This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Messages - AXCESS

Pages: [1] 2 3 ... 108
1
Noticias Informáticas / Kali Linux 2022.4
« on: Today at 11:34:26 pm »
You are not allowed to view links. Register or Login

Offensive Security ha lanzado Kali Linux 2022.4, la cuarta y última versión de 2022, con nuevas imágenes de Azure y QEMU, seis nuevas herramientas y experiencias de escritorio mejoradas.

Kali Linux es una distribución diseñada para que los hackers éticos realicen pruebas de penetración, auditorías de seguridad e investigaciones de ciberseguridad contra redes.

Con este lanzamiento, el equipo de Kali Linux presenta una variedad de características nuevas, que incluyen:

     La distribución de Kali Linux está de vuelta en Microsoft Azure

     Seis nuevas herramientas de juguetes

     Lanzamiento de Kali NetHunter Pro

     Actualizaciones de escritorio Gnome y KDE Plasma

     Soporte ARM mejorado

Offensive Security decidió lanzar Kali Linux 2022.4 junto con la conferencia de seguridad Black Hat, BSides LV y DefCon como una "agradable sorpresa para que todos disfruten".

Con esta versión, Kali Linux utiliza Linux Kernel 5.18.5. Sin embargo, las versiones de Raspberry Pi utilizan la versión 5.15.

Imágenes de Kali Linux para Azure, QEMU

Kali Linux ahora está disponible en Azure Marketplace, lo que le permite implementar la imagen y realizar pruebas de penetración desde la nube.

En realidad, Kali Linux 2022.3 llegó primero a Azure, y el equipo tuiteó su incorporación el 30 de agosto, después de que 2022.3 ya se lanzara.

El equipo de Kali ahora también ofrece una imagen preconstruida para QEMU

"Ahora estamos incluyendo una imagen QEMU con nuestras imágenes pregeneradas. Esperamos que esto facilite las cosas a las personas que usan Proxmox Virtual Environments (VE), virt-manager o libvirt", anunció el equipo de Kali.

Se agregaron seis nuevas herramientas en Kali Linux 2022.4

Nunca es una nueva versión de Kali Linux sin nuevas herramientas para jugar.

Esta versión agrega seis herramientas nuevas, incluidas las herramientas de retransmisión NTLM de Windows, una herramienta de elevación de privilegios de Windows y un controlador para WiFi Coconut de Hak5.

A continuación, se muestran las seis nuevas herramientas agregadas en Kali 2022.4:

     bloodhound.py: un ingeridor basado en Python para BloodHound

     certipy : herramienta para la enumeración y el abuso de los servicios de certificados de Active Directory

     hak5-wifi-coconut : un controlador de espacio de usuario para NIC Wi-Fi USB y Hak5 Wi-Fi Coconut

     ldapdomaindump: volcado de información de Active Directory a través de LDAP

     peass-ng: herramientas de escalada de privilegios para Windows, Linux/Unix* y MacOS.

     rizin-cutter: plataforma de ingeniería inversa impulsada por rizin

Actualizaciones de escritorio GNOME y KDE Plasma

Esta versión trae numerosas actualizaciones de escritorio, incluido GNOME 43 con un nuevo tema GTK3, que se muestra a continuación:

You are not allowed to view links. Register or Login

KDE Plasma también se ha actualizado a la versión 5.26, con ajustes en varios widgets.

Actualizaciones de Kali NetHunter

Kali Nethunter Pro ha sido lanzado oficialmente, con imágenes disponibles para PinePhone y PinePhonePro.

"El lanzamiento de Kali NetHunter Pro es el comienzo de un nuevo capítulo para Kali Linux y NetHunter, una instalación completa de Kali Linux con el entorno de escritorio Phosh, optimizado para dispositivos móviles".

"En primer lugar, ponemos a disposición imágenes de tarjetas SD para PinePhone y PinePhone Pro para arranque dual junto con el sistema operativo principal. Pronto lanzaremos versiones alternativas con Plasma Mobile, así como instaladores para que pueda instalar Kali NetHunter Pro en la memoria flash interna. ”, se lee en el anuncio de Kali Linux 2022.4.

Además del lanzamiento oficial de NetHunter Pro, Kali Nethunter también recibió mejoras.

Con este lanzamiento, NetHunter ahora tiene soporte interno para Bluetooth, Wardriving mejorado, soporte de audio para Kex y correcciones para fallas en Android 11 y Android 12.

Download Kali Linux 2022.4

You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

2
You are not allowed to view links. Register or Login

Cuatro hombres sospechosos de piratear redes de EE. UU. para robar datos de empleados para el robo de identidad y la presentación de declaraciones de impuestos de EE. UU. Fraudulentas, fueron arrestados en Londres, Reino Unido, y Malmo, Suecia, a pedido de las autoridades policiales de EE. UU.

Los sospechosos identificados en cuatro acusaciones estadounidenses recientemente reveladas son Akinola Taylor (Nigeria), Olayemi Adafin (Reino Unido), Olakunle Oyebanjo (Nigeria) y Kazeem Olanrewaju Runsewe (Nigeria).

Los cuatro hombres están acusados de fraude electrónico transnacional y robo de identidad por presentar declaraciones de impuestos falsas ante el Servicio de Impuestos Internos (IRS) de los Estados Unidos para robar dinero de la agencia a través de reembolsos de impuestos.

Para ello, Taylor y Runsewe violaron los servidores de empresas estadounidenses y robaron información de identificación personal (PII) de los residentes estadounidenses.

Para obtener acceso a estos servidores, el Departamento de Justicia dice que los sospechosos compraron credenciales robadas de los mercados de delitos cibernéticos, como el mercado xDedic ahora cerrado.

Uno de los lugares donde Taylor y Runsewe obtuvieron acceso no autorizado a los servidores de las computadoras fue xDedic Marketplace, un sitio web que funcionó durante años y se usó para vender acceso a computadoras comprometidas en todo el mundo e información de identificación personal de los residentes de EE. UU.”, decía el anuncio del Departamento de Justicia.

xDedic era un foro de ciberdelincuencia en idioma ucraniano y un mercado de protocolo de escritorio remoto (RDP), que vendía a los piratas informáticos acceso a redes informáticas violadas mediante contraseñas de usuario de fuerza bruta, explotando vulnerabilidades o sobornando a personas internas.

El mercado xDedic operó entre 2014 y 2019 cuando una operación internacional de aplicación de la ley finalmente lo eliminó. La plataforma contaba con un mecanismo de verificación de puerta trasera que garantizaba la validez de las ventas de acceso.

El Departamento de Justicia afirma que Taylor y Runsewe usaron la información adquirida para completar reclamos fraudulentos del Formulario 1040 al IRS, usando PII válida de residente de EE. UU. pero incluyendo cuentas bancarias bajo su control para recibir los fondos.

Adafin y Oyebanjo presuntamente ayudaron a los estafadores en la etapa de lavado de dinero, transfiriendo las ganancias a otros conspiradores y a través de una compleja red de tarjetas de débito y cuentas bancarias, con la esperanza de ocultar el rastro.

Una investigación dirigida por la Unidad de Delitos Cibernéticos del IRS-CI y el FBI descubrió las verdaderas identidades de las cuatro personas, que ahora enfrentarán un proceso de extradición.

Si son condenados por fraude electrónico, los cuatro individuos enfrentan una sentencia máxima de hasta veinte años en una prisión federal, sin considerar sanciones adicionales por robo de identidad y robo de dinero público.

Además, si son declarados culpables, los cuatro hombres deberán decomisar todos los activos vinculados a las ganancias de los delitos identificados.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

3
You are not allowed to view links. Register or Login

Google lanzó la actualización de seguridad de diciembre del 2022 para Android, que corrige cuatro vulnerabilidades de gravedad crítica, incluida una falla de ejecución remota de código que se puede explotar a través de Bluetooth.

La actualización de este mes aborda 45 vulnerabilidades en los componentes principales de Android con el nivel de parche 2022-12-01 y otras 36 vulnerabilidades que afectan a los componentes de terceros abordadas en el nivel de parche 2022-12-05.

El más grave de estos problemas es una vulnerabilidad de seguridad crítica en el componente del sistema que podría conducir a la ejecución remota de código a través de Bluetooth sin necesidad de privilegios de ejecución adicionales”, menciona el boletín de seguridad.

Las cuatro vulnerabilidades de gravedad crítica abordadas en la actualización de este mes son:

     CVE-2022-20472: falla de ejecución remota de código en Android Framework, que afecta las versiones de Android 10 a 13.
     CVE-2022-20473: falla de ejecución remota de código en Android Framework, que afecta las versiones de Android 10 a 13.
     CVE-2022-20411: falla de ejecución remota de código en el sistema Android, que afecta las versiones de Android 10 a 13.
     CVE-2022-20498: falla de divulgación de información en el sistema Android, que afecta las versiones de Android 10 a 13.

El resto de las vulnerabilidades corregidas involucran elevación de privilegios (EoP), ejecución remota de código, divulgación de información y problemas de denegación de servicio.

Las fallas de EoP de alta gravedad generalmente son explotadas por malware que se infiltra en un dispositivo a través de una vía de privilegios bajos, como la instalación de software malicioso que se hace pasar por una aplicación inocua.

Dicho esto, es crucial aplicar la actualización disponible tan pronto como esté disponible para su dispositivo, incluso si ninguna de las fallas se informa actualmente como explotada activamente.

Si su dispositivo ya no recibe actualizaciones mensuales de seguridad de Android o usa Android 9 o anterior, oficialmente no tiene soporte.

En estos casos, se recomienda actualizar a un dispositivo más nuevo o instalar una ROM personalizada basada en una versión posterior de Android, como LineageOS.

Los propietarios de dispositivos Google Pixel también recibieron una importante actualización de seguridad este mes, que aborda un total de 16 fallas de gravedad crítica en varios componentes.

Estas vulnerabilidades críticas permiten a los atacantes elevar los privilegios o la divulgación de información en los dispositivos de destino.

Se pueden encontrar más detalles sobre la actualización de Pixel de diciembre de 2022 en el boletín de seguridad dedicado para la gama de teléfonos inteligentes de Google:

You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

4
You are not allowed to view links. Register or Login

Un actor de amenazas motivado financieramente está pirateando proveedores de servicios de telecomunicaciones y empresas de subcontratación de procesos comerciales, revirtiendo activamente las mitigaciones defensivas aplicadas cuando se detecta la violación.

La campaña fue detectada por Crowdstrike, quien dice que los ataques comenzaron en junio de 2022 y aún continúan, y los investigadores de seguridad pudieron identificar cinco intrusiones distintas.

Los ataques se han atribuido con poca confianza a los piratas informáticos rastreados como 'Araña dispersa' ('Scattered Spider,' ), que demuestran persistencia en mantener el acceso, revertir las mitigaciones, evadir la detección y cambiar a otros objetivos válidos si se frustran.

El objetivo final de la campaña es violar los sistemas de redes de telecomunicaciones, acceder a la información de los suscriptores y realizar operaciones como el intercambio de tarjetas SIM.

Cinco eventos de intrusión atribuidos a Scattered Spider (Crowdstrike)
You are not allowed to view links. Register or Login

Detalles de la campaña

Los actores de amenazas obtienen acceso inicial a las redes corporativas utilizando una variedad de tácticas de ingeniería social.

Estas tácticas incluyen llamar a los empleados y hacerse pasar por personal de TI para recopilar credenciales o usar Telegram y mensajes SMS para redirigir a los objetivos a sitios de phishing personalizados que presentan el logotipo de la empresa.

Si MFA protegía las cuentas de destino, los atacantes empleaban tácticas de fatiga de MFA de notificaciones automáticas o se dedicaban a la ingeniería social para obtener los códigos de las víctimas.

En un caso, los adversarios explotaron CVE-2021-35464, una falla en el servidor ForgeRock AM reparada en octubre de 2021, para ejecutar código y elevar sus privilegios en una instancia de AWS.

"Al aprovechar los roles de instancia de AWS para asumir o elevar los privilegios del usuario de Apache Tomcat, el adversario solicitaría y asumiría los permisos de un rol de instancia utilizando un token de AWS comprometido", explica Crowdstrike.

Comando Curl para escalamiento de privilegios en AWS utilizando la herramienta LinPEAS (Crowdstrike)
You are not allowed to view links. Register or Login

Una vez que los piratas informáticos obtienen acceso a un sistema, intentan agregar sus propios dispositivos a la lista de dispositivos MFA (autenticación multifactor) confiables utilizando la cuenta de usuario comprometida.

Crowdstrike notó que los piratas informáticos usaban las siguientes utilidades y herramientas de administración y monitoreo remoto (RMM) en sus campañas:

     AnyDesk
     BeAnywhere     
     Domotz
     DWservice
     Fixme.es
     Fleetdeck.io
     Itarian Endpoint Manager
     nivel.io
     Logmein
     ManageEngine
     N-capaz
     Pulseway
     Rport
     rsocx
     ScreenConnect
     SSH RevShell y tunelización RDP a través de SSH
     Teamviewer
     TrendMicro Basecamp
     Sorillus
     ZeroTier

Muchos de los anteriores son software legítimo que se encuentra comúnmente en redes corporativas y, por lo tanto, es poco probable que genere alertas sobre herramientas de seguridad.

En las intrusiones observadas por Crowdstrike, los adversarios fueron implacables en sus intentos de mantener el acceso a una red violada, incluso después de haber sido detectados.

"En múltiples investigaciones, CrowdStrike observó que el adversario se vuelve aún más activo, configurando mecanismos de persistencia adicionales, es decir, acceso VPN y/o múltiples herramientas RMM, si las medidas de mitigación se implementan lentamente", advirtió CrowdStrike.

"Y en múltiples instancias, el adversario revirtió algunas de las medidas de mitigación al volver a habilitar cuentas previamente desactivadas por la organización víctima".

En todas las intrusiones observadas por Crowdstrike, los adversarios utilizaron varias VPN e ISP para acceder al entorno de Google Workspace de la organización víctima.

Para moverse lateralmente, los actores de amenazas extrajeron varios tipos de información de reconocimiento, descargaron listas de usuarios de inquilinos violados, abusaron de WMI y realizaron túneles SSH y replicación de dominios.

Crowdstrike ha compartido una extensa lista de indicadores de compromiso (IoC) para esta actividad en la parte inferior del informe, que es vital que los defensores tengan en cuenta, ya que el actor de amenazas utiliza las mismas herramientas y direcciones IP en diferentes intrusiones.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

5
You are not allowed to view links. Register or Login

Los hackers están abusando de la utilidad PRoot de Linux de código abierto en los ataques BYOF (Bring Your Own Filesystem) para proporcionar un repositorio consistente de herramientas maliciosas que funcionan en muchas distribuciones de Linux.

Un ataque BYOF (Bring Your Own Filesystem) es cuando los actores de amenazas crean un sistema de archivos malicioso en sus propios dispositivos que contienen un conjunto estándar de herramientas utilizadas para realizar ataques.

Luego, este sistema de archivos se descarga y se monta en máquinas comprometidas, lo que proporciona un conjunto de herramientas preconfigurado que se puede usar para comprometer aún más un sistema Linux.

"Primero, los actores de amenazas crean un sistema de archivos malicioso que se implementará. Este sistema de archivos malicioso incluye todo lo que la operación necesita para tener éxito", explica un nuevo informe de Sysdig.

"Hacer esta preparación en esta etapa temprana permite que todas las herramientas se descarguen, configuren o instalen en el propio sistema del atacante, lejos de las miradas indiscretas de las herramientas de detección".

Sysdig dice que los ataques generalmente conducen a la minería de criptomonedas, aunque son posibles escenarios más dañinos.

El sistema de archivos invitado malicioso (Sysdig)
You are not allowed to view links. Register or Login

Como PRoot se compila estáticamente y no requiere ninguna dependencia, los actores de amenazas simplemente descargan el binario precompilado de GitLab y lo ejecutan contra el sistema de archivos descargado y extraído del atacante para montarlo.

En la mayoría de los casos vistos por Sysdig, los atacantes desempaquetaron el sistema de archivos en '/tmp/Proot/' y luego activaron el criptominero XMRig.

"Cualquier dependencia o configuración también se incluye en el sistema de archivos, por lo que el atacante no necesita ejecutar ningún comando de configuración adicional", explica Sysdig.

"El atacante inicia PRoot, apunta al sistema de archivos malicioso desempaquetado y especifica el binario XMRig para ejecutar".

Los investigadores también advierten sobre lo fácil que esta técnica novedosa podría hacer escalar operaciones maliciosas contra puntos finales de Linux de todo tipo.

Abusar de la utilidad PRoot de Linux


PRoot es una utilidad de código abierto que combina los comandos 'chroot', 'mount --bind' y 'binfmt_misc', lo que permite a los usuarios configurar un sistema de archivos raíz aislado dentro de Linux.

De forma predeterminada, los procesos PRoot están confinados dentro del sistema de archivos invitado; sin embargo, la emulación QEMU se puede usar para combinar la ejecución de programas host e invitados.

Lanzamiento de XMRig en el sistema de archivos invitado para minar usando la GPU del host (Sysdig)
You are not allowed to view links. Register or Login

Como destaca Sysdig en el informe, los actores de amenazas podrían usar fácilmente PRoot para descargar otras cargas útiles además de XMRig, lo que podría causar daños más graves al sistema violado.

La presencia de "mascan" en el sistema de archivos malicioso implica una postura agresiva por parte de los atacantes, lo que probablemente indica que planean violar otros sistemas desde la máquina comprometida.

Simplificación de ataques


El abuso de PRoot por parte de los piratas informáticos hace que estos ataques posteriores a la explotación sean independientes de la plataforma y la distribución, lo que aumenta las posibilidades de éxito y el sigilo de los actores de amenazas.

Además, los sistemas de archivos PRoot preconfigurados permiten a los atacantes usar un conjunto de herramientas en muchas configuraciones de sistemas operativos sin tener que trasladar su malware a la arquitectura de destino o incluir dependencias y herramientas de compilación.

"Con PRoot, hay poca consideración o preocupación por la arquitectura o distribución del objetivo, ya que la herramienta suaviza los problemas de ataque que a menudo se asocian con la compatibilidad de ejecutables, la configuración del entorno y la ejecución de malware y/o mineros", explica Sysdig.

"Permite a los atacantes acercarse a la filosofía de 'escribir una vez, ejecutar en todas partes', que es un objetivo buscado durante mucho tiempo".

Los ataques respaldados por PRoot hacen que la configuración del entorno sea irrelevante para los piratas informáticos, lo que les permite escalar rápidamente sus operaciones maliciosas.

Además, los programas del sistema de archivos invitado pueden usar el mecanismo incorporado de montaje/enlace para acceder a archivos y directorios desde el sistema anfitrión.

Los ataques vistos por Sysdig utilizan PRoot para implementar un sistema de archivos malicioso en sistemas ya comprometidos que incluyen herramientas de escaneo de red como "masscan" y "nmap", el criptominero XMRig y sus archivos de configuración.

El sistema de archivos contiene todo lo necesario para el ataque, perfectamente empaquetado en un archivo tar comprimido con Gzip con todas las dependencias necesarias, descargado directamente desde servicios de alojamiento en la nube de confianza como DropBox.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

6
Noticias Informáticas / Qatar, el Mundial de Fútbol, y el cyberespionaje
« on: December 05, 2022, 09:25:36 pm »
You are not allowed to view links. Register or Login

El rico emirato de Qatar, que ha hecho una gran apuesta tecnológica para la celebración del Mundial de Fútbol, ha desarrollado también una potente infraestructura en materia de seguridad informática que le permite espiar a los más de 1,5 millones de visitantes, mientras dure el magno evento deportivo.

¿De qué modo lo hace?

El pequeño país del Golfo Pérsico pide como requisito para entrar a su territorio que los visitantes descarguen dos aplicaciones consideradas por muchos expertos como sistemas "espía", debido a la gran cantidad de información que solicitan.

Una de ellas es Ehteraz, que se usa para el monitoreo del Covid-19. Dicha aplicación solicita demasiados permisos al usuario y, con ello, la posibilidad de leer y borrar los contenidos del celular, evita también que el móvil entre en suspensión y deshabilita el bloqueo de pantalla.

La otra aplicación considerada espía es Hayya, de uso obligatorio para el transporte público y para entrar a los estadios del Mundial. Hayya también solicita compartir información personal sin restricción, e impide enviar una solicitud para borrar nuestros datos de la aplicación.

La obligación de que estas aplicaciones las usen todos los visitantes, desde los turistas hasta la prensa acreditada y los futbolistas, ha disparado las alarmas sobre el acceso a información privada que tendrían los servicios de seguridad qataríes.

Al tanto de este problema, la Comisión Nacional de Informática y las Libertades de Francia, así como las autoridades de seguridad alemanas, han recomendado a sus nacionales que lleven un teléfono adicional, con muy pocos datos personales, para conectarse a internet en Qatar.

Pero aun cuando un visitante celoso de sus datos tome medidas de seguridad, en los estadios hay instaladas más de 15.000 cámaras de reconocimiento facial y algoritmos de última generación, con el objetivo de un rápido reconocimiento en caso de ocurrir algún incidente.

Según un estudio de la firma de ciberseguridad alemana Recorded Future, debido a la cantidad de personalidades y empresarios que recibirá Qatar mientras dure el Mundial, otras naciones como Corea del Norte, China e Irán, desplegarán sus sistemas de espionaje para recopilar información valiosa para sus intereses.

La firma europea señala que estos estados realizarían esa labor de espionaje en Qatar sin interferir en el normal desarrollo del evento, ya que son países que tienen buenas relaciones diplomáticas con el emirato.

La polémica alrededor del Mundial de Fútbol de Qatar, país con pésimo historial de respeto a los derechos humanos, ha sido intensa en medios de comunicación del mundo entero y en las redes sociales.  Para Qatar, este gran evento deportivo ha servido de ensayo para exhibir un gran despliegue tecnológico en materia de espionaje, aunque la mayoría de los hinchas del fútbol, en medio de la euforia de un gol, apenas se percaten.

Fuente:
Mashable
You are not allowed to view links. Register or Login


7
You are not allowed to view links. Register or Login

2 dic (Reuters) - Los reguladores deben intervenir para proteger a los criptoinversores tras el colapso de FTX, dijeron ejecutivos de la industria financiera y legisladores en la conferencia Reuters NEXT esta semana, el último llamado para una supervisión más estricta de un sector propenso a colapsos.

Los formuladores de políticas han destacado durante años la necesidad de reglas efectivas en la crypto industria, señalando los riesgos para los consumidores después de una serie de grandes caídas del mercado y quiebras corporativas.

Pero las criptomonedas y los negocios relacionados siguen sin estar regulados en su mayoría.

Se espera que las regulaciones de la Unión Europea diseñadas para controlar las criptomonedas entren en vigencia en 2024, pero Estados Unidos en particular aún carece de reglas generales.

El colapso del FTX de Sam Bankman-Fried fue el mayor de una serie de grandes fallas relacionadas con las criptomonedas este año. Desencadenó una derrota de criptomonedas y ha dejado a aproximadamente 1 millón de acreedores enfrentando pérdidas de miles de millones de dólares.

"El colapso de algo tan importante como FTX simplemente ilustra la importancia de la transparencia, la importancia de la protección regulatoria adecuada, los requisitos regulatorios para todas las actividades financieras", dijo Laura Cha, presidenta de Hong Kong Exchanges and Clearing (0388.HK).

El presidente de la Bolsa de Valores de Nueva York, Lynn Martin, dijo que es poco probable que los inversores institucionales adopten las criptomonedas sin reglas más claras.

"No había un marco regulatorio, y un inversionista institucional realmente no va a sumergirse de manera significativa en un mercado a menos que comprenda cuál es el marco regulatorio", dijo Martin.

Algunos inversores en criptomonedas comparten estas preocupaciones.

"Los reguladores podrían haber publicado mucha más orientación para las criptomonedas", dijo Brian Fakhoury del fondo de capital de riesgo de criptomonedas Mechanism Capital.

You are not allowed to view links. Register or Login

¿ACTUALIZACIÓN REGLAMENTARIA?

El sector de las criptomonedas alcanzó un valor récord de casi 3 billones de dólares a fines del año pasado, antes de que la agitación del mercado provocada por el aumento de las tasas de interés y una serie de estallidos de la industria eliminaran más de 2 billones de dólares de su valoración. Bitcoin, el token más grande, ha bajado tres cuartas partes desde su máximo histórico de $69,000.

Esta volatilidad extrema no le ha hecho ningún favor a la criptoesfera en términos de ganar un apoyo más amplio en la industria de servicios financieros.

"No creo que sea una moda pasajera o que desaparezca, pero no puedo asignarle un valor intrínseco", dijo a Reuters NEXT el presidente ejecutivo de Morgan Stanley (MS.N), James Gorman. "No me gusta invertir en cosas que tienen una variedad de resultados o poner clientes en ello".

Después del colapso de FTX, los reguladores de los Estados Unidos, así como los ejecutivos de la industria financiera y los criptoempresarios, se centran en la necesidad de un conjunto de reglas viables y una mayor transparencia.

La directora ejecutiva de Nasdaq (NDAQ.O), Adena Friedman, pidió un equilibrio en la regulación entre protección e innovación, un estribillo común entre las principales empresas involucradas en criptografía.

Nasdaq, cuyo brazo de custodia de criptomonedas se espera que se lance en la primera mitad de 2023, en espera de la aprobación regulatoria, ha brindado tecnología comercial y de vigilancia a los intercambios de criptomonedas durante varios años.

"Ahora es el momento de que la regulación se ponga al día y se asegure de que, a medida que avanzamos, tengamos seguridad y solidez, pero también permitamos la innovación y un ecosistema ágil", dijo Friedman.

La ministra de Finanzas de la India, Nirmala Sitharaman, dijo que el colapso de FTX subrayó la necesidad de una mayor visibilidad en las transacciones criptográficas, a menudo anónimas.

El colapso de FTX "muestra la importancia de una regulación bien enmarcada", dijo Sitharaman, "para que los países puedan saber claramente quién y para qué están ocurriendo estas transacciones. ¿Quién es el beneficiario final?"

El criptoempresario Justin Sun dijo que los inversores rara vez tienen claro cómo se utilizan los fondos en las criptoempresas.

"Para muchos intercambios y proveedores de préstamos e instituciones en el espacio, (hay) una falta de transparencia. Los clientes básicamente no tienen idea de dónde se asignan los fondos", dijo Sun, fundador de la criptomoneda Tron.

Los inversores "pueden perder los ahorros de toda su vida en segundos, pero no tienen idea de adónde va su dinero". él dijo.

Fuente:
Reuters
You are not allowed to view links. Register or Login

8
You are not allowed to view links. Register or Login

Un ciberataque afectó a ARSAT, una empresa estatal Argentina que brinda soluciones satelitales, fibra óptica, transmisiones de señales de televisión y almacenamiento de datos.

A través de su cuenta de Twitter, ARSAT confirmó que el 30 de noviembre fue víctima de un incidente de seguridad e informó que el ataque tuvo solamente consecuencias internas al provocar la caída en el área de sistemas corporativos. Asimismo, a través de la red social la empresa comunicó que ningún servicio se vio afectado y tampoco los datos de los clientes.

You are not allowed to view links. Register or Login

Según revelaron fuentes a Infobae, los atacantes intentaron acceder a través de los sistemas corporativos. Por otra parte, se da la particularidad de que el ataque ocurrió el mismo día que el partido entre Argentina y Polonia por el Mundial de fútbol y que en el partido anterior entre Argentina contra México por la fase de grupos también hubo un intento de ataque contra la compañía.

Por lo que manifestaron fuentes al medio local, desde ARSAT estarán atentos al próximo partido entre Argentina y Australia el sábado próximo ante la posibilidad de que pueda repetirse esta situación. Además, por los servicios que rinda ARSAT a través de su infraestructura, el ataque podría haber provocado una interrupción en la transmisión del partido en todo el país.

Hasta el momento no se publicó más información sobre el impacto del incidente ni de quienes pueden ser los responsables detrás del ataque.

Fuente:
WeLiveSecurity by ESET
You are not allowed to view links. Register or Login

9
You are not allowed to view links. Register or Login

Todas las apps de Android están firmadas por un certificado. Pero esto no garantiza su identidad, sino su integridad. En la práctica implica que son certificados autofirmados por el propio creador de la app.

De modo que una vez se firma una aplicación, esto garantiza su integridad y todas las actualizaciones posteriores deben ser firmadas con el mismo certificado. De lo contrario, virtualmente se estaría creando otra app igual en su código, pero diferente a efectos del sistema operativo.

¿Y qué pasa si se firman dos aplicaciones diferentes con un mismo certificado?

Que pueden comunicarse entre ellas y funcionar como si compartiesen espacio de memoria.

Las aplicaciones de sistema también están firmadas. Estas corren con un ID de usuario muy privilegiado (android.uid.system) que tiene acceso a casi todo el sistema sin mayor problema. Son apps que no necesariamente interactúan con el usuario y que normalmente carga el fabricante del teléfono para gestionarlo y darle el sabor o interfaz del sistema Android propio y personalizado de cada marca.

¿Qué ha pasado?

Lo que ha pasado es que Google ha anunciado que ha encontrado malware firmado con certificados legítimos. Y esto tiene dos consecuencias muy graves:

•   Este malware puede actuar con los mayores privilegios. Puede declarar que quiere ejecutarse con el mismo user ID que otra app firmada con su mismo certificado, puesto que se da por hecho que el autor es el mismo. El malware disfruta así en Android de muchísimos privilegios que no tiene habitualmente el malware habitual en este sistema operativo.

•   Los certificados robados pertenecen a apps de Samsung, LG, Revoview y Mediatek. Esto significa que se los han usurpado de alguna forma. La teoría más plausible ahora mismo es que hayan robado la clave privada, puesto que es poco probable que la hayan deducido de alguna manera.

El malware parece que no ha estado disponible en Google Play. Google ha anunciado simplemente los hashes de los malware. Hay algo extraño que queda por aclarar. Las apps maliciosas son de al menos 2016, cuando se enviaron a VirusTotal. En concreto se trata de este certificado:

You are not allowed to view links. Register or Login

Pero al descargarse y analizar su certificado, se comprueba que pertenecen a esos fabricantes de móviles Android.

Más Info y detalles (en español): **

Fuente
:

**BlogThinkBig
You are not allowed to view links. Register or Login

Vía:
BleepingComputer
You are not allowed to view links. Register or Login

Hacking Land (resumen y traducción al español)
You are not allowed to view links. Register or Login

10
You are not allowed to view links. Register or Login

Los investigadores de la Unidad de Investigación de Amenazas de Qualys demostraron cómo encadenar una nueva vulnerabilidad de Linux, rastreada como CVE-2022-3328, con otras dos fallas para obtener privilegios de root completos en un sistema afectado.

La vulnerabilidad reside en la función snap-confine en los sistemas operativos Linux, un programa raíz SUID instalado por defecto en Ubuntu.

Snapd utiliza internamente el ajuste de confinamiento para construir el entorno de ejecución de las aplicaciones de ajuste, una herramienta interna para confinar las aplicaciones de ajuste.

El CVE-2022-3328 es un problema de condición de carrera de Snapd que puede provocar una escalada de privilegios locales y la ejecución de código arbitrario.

“En febrero de 2022, la Unidad de Investigación de Amenazas (TRU) de Qualys publicó CVE-2021-44731 en nuestro aviso "Lemmings". La vulnerabilidad (CVE-2022-3328) se introdujo en febrero de 2022 con el parche para CVE-2021-44731).

La Unidad de Investigación de Amenazas de Qualys (TRU) explotó este error en Ubuntu Server al combinarlo con dos vulnerabilidades en rutas múltiples llamadas Leeloo Multipath (una omisión de autorización y un ataque de enlace simbólico, CVE-2022-41974 y CVE-2022-41973), para obtener privilegios completos de root.

Los expertos vincularon la falla CVE-2022-3328 con dos fallas descubiertas recientemente en Multipathd, que es un demonio (daemon) a cargo de verificar las rutas fallidas.

Multipathd se ejecuta como root en la instalación predeterminada de varias distribuciones, incluida Ubuntu.

Las dos vulnerabilidades en Multipathd son:

    CVE-2022-41974 (CVSS 7.8 ): Device-mapper-multipath permite a los usuarios locales obtener acceso a la raíz, explotado solo o junto con CVE-2022-41973. Los usuarios locales que pueden escribir en sockets de dominio UNIX pueden omitir los controles de acceso y manipular la configuración de rutas múltiples. Este problema ocurre porque un atacante puede repetir una palabra clave, lo que se maneja mal cuando se usa ADD aritmético en lugar de OR bit a bit. Esto podría conducir a una escalada de privilegios locales a la raíz.

    CVE-2022-41973 (CVSS 7.0): Device-mapper-multipath permite a los usuarios locales obtener acceso raíz, junto con CVE-2022-41974. Los usuarios locales que pueden acceder a /dev/shm pueden cambiar los enlaces simbólicos en multipathd debido al manejo incorrecto de los enlaces simbólicos, lo que puede conducir a escrituras controladas de archivos fuera del directorio /dev/shm. Esto podría usarse indirectamente para la escalada de privilegios locales a la raíz.

La explotación exitosa de las tres vulnerabilidades permite que cualquier usuario sin privilegios obtenga privilegios de root en el dispositivo vulnerable.

Los investigadores de seguridad de Qualys verificaron la vulnerabilidad, desarrollaron un exploit y obtuvieron privilegios completos de raíz en las instalaciones predeterminadas de Ubuntu
”. agregó Qualys.

La sección de preguntas frecuentes incluida en el aviso confirma que la vulnerabilidad no se puede explotar de forma remota.

Fuente:
Qualys
You are not allowed to view links. Register or Login

Vía:
Security Affairs
You are not allowed to view links. Register or Login

11
You are not allowed to view links. Register or Login

El rapero Kanye West, que ahora se hace llamar Ye, es nuevamente suspendido en Twitter luego de publicar una imagen de una esvástica dentro de una estrella de David. Su trato con Parler también está cancelado luego de una controvertida entrevista en la que dijo "Me gusta Hitler".

El CEO de Twitter, Elon Musk, confirmó que expulsó a Ye de la plataforma de redes sociales, diciendo que el rapero violó la regla contra la incitación a la violencia.

Ye publicó una imagen ofensiva que mezclaba la esvástica y la estrella de David, un símbolo del judaísmo, pocas horas después de su entrevista con el teórico de la conspiración Alex Jones, en la que elogió a Hitler y los nazis.

Ye también tuiteó una imagen poco favorecedora de Musk semidesnudo en un yate, diciendo: "Recordemos siempre este como mi último tuit".

Musk respondió a ambos, diciendo "eso está bien" al tweet del yate y "esto no lo es" a una publicación de esvástica. Este último pronto fue eliminado, seguido de una suspensión de la cuenta.

"Hice lo mejor que pude. A pesar de ello, volvió a violar nuestra norma contra la incitación a la violencia. La cuenta será suspendida”, tuiteó Musk.

You are not allowed to view links. Register or Login

Ye fue bloqueado por última vez de su cuenta de Twitter en octubre, también por publicar contenido antisemita. Regresó a Twitter el 21 de noviembre, luego de que Musk se hizo cargo de la plataforma social, a pesar de que el multimillonario tecnológico dijo que la decisión de restablecer la cuenta se tomó de antemano.

Horas después de la controvertida entrevista de Ye con Jones y justo antes de que lo suspendieran en Twitter, la plataforma de redes sociales de derecha Parler anunció que el acuerdo en el que el rapero compraría la compañía estaba cancelado.

Dijo que se llegó a un acuerdo mutuo para rescindir el trato y señaló que se hizo antes de las declaraciones antisemitas de Ye esta semana.

Esta decisión se tomó en interés de ambas partes a mediados de noviembre”, dijo Parler, y agregó que “seguirá buscando futuras oportunidades de crecimiento y la evolución de la plataforma para nuestra vibrante comunidad”.

You are not allowed to view links. Register or Login

Ye ofreció comprar la alternativa autodenominada de "libertad de expresión" a las plataformas principales en octubre. Parlement Technologies, propietaria de la red social, lo promocionó como “un nuevo capítulo monumental” para la plataforma popular entre los conservadores y la extrema derecha.

Una variedad de compañías cortó lazos con Ye por sus comentarios antisemitas, incluida su agencia de talentos y Adidas, que también inició una investigación sobre su conducta. Según Forbes, perder un lucrativo contrato con Adidas ha convertido a Ye en un "multimillonario nunca más".

Fuente:
CyberNews
You are not allowed to view links. Register or Login

12
Noticias Informáticas / Twitter-watcher afirma 12k cuentas revividas
« on: December 03, 2022, 03:08:54 am »
You are not allowed to view links. Register or Login

La decisión de Elon Musk de revertir las suspensiones de Twitter en nombre de la libertad de expresión continúa provocando una fea reacción violenta, con tuiteros que nombran y avergüenzan cuentas restablecidas que, según dicen, están asociadas con la ideología neonazi. Un observador sitúa el número de reincorporaciones en alrededor de 12.000 hasta el momento.

"Algunos ejemplos de a quién @elonmusk está verificando ahora: un nazi que perdió su verificación después de organizar un mitin nazi, una cuenta que está prohibida en Alemania por… nazi, [...] y 'muerto tw*tter [sic] empleado colgado de un árbol groyper'”, publicó un tuitero enojado, Travis Brown.

La diligencia de Brown para documentar el aparente resurgimiento de los extremistas en la popular plataforma de redes sociales, adquirida por el multimillonario y autoproclamado evangelista de la libertad de expresión Musk por 44.000 millones de dólares después de que intentó y no pudo retractarse del acuerdo, no pasó desapercibida.

Otro observador de Twitter, JM Berger, publicó una actualización en su boletín en línea, World Gone Wrong, en el que afirmó que Brown había "observado lo que ahora deben ser más de 12,000 cuentas restauradas, con un fuerte enfoque de extrema derecha".

Berger agregó: "El problema principal resaltado por la escala de actividad es que las 'revisiones manuales' de cuentas prometidas por Musk son tan creíbles como su promesa anterior de que un comité independiente revisaría las reincorporaciones antes de que ocurrieran".

Sin embargo, Berger salvó sus críticas con la observación de que, aunque “objetivamente grandes”, las reinstalaciones aún representaban solo una fracción de las cuentas suspendidas originalmente.

¿Lo peor está por venir?

Pero advirtió que lo peor podría estar por venir, con muchos presuntos extremistas solicitando su reincorporación a raíz de la declaración de Musk de que Twitter, bajo su dirección, sería un bastión de la libertad de expresión.

Al menos algunos usuarios reincorporados han informado que su 'des-suspensión' fue el resultado de una nueva apelación, incluso cuando las apelaciones anteriores habían sido denegadas”, dijo Berger. “Algunos dijeron que habían presentado sus apelaciones después de enterarse de los planes de Musk para la plataforma. Otras reincorporaciones fueron menos claras y, según lo que he visto hasta ahora, estoy bastante seguro de que hay otros métodos en juego”.

Berger se negó a dar más detalles sobre cuáles podrían ser, pero agregó que la mayor parte de la actividad resurgente que había presenciado hasta ahora estaba asociada con un grupo de extrema derecha de la conspiración estadounidense QAnon, que fue eliminado en gran parte de Twitter luego de los disturbios del 6 de enero después de que Donald Trump perdió las elecciones.

La mayor actividad que he visto en mi monitoreo hasta ahora proviene de cuentas suspendidas en la purga masiva de QAnon que tuvo lugar alrededor de enero de 2021”, afirmó. “Muchos “tweets finales” de este conjunto de datos celebran la insurrección del 6 de enero. También han resurgido algunas cuentas más antiguas de la derecha alternativa”.

En el último caso, muchos de estos estaban “retomando justo donde lo dejaron”, según Berger.

Muchas de las cuentas restablecidas están tuiteando a gran volumen, con muchas @respuestas acosadoras dirigidas a personas que odian”, dijo.

Los bots rusos desempolvan el óxido

Berger también afirmó que un elemento ruso había resurgido en la plataforma a raíz de la adquisición de Musk, incluidos bots anticuados, o cuentas de Twitter 'robot' controladas por máquinas, que habían estado inactivas durante años.

Un grupo extremadamente antiguo de bots rusos acaba de volver a estar en línea”, dijo. “Tal vez seas lo suficientemente mayor para recordar cuando tenían números para sus mangos. Esa es la edad de este grupo. La mayoría de las cuentas no han tuiteado durante años y años, y ninguna de ellas ha vuelto a hacerlo hasta ahora”.

Tales afirmaciones son difíciles de verificar y, en el momento de redactar este informe, Cybernews no podía hacerlo.

Fuente:
CyberNews
You are not allowed to view links. Register or Login

13
You are not allowed to view links. Register or Login

Un nuevo mercado de proxy residencial se está volviendo popular entre piratas informáticos, ciberdelincuentes, phishers, revendedores y estafadores, y vende acceso a un millón de direcciones IP de proxy reclamadas en todo el mundo.

La nueva plataforma fue detectada por analistas de DomainTools que han estado observando el surgimiento de estos servicios, informando que 'BlackProxies' es uno de los recién llegados de más rápido crecimiento en el espacio.

Una nueva entidad que reclama un grupo tan grande de proxies disponibles es un desarrollo importante si se tiene en cuenta que las fuerzas del orden han cerrado varios proveedores de proxy importantes como RESNET e INSORG en los últimos años.

¿Qué son los proxies residenciales?

Los proxies son servidores en línea que aceptan y reenvían solicitudes para otros dispositivos en Internet, lo que hace que parezca que una conexión se origina en su dirección IP mientras oculta al iniciador real detrás de ellos.

Los proxies residenciales usan las direcciones IP de los usuarios domésticos en lugar del espacio de direcciones de un centro de datos, lo que los hace ideales para ejecutar bots de compras o para actores de amenazas que desean mezclarse con el tráfico regular del sitio web.

A veces, los usuarios residenciales se convierten voluntariamente en apoderados a cambio de dinero; sin embargo, en muchos casos, se convierten en proxies de forma involuntaria a través de infecciones de malware en sus computadoras, IoT y módems.

Los ciberdelincuentes usan estos proxies residenciales para mejorar la eficiencia de sus operaciones ilegales mientras se esconden de las fuerzas del orden y los bloqueadores.

Por ejemplo, en agosto de 2022, el FBI advirtió sobre la tendencia creciente de los ciberdelincuentes a utilizar proxies residenciales para realizar ataques de relleno de credenciales a gran escala sin ser rastreados, marcados o bloqueados.

Escala y funcionamiento de 'BlackProxies'

El servicio BlackProxies afirma tener acceso a un grupo de 1 000 000 de direcciones IP de todo el mundo, todas provenientes de usuarios residenciales reales, lo que garantiza un estado desbloqueado, bajas tasas de detección y buenas velocidades.

Además, el servicio ofrece un sistema de rotación automática que actualiza las direcciones IP automáticamente, lo que garantiza que cada solicitud se realice desde una nueva dirección.

Los clientes también reciben un panel de control fácil de usar con estadísticas de uso en vivo y una API REST para versatilidad e incluso potencial de reventa.

El costo por usar el servicio es de $14 por día, $39 por semana o $89 por mes, mientras que un paquete de prueba cuesta $4.9.

DomainTools examinó la plataforma y descubrió que las afirmaciones de su conjunto de direcciones IP son falsas, ya que el servicio cuenta con poco más de 180 000 direcciones IP disponibles.

Sin embargo, esto sigue siendo significativo, superando incluso a las plataformas que utilizan métodos poco fiables como botnets para construir sus grupos de IP.

DomainTools investigó más a fondo y descubrió que una dirección IP utilizada en la infraestructura del servicio se había vinculado previamente a otros servicios dudosos.

Si bien el servicio BlackProxies prohíbe actividades maliciosas e ilegales, el servicio ha crecido rápidamente para volverse popular entre los actores de amenazas.

You are not allowed to view links. Register or Login

Usando la plataforma de inteligencia de amenazas DarkBeast de KELA, se ha encontrado numerosas publicaciones en foros de piratería donde se promociona el servicio BlackProxies en temas sobre el relleno de credenciales y el secuestro de cuentas.

Cuando los investigadores de DomainTools confrontaron al operador del servicio BlackProxies sobre las supuestas actividades delictivas, el operador no mostró interés en discutir los detalles.

Al momento BlackProxies permanece en línea:

You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

14
Noticias Informáticas / Nuevo malware para Windows, Dolphin
« on: December 01, 2022, 12:03:55 am »
You are not allowed to view links. Register or Login

Los investigadores de seguridad encontraron una puerta trasera (backdoor) previamente desconocida a la que llaman Dolphin que ha sido utilizada por piratas informáticos de Corea del Norte en operaciones altamente específicas durante más de un año para robar archivos y enviarlos al almacenamiento de Google Drive.

Según una investigación de la empresa de ciberseguridad ESET, el grupo de amenazas APT 37 (también conocido como Reaper, Red Eyes, Erebus, ScarCruft) usó el malware recién descubierto contra entidades muy específicas. El grupo ha estado asociado con actividades de espionaje alineándose con los intereses de Corea del Norte desde 2012.

Los investigadores encontraron Doplphin en abril de 2021 y observaron que evolucionaba hacia nuevas versiones con códigos mejorados y mecanismos antidetección.

Más allá de la BLUELIGHT

Dolphin se usa junto con BLUELIGHT, una herramienta de reconocimiento básica vista en campañas APT37 anteriores, pero presenta capacidades más poderosas como robar información de navegadores web (contraseñas), tomar capturas de pantalla y registrar pulsaciones de teclas.

BLUELIGHT se utiliza para iniciar el cargador Python de Dolphin en un sistema comprometido, pero tiene un papel limitado en las operaciones de espionaje.

El cargador de Python incluye un script y un shellcode, iniciando un descifrado XOR de varios pasos, creación de procesos, etc., lo que finalmente da como resultado la ejecución de la carga útil de Dolphin en un proceso de memoria recién creado.

APT37 cadena de infección observada
You are not allowed to view links. Register or Login

Dolphin es un ejecutable de C++ que utiliza Google Drive como servidor de comando y control (C2) y para almacenar archivos robados. El malware establece persistencia modificando el Registro de Windows.

Capacidades de Dolphin

Durante la etapa inicial, Dolphin recopila la siguiente información de la máquina infectada:

     Nombre de usuario
     Nombre del ordenador
     Dirección IP local y externa
     Software de seguridad instalado
     Tamaño y uso de RAM
     Presencia de herramientas de depuración o inspección de paquetes de red
     versión del sistema operativo

La puerta trasera también envía al C2 su configuración actual, número de versión y hora.

La configuración contiene instrucciones para el registro de teclas y exfiltración de archivos, credenciales para el acceso a la API de Google Drive y claves de cifrado.

Configuración de Dolphin (ESET)
You are not allowed to view links. Register or Login

Los investigadores dicen que los piratas informáticos entregaron sus comandos a Dolphin cargándolos en Google Drive. En respuesta, la puerta trasera carga el resultado de ejecutar los comandos.

El malware tiene un conjunto ampliado de capacidades que incluye escanear unidades locales y extraíbles en busca de varios tipos de datos (medios, documentos, correos electrónicos, certificados) que se archivan y envían a Google Drive. Esta función se mejoró aún más para filtrar los datos por extensión.

Robar archivos del teléfono conectado

Sus capacidades de búsqueda se extienden a cualquier teléfono conectado al host comprometido mediante el uso de la API de dispositivo portátil de Windows.

ESET señala que esta funcionalidad parecía estar en desarrollo en la primera versión del malware que encontraron. La evidencia que apuntaba a esto era:

 -   uso de una ruta codificada con un nombre de usuario que probablemente no exista en la computadora de la víctima

  -  inicialización de variable faltante: se supone que algunas variables se inicializaron en cero o se desreferenciaron como punteros sin inicialización
    filtrado de extensión faltante

Además, también puede reducir la seguridad de la cuenta de Google de la víctima al cambiar la configuración relacionada. Esto podría permitir a los atacantes mantener su acceso a la cuenta de la víctima durante un período más largo.

Dolphin puede registrar las pulsaciones de teclas del usuario en Google Chrome abusando de la API 'GetAsyncKeyState' y puede tomar una instantánea de la ventana activa cada 30 segundos.

Los investigadores de ESET detectaron cuatro versiones distintas para la puerta trasera Dolphin, la última 3.0 de enero de 2022.

You are not allowed to view links. Register or Login

Es posible que existan versiones más nuevas de Dolphin y que se hayan utilizado en ataques, dado que la puerta trasera se ha implementado contra objetivos seleccionados.

Según los investigadores, el malware se usó en un ataque de abrevadero en un periódico de Corea del Sur que informaba sobre actividades y eventos relacionados con Corea del Norte. Los piratas informáticos se basaron en un exploit de Internet Explorer para finalmente entregar la puerta trasera de Dolphin a los hosts de destino.

El informe de ESET proporciona una lista de hashes para las versiones de puertas traseras de Dolphin 1.9 a 3.0 (86/64 bits).

Mas Info:

WeLiveSecurity by ESET
You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

15
You are not allowed to view links. Register or Login

El Grupo de Análisis de Amenazas (TAG) de Google ha vinculado un exploit framework que apunta a vulnerabilidades, ahora parcheadas en los navegadores web Chrome y Firefox y la aplicación de seguridad Microsoft Defender ,a una empresa de software española.

Si bien TAG es el equipo de expertos en seguridad de Google centrado en proteger a los usuarios de Google de los ataques patrocinados por el estado, también realiza un seguimiento de docenas de empresas que permiten a los gobiernos espiar a disidentes, periodistas y opositores políticos mediante herramientas de vigilancia.

El gigante de las búsquedas dice que una empresa de software con sede en Barcelona es uno de estos proveedores de vigilancia comercial y no solo un proveedor de soluciones de seguridad personalizadas como afirma oficialmente.

"Continuando con este trabajo, hoy compartimos los hallazgos sobre un exploit framework con vínculos probables con Variston IT, una empresa en Barcelona, España, que dice ser un proveedor de soluciones de seguridad personalizadas", dijeron Clement Lecigne y Benoit Sevens de Google TAG en Miércoles.

"Su framework Heliconia explota las vulnerabilidades de 0-day en Chrome, Firefox y Microsoft Defender y proporciona todas las herramientas necesarias para implementar una carga útil (payload) en un dispositivo de destino".

El marco de explotación (exploit framework) consta de múltiples componentes, cada uno de ellos dirigido a fallas de seguridad específicas en el software en los dispositivos de los objetivos:

    Heliconia Noise: un web framework  para implementar un exploit de error del renderizador de Chrome seguido de un escape de sandbox en Chrome para instalar agentes en el dispositivo de destino

    Heliconia Soft: un web framework que implementa un PDF que contiene el exploit de Windows Defender rastreado como CVE-2021-42298

    Heliconia Files: un conjunto de exploits de Firefox para Linux y Windows, uno rastreado como CVE-2022-26485

Para Heliconia Noise y Heliconia Soft, los exploits finalmente desplegarían un agente llamado 'agent_simple' en el dispositivo comprometido.

Sin embargo, la muestra de este framework analizada por Google contenía un agente ficticio que se ejecuta y sale sin ejecutar ningún código malicioso.

Google cree que el cliente del framework proporciona su propio agente o es parte de otro proyecto al que no tiene acceso.

Aunque no hay evidencia de explotación activa de las vulnerabilidades de seguridad específicas, y Google, Mozilla y Microsoft las parchearon en 2021 y principios de 2022, Google TAG dice que "parece probable que se hayan utilizado como cero days en la naturaleza".

Un portavoz de Variston IT no estuvo disponible de inmediato para hacer comentarios.

Enlaces a Varonis IT encontrados en el script de limpieza previo a la confirmación (Google TAG)
You are not allowed to view links. Register or Login

Esfuerzos de Google para el rastreo de los proveedores de spyware

En junio, el equipo TAG de la compañía también reveló que algunos proveedores de servicios de Internet (ISP) ayudaron al proveedor italiano de spyware RCS Labs a implementar herramientas comerciales de vigilancia en los dispositivos de los usuarios de Android e iOS en Italia y Kazajstán.

Durante los ataques, se solicitó a los objetivos que instalaran aplicaciones maliciosas (camufladas como aplicaciones legítimas de operadores de telefonía móvil) en descargas automáticas para volver a conectarse después de que su conexión a Internet se interrumpiera con la ayuda de su ISP.

Un mes antes, Google TAG expuso otra campaña de vigilancia cuando los actores de amenazas respaldados por el estado, explotaron cinco errores de día cero para instalar el software espía Predator desarrollado por el desarrollador comercial de software espía Cytrox.

Google dijo en ese momento que estaba rastreando activamente a más de 30 proveedores con diferentes niveles de exposición pública y sofisticación que venden capacidades de vigilancia o explotaciones a grupos o actores de amenazas patrocinados por el gobierno.

"El crecimiento de la industria del spyware pone en riesgo a los usuarios y hace que Internet sea menos seguro, y aunque la tecnología de vigilancia puede ser legal según las leyes nacionales o internacionales, a menudo se usa de manera dañina para realizar espionaje digital contra una variedad de grupos", dijo Google. TAG añadido hoy.

"Estos abusos representan un grave riesgo para la seguridad en línea, por lo que Google y TAG continuarán tomando medidas y publicando investigaciones sobre la industria del software espía comercial".

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

16
Noticias Informáticas / Gorilla Glass Victus 2
« on: November 30, 2022, 06:23:22 pm »
You are not allowed to view links. Register or Login

Gorilla Glass es el vidrio reforzado químicamente empleado por las láminas protectoras de las pantallas de muchos smartphones, principalmente de gama alta. Corning, compañía encargada de desarrollar el vidrio, promete ir un paso más allá con Gorilla Glass Victus 2, cuya nueva composición debería de ofrecer una mayor resistencia frente a caídas sobre superficies rugosas mientras mantiene la misma resistencia frente a los arañazos que la primera generación de Victus.

La primera generación del vidrio Victus fue lanzada hace dos años con la apuesta de resistir una caída de dos metros. Ahora Corning pretende subir su apuesta con el Victus 2 para crear un vidrio que sea capaz de resistir frente una caída desde la altura de la cintura sobre superficies más ásperas. Por otro lado, la empresa también ha recalcado que la presión sobre la pantalla ha aumentado debido a que los smartphones actuales son un quince por ciento más pesados y un diez por ciento más grandes que hace cuatro años.

Corning explica que, según sus propias pruebas realizadas en laboratorios, Gorilla Glass Victus 2 fue capaz de “sobrevivir” a caídas de hasta un metro sobre una superficie de hormigón. También ha dicho que “Victus 2 siguió sobreviviendo a caídas de hasta dos metros sobre una superficie que imitaba el asfalto y mantuvo una resistencia a los arañazos hasta cuatro veces mejor que el aluminosilicato de la competencia”. Luego habrá que ver si en una situación real la resistencia es tanta como dice Corning.

You are not allowed to view links. Register or Login

Todavía no se conoce qué dispositivos estrenarán el Gorilla Glass Victus 2 para proteger sus pantallas. Se sostengan o no los datos expuestos por Corning en la vida real, lo cierto es que las láminas protectoras construidas con su vidrio son ampliamente utilizadas, hasta el extremo de ser implementadas, según cuenta la empresa, en más de 8.000 millones de dispositivos.

El hecho de que Apple invirtiera hace unos años 250 millones de dólares en Corning es una muestra de que su buen hacer con el vidrio tiene el reconocimiento de los fabricantes de dispositivos.

Fuente:
Muy Computer
You are not allowed to view links. Register or Login

17
You are not allowed to view links. Register or Login

Mientras analizaban sus capacidades, los investigadores de Akamai eliminaron accidentalmente una red de bots de criptominería que también se usaba para ataques de denegación de servicio distribuido (DDoS).

Como se reveló en un informe publicado a principios de este mes, los miembros del Equipo de respuesta de inteligencia de seguridad (SIRT) de Akamai descubrieron el malware KmsdBot detrás de esta botnet después de que infectara uno de sus honeypots.

KmsdBot se dirige a dispositivos Windows y Linux con una amplia gama de arquitecturas e infecta nuevos sistemas a través de conexiones SSH que usan credenciales de inicio de sesión débiles o predeterminadas.

Los dispositivos comprometidos se utilizan para extraer criptomonedas y lanzar ataques DDoS, y algunos de los objetivos anteriores son empresas de juegos y tecnología, así como fabricantes de automóviles de lujo.

Desafortunadamente para sus desarrolladores y afortunadamente para los propietarios de los dispositivos, la botnet aún no tiene capacidades de persistencia para evadir la detección.

Sin embargo, esto significa que el malware debe comenzar de nuevo si se detecta y elimina o si funciona mal y pierde su conexión con el servidor de comando y control (C2).

Tango caído

Esto también es lo que condujo a la desaparición de la botnet después de que los investigadores de Akamai desactivaran involuntariamente las versiones actuales del malware KmsdBot.

"En nuestro entorno controlado, pudimos enviar comandos al bot para probar su funcionalidad y atacar las firmas", explicó el investigador de vulnerabilidades de Akamai, Larry Cashdollar, en un nuevo informe.

"Como parte de este análisis, un error de sintaxis hizo que el bot dejara de enviar comandos, matando efectivamente a la red de bots".

Lo que ayudó a eliminar a KmsdBot fue su falta de verificación de errores y "el equivalente de codificación de un error tipográfico", lo que provocó que el malware fallara y dejara de enviar comandos de ataque debido a la cantidad incorrecta de argumentos al servidor C2.

Básicamente, como explicó Cashdollar, el bloqueo fue causado por la emisión de un comando de ataque en el que faltaba el espacio entre el sitio web de destino y el puerto.

You are not allowed to view links. Register or Login

"Este comando mal formado probablemente colapsó todo el código de la red de bots que se ejecutaba en las máquinas infectadas y hablaba con el C2, esencialmente, matando la red de bots", agregó Cashdollar.

"Debido a que el bot no tiene ninguna funcionalidad para la persistencia en una máquina infectada, la única forma de recuperarse es volver a infectar y reconstruir la botnet desde cero".

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

18
You are not allowed to view links. Register or Login

Un actor de amenazas sofisticado llamado 'CashRewindo' ha estado utilizando dominios 'antiguos' en campañas globales de publicidad maliciosa que conducen a sitios de estafas de inversión.

La publicidad maliciosa implica la inyección de código JavaScript malicioso en anuncios digitales promovidos por redes de publicidad legítimas, lo que lleva a los visitantes del sitio web a páginas que alojan formularios de phishing, colocan malware u operan estafas.

Las campañas de publicidad maliciosa de CashRewindo se distribuyen por Europa, América del Norte y del Sur, Asia y África, y utilizan un idioma y una moneda personalizados para parecer legítimos ante la audiencia local.

Los analistas de Confiant han estado rastreando 'CashRewindo' desde 2018 e informan que el actor de amenazas se destaca por un enfoque inusualmente astuto para configurar operaciones de publicidad maliciosa con gran atención a los detalles.

Los dominios mejoran con la edad

El envejecimiento del dominio es cuando los actores de amenazas registran dominios y esperan años para usarlos, con la esperanza de eludir las plataformas de seguridad.

Esta técnica funciona cuando los dominios antiguos que no han estado involucrados en actividades maliciosas durante mucho tiempo ganan confianza en Internet, por lo que es poco probable que las herramientas de seguridad los marquen como sospechosos.

Confiant dice que CashRewindo usa dominios que han envejecido durante al menos dos años antes de que se activen (tienen sus certificados actualizados y un servidor virtual asignado).

La empresa de seguridad pudo identificar al menos 487 dominios utilizados por el actor de amenazas en particular, algunos registrados desde 2008 y utilizados por primera vez en 2022.

Las víctimas terminan en estos sitios de destino al hacer clic en anuncios infectados que se encuentran en sitios legítimos.

Para evadir la detección de "lenguaje fuerte" en sitios legítimos, el actor de amenazas alterna entre palabras inocuas y de llamado a la acción, por lo general, comienza la campaña con cuidado y luego cambia a anuncios de llamado a la acción.

Combinación de anuncios utilizados por CashRewindo (Confiant)
You are not allowed to view links. Register or Login

Los anuncios maliciosos también presentan un pequeño círculo rojo que ayuda a confundir los módulos de detección de visión por computadora para que no puedan detectar el fraude.

Global pero muy específico

Cada campaña de CashRewindo se dirige a un público en particular, por lo que las páginas de destino están configuradas para mostrar la estafa o una página inocua o en blanco para objetivos no válidos.

Landing page con botón 'clic aquí' (Confiant)
You are not allowed to view links. Register or Login

Esto se hace comprobando la zona horaria, la plataforma del dispositivo y el idioma utilizado en el sistema del visitante.

Los usuarios y dispositivos fuera del público objetivo que hagan clic en el botón incrustado "Haga clic aquí" serán redirigidos a un sitio inocuo.

Los objetivos válidos, por otro lado, ejecutarán código JavaScript con el código malicioso escondido dentro de una biblioteca común para evadir la inspección de solicitudes.

Fragmento JS malicioso que se ejecuta en objetivos válidos (Confiant)
You are not allowed to view links. Register or Login

Esos usuarios son llevados a una página de estafa y, finalmente, redirigidos a una plataforma de inversión de criptomoneda falsa que promete rendimientos de inversión poco realistas.

Sitio de inversiones fraudulentas (Confiant)
You are not allowed to view links. Register or Login

Confiant informa que durante 12 meses, ha registrado más de 1,5 millones de impresiones de CashRewindo, principalmente dirigidas a dispositivos Windows.

En cuanto a los países que generan la mayoría de estas impresiones, las 20 ubicaciones más segmentadas se muestran en la siguiente tabla.

You are not allowed to view links. Register or Login

Las estafas de inversión están muy extendidas, pero, por lo general, los actores de amenazas prefieren la cantidad a la calidad, empujando sus sitios falsos creados apresuradamente a grandes grupos de usuarios y alojando las plataformas de estafa en dominios registrados recientemente condenados a desconectarse rápidamente.

CashRewindo sigue un enfoque diferente que requiere más trabajo, pero mejora significativamente las posibilidades de éxito para el actor de amenazas.


Cualquier oportunidad de inversión que garantice ganancias es probablemente una estafa, así que trátelo como una gran señal de alerta y realice una verificación exhaustiva de antecedentes antes de depositar fondos.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

19
You are not allowed to view links. Register or Login

La Policía Nacional de España ha desmantelado una organización de ciberdelincuencia que utilizó sitios de inversión falsos para estafar más de 12,3 millones de euros (12,8 millones de dólares) a 300 víctimas en toda Europa.

Las campañas maliciosas involucraron la creación de sitios falsos de inversión en criptomonedas con una apariencia similar a las plataformas legítimas conocidas.

Luego, los actores de la amenaza lavaron el dinero robado a las víctimas moviéndolo de los bancos españoles a entidades financieras extranjeras donde los delincuentes esperaban que estuviera lejos del escrutinio o la capacidad de rastreo de las autoridades.

La investigación policial de España se inició después de que el representante legal de uno de los grupos financieros suplantados denunciara el caso a la policía.

Durante la operación, seis miembros de la organización del ciberdelito fueron detenidos en Madrid y Barcelona y enfrentarán cargos por sospecha de estafa, blanqueo de capitales y usurpación de estado civil.

Proceso de estafa

Los ciberdelincuentes crearon una red de sitios web de bancos falsos que utilizaban la técnica de typosquatting, que consiste en registrar dominios similares a los sitios oficiales de bancos reales suplantados.

Al cambiar un carácter o intercambiar la posición de dos letras, los dominios aún pueden parecer auténticos para los visitantes descuidados.

Por lo general, las víctimas terminan en estos sitios siguiendo enlaces incrustados en correos electrónicos de phishing, que es como la pandilla española desmantelada también atrajo tráfico a sus sitios.

Si bien las víctimas del grupo de amenazas provienen de varios países de Europa, la mayoría de los sitios web falsos se dirigieron a los franceses y, por lo tanto, se hicieron pasar por instituciones financieras francesas.

Se hizo creer a las víctimas que estaban invirtiendo dinero en estos sitios web, pero en realidad, sus depósitos se enviaban directamente a las cuentas bancarias del grupo criminal.

El método de defraudación utilizado por el grupo delictivo consistía en ofrecer a cualquier potencial cliente, a través de sitios web fraudulentos, la posibilidad de realizar distintas operaciones financieras, tales como: contratación de productos de inversión (renta variable, futuros y criptomonedas) y contratación de productos de financiación. " - Policía Española

Los fondos robados se trasladaron a las cuentas bancarias de los estafadores en España, Portugal, Polonia y Francia y, posteriormente, se trasladaron a entidades extranjeras en un intento de lavado de dinero. Después de rebotar para ocultar el rastro del dinero, los fondos finalmente se devolvieron a las cuentas españolas.

La investigación policial determinó que el importe total del dinero enviado al destino final del grupo delictivo fue de 12.345.731 euros.

Fuente
:
BleepingComputer
You are not allowed to view links. Register or Login

20
You are not allowed to view links. Register or Login

Dos directivos del Banco Central Europeo han advertido este miércoles que el Bitcoin “se encamina hacia la irrelevancia” y que “lo más probable” es que el artefacto digital esté “en su último suspiro” antes de caer en ella. Así lo han explicado en un artículo de opinión publicado en el blog de la institución, en el que exponen que los primeros síntomas aparecieron antes de la última crisis del sector, que se ha llevado por delante al joven que poseía la mayor criptofortuna del mundo y a su plataforma, que a su vez ha arrastrado con ella a otras más pequeñas. “Ya era previsible antes de que FTX quebrara y enviara el precio del Bitcoin muy por debajo de los 16.000 dólares”, afirman, recordando que hace un año se vendía a 69.000 dólares.

Los autores (Ulrich Bindseil, director general de la división de Pagos e Infraestructuras de Mercado del BCE, y Jürgen Schaaf, asesor de la alta dirección en la misma área) defienden que las deficiencias tecnológicas y de diseño del Bitcoin como medio de pago y también como inversión más allá de la especulación parecen abocar a este artefacto digital a perder el papel central en el sector de las criptomonedas.

En su opinión, a pesar de que fue creado para superar el sistema monetario y financiero existente, comercializándose como una moneda digital descentralizada global, “el diseño conceptual y las deficiencias tecnológicas de Bitcoin lo hacen cuestionable como medio de pago”, ya que las transacciones reales son “engorrosas, lentas y costosas”, por lo que nunca se ha utilizado de manera significativa para transacciones legales del mundo real.

No es adecuado como inversión

Los directivos del BCE advierten de que el Bitcoin tampoco es adecuado como inversión, ya que no genera flujo de caja ni dividendos y no puede utilizarse productivamente ni proporciona beneficios sociales, por lo que su valoración de mercado se apoya únicamente en la especulación.

En este sentido, recuerdan que las burbujas especulativas se basan en el flujo de dinero nuevo, subrayando que los grandes inversores de Bitcoin “tienen los incentivos más fuertes para mantener la euforia”. “Los grandes inversores también financian a los grupos de presión que impulsan su caso con los legisladores y reguladores. Solo en Estados Unidos, el número de grupos de presión de criptomonedas casi se ha triplicado, pasando de 115 en 2018 a 320 en 2021. Sus nombres a veces se leen como un quién es quién de los reguladores estadounidenses”, detallan.

De hecho, señalan el efecto de caja de resonancia por el que los legisladores a veces han facilitado la afluencia de fondos a las criptomonedas. Los directivos afean que algunos políticos hayan apoyado los supuestos méritos del Bitcoin y propuesto regulaciones que dan la impresión de que los criptoactivos son solo otra clase de activos, a pesar de que los riesgos de estos “son indiscutibles” entre los reguladores.

La regulación actual de las criptomonedas está parcialmente moldeada por conceptos erróneos”, afirman, al tiempo señalan que persiste la creencia de que hay que dar espacio a la innovación a toda costa, a pesar de que, hasta ahora, la tecnología DLT/Blockchain sobre la que se apoya Bitcoin “ha creado un valor limitado para la sociedad, sin importar cuán grandes sean las expectativas para el futuro”.

A este respecto, advierten también de que la supuesta sanción regulatoria de las criptomonedas ha tentado a la industria financiera convencional para facilitar a los clientes el acceso al Bitcoin, señalando que “la entrada de las instituciones financieras sugiere a los pequeños inversores que las inversiones en Bitcoin son sólidas”.

Contaminante

Por otro lado, los autores apuntan que la tecnología que sustenta el Bitcoin es un contaminador sin precedentes por su elevado consumo de energía, ya que se calcula que la minería de Bitcoin consume tanta electricidad al año como Austria, mientras que también produce montañas de desechos de hardware. “Todo el sistema Bitcoin genera tantos desechos electrónicos como los Países Bajos”, critican, recordando que tal ineficiencia del sistema no es un defecto, sino una característica.

De este modo, los funcionarios del BCE consideran que, dado que Bitcoin no parece ser adecuado como sistema de pago ni como forma de inversión, no debe tratarse como tal en términos normativos y, por lo tanto, no debe legitimarse.

Del mismo modo, advierten de que la industria financiera debe tener cuidado con el daño a largo plazo de promover las inversiones de Bitcoin, a pesar de las ganancias a corto plazo que podrían obtener, ya que el impacto negativo en las relaciones con los clientes y el daño reputacional para todo el sector podría ser enorme una vez que los inversores de bitcoin hayan sufrido más pérdidas.

Fuente:
elDiario.es
You are not allowed to view links. Register or Login

Pages: [1] 2 3 ... 108