Los desarrolladores de Free Download Manager (FDM) han publicado un script para comprobar si un dispositivo Linux fue infectado a través de un ataque a la cadena de suministro recientemente reportado.

Free Download Manager es un popular administrador de descargas multiplataforma que ofrece torrenting, proxy y descargas de video en línea a través de una interfaz fácil de usar.

La semana pasada, Kaspersky reveló que el sitio web del proyecto se vio comprometido en algún momento de 2020, redirigiendo a una parte de los usuarios de Linux que intentaron descargar el software a un sitio malicioso.

Este sitio lanzó un instalador FDM troyano para Linux que instalaba un ladrón de información Bash y una puerta trasera que establecía un shell inverso desde el servidor del atacante.

A pesar de que muchos usuarios informaron un comportamiento peculiar después de instalar el instalador malicioso, la infección permaneció sin ser detectada durante tres años hasta que se publicó el informe de Kaspersky.

Respuesta de Free Download Manager

Con el asunto ganando atención, FDM investigó y descubrió que los informes de Kaspersky y otros sobre el compromiso de su sitio habían sido ignorados debido a un error en su sistema de contacto.

"Parece que una página web específica en nuestro sitio fue comprometida por un grupo de hackers ucranianos, explotándola para distribuir software malicioso", explicó el anuncio de seguridad en el sitio de FDM.

"Solo un pequeño subconjunto de usuarios, específicamente aquellos que intentaron descargar FDM para Linux entre 2020 y 2022, fueron potencialmente expuestos".

"Curiosamente, esta vulnerabilidad se resolvió sin saberlo durante una actualización rutinaria del sitio en 2022".

Los desarrolladores dicen que el sitio fue violado a través de la vulnerabilidad del sitio web, lo que permitió a los atacantes introducir un código malicioso que cambió la página de descarga para un pequeño porcentaje de visitantes.

Hoy, FDM lanzó un script que escaneará computadoras Linux para verificar si estaban infectadas con el malware ladrón de información de esta campaña.

El script está disponible desde aquí, y ejecutarlo es un proceso de dos pasos desde un terminal:


Los usuarios deben tener en cuenta que el script del escáner solo identificará si el malware está instalado buscando la presencia de algunos archivos en el sistema, pero no los elimina.

Por lo tanto, si el escáner encuentra algo, los usuarios deben eliminar manualmente el malware o utilizar herramientas de seguridad adicionales para localizar y desarraigar los archivos de malware.

La acción recomendada de FDM es reinstalar el sistema.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Apple lanzó actualizaciones de seguridad de emergencia para parchear tres nuevas vulnerabilidades de día cero explotadas en ataques dirigidos a usuarios de iPhone y Mac, para un total de 16 días cero corregidos este año.

Se encontraron dos errores en el motor del navegador WebKit (CVE-2023-41993) y el marco de seguridad (CVE-2023-41991), lo que permite a los atacantes eludir la validación de firmas utilizando aplicaciones maliciosas u obtener la ejecución de código arbitrario a través de páginas web creadas con fines malintencionados.

Apple lanzó actualizaciones de seguridad de emergencia para parchear tres nuevas vulnerabilidades de día cero explotadas en ataques dirigidos a usuarios de iPhone y Mac, para un total de 16 días cero corregidos este año.

Se encontraron dos errores en el motor del navegador WebKit (CVE-2023-41993) y el marco de seguridad (CVE-2023-41991), lo que permite a los atacantes eludir la validación de firmas utilizando aplicaciones maliciosas u obtener la ejecución de código arbitrario a través de páginas web creadas con fines malintencionados.

Apple corrigió los tres errores de día cero en macOS 12.7 / 13.6, iOS 16.7 / 17.0.1, iPadOS 16.7 / 17.0.1 y watchOS 9.6.3 / 10.0.1 abordando un problema de validación de certificados y mediante comprobaciones mejoradas.

"Apple está al tanto de un informe de que este problema puede haber sido explotado activamente contra versiones de iOS anteriores a iOS 16.7", reveló la compañía en avisos de seguridad que describen las fallas de seguridad.

La lista de dispositivos afectados abarca modelos de dispositivos más antiguos y más nuevos, e incluye:

• iPhone 8 y versiones posteriores
• iPad mini 5.ª generación y posteriores
• Macs con macOS Monterey y versiones posteriores
• Apple Watch Series 4 y versiones posteriores

Los tres días cero fueron encontrados e informados por Bill Marczak del Citizen Lab de la Escuela Munk de la Universidad de Toronto y Maddie Stone del Grupo de Análisis de Amenazas de Google.

Si bien Apple aún no ha proporcionado detalles adicionales sobre la explotación de las fallas en la naturaleza, los investigadores de seguridad de Citizen Lab y Google Threat Analysis Group a menudo han revelado errores de día cero abusados en ataques de spyware dirigidos a personas de alto riesgo, incluidos periodistas, políticos de la oposición y disidentes.

Citizen Lab reveló otros dos días cero (CVE-2023-41061 y CVE-2023-41064), también corregidos por Apple en actualizaciones de seguridad de emergencia a principios de este mes y abusados como parte de una cadena de exploits de clic cero (denominada BLASTPASS) para infectar iPhones completamente parcheados con el spyware comercial Pegasus de NSO Group.

Desde principios de año, Apple también ha parcheado:

• dos días cero (CVE-2023-37450 y CVE-2023-38606) en julio
• tres días cero (CVE-2023-32434, CVE-2023-32435 y CVE-2023-32439) en junio
• tres días cero más (CVE-2023-32409, CVE-2023-28204 y CVE-2023-32373) en mayo
• dos días cero (CVE-2023-28206 y CVE-2023-28205) en abril
• y otro WebKit de día cero (CVE-2023-23529) en febrero

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un actor de amenazas previamente indocumentado apodado Sandman ha sido atribuido a un conjunto de ataques cibernéticos dirigidos a proveedores de koation de telecomunicaciones en el Medio Oriente, Europa Occidental y el subcontinente del sur de Asia.

En particular, las intrusiones aprovechan un compilador justo a tiempo (JIT) para el lenguaje de programación Lua conocido como LuaJIT como un vehículo para implementar un nuevo implante llamado LuaDream.

"Las actividades que observamos se caracterizan por un movimiento lateral estratégico a estaciones de trabajo específicas y un compromiso mínimo, lo que sugiere un enfoque deliberado destinado a lograr los objetivos establecidos y minimizar el riesgo de detección", dijo el investigador de seguridad de SentinelOne, Aleksandar Milenkoski, en un análisis publicado en colaboración con QGroup.

"La implementación de LuaDream indica un proyecto bien ejecutado, mantenido y desarrollado activamente de una escala considerable".

Ni la campaña ni sus tácticas se han correlacionado con ningún actor o grupo de amenazas conocido, aunque la evidencia disponible apunta a un adversario de espionaje cibernético con una inclinación por apuntar al sector de las telecomunicaciones en todas las geografías. Los ataques se observaron por primera vez durante varias semanas en agosto de 2023.

"La cadena de puesta en escena LuaDream está diseñada para evadir la detección y frustrar el análisis mientras se implementa el malware directamente en la memoria", explicó Milenkoski. "El proceso de implementación y puesta en escena de LuaDream aprovecha la plataforma LuaJIT, el compilador justo a tiempo para el lenguaje de scripting Lua. Esto es principalmente para hacer que el código malicioso del script Lua sea difícil de detectar".

Los artefactos de cadena contenidos en el código fuente del implante hacen referencia el 3 de junio de 2022, lo que indica que el trabajo preparatorio ha estado en marcha durante más de un año.

Se sospecha que LuaDream es una variante de una nueva cepa de malware conocida como DreamLand por Kaspersky en su informe de tendencias APT para el primer trimestre de 1, y la compañía rusa de ciberseguridad lo describe como empleando "el lenguaje de scripting Lua junto con su compilador Just-in-Time (JIT) para ejecutar código malicioso que es difícil de detectar".

El uso de Lua es algo raro en el panorama de amenazas, ya que se ha observado previamente en tres instancias diferentes desde 2012: Flame, Animal Farm (también conocido como SNOWGLOBE) y Project Sauron.


El modo exacto de acceso inicial sigue sin estar claro, pero se ha observado el robo de credenciales administrativas y la realización de reconocimientos para violar las estaciones de trabajo de interés y, en última instancia, entregar LuaDream.

Una puerta trasera modular y multiprotocolo con 13 componentes centrales y 21 de soporte, LuaDream está diseñada principalmente para filtrar información del sistema y del usuario, así como para administrar complementos proporcionados por el atacante que amplían sus características, como la ejecución de comandos. También cuenta con varias capacidades antidepuración para evadir la detección y frustrar el análisis.

La comunicación de comando y control (C2) se logra estableciendo contacto con un dominio llamado "mode.encagil[.] com" utilizando el protocolo WebSocket. Pero también puede escuchar conexiones entrantes a través de los protocolos TCP, HTTPS y QUIC.

Los módulos principales implementan todas las características mencionadas anteriormente, mientras que los componentes de soporte son responsables de aumentar las capacidades de la puerta trasera para esperar conexiones basadas en la API del servidor HTTP de Windows y ejecutar comandos.

"LuaDream se erige como una ilustración convincente de la innovación continua y los esfuerzos de avance que los actores de amenazas de ciberespionaje vierten en su arsenal de malware en constante evolución", dijo Milenkoski.

La revelación coincide con un informe paralelo de SentinelOne que detalla intrusiones estratégicas sostenidas por parte de actores de amenazas chinos en África, incluidos los dirigidos a los sectores de telecomunicaciones, finanzas y gobierno en África, como parte de grupos de actividad denominados BackdoorDiplomacy, Earth Estries y Operation Tainted Love.

El objetivo, dijo la compañía, es extender la influencia en todo el continente y aprovechar tales ofensivas como parte de su agenda de poder blando.

SentinelOne dijo que detectó un compromiso de una entidad de telecomunicaciones con sede en el norte de África por el mismo actor de amenazas detrás de la Operación Tainted Love, y agregó que el momento del ataque se alineó con las negociaciones privadas de la organización para una mayor expansión regional.

"Las intrusiones dirigidas por la APT BackdoorDiplomacy y el grupo de amenazas que orquesta la Operación Tainted Love indican una intención nivelada dirigida a apoyar [a China en sus esfuerzos para] dar forma a políticas y narrativas alineadas con sus ambiciones geoestratégicas, estableciéndose como una fuerza fundamental y definitoria en la evolución digital de África", dijo el investigador de seguridad Tom Hegel.

También se produce días después de que Cisco Talos revelara que los proveedores de servicios de telecomunicaciones en el Medio Oriente son el objetivo de un nuevo conjunto de intrusiones denominado ShroudedSnooper que emplea un conjunto de puertas traseras sigilosas llamadas HTTPSnoop y PipeSnoop.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de ciberseguridad han descubierto un nuevo lote de paquetes maliciosos en el registro de paquetes npm que están diseñados para filtrar configuraciones de Kubernetes y claves SSH de máquinas comprometidas a un servidor remoto.

Sonatype dijo que ha descubierto 14 paquetes npm diferentes hasta ahora: @am-fe/hooks, @am-fe/provider, @am-fe/request, @am-fe/utils, @am-fe/watermark, @am-fe/watermark-core, @dynamic-form-components/mui, @dynamic-form-components/shineout, @expue/app, @fixedwidthtable/fixedwidthtable, @soc-fe/use, @spgy/eslint-plugin-spgy-fe, @virtualsearchtable/virtualsearchtable y shineouts.

"Estos paquetes [...] intentar hacerse pasar por bibliotecas y componentes de JavaScript, como los complementos de ESLint y las herramientas del SDK de TypeScript", dijo la firma de seguridad de la cadena de suministro de software. "Pero, tras la instalación, se vieron múltiples versiones de los paquetes ejecutando código ofuscado para recopilar y desviar archivos confidenciales de la máquina de destino".

Junto con la configuración de Kubernetes y las claves SSH, los módulos también son capaces de recolectar metadatos del sistema como nombre de usuario, dirección IP y nombre de host, todos los cuales se transmiten a un dominio llamado app.threatest[.] .com.

La revelación se produce poco más de una semana después de que Sonatype detectara paquetes npm falsificados que explotan una técnica conocida como confusión de dependencia para hacerse pasar por paquetes internos supuestamente utilizados por PayPal Zettle y los desarrolladores de Airbnb como parte de un experimento de investigación ética.

Dicho esto, los actores de amenazas continúan apuntando a registros de código abierto como npm y PyPI con cryptojackers, infostealers y otro malware novedoso para comprometer los sistemas de los desarrolladores y, en última instancia, envenenar la cadena de suministro de software.

En un caso destacado por Phylum a principios de este mes, un módulo npm llamado hardhat-gas-report permaneció benigno durante más de ocho meses desde el 6 de enero de 2023, antes de recibir dos actualizaciones consecutivas el 1 de septiembre de 2023, para incluir JavaScript malicioso capaz de exfiltrar claves privadas de Ethereum copiadas al portapapeles a un servidor remoto.

"Este enfoque dirigido indica una comprensión sofisticada de la seguridad de las criptomonedas y sugiere que el atacante tiene como objetivo capturar y filtrar claves criptográficas sensibles para el acceso no autorizado a billeteras Ethereum u otros activos digitales seguros", dijo la compañía.

Otro caso de un intento de ataque a la cadena de suministro involucró un astuto paquete npm llamado gcc-patch que se descubrió que se hacía pasar por un compilador GCC a medida, pero en realidad albergaba un minero de criptomonedas que "aprovecha encubiertamente el poder computacional de desarrolladores inocentes, con el objetivo de obtener ganancias a su costa".

Pero en una señal de que tales amenazas se están volviendo demasiado frecuentes, una campaña similar de cryptojacking dirigida a PyPI aprovechó un paquete fraudulento de Python llamado culturestreak para secuestrar recursos del sistema y extraer la criptomoneda Dero descargando una carga útil de un repositorio de GitLab, según Checkmarx.

Además, tales campañas se han diversificado para abarcar los ecosistemas Javascript (npm), Python (PyPI) y Ruby (RubyGems), con actores de amenazas que cargan varios paquetes con capacidades de recopilación y exfiltración de datos y lo siguen publicando nuevas versiones que llevan cargas útiles maliciosas.

La campaña se dirige específicamente a los usuarios de Apple macOS, lo que indica que el malware en los repositorios de paquetes de código abierto no solo se está volviendo cada vez más frecuente, sino que también está señalando otros sistemas operativos más allá de Windows.

"El autor de estos paquetes está organizando una amplia campaña contra los desarrolladores de software", señaló Phylum en un análisis. "El objetivo final de esta campaña sigue sin estar claro".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Freecycle, un foro en línea dedicado a intercambiar artículos usados en lugar de tirarlos a la basura, confirmó una violación masiva de datos que afectó a más de 7 millones de usuarios.

La organización sin fines de lucro dice que descubrió la violación el miércoles, semanas después de que un actor de amenazas pusiera a la venta los datos robados en un foro de piratería el 30 de mayo, advirtiendo a las personas afectadas que cambiaran las contraseñas de inmediato.

La información robada incluye nombres de usuario, ID de usuario, direcciones de correo electrónico y contraseñas con hash MD5, sin otra información expuesta, según Freecycle.

A partir de capturas de pantalla compartidas por el actor de amenazas que está vendiendo la información robada, las credenciales del fundador y director ejecutivo de Freecycle, Deron Beal, fueron robadas en el incidente, lo que le dio al actor de amenazas acceso completo a la información de los miembros y las publicaciones en el foro.

"El 30 de agosto nos dimos cuenta de una violación de datos en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Como resultado, estamos aconsejando a todos los miembros que cambien sus contraseñas lo antes posible", advirtió Beal en una notificación agregada a la página de inicio.

"Pedimos disculpas por las molestias y le pedimos que vea este espacio para más antecedentes pendientes".


También se aconsejó a aquellos que usaban las mismas credenciales en otros servicios en línea que las cambiaran para evitar violaciones de cuentas.

Para restablecer tu contraseña de Freecycle, puedes usar uno de estos dos métodos:

• Desde la configuración de su perfil y desplazándose hacia abajo hasta la sección Restablecimiento de contraseña
• Desde la página de restablecimiento de contraseña por correo electrónico

Los usuarios deben ser conscientes de los retrasos (hasta una hora) que afectan el proceso de restablecimiento de contraseña por correo electrónico porque el "sistema de correo electrónico de Freecycle está muy ocupado en este momento".

Después de enterarse de la violación de datos, Freecycle dijo que también informó el incidente a las autoridades correspondientes.

"Si bien la mayoría de los proveedores de correo electrónico hacen un buen trabajo filtrando el spam, puede notar que recibe más spam de lo habitual", se advirtió a los usuarios.

"Como siempre, manténgase atento a los correos electrónicos de phishing, evite hacer clic en los enlaces de los correos electrónicos y no descargue archivos adjuntos a menos que los esté esperando".

Freecycle cuenta con una base de usuarios que comprende casi 11 millones de miembros de más de 5,300 ciudades locales en todo el mundo.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una vulnerabilidad de día cero de Atlas VPN que afecta al cliente Linux filtra la dirección IP real de un usuario simplemente visitando un sitio web.

Atlas VPN es un producto VPN que ofrece una solución rentable basada en WireGuard y es compatible con los principales sistemas operativos.

En un exploit de prueba de concepto compartido en Reddit, un investigador describe cómo el cliente Linux de Atlas VPN, específicamente la última versión, 1.0.3, tiene un punto final API que escucha en localhost (127.0.0.1) a través del puerto 8076.

Esta API ofrece una interfaz de línea de comandos (CLI) para realizar diversas acciones, como desconectar una sesión VPN mediante la URL No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Sin embargo, esta API no realiza ninguna autenticación, lo que permite a cualquiera emitir comandos a la CLI, incluso a un sitio web que está visitando.

La API VPN de Atlas conduce a un exploit de día cero

Un usuario de Reddit llamado 'Educational-Map-8145' publicó un exploit PoC en Reddit que abusa de la API de Atlas VPN Linux para revelar las direcciones IP reales de un usuario.

Esta PoC crea un formulario oculto que JavaScript envía automáticamente para conectarse a la URL del punto de enlace de la No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cuando se accede a este punto de enlace de API, finaliza automáticamente cualquier sesión activa de Atlas VPN que oculte la dirección IP de un usuario.

Una vez que se desconecta la conexión VPN, la PoC se conectará a la URL para registrar la dirección IP real del No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Esta es una violación grave de la privacidad para cualquier usuario de VPN, ya que expone su ubicación física aproximada y su dirección IP real, lo que les permite ser rastreados y anular una de las razones principales para usar un proveedor de VPN.

El ingeniero de ciberseguridad de Amazon, Chris Partridge, probó y confirmó el exploit, creando el siguiente video para demostrar que se puede aprovechar para revelar una dirección IP.

Partridge explicó además que la PoC evita las protecciones CORS (Cross-Origin Resource Sharing) existentes en los navegadores web porque las solicitudes se envían a la API de Atlas VPN como envíos de formularios.

"Las presentaciones de formularios están exentas de CORS por razones de legado / compatibilidad, se consideran una 'solicitud simple' por la especificación de CORS", dijo Partridge a BleepingComputer.

Normalmente, CORS bloquearía las solicitudes realizadas por scripts en páginas web a dominios diferentes al dominio de origen. En el caso de este exploit, serían las solicitudes realizadas por cualquier sitio web al localhost de un visitante en "No tienes permitido ver los links. Registrarse o Entrar a mi cuenta".

Sin embargo, Partridge explicó a BleepingComputer que el uso de un formulario para "omitir" CORS no permitiría que un sitio web vea ninguna respuesta del envío del formulario.

Sin embargo, en este caso, la respuesta no es necesaria, ya que el envío del formulario simplemente se utiliza para acceder a la URL para desconectar la conexión VPN de Atlas en Linux.

"Se supone que los formularios ya deberían protegerse contra el CSRF. Lo cual, como podemos ver hoy, no es una buena suposición y ha llevado a algunas consecuencias no deseadas", advirtió Partridge.

Solución próximamente en el próximo parche

El usuario de Reddit afirma que se puso en contacto con Atlas VPN sobre el problema, pero fue ignorado, y dado que la compañía no tenía un programa de recompensas de errores, la divulgación pública era la única opción lógica que quedaba.

Atlas VPN finalmente respondió al problema cuatro días después de la divulgación, disculpándose con el reportero y prometiendo lanzar una solución para su cliente Linux lo antes posible. Además, los usuarios de Linux serán notificados cuando la actualización esté disponible.

En respuesta a nuestra solicitud de comentarios, un portavoz de Atlas VPN ha enviado lo siguiente:

"Somos conscientes de la vulnerabilidad de seguridad que afecta a nuestro cliente Linux. Nos tomamos muy en serio la seguridad y la privacidad del usuario. Por lo tanto, estamos trabajando activamente para solucionarlo lo antes posible. Una vez resuelto, nuestros usuarios recibirán un mensaje para actualizar su aplicación Linux a la última versión.

La vulnerabilidad afecta al cliente Linux VPN Atlas versión 1.0.3. Como afirmó el investigador, debido a la vulnerabilidad, la aplicación y, por lo tanto, el tráfico cifrado entre un usuario y la puerta de enlace VPN pueden ser desconectados por un actor malicioso. Esto podría conducir a la divulgación de la dirección IP del usuario.

Apreciamos enormemente el papel vital de los investigadores de ciberseguridad en la identificación y el tratamiento de fallas de seguridad en los sistemas, lo que ayuda a protegerse contra posibles ataques cibernéticos, y les agradecemos por llamar nuestra atención sobre esta vulnerabilidad. Implementaremos más controles de seguridad en el proceso de desarrollo para evitar tales vulnerabilidades en el futuro. Si alguien se encuentra con cualquier otra amenaza potencial relacionada con nuestro servicio, póngase en contacto con nosotros a través de security@Atlas No tienes permitido ver los links. Registrarse o Entrar a mi cuenta." - Atlas VPN.

Dada la naturaleza crítica de esta vulnerabilidad de día cero, que sigue siendo explotable hasta que se lance un parche, se recomienda encarecidamente a los usuarios de clientes Linux que tomen precauciones inmediatas, incluida la consideración de una solución VPN alternativa.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una versión actualizada de un cargador de malware conocido como BLISTER se está utilizando como parte de las cadenas de infección SocGholish para distribuir un marco de comando y control (C2) de código abierto llamado Mythic.

"La nueva actualización de BLISTER incluye una función de clave que permite una orientación precisa de las redes de las víctimas y reduce la exposición dentro de los entornos de VM / sandbox", dijeron los investigadores de Elastic Security Labs Salim Bitam y Daniel Stepanic en un informe técnico publicado a fines del mes pasado.

BLISTER fue descubierto por primera vez por la compañía en diciembre de 2021 actuando como un conducto para distribuir cargas útiles de Cobalt Strike y BitRAT en sistemas comprometidos.

El uso del malware junto con SocGholish (también conocido como FakeUpdates), un malware de descarga basado en JavaScript, para entregar Mythic fue revelado previamente por Palo Alto Networks Unit 42 en julio de 2023.

En estos ataques, BLISTER está incrustado dentro de una biblioteca legítima de VLC Media Player en un intento de sortear el software de seguridad e infiltrarse en los entornos de las víctimas.

Tanto SocGholish como BLISTER se han utilizado en tándem como parte de varias campañas, y este último se ha utilizado como cargador de segunda etapa para distribuir Cobalt Strike y LockBit ransomware, como lo demostraron Red Canary y Trend Micro a principios de 2022.

Un análisis más detallado del malware muestra que se está manteniendo activamente, con los autores de malware incorporando una serie de técnicas para volar bajo el radar y complicar el análisis.

"BLISTER es un cargador que continúa bajo el radar, siendo utilizado activamente para cargar una variedad de malware, incluidos clipbankers, ladrones de información, troyanos, ransomware y shellcode", señaló Elastic en abril de 2023.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las industrias bancarias y logísticas están bajo el ataque de una variante reelaborada de un malware llamado Chaes.

"Ha sufrido revisiones importantes: desde ser reescrito completamente en Python, lo que resultó en tasas de detección más bajas por parte de los sistemas de defensa tradicionales, hasta un rediseño integral y un protocolo de comunicación mejorado", dijo Morphisec en un nuevo artículo técnico detallado compartido con The Hacker News.

Chaes, que surgió por primera vez en 2020, es conocido por apuntar a clientes de comercio electrónico en América Latina, particularmente Brasil, para robar información financiera confidencial.

Un análisis posterior de Avast a principios de 2022 encontró que los actores de amenazas detrás de la operación, que se hacen llamar Lucifer, habían violado más de 800 sitios web de WordPress para entregar Chaes a los usuarios de Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre y Mercado Pago.

Se detectaron más actualizaciones en diciembre de 2022, cuando la empresa brasileña de ciberseguridad Tempest Security Intelligence descubrió el uso del malware de Instrumental de administración de Windows (WMI) en su cadena de infección para facilitar la recopilación de metadatos del sistema, como BIOS, procesador, tamaño de disco e información de memoria.

La última iteración del malware, denominada Chae$ 4 en referencia a los mensajes de registro de depuración presentes en el código fuente, incluye "transformaciones y mejoras significativas", incluido un catálogo ampliado de servicios destinados al robo de credenciales, así como funcionalidades de clipper.

A pesar de los cambios en la arquitectura de malware, el mecanismo de entrega general se ha mantenido igual en los ataques que se identificaron en enero de 2023.


Las víctimas potenciales que llegan a uno de los sitios web comprometidos son recibidas por un mensaje emergente que les pide que descarguen un instalador para Java Runtime o una solución antivirus, lo que desencadena el despliegue de un archivo MSI malicioso que, a su vez, lanza un módulo orquestador primario conocido como ChaesCore.

El componente es responsable de establecer un canal de comunicación con el servidor de comando y control (C2) desde donde obtiene módulos adicionales que admiten la actividad posterior al compromiso y el robo de datos.

• Init, que recopila amplia información sobre el sistema
• En línea, que actúa como una baliza para transmitir un mensaje al atacante de que el malware se está ejecutando en la máquina
• Chronod, que roba las credenciales de inicio de sesión ingresadas en los navegadores web e intercepta las transferencias de pago BTC, ETH y PIX
• Appita, un módulo con características similares a las de Chronod pero diseñado específicamente para apuntar a la aplicación de escritorio del Itaú Unibanco ("itauaplicativo.exe")
• Chrautos, una versión actualizada de Chronod y Appita que se enfoca en recopilar datos de Mercado Libre, Mercado Pago y WhatsApp
• Stealer, una variante mejorada de Chrolog que saquea datos de tarjetas de crédito, cookies, autocompletar y otra información almacenada en navegadores web, y
• File Uploader, que carga datos relacionados con la extensión de Chrome de MetaMask

La persistencia en el host se logra mediante una tarea programada, mientras que las comunicaciones C2 implican el uso de WebSockets, con el implante ejecutándose en un bucle infinito para esperar más instrucciones del servidor remoto.

La focalización de las transferencias de criptomonedas y los pagos instantáneos a través de la plataforma PIX de Brasil es una adición notable que subraya las motivaciones financieras de los actores de amenazas.

"El módulo Chronod introduce otro componente utilizado en el marco, un componente llamado Module Packer", explicó Morphisec. "Este componente proporciona al módulo sus propios mecanismos de persistencia y migración, que funcionan de manera muy similar a los de ChaesCore".

Este método implica alterar todos los archivos de acceso directo (LNK) asociados con los navegadores web (por ejemplo, Google Chrome, Microsoft Edge, Brave y Avast Secure Browser) para ejecutar el módulo Chronod en lugar del navegador real.

"El malware utiliza el protocolo DevTools de Google para conectarse a la instancia actual del navegador", dijo la compañía. "Este protocolo permite la comunicación directa con la funcionalidad del navegador interno a través de WebSockets".

"La amplia gama de capacidades expuestas por este protocolo permite al atacante ejecutar scripts, interceptar solicitudes de red, leer cuerpos POST antes de ser cifrados y mucho más".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una nueva operación motivada financieramente está aprovechando un bot malicioso de Telegram para ayudar a los actores de amenazas a estafar a sus víctimas.

Apodado Telekopye, un acrónimo de Telegram y kopye (que significa "lanza" en ruso), el kit de herramientas funciona como un medio automatizado para crear una página web de phishing a partir de una plantilla prefabricada y enviar la URL a víctimas potenciales, con nombre en código Mammoths por los delincuentes.

"Este kit de herramientas se implementa como un bot de Telegram que, cuando se activa, proporciona varios menús fáciles de navegar en forma de botones en los que se puede hacer clic que pueden acomodar a muchos estafadores a la vez", dijo el investigador de ESET, Radek Jizba, en un informe compartido con The Hacker News.

Los orígenes exactos de los actores de amenazas, apodados neandertales, no están claros, pero la evidencia apunta a Rusia como el país de origen de los autores y usuarios del kit de herramientas, debido al uso de plantillas de SMS rusas y al hecho de que la mayoría de los mercados en línea específicos son populares en el país.

Se han detectado múltiples versiones de Telekopye hasta la fecha, la más temprana data de 2015, lo que sugiere que se está manteniendo y utilizando activamente durante varios años.

Las cadenas de ataque proceden así: los neandertales encuentran a sus mamuts y tratan de establecer una relación con ellos, antes de enviar un enlace falso creado utilizando el kit de phishing Telekopye por correo electrónico, SMS o un mensaje directo.

Una vez que se ingresan los detalles de pago en la pasarela de tarjeta de crédito / débito falsa, la información se utiliza para desviar fondos de la víctima, que luego se lavan a través de criptomonedas.

Telekopye tiene todas las funciones, lo que permite a sus usuarios enviar correos electrónicos de phishing, generar páginas web, enviar mensajes SMS, crear códigos QR y crear imágenes convincentes y capturas de pantalla de cheques y recibos.

Los dominios de phishing utilizados para alojar las páginas se registran de tal manera que la URL final comienza con el nombre de marca esperado: cdek.id7423[.] ru, olx.id7423[.] ru y sbazar.id7423[.] ru -- en un esfuerzo por hacerlos difíciles de detectar.

Un aspecto notable de la operación es la naturaleza centralizada de los pagos. En lugar de transferir el dinero robado de los mamuts a sus propias cuentas, se canaliza a una cuenta compartida administrada por el administrador de Telekopye, lo que le da al equipo central una supervisión de las operaciones de cada neandertal.


En otras palabras, los neandertales son pagados por el administrador de Telekopye después de solicitar un pago a través del kit de herramientas en sí, pero no antes de que una parte de él se tome como comisión para el propietario de la plataforma y el recomendador.

"Telekopye verifica el saldo del neandertal, la solicitud final es aprobada por el administrador de Telekopye y, finalmente, los fondos se transfieren a la billetera de criptomonedas del neandertal", dijo Jizba.

"En algunas implementaciones de Telekopye, el primer paso, pedir un pago, se automatiza y la negociación se inicia cada vez que un neandertal alcanza un cierto umbral de dinero robado por estafas realizadas con éxito".

En lo que es una señal más de la profesionalización de la empresa criminal, los usuarios y operadores de Telekopye están organizados en una jerarquía clara que abarca roles como administradores, moderadores, buenos trabajadores (o bots de soporte), trabajadores y bloqueados.

• Bloqueado: Usuarios a los que se les prohíbe usar Telekopye por infringir las reglas del proyecto.
• Trabajadores: Un papel común asignado a todos los nuevos neandertales.
• Buenos trabajadores: Una actualización del rol de trabajador con un pago mayor y tarifas de comisión más bajas.
• Moderadores: usuarios que pueden promover y degradar a otros miembros y aprobar nuevos miembros, pero no pueden modificar la configuración del kit de herramientas.
• Administradores: usuarios con los privilegios más altos que pueden agregar plantillas de páginas web de phishing y alterar las tasas de pago.

"La forma más fácil de saber si estás siendo atacado por un neandertal que intenta robar tu dinero es mirando el lenguaje utilizado", dijo Jizba. "Insista en el intercambio de dinero y bienes en persona siempre que sea posible cuando se trate de bienes de segunda mano en los mercados en línea. Evite enviar dinero a menos que esté seguro de dónde irá".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Oficina Federal de Investigaciones (FBI) de Estados Unidos advierte que los dispositivos Email Security Gateway (ESG) de Barracuda Networks parcheados contra una falla crítica recientemente revelada continúan en riesgo de un posible compromiso por parte de presuntos grupos de piratería chinos.

También consideró las correcciones como "ineficaces" y que "continúa observando intrusiones activas y considera que todos los dispositivos Barracuda ESG afectados están comprometidos y son vulnerables a este exploit".

Rastreado como CVE-2023-2868 (puntuación CVSS: 9.8 ), se dice que el error de día cero se armó ya en octubre de 2022, más de siete meses antes de que se tapara el agujero de seguridad. Mandiant, propiedad de Google, está rastreando el clúster de actividad del nexo entre China bajo el nombre UNC4841.

La vulnerabilidad de inyección remota de comandos, que afecta a las versiones 5.1.3.001 a 9.2.0.006, permite la ejecución no autorizada de comandos del sistema con privilegios de administrador en el producto ESG.

En los ataques observados hasta ahora, una violación exitosa actúa como un conducto para desplegar múltiples cepas de malware como SALTWATER, SEASIDE, SEASPY, SANDBAR, SEASPRAY, SKIPJACK, WHIRLPOOL y SUBMARINE (también conocido como DEPTHCHARGE) que permiten la ejecución de comandos arbitrarios y la evasión de defensa.


"Los actores cibernéticos utilizaron esta vulnerabilidad para insertar cargas maliciosas en el dispositivo ESG con una variedad de capacidades que permitieron el acceso persistente, el escaneo de correo electrónico, la recolección de credenciales y la exfiltración de datos", dijo el FBI.

La firma de inteligencia de amenazas ha caracterizado a UNC4841 como agresivo y hábil, demostrando un don para la sofisticación y adaptando rápidamente sus herramientas personalizadas para emplear mecanismos de persistencia adicionales y mantener su punto de apoyo en objetivos de alta prioridad.

La agencia federal recomienda a los clientes que aíslen y reemplacen todos los dispositivos ESG afectados con efecto inmediato, y escaneen las redes en busca de tráfico saliente sospechoso.

Actualizar

Cuando se contactó para hacer comentarios, Barracuda Networks compartió la siguiente declaración con The Hacker News:

La orientación de Barracuda sigue siendo consistente para los clientes. Por precaución y para promover nuestra estrategia de contención, recomendamos que los clientes afectados reemplacen su electrodoméstico comprometido. Si un cliente recibió la notificación de la interfaz de usuario o ha sido contactado por un representante de soporte técnico de Barracuda, el cliente debe comunicarse con support@barracuda[.] com para reemplazar el dispositivo ESG. Barracuda está proporcionando el producto de reemplazo a los clientes afectados sin costo alguno.

Hemos notificado a los clientes afectados por este incidente. Si un dispositivo ESG muestra una notificación en la interfaz de usuario, el dispositivo ESG tenía indicadores de compromiso. Si no se muestra ninguna notificación, no tenemos ninguna razón para creer que el dispositivo se haya visto comprometido en este momento. Una vez más, solo un subconjunto de dispositivos ESG se vio afectado por este incidente.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha identificado un nuevo grupo de piratería que ahora rastrea como Flax Typhoon que reúne a agencias gubernamentales y organizaciones educativas, de fabricación crítica y de tecnología de la información probablemente con fines de espionaje.

El actor de amenazas no depende mucho del malware para obtener y mantener el acceso a la red de la víctima y prefiere usar principalmente componentes ya disponibles en el sistema operativo, los llamados binarios que viven fuera de la tierra o LOLBins, y software legítimo.

Operando desde al menos mediados de 2021, Flax Typhoon se dirigió principalmente a organizaciones en Taiwán, aunque Microsoft descubrió algunas víctimas en el sudeste asiático, América del Norte y África.

TTP del tifón del lino observado

En la campaña observada por Microsoft, Flax Typhoon obtuvo acceso inicial explotando vulnerabilidades conocidas en servidores públicos, incluyendo VPN, web, Java y aplicaciones SQL.

Los hackers lanzaron China Chopper, un shell web pequeño (4KB) pero potente que proporciona capacidades de ejecución remota de código.

Si es necesario, los piratas informáticos elevan sus privilegios al nivel de administrador utilizando las herramientas de código abierto 'Juicy Potato' y 'BadPotato' disponibles públicamente que explotan vulnerabilidades conocidas para obtener permisos más altos.

A continuación, Flax Typhoon establece la persistencia desactivando la autenticación a nivel de red (NLA) a través de modificaciones en el registro y explotando la característica de accesibilidad Windows Sticky Keys para configurar una conexión RDP (Protocolo de escritorio remoto).

"Flax Typhoon puede acceder al sistema comprometido a través de RDP, usar el acceso directo Sticky Keys en la pantalla de inicio de sesión y acceder al Administrador de tareas con privilegios del sistema local", explica Microsoft.

"A partir de ahí, el actor puede iniciar la Terminal, crear volcados de memoria y realizar casi cualquier otra acción en el sistema comprometido".


Para eludir las restricciones de conectividad RDP de RDP a la red interna, Flax Typhoon instala un puente VPN (red privada virtual) legítimo para mantener el enlace entre el sistema comprometido y su servidor externo.

Los piratas informáticos descargan el cliente VPN SoftEther de código abierto utilizando LOLBins como PowerShell Invoke-WebRequest utility, certutil o bitsadmin, y abusan de varias herramientas integradas de Windows para configurar la aplicación VPN para que se inicie automáticamente al iniciar el sistema.


Para minimizar el riesgo de detección, los atacantes lo renombran a 'conhost.exe' o 'dllhost.exe', enmascarándolo así como un componente legítimo de Windows.

Además, Flax Typhoon utiliza el modo VPN sobre HTTPS de SoftEther para ocultar el tráfico VPN como tráfico HTTPS estándar.

Microsoft dice que los piratas informáticos utilizan Windows Remote Management (WinRM), WMIC y otros LOLBins para el movimiento lateral.

Los investigadores dicen que este adversario con sede en China utiliza con frecuencia la herramienta Mimikatz para extraer credenciales de la memoria de proceso del Servicio de Subsistema de Autoridad de Seguridad (LSASS) ocal y el subárbol de registro del Administrador de cuentas de seguridad (SAM).

Microsoft no ha observado que Flax Typhoon use las credenciales robadas para extraer datos adicionales, lo que hace que el objetivo principal del actor no esté claro en este momento.

Protección

Microsoft recomienda que las organizaciones apliquen las actualizaciones de seguridad más recientes a los puntos de conexión expuestos a Internet y a los servidores públicos, y la autenticación multifactor (MFA) debe estar habilitada en todas las cuentas.

Además, el monitoreo del registro podría ayudar a detectar intentos de modificación y cambios no autorizados como los realizados por Flax Typhoon para deshabilitar NLA.

Las organizaciones que sospechan una violación de este actor de amenazas en particular necesitan examinar a fondo sus redes, ya que los largos períodos de permanencia de Flax Typhoon permiten comprometer múltiples cuentas y alterar la configuración del sistema para el acceso a largo plazo.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

MSI ha confirmado oficialmente la reciente oleada de pantallas azules de la muerte (BSOD) encontradas por los usuarios de Windows después de instalar las actualizaciones de vista previa opcionales de esta semana está vinculada a algunos de sus modelos de placas base.

"MSI ha recibido varios informes de usuarios que se encuentran con una pantalla azul de la muerte que tiene un mensaje de error que dice 'UNSUPPORTED_PROCESSOR' con las placas base de la serie 600/700 de MSI después de instalar la actualización de Windows 11, KB5029351 Preview", dijo la compañía.

"Tanto MSI como Microsoft son conscientes del error 'UNSUPPORTED_PROCESSOR' y han comenzado a investigar la causa raíz".

El proveedor taiwanés de PC también ha aconsejado a todos los usuarios que eviten instalar las actualizaciones de vista previa de agosto de 2023 en sistemas Windows por ahora.

Aquellos que ya han actualizado sus sistemas y se han visto afectados por las pantallas azules deben revertir su BIOS a una versión anterior y desinstalar las actualizaciones opcionales de Windows.

MSI proporciona información detallada en este video sobre el uso de M-FLASH para volver a versiones anteriores del BIOS en las placas base MSI.


Microsoft también reconoció este problema conocido el miércoles, diciendo que las plataformas afectadas incluyen Windows 10 21H2 / 22H2 y Windows 11 22H2.

"Microsoft ha recibido informes de un problema en el que los usuarios reciben un mensaje de error 'UNSUPPORTED_PROCESSOR' en una pantalla azul después de instalar las actualizaciones lanzadas el 2 de agosto", dijo la compañía.

Redmond agregó que las actualizaciones opcionales con errores "podrían desinstalarse automáticamente para permitir que Windows se inicie como se esperaba".

Esto fue confirmado por varios clientes [1, 2] que dijeron que las actualizaciones problemáticas se revirtieron automáticamente después de varios reinicios del sistema.

Microsoft pidió a los usuarios afectados que han encontrado problemas de BSOD que presenten un informe mediante el Centro de opiniones.

Esta semana, Microsoft también presentó una nueva política de Windows 11 que otorga a los administradores un mejor control sobre la entrega de actualizaciones mensuales de vista previa no relacionadas con la seguridad en dispositivos empresariales.

Tras la activación, los usuarios pueden elegir entre instalar automáticamente actualizaciones opcionales o seleccionar manualmente las actualizaciones que desean instalar.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las empresas de alojamiento danesas CloudNordic y AzeroCloud han sufrido ataques de ransomware, causando la pérdida de la mayoría de los datos de los clientes y obligando a los proveedores de alojamiento a cerrar todos los sistemas, incluidos los sitios web, el correo electrónico y los sitios de los clientes.

Las dos marcas pertenecen a la misma compañía y declararon que el ataque se desarrolló el viernes pasado por la noche. Sin embargo, el estado operativo actual sigue siendo muy problemático, ya que los equipos de TI de la empresa solo logran restaurar algunos servidores sin ningún dato.

Además, la declaración de la firma aclara que no pagará un rescate a los actores de amenazas y ya se ha comprometido con expertos en seguridad e informó el incidente a la policía.

Desafortunadamente, el sistema y el proceso de restauración de datos no va bien, y CloudNordic dice que muchos de sus clientes han perdido datos que parecen irrecuperables.

"Dado que no podemos ni deseamos satisfacer las demandas financieras de los hackers criminales por un rescate, el equipo de TI de CloudNordic y expertos externos han estado trabajando intensamente para evaluar el daño y determinar qué podría recuperarse", se lee en la declaración de CloudNordic.

"Lamentablemente, ha sido imposible recuperar más datos y, en consecuencia, la mayoría de nuestros clientes han perdido todos sus datos con nosotros".

Ambos avisos públicos incluyen instrucciones sobre cómo recuperar sitios web y servicios de copias de seguridad locales o archivos de Wayback Machine.

Dada la situación, los dos proveedores de servicios de alojamiento recomendaron previamente que los clientes más afectados se mudaran a otros proveedores, como Powernet y Nordicway.

Golpear en el momento adecuado

Las declaraciones de la empresa de alojamiento revelaron que algunos de los servidores de la empresa habían sido infectados por ransomware a pesar de estar protegidos por firewalls y antivirus.

Durante una migración del centro de datos, esos servidores se conectaron a la red más amplia, lo que permitió a los atacantes acceder a sistemas administrativos críticos, todos los silos de almacenamiento de datos y todos los sistemas de respaldo.

A continuación, los atacantes cifraron todos los discos del servidor, incluidas las copias de seguridad primarias y secundarias, corrompiendo todo sin dejar una oportunidad de recuperación.

CloudNordic dice que el ataque se limitó a cifrar datos, y la evidencia recopilada no indica que se haya accedido o exfiltrado ningún dato en las máquinas. Dicho esto, no hay evidencia de una violación de datos.

Los medios daneses informan que los ataques han afectado a "varios cientos de empresas danesas" que perdieron todo lo que almacenaban en la nube, incluidos sitios web, bandejas de entrada de correo electrónico, documentos, etc.

Martin Haslund Johansson, director de Azerocloud y CloudNordic, declaró que no espera que los clientes se queden con ellos cuando finalmente se complete la recuperación.

Apuntar a los proveedores de alojamiento es una táctica utilizada por las bandas de ransomware en el pasado, ya que causa daños a gran escala y crea muchas víctimas en un solo ataque.

Debido al número de víctimas, los proveedores estarán bajo mucha presión para pagar un rescate para restaurar sus operaciones y potencialmente evitar demandas de clientes que perdieron sus datos.

En 2017, un ataque similar llevó a un proveedor de alojamiento de Corea del Sur a pagar una demanda de ransomware de $ 1 millón para recuperar los datos de sus clientes.

Más recientemente, Rackspace sufrió un ataque de ransomware Play en sus servicios alojados de Microsoft Exchange que provocó interrupciones de correo electrónico para muchos de sus clientes.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los datos de 2,6 millones de usuarios de DuoLingo se filtraron en un foro de piratería, lo que permitió a los actores de amenazas realizar ataques de phishing dirigidos utilizando la información expuesta.

Duolingo es uno de los sitios de aprendizaje de idiomas más grandes del mundo, con más de 74 millones de usuarios mensuales en todo el mundo.

En enero de 2023, alguien estaba vendiendo los datos de 2.6 millones de usuarios de DuoLingo en el foro de piratería Breach, ahora cerrado, por $ 1,500.

Estos datos incluyen una combinación de inicio de sesión público y nombres reales, e información no pública, incluidas direcciones de correo electrónico e información interna relacionada con el servicio DuoLingo.

Si bien el nombre real y el nombre de inicio de sesión están disponibles públicamente como parte del perfil de Duolingo de un usuario, las direcciones de correo electrónico son más preocupantes, ya que permiten que estos datos públicos se utilicen en ataques.


Cuando los datos estaban a la venta, DuoLingo confirmó a TheRecord que fueron eliminados de la información del perfil público y que estaban investigando si se debían tomar más precauciones.

Sin embargo, Duolingo no abordó el hecho de que las direcciones de correo electrónico también figuraban en los datos, lo que no es información pública.

Como fue descubierto por primera vez por VX-Underground, el conjunto de datos de 2.6 millones de usuarios raspados se lanzó ayer en una nueva versión del foro de piratería Breached por 8 créditos del sitio, por un valor de solo $ 2.13.

"Hoy he subido el Duolingo Scrape para que lo descargues, ¡gracias por leer y disfrutar!", se lee en una publicación en el foro de piratería.


Estos datos se extrajeron utilizando una interfaz de programación de aplicaciones (API) expuesta que se ha compartido abiertamente desde al menos marzo de 2023, con investigadores twitteando y documentando públicamente cómo usar la API.

La API permite a cualquier persona enviar un nombre de usuario y recuperar la salida JSON que contiene la información del perfil público del usuario. Sin embargo, también es posible introducir una dirección de correo electrónico en la API y confirmar si está asociada con una cuenta válida de DuoLingo.

BleepingComputer ha confirmado que esta API todavía está disponible abiertamente para cualquier persona en la web, incluso después de que su abuso fuera reportado a DuoLingo en enero.

Esta API permitió al extractor alimentar millones de direcciones de correo electrónico, probablemente expuestas en violaciones de datos anteriores, en la API y confirmar si pertenecían a cuentas de DuoLingo. Estas direcciones de correo electrónico se utilizaron para crear el conjunto de datos que contiene información pública y no pública.

Otro actor de amenazas compartió su propio raspado de API, señalando que los actores de amenazas que deseen utilizar los datos en ataques de phishing deben prestar atención a campos específicos que indican que un usuario de DuoLingo tiene más permiso que un usuario normal y, por lo tanto, son objetivos más valiosos.

BleepingComputer se ha puesto en contacto con DuoLingo con preguntas sobre por qué la API todavía está disponible públicamente, pero no recibió una respuesta en el momento de esta publicación.

Datos extradidos descartados regularmente

Las empresas tienden a extraer y descartar los datos no como un problema, ya que la mayoría de los datos ya son públicos, incluso si no son necesariamente fáciles de compilar.

Sin embargo, cuando los datos públicos se mezclan con datos privados, como números de teléfono y direcciones de correo electrónico, tiende a hacer que la información expuesta sea más riesgosa y potencialmente violar las leyes de protección de datos.

Por ejemplo, en 2021, Facebook sufrió una fuga masiva después de que se abusara de un error de la API "Agregar amigo" para vincular números de teléfono a cuentas de Facebook para 533 millones de usuarios. La comisión irlandesa de protección de datos (DPC) multó más tarde a Facebook con € 265 millones ($ 275.5 millones) por esta filtración de datos raspados.

Más recientemente, se utilizó un error de la API de Twitter para raspar los datos públicos y las direcciones de correo electrónico de millones de usuarios, lo que llevó a una investigación por parte del DPC.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El proveedor de servicios de software Ivanti advierte de una nueva falla crítica de día cero que afecta a Ivanti Sentry (anteriormente MobileIron Sentry) que, según dijo, está siendo explotada activamente en la naturaleza, lo que marca una escalada de sus problemas de seguridad.

Rastreado como CVE-2023-38035 (puntuación CVSS: 9.8 ), el problema se ha descrito como un caso de omisión de autenticación que afecta a las versiones 9.18 y anteriores debido a lo que llamó un debido a una configuración Apache HTTPD insuficientemente restrictiva.

"Si se explota, esta vulnerabilidad permite a un actor no autenticado acceder a algunas API confidenciales que se utilizan para configurar Ivanti Sentry en el portal del administrador (puerto 8443, comúnmente MICS)", dijo la compañía.

"Si bien el problema tiene una alta puntuación CVSS, existe un bajo riesgo de explotación para los clientes que no exponen el puerto 8443 a Internet".

La explotación exitosa del error podría permitir a un atacante cambiar la configuración, ejecutar comandos del sistema o escribir archivos en el sistema. Se recomienda que los usuarios restrinjan el acceso a MICS a las redes de administración internas.

Si bien los detalles exactos sobre la naturaleza de la explotación son actualmente desconocidos, la compañía dijo que "solo tiene conocimiento de un número limitado de clientes" que se han visto afectados.

La compañía noruega de ciberseguridad mnemonic ha sido acreditada con el descubrimiento y la notificación de la falla.

"La explotación exitosa permite a un actor de amenazas no autenticado leer y escribir archivos en el servidor Ivanti Sentry y ejecutar comandos del sistema operativo como administrador del sistema (root) mediante el uso de 'super user do' (sudo)", dijo.

Además, CVE-2023-38035 podría convertirse en arma después de explotar CVE-2023-35078 y CVE-2023-35081, otros dos defectos recientemente revelados en Ivanti Endpoint Manager Mobile (EPMM), en escenarios donde el puerto 8443 no es de acceso público ya que el portal de administración se utiliza para comunicarse con el servidor Ivanti EPMM.

El desarrollo se produce una semana después de que Ivanti corrigiera dos fallas críticas de desbordamiento de búfer basadas en pila (CVE-2023-32560) en su software Avalanche que podrían provocar bloqueos y ejecución de código arbitrario en instalaciones vulnerables.

Actualiza

La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó el martes CVE-2023-38035 a su catálogo de vulnerabilidades explotadas conocidas (KEV), junto con CVE-2023-27532, un error crítico en el software Veeam Backup & Replication, luego de la explotación activa en la naturaleza.

Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar los parches antes del 12 de septiembre de 2023 para proteger sus redes contra posibles ataques cibernéticos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha agregado una falla de seguridad crítica en Adobe ColdFusion a su catálogo de vulnerabilidades explotadas conocidas (KEV), basada en evidencia de explotación activa.

La vulnerabilidad, catalogada como CVE-2023-26359 (puntuación CVSS: 9,8), se relaciona con un error de deserialización presente en Adobe ColdFusion 2018 (actualización 15 y versiones anteriores) y ColdFusion 2021 (actualización 5 y versiones anteriores) que podría provocar la ejecución de código arbitrario en el contexto del usuario actual sin requerir ninguna interacción.

La deserialización (también conocida como unmarshaling) se refiere al proceso de reconstrucción de una estructura de datos o un objeto a partir de un flujo de bytes. Pero cuando se realiza sin validar su origen o desinfectar su contenido, puede llevar a consecuencias inesperadas, como la ejecución de código o la denegación de servicio (DoS).

Fue parcheado por Adobe como parte de las actualizaciones emitidas en marzo de 2023. Al momento de escribir, no está claro de inmediato cómo se está abusando de la falla en la naturaleza.

Dicho esto, el desarrollo se produce más de cinco meses después de que CISA colocara otra falla que afecta al mismo producto (CVE-2023-26360) en el catálogo de KEV. Adobe dijo que es consciente de la debilidad que se explota en "ataques muy limitados" dirigidos a ColdFusion.

A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar los parches necesarios antes del 11 de septiembre de 2023 para proteger sus redes contra posibles amenazas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un anuncio de aspecto legítimo para Amazon en los resultados de búsqueda de Google redirige a los visitantes a una estafa de soporte técnico de Microsoft Defender que bloquea su navegador.
Hoy, BleepingComputer fue alertado de lo que parecía ser un anuncio válido para Amazon en los resultados de búsqueda de Google.
El anuncio muestra la URL legítima de Amazon, al igual que en el resultado de búsqueda típico de la compañía, como se muestra a continuación.


Sin embargo, al hacer clic en el anuncio de Google, se redirigirá a la persona a una estafa de soporte técnico que pretende ser una alerta de Microsoft Defender que indica que está infectado con el malware ads(exe).finacetrack(2).dll.


Estafa de soporte técnico de anuncio
falso de Amazon Fuente: BleepingComputer

Estas estafas de soporte técnico entrarán automáticamente en modo de pantalla completa, lo que dificultará salir de la página sin finalizar el proceso de Google Chrome.
Sin embargo, cuando Chrome termina de esta manera, en el relanzamiento, solicitará a los usuarios que restauren las páginas cerradas anteriormente, reabriendo la estafa de soporte técnico.

En junio de 2022, Malwarebytes descubrió un anuncio de YouTube de aspecto legítimo que también usaba la URL de la plataforma, lo que llevó a la misma estafa de soporte técnico.
No está claro por qué Google permite a los anunciantes hacerse pasar por las URL de otras compañías para crear estas estafas publicitarias convincentes.

Se abusa de los anuncios de Google para distribuir malware

BleepingComputer contactó tanto a Google como a Amazon con respecto a esta publicidad maliciosa, pero no ha recibido una respuesta en el momento de esta publicación.

Otros actores de amenazas han abusado mucho de los anuncios de Google durante el año pasado para distribuir malware, lo que a veces conduce a ataques de ransomware.
Los actores de amenazas crearían réplicas de sitios legítimos, pero intercambiarían los enlaces de descarga para distribuir programas troyanos que instalan malware.

La operación de ransomware Royal también crea anuncios de Google que promocionan sitios maliciosos que instalan balizas Cobalt Strike. Estas balizas se utilizan para proporcionar acceso inicial a las redes corporativas para llevar a cabo ataques de ransomware.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Investigadores de Italia y el Reino Unido han descubierto cuatro vulnerabilidades en la bombilla inteligente TP-Link Tapo L530E y la aplicación Tapo de TP-Link, que podrían permitir a los atacantes robar la contraseña WiFi de su objetivo.
TP-Link Tapo L530E es una bombilla inteligente de gran venta en múltiples mercados, incluido Amazon. TP-link Tapo es una aplicación de gestión de dispositivos inteligentes con 10 millones de instalaciones en Google Play.


Los investigadores de la Universita di Catania y la Universidad de Londres analizaron este producto debido a su popularidad. Sin embargo, el objetivo de su documento es subrayar los riesgos de seguridad en los miles de millones de dispositivos inteligentes de IoT utilizados por los consumidores, muchos de los cuales siguen la transmisión de datos riesgosa y las deslucidas salvaguardas de autenticación.

Defectos de bombilla inteligente

La primera vulnerabilidad se refiere a la autenticación incorrecta en Tapo L503E, lo que permite a los atacantes hacerse pasar por el dispositivo durante el paso de intercambio de claves de sesión.
Esta vulnerabilidad de gravedad alta (puntuación CVSS v3.1: 8. permite a un atacante adyacente recuperar contraseñas de usuario de Tapo y manipular dispositivos Tapo.

La segunda falla también es un problema de alta gravedad (puntuación CVSS v3.1: 7.6) que surge de un secreto compartido de suma de comprobación corto codificado, que los atacantes pueden obtener mediante fuerza bruta o descompilando la aplicación Tapo.

El tercer problema es un defecto de gravedad media con respecto a la falta de aleatoriedad durante el cifrado simétrico que hace que el esquema criptográfico sea predecible.
Finalmente, un cuarto problema se deriva de la falta de comprobaciones de la actualización de los mensajes recibidos, manteniendo las claves de sesión válidas durante 24 horas y permitiendo a los atacantes reproducir mensajes durante ese período.

Escenarios de ataque

El escenario de ataque más preocupante es la suplantación de bulbo y la recuperación de los detalles de la cuenta de usuario de Tapo mediante la explotación de las vulnerabilidades 1 y 2.
Luego, al acceder a la aplicación Tapo, el atacante puede extraer el SSID y la contraseña WiFi de la víctima y obtener acceso a todos los demás dispositivos conectados a esa red.
El dispositivo debe estar en modo de configuración para que el ataque funcione. Sin embargo, el atacante puede desautenticar la bombilla, obligando al usuario a configurarla nuevamente para restaurar su función.


Otro tipo de ataque explorado por los investigadores es el ataque MITM (Man-In-The-Middle) con un dispositivo Tapo L530E configurado, explotando la vulnerabilidad 1 para interceptar y manipular la comunicación entre la aplicación y la bombilla y capturar las claves de cifrado RSA utilizadas para el posterior intercambio de datos.

Los ataques MITM también son posibles con dispositivos Tapo no configurados aprovechando la vulnerabilidad uno nuevamente conectándose al WiFi durante la configuración, uniendo dos redes y enrutando mensajes de descubrimiento, recuperando finalmente contraseñas Tapo, SSID y contraseñas WiFi en forma codificada base64 fácilmente descifrable.


Finalmente, la vulnerabilidad 4 permite a los atacantes lanzar ataques de reproducción, replicando mensajes que han sido olfateados previamente para lograr cambios funcionales en el dispositivo.

Divulgación y fijación

Los investigadores de la universidad revelaron responsablemente sus hallazgos a TP-Link, y el proveedor los reconoció a todos y les informó que pronto implementarían correcciones tanto en la aplicación como en el firmware de la bombilla.
Sin embargo, el documento no aclara si estas correcciones ya están disponibles y qué versiones siguen siendo vulnerables a los ataques.
BleepingComputer se ha puesto en contacto con TP-Link para obtener más información sobre las actualizaciones de seguridad y las versiones afectadas y actualizará esta publicación tan pronto como recibamos noticias.
Como consejo general para la seguridad de IoT, se recomienda mantener este tipo de dispositivos aislados de redes críticas, utilizar las últimas actualizaciones de firmware disponibles y versiones de aplicaciones complementarias, y proteger las cuentas con MFA y contraseñas seguras.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha descubierto una nueva versión del ransomware BlackCat que incorpora el marco de red Impacket y la herramienta de piratería Remcom, ambos permiten la propagación lateral a través de una red violada.

En abril, el investigador de ciberseguridad VX-Underground tuiteó sobre una nueva versión del cifrado BlackCat / ALPHV llamada Sphynx.

"Nos complace informarles que se han completado las pruebas de las características básicas ALPHV / BlackCat 2.0: Sphynx", dijeron los operadores de BlackCat en un mensaje a sus afiliados.

"El código, incluido el cifrado, ha sido completamente reescrito desde cero. De forma predeterminada, todos los archivos están congelados. La principal prioridad de esta actualización era optimizar la detección por AV / EDR ", explicó además las operaciones de ransomware.

Poco después, IBM Security X-Force realizó una inmersión profunda en el nuevo cifrado BlackCat, advirtiendo que el cifrado se convirtió en un kit de herramientas.

Esto se basaba en cadenas en el ejecutable que indicaban que contenía impacket, utilizado para funciones posteriores a la explotación, como la ejecución remota y el volcado de secretos de procesos.


El cifrador BlackCat Sphynx

En una serie de publicaciones de hoy, el equipo de Inteligencia de Amenazas de Microsoft dice que también analizaron la nueva versión de Sphynx y descubrieron que usaba el marco Impacket para propagarse lateralmente en redes comprometidas.

"Microsoft ha observado una nueva versión del ransomware BlackCat que se utiliza en campañas recientes", publicó Microsoft.

"Esta versión incluye la herramienta de marco de comunicación de código abierto Impacket, que los actores de amenazas utilizan para facilitar el movimiento lateral en entornos objetivo".

Impacket se describe como una colección de código abierto de clases de Python para trabajar con protocolos de red.

Sin embargo, es más comúnmente utilizado como un kit de herramientas posterior a la explotación por probadores de penetración, equipos rojos y actores de amenazas para propagarse lateralmente en una red, volcar credenciales de procesos, realizar ataques de retransmisión NTLM y mucho más.

Impacket se ha vuelto muy popular entre los actores de amenazas que violan un dispositivo en una red y luego usan el marco para obtener credenciales elevadas y obtener acceso a otros dispositivos.

Según Microsoft, la operación BlackCat está utilizando el marco Impacket para la duplicación de credenciales y la ejecución remota de servicios para implementar el cifrado en toda una red.

Además de Impacket, Microsoft dice que el cifrado incorpora la herramienta de piratería Remcom, que es un pequeño shell remoto que permite al cifrador ejecutar comandos de forma remota en otros dispositivos en una red.

En un aviso privado de Microsoft 365 Defender Threat Analytics visto por BleepingComputer, Microsoft dice que vieron este nuevo cifrado utilizado por el afiliado de BlackCat 'Storm-0875' desde julio de 2023.

Microsoft está identificando esta nueva versión como BlackCat 3.0, aunque, como dijimos anteriormente, la operación de ransomware lo llama 'Sphynx' o 'BlackCat/ALPHV 2.0' en las comunicaciones con afiliados.


Una pandilla de ransomware en constante evolución
BlackCat, también conocido como ALPHV, lanzó su operación en noviembre de 2021 y se cree que es un cambio de marca de la pandilla DarkSide / BlackMatter, que fue responsable del ataque a Colonial Pipeline.

La pandilla de ransomware siempre ha sido considerada una de las operaciones de ransomware más avanzadas y de primer nivel, evolucionando constantemente su operación con nuevas tácticas.

Por ejemplo, como una nueva táctica de extorsión el verano pasado, la pandilla de ransomware creó un sitio web claro dedicado a filtrar datos para una víctima en particular, para que los clientes y empleados pudieran verificar si sus datos estaban expuestos.

Más recientemente, los actores de amenazas crearon una API de fuga de datos, lo que permite una difusión más fácil de los datos robados.

Con el cifrado BlackCat evolucionando de un descifrador a un kit de herramientas de post-explotación completo, permite a los afiliados de ransomware implementar más rápidamente el cifrado de archivos en toda la red

Como es vital detectar los ataques de ransomware tan pronto como ocurren, agregar estas herramientas solo hace que sea más difícil para los defensores.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha corregido una vulnerabilidad de alta gravedad en WinRAR, la popular utilidad de archivado de archivos para Windows utilizada por millones, que puede ejecutar comandos en una computadora simplemente abriendo un archivo.

La falla se rastrea como CVE-2023-40477 y podría dar a los atacantes remotos la ejecución de código arbitrario en el sistema de destino después de abrir un archivo RAR especialmente diseñado.

La vulnerabilidad fue descubierta por el investigador "goodbyeselene" de Zero Day Initiative, quien informó de la falla al proveedor, RARLAB, el 8 de junio de 2023.

"La falla específica existe dentro del procesamiento de volúmenes de recuperación", se lee en el aviso de seguridad publicado en el sitio de ZDI.

"El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede resultar en un acceso a la memoria más allá del final de un búfer asignado".

Como un objetivo necesita engañar a una víctima para que abra un archivo, la calificación de gravedad de la vulnerabilidad se reduce a 7.8, según el CVSS.

Sin embargo, desde una perspectiva práctica, engañar a los usuarios para que realicen la acción requerida no debería ser demasiado desafiante, y dado el gran tamaño de la base de usuarios de WinRAR, los atacantes tienen amplias oportunidades para una explotación exitosa.

Mitigar el riesgo

RARLAB lanzó WinRAR versión 6.23 el 2 de agosto de 2023, abordando efectivamente CVE-2023-40477. Por lo tanto, se recomienda encarecidamente a los usuarios de WinRAR que apliquen la actualización de seguridad disponible inmediatamente.

Además de la corrección de código de procesamiento de volúmenes de recuperación RAR4, la versión 6.23 soluciona un problema con archivos especialmente diseñados que conducen a un inicio incorrecto de archivos, que también se considera un problema de alta gravedad.

También debe tenerse en cuenta que Microsoft ahora está probando el soporte nativo en Windows 11 para archivos RAR, 7-Zip y GZ, por lo que el software de terceros como WinRAR ya no será necesario en esta versión a menos que se necesiten sus características avanzadas.

Aquellos que continúan usando WinRAR deben mantener el software actualizado, ya que los piratas informáticos abusaron de fallas similares en el pasado para instalar malware.

Aparte de eso, ser cauteloso con los archivos RAR que abre y usar una herramienta antivirus que pueda escanear archivos sería una buena medida de seguridad.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta