco años que le llevan Intel y AMD, que sí han aceptado dar soporte a través de la pila gráfica estándar.


Hay un tercer factor externo: los desarrolladores que no se han planteado soportar Wayland. Aquí llegamos a la parte más espinosa del asunto y la que va a terminar forzando la toma de las decisiones más dolorosas.

Una peculiaridad del escritorio Linux frente a los sistemas operativos exitosos en el mercado de consumo es que la relación que mantiene con los desarrolladores de aplicaciones está invertida. Si una aplicación falla en Windows, macOS, iOS o Android la responsabilidad recae en el desarrollador de la aplicación, pero si falla en Linux, son los responsables del sistema los que tienen que solucionar los problemas.

El hecho de que la relación con los desarrolladores esté invertida es uno de los motivos de por qué hay compilaciones de las aplicaciones para Linux peores que las disponibles para Windows y macOS. Chromium es un claro ejemplo de esto, con un fallo en el desplazamiento que ha necesitado de ocho años para ser resuelto y un soporte para Wayland que, diez años después de iniciarse su desarrollo, sigue siendo una calamidad. Desgraciadamente, la solución en torno a Wayland va a terminar siendo aplicar el hacha y que los proyectos que no se pongan al día acaben abandonados o busquen refugio en otros entornos que usen Xorg/X11.

Recuperando el tema que nos ocupa, que la sesión de Xorg tiene los días contados en GNOME es algo que hay que dar por sentado. Viendo que el escritorio Linux pivota en torno a Ubuntu, sería muy extraño que la retirada se hiciera antes del lanzamiento de la versión 24.04 LTS de la distribución, pero es bastante verosímil pensar que se producirá después, más viendo que Canonical está dando pasos para consolidar Wayland en Ubuntu. Por ahora y según se puede leer en la petición de fusión, parece que se van a atender ciertas peticiones de características, ordenar ciertos aspectos en torno a la organización y lograr una paridad mayor antes de proceder.

La retirada de la sesión de Xorg en GNOME va a ser una decisión dolorosa que traerá más de un problema, pero viendo que muchos no tienen planes para soportar Wayland, la única manera de culminar la transición hacia este último va a ser precisamente tomando la medida más drástica.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Citrix ha advertido hoy a los administradores que protejan inmediatamente todos los dispositivos NetScaler ADC y Gateway contra los ataques en curso que explotan la vulnerabilidad CVE-2023-4966.

La compañía parcheó esta falla crítica de divulgación de información confidencial (rastreada como CVE-2023-4966) hace dos semanas, asignándole una calificación de gravedad de 9.4/10, ya que es explotable de forma remota por atacantes no autenticados en ataques de baja complejidad que no requieren la interacción del usuario.

Los dispositivos NetScaler deben configurarse como una puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o un servidor virtual AAA para ser vulnerables a los ataques.

Si bien la compañía no tenía evidencia de que la vulnerabilidad estuviera siendo explotada en la naturaleza cuando se lanzó la solución, Mandiant reveló la explotación en curso una semana después.

La compañía de ciberseguridad dijo que los actores de amenazas habían estado explotando CVE-2023-4966 como día cero desde finales de agosto de 2023 para robar sesiones de autenticación y secuestrar cuentas, lo que podría ayudar a los atacantes a eludir la autenticación multifactor u otros requisitos de autenticación fuertes.

Mandiant advirtió que las sesiones comprometidas persisten incluso después de la aplicación de parches y, dependiendo de los permisos de las cuentas comprometidas, los atacantes podrían moverse lateralmente a través de la red o comprometer otras cuentas.

Además, Mandiant encontró casos en los que se explotó CVE-2023-4966 para infiltrarse en la infraestructura de entidades gubernamentales y corporaciones tecnológicas.

Se insta a los administradores a proteger los sistemas contra los ataques en curso

"Ahora tenemos informes de incidentes consistentes con el secuestro de sesiones, y hemos recibido informes creíbles de ataques dirigidos que explotan esta vulnerabilidad", advirtió Citrix hoy.

"Si está utilizando compilaciones afectadas y ha configurado NetScaler ADC como una puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o como un servidor virtual AAA, le recomendamos encarecidamente que instale inmediatamente las compilaciones recomendadas porque esta vulnerabilidad se ha identificado como crítica".

Citrix agregó que "no puede proporcionar un análisis forense para determinar si un sistema puede haber sido comprometido".

Además, Citrix recomienda eliminar todas las sesiones activas y persistentes mediante los siguientes comandos:


Los dispositivos NetScaler ADC y NetScaler Gateway, cuando no están configurados como puertas de enlace (incluido el servidor virtual VPN, el proxy ICA, CVPN o el proxy RDP) o como servidores virtuales AAA (configuraciones típicas de equilibrio de carga, por ejemplo), no son vulnerables a los ataques CVE-2023-4966.

Esto también incluye productos como NetScaler Application Delivery Management (ADM) y Citrix SD-WAN, como confirmó Citrix.

El jueves pasado, CISA agregó CVE-2023-4966 a su Catálogo de Vulnerabilidades y Exploits Conocidos, ordenando a las agencias federales que protejan sus sistemas contra la explotación activa antes del 8 de noviembre.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Mientras miles de civiles mueren en medio de la mortífera guerra entre Israel y Hamas, los estafadores están aprovechando los horribles eventos para recolectar donaciones haciéndose pasar por organizaciones benéficas legítimas.

BleepingComputer se ha encontrado con varias publicaciones en X (anteriormente Twitter), Telegram e Instagram donde los estafadores enumeran direcciones dudosas de billeteras de criptomonedas y atraen a víctimas desprevenidas para que les envíen fondos.

Los investigadores también han detectado más de 500 correos electrónicos de "recaudación de fondos" enviados por entidades que afirman ser organizaciones benéficas.

Surgen estafas de donaciones de criptomonedas en Palestina en medio de la guerra entre Israel y Hamas

Varias cuentas en plataformas sociales, incluidas X, Telegram e Instagram, están atrayendo a las personas a hacer donaciones humanitarias para apoyar a las víctimas de la actual crisis en Oriente Medio.

Sin embargo, estas cuentas, que enumeran principalmente direcciones de billeteras criptográficas, tienen orígenes dudosos, no están respaldadas por una organización benéfica oficial y es muy probable que sean estafas.

Al igual que las anteriores estafas de donaciones de criptomonedas de las que hemos informado antes, durante la guerra ruso-ucraniana y tras los terremotos en Turquía, estas cuentas evocan emociones en los espectadores al publicar imágenes sangrientas de soldados, mujeres y niños heridos.

Un ejemplo con el que se encontró BleepingComputer fue una cuenta de "Gaza Relief Aid" en X, que utiliza el dominio No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y mantiene presencia en Telegram e Instagram:


El dominio, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta asociado con la cuenta, fue registrado el 15 de octubre y no está respaldado por ninguna organización benéfica establecida, contrariamente a su afirmación de ser "Una Iniciativa de Ayuda Islámica" que figura en el pie de página de la página.

La copia del sitio web, sin embargo, ha sido extraída del sitio web oficial de Islamic Relief.

También vale la pena señalar que, aparte de un puñado de "comunicados de prensa" que se distribuyen textualmente de agencias de noticias que informan sobre la guerra entre Israel y Hamas, e imágenes de víctimas heridas de guerra, el sitio web no tiene información con respecto a las personas detrás de él, la organización o un número de contacto asociado y una dirección física.


Los operadores detrás de esta cuenta han enumerado sus direcciones de Ethereum, Bitcoin y USDT en su sitio web y cuentas de redes sociales [1, 2] a las que se deben enviar los fondos.



Afortunadamente, BleepingComputer rastreó el historial de transacciones de las direcciones criptográficas y observó que aún no se habían enviado donaciones a ninguna de estas direcciones.

Además, observamos que la cuenta de Instagram @gazareliefaid ya no estaba disponible, después de haber sido probablemente suspendida por Meta (la empresa matriz de Instagram).

Algunas publicaciones en las redes sociales [1, 2] mostraban a un tercero afirmando que había donado los fondos, y a la persona que buscaba donaciones confirmando haberlos recibido, pero el historial de la billetera indicaba lo contrario. Es muy probable que esta sea una táctica empleada por cuentas sospechosas para dar más credibilidad a sus operaciones.

Por otro lado, también están circulando cuentas sospechosas que dicen apoyar a Israel y a las víctimas israelíes. Por ejemplo, BleepingComputer se encontró con una cuenta de 'Donar para Israel' en X [1, 2, 3]. La dirección de la billetera criptográfica asociada (0x4aC1Ea2e36fE3ab844E408DF30Ce45C8B985d8cd) una vez más muestra cero transacciones y los escasos datos asociados con la cuenta X arrojan dudas sobre su autenticidad.

Hay que tener en cuenta que ninguna de las cuentas de ejemplo que se muestran aquí está verificada para comprobar su autenticidad y, como tal, los usuarios deben tener cuidado al acercarse a tales afirmaciones en línea.

Los correos electrónicos falsos de recaudación de fondos se hacen pasar por organizaciones benéficas

La firma de ciberseguridad Kaspersky también compartió sus hallazgos con BleepingComputer la semana pasada.

Los investigadores del gigante de la seguridad informan haber visto más de 500 correos electrónicos fraudulentos, junto con sitios web fraudulentos diseñados para capitalizar la voluntad de las personas de ayudar a los afectados.

Estos correos electrónicos y sitios web fraudulentos, redactados en inglés, afirman buscar dominios "para los afectados de ambos lados".

El lenguaje emocional y las ayudas visuales utilizadas en estas comunicaciones son, una vez más, una táctica para atraer a los usuarios a visitar la estafa, donde se les pide que contribuyan, solo para perder su dinero.

Los sitios web vistos por los investigadores de Kaspersky admiten opciones fáciles de transferencia de dinero y aceptan una amplia gama de criptomonedas: Bitcoin, Ethereum, Tether y Litecoin. A continuación se muestra un ejemplo compartido por los investigadores.

Si bien Kaspersky no nombró el sitio web específico en cuestión, BleepingComputer pudo rastrearlo hasta un dominio No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, con el sitio web titulado 'Ayuda a la Sociedad Palestina'. El sitio web no estaba disponible en el momento de redactar este informe.


Usando las direcciones de las billeteras, los expertos de Kaspersky descubrieron páginas web fraudulentas adicionales que afirmaban recolectar ayuda para varios otros grupos en el área de conflicto.

"En estos correos electrónicos, los estafadores intentan crear múltiples variaciones de texto para evadir los filtros de spam", dijo Andrey Kovtun, experto en seguridad de Kaspersky, a BleepingComputer.

"Por ejemplo, usan varias frases de llamado a donar como 'llamamos a su compasión y benevolencia' o 'llamamos a su empatía y generosidad', y sustituyen palabras como 'ayuda' con sinónimos como 'apoyo', 'ayuda', etc. Además, alteran los enlaces y las direcciones de los remitentes".

Los investigadores de Kaspersky han advertido que este tipo de páginas fraudulentas pueden multiplicarse rápidamente simplemente modificando su diseño y dirigiéndose a grupos específicos de personas.

¿Cómo donar de forma segura?

Para evitar estafas, los investigadores instan a los espectadores a examinar las páginas a fondo antes de donar. Los sitios web falsos a menudo carecen de información esencial sobre los organizadores y destinatarios de organizaciones benéficas, documentación de legitimidad o carecen de transparencia con respecto al uso de los fondos.

En una sucinta publicación de blog, Larissa Bungo, abogada sénior de la Comisión Federal de Comercio de EE. UU. (FTC, por sus siglas en inglés), compartió varios consejos prácticos que pueden evitar que caiga en estafas. Uno de estos consejos incluye investigar la organización que está buscando donaciones:


El Servicio de Impuestos Internos (IRS, por sus siglas en inglés) ha emitido un aviso similar advirtiendo a las personas que no "cedan a la presión".

El gobierno del Reino Unido ha publicado una guía sobre cómo donar de forma segura, que incluye una lista de organizaciones benéficas legítimas como la Agencia de Obras Públicas y Socorro de las Naciones Unidas para Palestina (UNRWA) o la Cruz Roja Británica. La legitimidad de estas organizaciones benéficas se puede validar visitando el registro de organizaciones benéficas del gobierno.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta