El informe más reciente de Gcore Radar y sus secuelas han puesto de manifiesto un aumento drástico de los ataques DDoS en múltiples sectores. A principios de 2023, la fuerza media de los ataques alcanzaba los 800 Gbps, pero ahora, incluso un pico de hasta 1,5+ Tbps no es sorprendente. Para tratar de romper las defensas de Gcore, los perpetradores hicieron dos intentos con dos estrategias diferentes. Siga leyendo para descubrir lo que sucedió y descubra cómo el proveedor de seguridad detuvo a los atacantes en seco sin afectar la experiencia de los usuarios finales.

Un potente ataque DDoS

En noviembre de 2023, uno de los clientes de Gcore de la industria del juego fue objeto de dos ataques DDoS masivos, con un máximo de 1,1 y 1,6 Tbps respectivamente. Los atacantes desplegaron varias técnicas en un intento infructuoso de comprometer los mecanismos de protección de Gcore.

Ataque #1: DDoS basado en UDP de 1,1 Tbps

En el primer ataque cibernético, los atacantes enviaron un aluvión de tráfico UDP a un servidor objetivo, con un máximo de 1,1 Tbps. Se emplearon dos métodos:

• Mediante el uso de puertos de origen UDP aleatorios, esperaban evadir los mecanismos de filtrado convencionales.
• Los atacantes ocultaron su identidad genuina falsificando las direcciones IP de origen.

Se trataba de un ataque clásico de inundación (o volumétrico), en el que los atacantes esperaban consumir todo el ancho de banda disponible de un centro de datos o red, abrumando los servidores objetivo con tráfico y haciéndolos no disponibles para los usuarios legítimos.

El siguiente gráfico muestra el tráfico del cliente durante el ataque. El pico de 1,1 Tbps muestra un intento agresivo pero de corta duración de inundar la red con datos. La línea verde ("total.general.input") muestra todo el tráfico entrante. Las otras líneas de colores en el gráfico representan las respuestas de la red, incluidas las medidas para filtrar y descartar el tráfico malicioso, a medida que el sistema administra la avalancha de datos.


Ataque #2: DDoS basado en TCP de 1,6 Tbps


Esta vez, los atacantes intentaron explotar el protocolo TCP con una combinación de tráfico SYN flood, PSH y ACK.

En un ataque de inundación SYN, varios paquetes SYN se entregan al servidor de destino sin paquetes ACK. Esto significa que el servidor genera una conexión semiabierta para cada paquete SYN. Si tiene éxito, el servidor finalmente se quedará sin recursos y dejará de aceptar conexiones.

La fase PSH, ACK del ataque envía rápidamente datos al sistema objetivo. El indicador ACK indica que el servidor recibió el paquete anterior. Esto empuja al sistema a manejar los datos con prontitud, desperdiciando recursos. Un ataque de inundación SYN que utiliza paquetes PSH, ACK es más difícil de defender que una inundación SYN, ya que el indicador PSH hace que el servidor procese el contenido del paquete inmediatamente, consumiendo más recursos.

Al igual que antes, el objetivo era sobrecargar los servidores del cliente y hacer que sus servicios fueran inaccesibles para los usuarios autorizados. Esta inundación SYN tuvo un volumen máximo de 685,77 Mbps y el PSH, ACK tuvo una magnitud de 906,73 Mbps.

Estrategias defensivas de Gcore

La protección DDoS de Gcore neutralizó eficazmente ambos ataques al tiempo que preservó el servicio regular para los usuarios finales del cliente. El enfoque general para defenderse de las amenazas de seguridad DDoS incluye varias técnicas, como las defensas de primera línea de Gcore:

• Conformado dinámico del tráfico: Las tasas de tráfico ajustadas dinámicamente mitigan eficazmente el impacto del ataque al tiempo que garantizan la continuidad de los servicios críticos. Con el fin de priorizar el tráfico genuino y ralentizar las transmisiones dañinas, se utilizan umbrales adaptativos y restricciones de velocidad.
• Detección de anomalías y cuarentena: Los modelos basados en el aprendizaje automático analizan el comportamiento para identificar anomalías. Cuando se produce una anomalía, los mecanismos de cuarentena automatizados redirigen el tráfico erróneo a segmentos aislados para un análisis adicional.
• Filtros de expresiones regulares: Para bloquear cargas malintencionadas sin interrumpir el tráfico legítimo, se implementan reglas de filtro basadas en expresiones regulares. Su ajuste fino continuo garantiza una protección óptima sin falsos positivos.
• Inteligencia colaborativa de amenazas: Gcore participa activamente en el intercambio de inteligencia de amenazas con sus pares de la industria. Los conocimientos colectivos y las fuentes de amenazas en tiempo real guían las técnicas de seguridad de Gcore, lo que permite una respuesta rápida a los vectores de ataque en desarrollo.

Al emplear estas estrategias, Gcore pudo mitigar eficazmente el impacto de los ataques DDoS y proteger la plataforma de sus clientes de las interrupciones, anulando posibles pérdidas financieras y de reputación.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Varias vulnerabilidades de seguridad denominadas colectivamente LogoFAIL afectan a los componentes de análisis de imágenes en el código UEFI de varios proveedores. Los investigadores advierten que podrían ser explotados para secuestrar el flujo de ejecución del proceso de arranque y para entregar bootkits.

Debido a que los problemas se encuentran en las bibliotecas de análisis de imágenes, que los proveedores usan para mostrar logotipos durante la rutina de arranque, tienen un amplio impacto y se extienden a las arquitecturas x86 y ARM.

Según los investigadores de la plataforma de seguridad de la cadena de suministro de firmware Binarly, la marca ha introducido riesgos de seguridad innecesarios, lo que permite ejecutar cargas útiles maliciosas mediante la inyección de archivos de imagen en la partición del sistema EFI (ESP).

Descubrimiento e impacto de LogoFAIL
El abuso de los analizadores de imágenes para ataques a la Interfaz Unificada de Firmware Extensible (UEFI) se demostró en 2009 cuando los investigadores Rafal Wojtczuk y Alexander Tereshkin presentaron cómo se podía explotar un error del analizador de imágenes BMP para infectar el BIOS para la persistencia del malware.

El descubrimiento de las vulnerabilidades de LogoFAIL comenzó como un pequeño proyecto de investigación sobre superficies de ataque de componentes de análisis de imágenes en el contexto de código de análisis personalizado u obsoleto en el firmware UEFI.

Los investigadores descubrieron que un atacante podría almacenar una imagen o logotipo malicioso en la partición del sistema EFI (ESP) o en secciones sin firmar de una actualización de firmware.



La plantación de malware de esta manera garantiza la persistencia en el sistema que prácticamente no se detecta, como se ilustra en ataques anteriores que aprovechan los componentes UEFI infectados [1, 2].

LogoFAIL no afecta a la integridad del tiempo de ejecución porque no hay necesidad de modificar el gestor de arranque o el firmware, un método visto con la vulnerabilidad BootHole o el bootkit BlackLotus.

En un vídeo que Binarly compartió de forma privada con BleepingComputer, la ejecución del script de prueba de concepto (PoC) y el reinicio del dispositivo dieron como resultado la creación de un archivo arbitrario en el sistema.

Los investigadores destacan que, debido a que no es específico del silicio, las vulnerabilidades de LogoFAIL afectan a los proveedores y chips de múltiples fabricantes. Los problemas están presentes en los productos de muchos de los principales fabricantes de dispositivos que utilizan firmware UEFI en dispositivos de consumo y de nivel empresarial.

Binarly ya ha determinado que cientos de dispositivos de Intel, Acer, Lenovo y otros proveedores son potencialmente vulnerables, al igual que los tres principales proveedores independientes de código de firmware UEFI personalizado: AMI, Insyde y Phoenix.

Sin embargo, también vale la pena señalar que el alcance exacto del impacto de LogoFAIL aún se está determinando.

"Si bien todavía estamos en el proceso de comprender el alcance real de LogoFAIL, ya descubrimos que cientos de dispositivos de consumo y de nivel empresarial son posiblemente vulnerables a este nuevo ataque", dicen los investigadores.

Los detalles técnicos completos de LogoFAIL se presentarán el 6 de diciembre en la conferencia de seguridad Black Hat Europe en Londres.

De acuerdo con el resumen de la presentación de LogoFAIL, los investigadores revelaron sus hallazgos a múltiples proveedores de dispositivos (Intel, Acer, Lenovo) y a los tres principales proveedores de UEFI.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha comenzado a implementar su asistente Copilot AI en Windows 10 con la actualización preliminar no relacionada con la seguridad del KB5032278 de noviembre de 2023 para sistemas que ejecutan Windows 10, versión 22H2.

Hace dos semanas, la compañía presentó Copilot a Windows 10 Insiders con sistemas no administrados elegibles que ejecutan las ediciones Windows 10 22H2 Home y Pro.

El asistente de IA se presentó por primera vez en septiembre, inicialmente disponible en dispositivos Windows 11 22H2 y ahora habilitado de forma predeterminada en dispositivos Windows 11 23H2.

La versión preliminar de Copilot en Windows 10 ahora se está implementando solo en algunos mercados globales. América del Norte, partes de Asia y América del Sur son los mercados principales para esta versión preliminar, y otros adicionales se unirán gradualmente al lanzamiento más adelante.

"Si está interesado en experimentar Copilot en Windows lo antes posible, puede hacerlo yendo a Configuración > Actualización y seguridad > Windows Update. Activa "Obtener las últimas actualizaciones tan pronto como estén disponibles" y Buscar actualizaciones", dijo Microsoft.

Como Microsoft agregó el jueves, Copilot en Windows es incompatible con los sistemas Windows donde la barra de tareas se coloca verticalmente en el lado derecho o izquierdo de la pantalla.

"Para acceder a Copilot en Windows, asegúrese de que la barra de tareas esté colocada horizontalmente en la parte superior o inferior de la pantalla. Estamos trabajando en una resolución y proporcionaremos una actualización en una próxima versión", dijo Redmond.

Es importante tener en cuenta que las actualizaciones mensuales "C" como KB5032278 son opcionales y, a diferencia de las actualizaciones de seguridad de Patch Tuesday, no vienen con correcciones para fallas de seguridad.

Aquellos que quieran instalar la versión preliminar de actualización acumulativa de este mes pueden ir a Configuración > Windows Update y hacer clic en 'Descargar e instalar' después de buscar actualizaciones.

También puede descargar la actualización desde el catálogo de Microsoft Update para instalarla manualmente.


Otros aspectos destacados de la actualización de la versión preliminar de noviembre

La versión acumulativa opcional de Windows 10 KB5032278 también viene con mejoras y 18 correcciones de errores, algunas de las más significativas que se destacan a continuación:

• Si usas dispositivos Home o Pro-consumer o dispositivos empresariales no administrados, puedes obtener algunas de las experiencias más recientes tan pronto como estén listas. Para hacerlo, vaya a Configuración > Actualización y seguridad > Windows Update. Activa la opción Obtener las últimas actualizaciones tan pronto como estén disponibles.
• Esta actualización agrega una nueva funcionalidad que afecta a los valores predeterminados de la aplicación.
• Esta actualización agrega notificaciones de suscripción de Windows Update a la pantalla al iniciar sesión.
• Esta actualización soluciona un problema que hace que el modo IE deje de responder. Esto ocurre cuando tiene varias pestañas del modo IE abiertas.
• Esta actualización soluciona un problema que afecta al cursor. Su movimiento se retrasa en algunos escenarios de captura de pantalla.
• Esta actualización soluciona un problema que afecta al teclado táctil. Es posible que no aparezca durante la configuración rápida (OOBE).

Puede encontrar la lista completa de correcciones y mejoras incluidas con esta actualización preliminar en el boletín de soporte técnico de KB5026436 publicado por Microsoft el día de hoy.

Redmond también dijo el jueves que se omitirá la actualización de vista previa de diciembre de 2023, y que la compañía reanudará el ciclo de lanzamiento habitual en enero.

"Debido a la reducción de las operaciones durante las vacaciones occidentales y el próximo año nuevo, no habrá una versión preliminar que no sea de seguridad para el mes de diciembre de 2023", dijo Microsoft.

"Habrá un lanzamiento de seguridad mensual para diciembre de 2023. El servicio mensual normal para las versiones preliminares de seguridad y no de seguridad se reanudará en enero de 2024".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha descubierto un nuevo malware para Android llamado FjordPhantom que utiliza la virtualización para ejecutar código malicioso en un contenedor y evadir la detección.

El malware fue descubierto por Promon, cuyos analistas informan que actualmente se propaga a través de correos electrónicos, SMS y aplicaciones de mensajería dirigidas a aplicaciones bancarias en Indonesia, Tailandia, Vietnam, Singapur y Malasia.

Se engaña a las víctimas para que descarguen lo que parecen ser aplicaciones bancarias legítimas, pero que contienen código malicioso que se ejecuta en un entorno virtual para atacar la aplicación bancaria real.

FjordPhantom tiene como objetivo robar credenciales de cuentas bancarias en línea y manipular transacciones mediante la realización de fraudes en el dispositivo.

El informe de Promon destaca un caso en el que FjordPhantom robó 280.000 dólares de una sola víctima, lo que fue posible gracias a la combinación de la naturaleza evasiva del malware con la ingeniería social, como las llamadas supuestamente de los agentes de servicio al cliente de los bancos.

Virtualización como evasión en Android

En Android, varias aplicaciones pueden ejecutarse en entornos aislados conocidos como "contenedores" por razones legítimas, como ejecutar varias instancias de la misma aplicación con diferentes cuentas.

FjordPhantom incorpora una solución de virtualización de proyectos de código abierto para crear un contenedor virtual en el dispositivo sin que el usuario lo sepa.

Al iniciarse, el malware instala el APK de la aplicación bancaria que el usuario pretendía descargar y ejecuta código malicioso dentro del mismo contenedor, convirtiéndolo en parte del proceso de confianza.

Con la aplicación bancaria ejecutándose dentro de su contenedor virtual, FjordPhantom puede inyectar su código para enganchar API clave que le permiten capturar credenciales, manipular transacciones, interceptar información confidencial, etc.

En algunas aplicaciones, el marco de enganche del malware también manipula los elementos de la interfaz de usuario para cerrar automáticamente los cuadros de diálogo de advertencia y mantener a la víctima inconsciente del compromiso.


Promon señala que este truco de virtualización rompe el concepto de seguridad 'Android Sandbox', que evita que las aplicaciones accedan a los datos de las demás o interfieran con sus operaciones, ya que las aplicaciones dentro de un contenedor comparten la misma caja de arena.

Este es un ataque particularmente astuto porque la aplicación bancaria en sí no se modifica, por lo que la detección de manipulación de código no ayuda a detectar la amenaza.

Además, al enganchar las API relacionadas con GooglePlayServices, para que parezcan no estar disponibles en el dispositivo, FjordPhantom dificulta las comprobaciones de seguridad relacionadas con la raíz.

Los ganchos del malware incluso se extienden al registro, lo que puede proporcionar consejos a los desarrolladores sobre cómo realizar ataques más específicos en diferentes aplicaciones.

Promon comenta que esta es una señal de desarrollo activo, elevando el riesgo de que FjordPhantom amplíe su alcance de orientación más allá de los países mencionados en futuras versiones.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Zyxel ha abordado múltiples problemas de seguridad, incluidos tres críticos que podrían permitir que un atacante no autenticado ejecute comandos del sistema operativo en dispositivos vulnerables de almacenamiento conectado a la red (NAS).

Los sistemas NAS de Zyxel se utilizan para almacenar datos en una ubicación centralizada en la red. Están diseñados para grandes volúmenes de datos y ofrecen funciones como copia de seguridad de datos, transmisión de medios u opciones de uso compartido personalizadas.

Los usuarios típicos de Zyxel NAS incluyen pequeñas y medianas empresas que buscan una solución que combine funciones de gestión de datos, trabajo remoto y colaboración, así como profesionales de TI que configuran sistemas de redundancia de datos, o videógrafos y artistas digitales que trabajan con archivos grandes.

En un boletín de seguridad publicado hoy, el proveedor advierte de los siguientes fallos que afectan a los dispositivos NAS326 que ejecutan la versión 5.21(AAZF.14)C0 y anteriores, y a los NAS542 con la versión 5.21(ABAG.11)C0 y anteriores.

• CVE-2023-35137: Vulnerabilidad de autenticación incorrecta en el módulo de autenticación de los dispositivos Zyxel NAS, que permite a los atacantes no autenticados obtener información del sistema a través de una URL diseñada. (puntuación de gravedad alta de 7,5)
• CVE-2023-35138: Fallo de inyección de comandos en la función "show_zysync_server_contents" en los dispositivos NAS Zyxel, lo que permite a los atacantes no autenticados ejecutar comandos del sistema operativo a través de una solicitud HTTP POST elaborada. (puntuación de gravedad crítica de 9,8)
• CVE-2023-37927: Vulnerabilidad en el programa CGI de los dispositivos Zyxel NAS, que permite a los atacantes autenticados ejecutar comandos del sistema operativo con una URL diseñada. (puntuación de gravedad alta de 8,8)
• CVE-2023-37928: Inyección de comandos posterior a la autenticación en el servidor WSGI de los dispositivos NAS Zyxel, lo que permite a los atacantes autenticados ejecutar comandos del sistema operativo a través de una URL diseñada. (puntuación de gravedad alta de 8,8)
• CVE-2023-4473: Fallo de inyección de comandos en el servidor web de los dispositivos NAS Zyxel, que permite a los atacantes no autenticados ejecutar comandos del sistema operativo a través de una URL diseñada. (puntuación de gravedad crítica de 9,8)
• CVE-2023-4474: Vulnerabilidad en el servidor WSGI de los dispositivos NAS Zyxel, que permite a los atacantes no autenticados ejecutar comandos del sistema operativo con una URL diseñada. (puntuación de gravedad crítica de 9,8)

Los actores de amenazas podrían explotar las vulnerabilidades anteriores para obtener acceso no autorizado, ejecutar algunos comandos del sistema operativo, obtener información confidencial del sistema o tomar el control completo de los dispositivos NAS Zyxel afectados.

Para hacer frente a estos riesgos, se recomienda a los usuarios de NAS326 que actualicen a la versión V5.21(AAZF.15)C0 o posterior. Los usuarios de NAS542 deben actualizar su firmware a V5.21(ABAG.12)C0 o posterior, lo que corrige los defectos anteriores.

El proveedor no ha proporcionado ningún consejo de mitigación ni soluciones alternativas, siendo una actualización de firmware la acción recomendada.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha observado una campaña de ransomware CACTUS que explota fallas de seguridad recientemente reveladas en una plataforma de análisis e inteligencia empresarial en la nube llamada Qlik Sense para obtener un punto de apoyo en entornos específicos.

"Esta campaña marca el primer caso documentado [...] donde los actores de amenazas que implementan el ransomware CACTUS han explotado vulnerabilidades en Qlik Sense para el acceso inicial", dijeron los investigadores de Arctic Wolf Stefan Hostetler, Markus Neis y Kyle Pagelow.

La compañía de ciberseguridad, que dijo que está respondiendo a "varios casos" de explotación del software, señaló que es probable que los ataques se aprovechen de tres fallas que se han revelado en los últimos tres meses:

• CVE-2023-41265 (puntuación CVSS: 9,9): una vulnerabilidad de tunelización de solicitudes HTTP que permite a un atacante remoto elevar sus privilegios y enviar solicitudes que son ejecutadas por el servidor backend que aloja la aplicación de repositorio.
• CVE-2023-41266 (puntuación CVSS: 6,5): una vulnerabilidad de recorrido de ruta que permite a un atacante remoto no autenticado transmitir solicitudes HTTP a puntos de conexión no autorizados.
• CVE-2023-48365 (puntuación CVSS: 9,9): una vulnerabilidad de ejecución remota de código no autenticada que surge debido a una validación incorrecta de encabezados HTTP, lo que permite a un atacante remoto elevar sus privilegios mediante la tunelización de solicitudes HTTP.

Vale la pena señalar que CVE-2023-48365 es el resultado de un parche incompleto para CVE-2023-41265, que junto con CVE-2023-41266, fue revelado por Praetorian a fines de agosto de 2023. El 2023 de noviembre de 48365 se envió una corrección para CVE-20-2023.

En los ataques observados por Arctic Wolf, una explotación exitosa de las fallas es seguida por el abuso del servicio Qlik Sense Scheduler para generar procesos que están diseñados para descargar herramientas adicionales con el objetivo de establecer la persistencia y configurar el control remoto.

Esto incluye ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk y Plink. También se ha observado que los actores de amenazas desinstalan el software de Sophos, cambian la contraseña de la cuenta de administrador y crean un túnel RDP a través de Plink.

Las cadenas de ataque culminan con el despliegue del ransomware CACTUS, y los atacantes también utilizan rclone para la exfiltración de datos.

El panorama del ransomware en constante evolución

La revelación se produce a medida que el panorama de amenazas de ransomware se ha vuelto más sofisticado y la economía clandestina ha evolucionado para facilitar los ataques a escala a través de una red de corredores de acceso inicial y propietarios de botnets que revenden el acceso a los sistemas de las víctimas a varios actores afiliados.

Según los datos recopilados por la empresa de ciberseguridad industrial Dragos, el número de ataques de ransomware que afectan a las organizaciones industriales disminuyó de 253 en el segundo trimestre de 2023 a 231 en el tercer trimestre. Por el contrario, solo en el mes de octubre de 318 se registraron 2023 ataques de ransomware en todos los sectores.

A pesar de los esfuerzos continuos de los gobiernos de todo el mundo para hacer frente al ransomware, el modelo de negocio del ransomware como servicio (RaaS) ha seguido siendo una vía duradera y lucrativa para extorsionar a los objetivos.

Se estima que Black Basta, un prolífico grupo de ransomware que entró en escena en abril de 2022, ha obtenido ganancias ilegales por una suma de al menos USD 107 millones en pagos de rescate de Bitcoin de más de 90 víctimas, según una nueva investigación conjunta publicada por Elliptic y Corvus Insurance.

La mayoría de estos ingresos se blanquearon a través de Garantex, un exchange de criptomonedas ruso que fue sancionado por el gobierno de Estados Unidos en abril de 2022 por facilitar las transacciones con el mercado de la darknet de Hydra.

Además, el análisis descubrió pruebas que vinculaban a Black Basta con el ahora desaparecido grupo ruso de ciberdelincuencia Conti, que dejó de funcionar casi al mismo tiempo que surgió el primero, así como con QakBot, que se utilizó para desplegar el ransomware.

"Aproximadamente el 10% del monto del rescate se envió a Qakbot, en los casos en que estuvieron involucrados en proporcionar acceso a la víctima", señaló Elliptic, y agregó que "rastreó Bitcoin por valor de varios millones de dólares desde billeteras vinculadas a Conti hasta las asociadas con el operador Black Basta".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Google ha revelado un nuevo vectorizador de texto multilingüe llamado RETVec (abreviatura de Resilient and Efficient Text Vectorizer) para ayudar a detectar contenido potencialmente dañino como spam y correos electrónicos maliciosos en Gmail.

"RETVec está entrenado para ser resistente a las manipulaciones a nivel de caracteres, incluida la inserción, la eliminación, los errores tipográficos, los homoglifos, la sustitución de LEET y más", según la descripción del proyecto en GitHub.

"El modelo RETVec se entrena sobre un novedoso codificador de caracteres que puede codificar todos los caracteres y palabras UTF-8 de manera eficiente".

Si bien grandes plataformas como Gmail y YouTube se basan en modelos de clasificación de texto para detectar ataques de phishing, comentarios inapropiados y estafas, se sabe que los actores de amenazas diseñan contraestrategias para eludir estas medidas de defensa.

Se ha observado que recurren a manipulaciones de texto adversariales, que van desde el uso de homoglifos hasta el relleno de palabras clave y caracteres invisibles.

RETVec, que funciona en más de 100 idiomas listos para usar, tiene como objetivo ayudar a crear clasificadores de texto más resistentes y eficientes en el lado del servidor y en el dispositivo, al mismo tiempo que son más robustos y eficientes.

La vectorización es una metodología en el procesamiento del lenguaje natural (PLN) para asignar palabras o frases del vocabulario a una representación numérica correspondiente con el fin de realizar análisis adicionales, como el análisis de sentimientos, la clasificación de texto y el reconocimiento de entidades con nombre.


"Debido a su novedosa arquitectura, RETVec funciona de forma inmediata en todos los idiomas y en todos los caracteres UTF-8 sin necesidad de preprocesamiento de texto, lo que lo convierte en el candidato ideal para implementaciones de clasificación de texto en dispositivos, web y a gran escala", señalaron Elie Bursztein y Marina Zhang de Google.

El gigante tecnológico dijo que la integración del vectorizador a Gmail mejoró la tasa de detección de spam sobre la línea de base en un 38% y redujo la tasa de falsos positivos en un 19,4%. También redujo el uso de la Unidad de Procesamiento de Tensores (TPU) del modelo en un 83%.

"Los modelos entrenados con RETVec exhiben una velocidad de inferencia más rápida debido a su representación compacta. Tener modelos más pequeños reduce los costos computacionales y disminuye la latencia, lo cual es fundamental para las aplicaciones a gran escala y los modelos en el dispositivo", agregaron Bursztein y Zhang.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha observado que una variante de una cepa de ransomware conocida como DJVU se distribuye en forma de software crackeado.

"Si bien este patrón de ataque no es nuevo, se han observado incidentes que involucran una variante de DJVU que agrega la extensión .xaro a los archivos afectados y exige un rescate por un descifrador que infecta los sistemas junto con una gran cantidad de cargadores de productos básicos y ladrones de información", dijo el investigador de seguridad de Cybereason, Ralph Villanueva.

La nueva variante ha sido bautizada como Xaro por la firma estadounidense de ciberseguridad.

DJVU, en sí mismo una variante del ransomware STOP, suele aparecer en escena haciéndose pasar por servicios o aplicaciones legítimos. También se entrega como una carga útil de SmokeLoader.

Un aspecto importante de los ataques DJVU es el despliegue de malware adicional, como ladrones de información (por ejemplo, RedLine Stealer y Vidar), lo que los hace más dañinos por naturaleza.

En la última cadena de ataque documentada por Cybereason, Xaro se propaga como un archivo comprimido de una fuente dudosa que se hace pasar por un sitio que ofrece software gratuito legítimo.

Abrir el archivo comprimido conduce a la ejecución de un supuesto binario de instalación para un software de escritura de PDF llamado CutePDF que, en realidad, es un servicio de descarga de malware de pago por instalación conocido como PrivateLoader.

PrivateLoader, por su parte, establece contacto con un servidor de comando y control (C2) para obtener una amplia gama de familias de malware de robo y cargador como RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig y Fabookie, además de eliminar Xaro.

"Este enfoque de escopeta para la descarga y ejecución de malware básico se observa comúnmente en las infecciones de PrivateLoader que se originan en sitios sospechosos de software gratuito o crackeado", explicó Villanueva.

El objetivo parece ser recopilar y exfiltrar información confidencial para una doble extorsión, así como garantizar el éxito del ataque, incluso si una de las cargas útiles es bloqueada por el software de seguridad.

Xaro, además de generar una instancia del ladrón de información Vidar, es capaz de cifrar archivos en el host infectado, antes de dejar caer una nota de rescate, instando a la víctima a ponerse en contacto con el actor de amenazas para pagar $ 980 por la clave privada y la herramienta de descifrado, un precio que se reduce en un 50% a $ 490 si se aborda dentro de las 72 horas.

En todo caso, la actividad ilustra los riesgos que conlleva la descarga de software gratuito de fuentes no confiables. El mes pasado, Sucuri detalló otra campaña llamada FakeUpdateRU en la que los visitantes de sitios web comprometidos reciben avisos falsos de actualización del navegador para entregar RedLine Stealer.

"Se sabe que los actores de amenazas favorecen el software gratuito disfrazado como una forma de implementar código malicioso de forma encubierta", dijo Villanueva. "La velocidad y la amplitud del impacto en las máquinas infectadas deben ser comprendidas cuidadosamente por las redes empresariales que buscan defenderse a sí mismas y a sus datos".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La falla de seguridad crítica recientemente revelada que afecta a Apache ActiveMQ está siendo explotada activamente por los actores de amenazas para distribuir una nueva botnet basada en Go llamada GoTitan, así como un programa .NET conocido como PrCtrl Rat que es capaz de apoderarse de forma remota de los hosts infectados.

Los ataques implican la explotación de un error de ejecución remota de código (CVE-2023-46604, puntuación CVSS: 10.0) que ha sido utilizado como arma por varios equipos de piratas informáticos, incluido Lazarus Group, en las últimas semanas.

Después de una violación exitosa, se ha observado que los actores de amenazas sueltan cargas útiles de la siguiente etapa desde un servidor remoto, uno de los cuales es GoTitan, una botnet diseñada para orquestar ataques de denegación de servicio distribuido (DDoS) a través de protocolos como HTTP, UDP, TCP y TLS.

"El atacante solo proporciona binarios para arquitecturas x64, y el malware realiza algunas comprobaciones antes de ejecutarse", dijo la investigadora de Fortinet Fortiguard Labs, Cara Lin, en un análisis del martes.

"También crea un archivo llamado 'c.log' que registra el tiempo de ejecución y el estado del programa. Este archivo parece ser un registro de depuración para el desarrollador, lo que sugiere que GoTitan todavía se encuentra en una etapa temprana de desarrollo".


Fortinet dijo que también observó casos en los que los servidores Apache ActiveMQ susceptibles están siendo atacados para implementar otra botnet DDoS llamada Ddostf, malware Kinsing para cryptojacking y un marco de comando y control (C2) llamado Sliver.

Otro malware notable entregado es un troyano de acceso remoto denominado PrCtrl Rat que establece contacto con un servidor C2 para recibir comandos adicionales para su ejecución en el sistema, recolectar archivos y descargar y cargar archivos desde y hacia el servidor.

"Al momento de escribir este artículo, aún no hemos recibido ningún mensaje del servidor, y el motivo detrás de la difusión de esta herramienta sigue sin estar claro", dijo Lin. "Sin embargo, una vez que se infiltra en el entorno de un usuario, el servidor remoto obtiene el control del sistema".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de Eurecom han desarrollado seis nuevos ataques denominados colectivamente 'BLUFFS' que pueden romper el secreto de las sesiones de Bluetooth, lo que permite la suplantación de dispositivos y los ataques de intermediario (MitM).

Daniele Antonioli, quien descubrió los ataques, explica que BLUFFS explota dos fallas previamente desconocidas en el estándar Bluetooth relacionadas con la forma en que se derivan las claves de sesión para descifrar los datos a cambio.

Estas fallas no son específicas de las configuraciones de hardware o software, sino que son arquitectónicas, lo que significa que afectan a Bluetooth en un nivel fundamental.

Los problemas se rastrean con el identificador CVE-2023-24023 y afectan a las especificaciones principales de Bluetooth 4.2 a 5.4.

Teniendo en cuenta el uso generalizado del estándar de comunicación inalámbrica bien establecido y las versiones afectadas por los exploits, BLUFFS podría funcionar contra miles de millones de dispositivos, incluidas computadoras portátiles, teléfonos inteligentes y otros dispositivos móviles.

Cómo funciona BLUFFS

BLUFFS es una serie de exploits dirigidos a Bluetooth, con el objetivo de romper el secreto de las sesiones de Bluetooth hacia adelante y hacia el futuro, comprometiendo la confidencialidad de las comunicaciones pasadas y futuras entre dispositivos.

Esto se logra explotando cuatro fallas en el proceso de derivación de claves de sesión, dos de las cuales son nuevas, para forzar la derivación de una clave de sesión (SKC) corta, débil y predecible.

A continuación, el atacante fuerza bruta la clave, lo que le permite descifrar las comunicaciones pasadas y descifrar o manipular las comunicaciones futuras.


La ejecución del ataque presupone que el atacante está dentro del alcance de Bluetooth de los dos objetivos que intercambian datos y se hace pasar por uno para negociar una clave de sesión débil con el otro, proponiendo el valor de entropía de clave más bajo posible y utilizando un diversificador de clave de sesión constante.


El artículo publicado presenta seis tipos de ataques BLUFFS, que cubren varias combinaciones de ataques de suplantación de identidad y MitM, que funcionan independientemente de si las víctimas admiten conexiones seguras (SC) o conexiones seguras heredadas (LSC).

Los investigadores desarrollaron y compartieron un conjunto de herramientas en GitHub que demuestra la efectividad de BLUFFS. Incluye un script de Python para probar los ataques, los parches de ARM, el analizador y las muestras PCAP capturadas durante sus pruebas.

Impacto y remediación

BLUFFS afecta a Bluetooth 4.2, lanzado en diciembre de 2014, y a todas las versiones hasta la última, Bluetooth 5.4, lanzada en febrero de 2023.

El documento de Eurecom presenta los resultados de las pruebas de BLUFFS contra varios dispositivos, incluidos teléfonos inteligentes, auriculares y computadoras portátiles, que ejecutan las versiones 4.1 a 5.2 de Bluetooth. Se confirmó que todos ellos eran susceptibles a al menos tres de los seis ataques de BLUFFS.


El documento también propone las siguientes modificaciones compatibles con versiones anteriores que mejorarían la derivación de claves de sesión y mitigarían BLUFFS y amenazas similares:

• Introducir una nueva "función de derivación de claves" (KDF) para conexiones seguras heredadas (LSC) que implique el intercambio y la verificación mutuos de nonce, lo que agrega una sobrecarga mínima.
• Los dispositivos deben utilizar una clave de emparejamiento compartida para la autenticación mutua de los diversificadores de claves, lo que garantiza la legitimidad de los participantes de la sesión.
• Aplique el modo Conexiones seguras (SC) siempre que sea posible.
• Mantenga una caché de diversificadores de claves de sesión para evitar su reutilización.

Bluetooth SIG (Grupo de Interés Especial), la organización sin fines de lucro que supervisa el desarrollo del estándar Bluetooth y es responsable de licenciar la tecnología, ha recibido el informe de Eurecom y ha publicado una declaración en su sitio.

La organización sugiere que las implementaciones rechacen las conexiones con una intensidad de clave baja por debajo de siete octetos, utilicen el "Modo de seguridad 4 Nivel 4", que garantiza un nivel de seguridad de cifrado más alto, y operen en modo "Solo conexiones seguras" cuando se emparejen.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Agencia de Exploración Aeroespacial de Japón (JAXA, por sus siglas en inglés) fue hackeada en un ciberataque durante el verano, lo que puede haber puesto en riesgo tecnología y datos sensibles relacionados con el espacio.

La brecha de seguridad fue descubierta este otoño cuando las autoridades policiales alertaron a la agencia espacial de Japón de que sus sistemas estaban comprometidos, como informó por primera vez The Yomiuri Shimbun.

Al confirmar la infiltración, el secretario jefe del gabinete de Japón, Hirokazu Matsuno, reveló en una conferencia de prensa que los atacantes obtuvieron acceso al servidor Active Directory (AD) de la agencia, un componente crucial que supervisa las operaciones de red de JAXA.

Es probable que este servidor contenga información crítica, como las credenciales de los empleados, lo que aumenta significativamente el impacto potencial de la infracción.

En respuesta al incidente, JAXA ahora está trabajando con expertos en ciberseguridad del gobierno y las fuerzas del orden como parte de una investigación en curso para determinar el alcance del compromiso de seguridad.

Aunque no se ha confirmado ninguna filtración de datos relacionada con la violación de JAXA, un funcionario de JAXA expresó su preocupación, afirmando: "Mientras el servidor AD fue hackeado, era muy probable que la mayor parte de la información fuera visible. Esta es una situación muy grave".

Atacado por piratas informáticos estatales chinos en 2016 y 2017

Si bien el ataque cibernético aún no se ha atribuido, se alinea con un esfuerzo concertado de ciberespionaje para recopilar y robar información confidencial almacenada en los servidores de la agencia.

Establecida en 2003, JAXA es la institución nacional de investigación y desarrollo aeroespacial de Japón. En 2012, su mandato se amplió para abarcar el desarrollo espacial militar, incluido el desarrollo de sistemas de alerta temprana de misiles basados en el espacio.

Este incidente no es el primer roce de la agencia con brechas de seguridad, ya que también fue atacada en 2016 y 2017, cuando casi 200 instituciones y empresas de investigación japonesas relacionadas con la defensa fueron objeto de un ataque cibernético generalizado.

El Departamento de Policía Metropolitana de Japón atribuyó los ataques a un grupo de hackers militares chinos identificados como Tick, también conocido por los alias BRONZE BUTLER y STALKER PANDA, en abril de 2021.

En septiembre de 2023, las fuerzas del orden y las agencias de ciberseguridad de EE. UU. y Japón advirtieron en un aviso conjunto que los piratas informáticos BlackTech respaldados por el estado chino estaban colocando puertas traseras en los dispositivos de red corporativa.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

General Electric está investigando las afirmaciones de que un actor de amenazas violó el entorno de desarrollo de la compañía en un ataque cibernético y filtró datos supuestamente robados.

General Electric (GE) es una empresa multinacional estadounidense con divisiones en las industrias de energía, energía renovable y aeroespacial.

A principios de este mes, un actor de amenazas llamado IntelBroker intentó vender el acceso a los "pipelines de desarrollo y software" de General Electric por 500 dólares en un foro de piratería.

Después de no vender dicho supuesto acceso, el actor de amenazas volvió a publicar que ahora están vendiendo tanto el acceso a la red como los datos supuestamente robados.

"Anteriormente enumeré el acceso a General Electrics, sin embargo, ningún comprador serio me ha respondido o hecho un seguimiento. Ahora estoy vendiendo todo aquí por separado, incluido el acceso (SSH, SVN, etc.)", publicó el actor de amenazas en un foro de piratería.

"Los datos incluyen una gran cantidad de información militar relacionada con DARPA, archivos, archivos SQL, documentos, etc."


Como prueba de la infracción, el actor de amenazas compartió capturas de pantalla de lo que afirman que son datos robados de GE, incluida una base de datos de GE Aviations que parece contener información sobre proyectos militares.

En una declaración a BleepingComputer, GE confirmó que están al tanto de las afirmaciones del hacker y están investigando la supuesta filtración de datos.

"Estamos al tanto de las afirmaciones hechas por un mal actor con respecto a los datos de GE y estamos investigando estas afirmaciones. Tomaremos las medidas apropiadas para ayudar a proteger la integridad de nuestros sistemas", dijo un portavoz de GE a BleepingComputer.

Si bien la violación no se ha confirmado, IntelBroker es un pirata informático conocido por ciberataques exitosos y de alto perfil en el pasado.

Esto incluye una violación del servicio de comestibles Weee! y el robo de información personal confidencial del programa D.C. Health Link del Distrito de Columbia.

DC Health Link es un mercado de atención médica para Washington, D.C., utilizado por muchos empleados de la Casa Blanca y de la Casa y sus familias.

En marzo, IntelBroker violó DC Health Link y afirmó haber vendido una base de datos robada que contenía la información personal de miles de personas.

Esta violación dio lugar a una amplia cobertura mediática y a una audiencia en el Congreso para obtener más información e investigar cómo se produjo la infracción.

Durante la audiencia, Mila Kofman, directora ejecutiva de la Autoridad de Intercambio de Beneficios de Salud del Distrito de Columbia, explicó que los datos se expusieron a través de un servidor que estaba mal configurado para que fuera accesible en línea.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los usuarios de Google Drive informan que los archivos recientes almacenados en la nube han desaparecido repentinamente, y el servicio en la nube ha vuelto a ser una instantánea de almacenamiento como era entre abril y mayo de 2023.

Google Drive es un servicio de almacenamiento basado en la nube que permite a las personas almacenar y acceder a archivos desde cualquier dispositivo conectado a Internet a través de su cuenta de Google. Es un servicio muy utilizado por particulares y empresas (como parte de Google Workspace).

Un problema de tendencia reportado en los foros de soporte de Google a partir de la semana pasada describe una situación en la que las personas dicen que perdieron datos recientes y cambios en la estructura de carpetas.

"Aquí hay un problema grave que debe escalar urgentemente. Tenemos un ticket de soporte abierto, esto no ha sido útil hasta la fecha", dijo un usuario de Google Drive en el hilo de soporte.

"Pago extra cada mes para almacenar carpetas en la nube para que esté seguro, por lo que es devastador que todo mi trabajo parezca haberse perdido", publicó otro usuario de Google Drive.

Los registros de actividad de las cuentas afectadas no muestran ningún cambio reciente, lo que confirma que los propios usuarios no las eliminaron accidentalmente.

En general, no hay indicios de un error del usuario, sino más bien de un problema con el sistema del servicio que impidió la sincronización de datos entre los dispositivos locales y Google Cloud en algún momento.

Algunos usuarios tienen cachés sin conexión que pueden contener los datos que faltan, pero no existe ningún método conocido para restaurar el acceso a los datos que contienen.

Los agentes de soporte voluntarios de Google han publicado una supuesta respuesta de los ingenieros de soporte de Google que confirma que ya están investigando el problema. Sin embargo, aún no se ha proporcionado una estimación para una solución.


La recomendación para los afectados es evitar realizar cambios en la carpeta raíz/datos hasta que la situación se aclare y se determine la causa raíz del problema.

Es comprensible que muchos usuarios se sientan frustrados por la pérdida de datos críticos que confiaron al servicio basado en la nube y, en muchos casos, pagaron por el alojamiento de sus archivos.

Un aspecto notable de la situación es que los foros de soporte de Google están respaldados por voluntarios con una visión o comprensión limitada del servicio en la nube, por lo que la falta de asistencia efectiva en problemas críticos como este lo empeora aún más.

BleepingComputer se ha puesto en contacto con Google para obtener una actualización sobre el estado de la investigación interna y si los archivos perdidos son recuperables o se pierden irreversiblemente, pero no hemos recibido una respuesta en el momento de la publicación.

En esta situación, los usuarios de Google Drive deben abstenerse de cambiar su almacenamiento en la nube, ya que podría complicar el proceso de recuperación. En su lugar, lo mejor que puedes hacer es ponerte en contacto con el servicio de asistencia de Google, abrir un nuevo caso y estar atento a las actualizaciones oficiales.

Hasta que se resuelva el problema, sería más prudente hacer una copia de seguridad de los archivos importantes localmente o utilizar un servicio en la nube diferente.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha observado que los actores de amenazas norcoreanos detrás de las cepas de malware de macOS, como RustBucket y KANDYKORN, "mezclan y combinan" diferentes elementos de las dos cadenas de ataque dispares, aprovechando los cuentagotas de RustBucket para entregar KANDYKORN.

Los hallazgos provienen de la firma de ciberseguridad SentinelOne, que también vinculó un tercer malware específico de macOS llamado ObjCShellz a la campaña RustBucket.

RustBucket se refiere a un grupo de actividad vinculado al Grupo Lazarus en el que una versión de puerta trasera de una aplicación de lectura de PDF, denominada SwiftLoader, se utiliza como conducto para cargar un malware de la siguiente etapa escrito en Rust al ver un documento de señuelo especialmente diseñado.

La campaña KANDYKORN, por otro lado, se refiere a una operación cibernética maliciosa en la que los ingenieros de blockchain de una plataforma de intercambio de criptomonedas sin nombre fueron atacados a través de Discord para iniciar una sofisticada secuencia de ataque de varias etapas que condujo al despliegue del troyano de acceso remoto residente de memoria con todas las funciones del mismo nombre.

La tercera pieza del rompecabezas de ataque es ObjCShellz, que Jamf Threat Labs reveló a principios de este mes como una carga útil de etapa posterior que actúa como un shell remoto que ejecuta comandos de shell enviados desde el servidor atacante.


Un análisis más detallado de estas campañas por parte de SentinelOne ha demostrado que el Grupo Lazarus está utilizando SwiftLoader para distribuir KANDYKORN, lo que corrobora un informe reciente de Mandiant, propiedad de Google, sobre cómo diferentes grupos de hackers de Corea del Norte están tomando prestadas cada vez más las tácticas y herramientas de los demás.

"El panorama cibernético de la RPDC ha evolucionado hasta convertirse en una organización optimizada con herramientas compartidas y esfuerzos de focalización", señaló Mandiant. "Este enfoque flexible de la asignación de tareas dificulta que los defensores rastreen, atribuyan y frustren actividades maliciosas, al tiempo que permite que este adversario ahora colaborativo se mueva sigilosamente con mayor velocidad y adaptabilidad".

Esto incluye el uso de nuevas variantes del stager SwiftLoader que pretende ser un ejecutable llamado EdoneViewer pero, en realidad, se pone en contacto con un dominio controlado por un actor para recuperar la RAT KANDYKORN en función de las superposiciones en la infraestructura y las tácticas empleadas.

La revelación se produce cuando el Centro de Respuesta a Emergencias de Seguridad (ASEC) de AhnLab implicó a Andariel, un subgrupo dentro de Lazarus, a ataques cibernéticos que explotan una falla de seguridad en Apache ActiveMQ (CVE-2023-46604, puntuación CVSS: 10.0) para instalar puertas traseras NukeSped y TigerRAT.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de ciberseguridad han descubierto un caso de "autenticación forzada" que podría explotarse para filtrar los tokens NT LAN Manager (NTLM) de un usuario de Windows engañando a una víctima para que abra un archivo de Microsoft Access especialmente diseñado.

El ataque aprovecha una característica legítima de la solución del sistema de administración de bases de datos que permite a los usuarios vincularse a orígenes de datos externos, como una tabla remota de SQL Server.

"Los atacantes pueden abusar de esta característica para filtrar automáticamente los tokens NTLM del usuario de Windows a cualquier servidor controlado por el atacante, a través de cualquier puerto TCP, como el puerto 80", dijo el investigador de seguridad de Check Point, Haifei Li. "El ataque puede lanzarse siempre que la víctima abra un archivo .accdb o .mdb. De hecho, cualquier tipo de archivo de Office más común (como un .rtf) también puede funcionar".

NTLM, un protocolo de autenticación introducido por Microsoft en 1993, es un protocolo de desafío-respuesta que se usa para autenticar a los usuarios durante el inicio de sesión. A lo largo de los años, se ha descubierto que es vulnerable a los ataques de fuerza bruta, pass-the-hash y relay.

El último ataque, en pocas palabras, abusa de la característica de tabla vinculada en Access para filtrar los hashes NTLM a un servidor controlado por actores incrustando un archivo .accdb con un vínculo de base de datos SQL Server remoto dentro de un documento de MS Word utilizando un mecanismo llamado Object Linking and Embedding (OLE).


"Un atacante puede configurar un servidor que controle, escuchando en el puerto 80, y poner su dirección IP en el campo anterior de 'alias de servidor'", explicó Li. "Luego pueden enviar el archivo de la base de datos, incluida la tabla vinculada, a la víctima".

Si la víctima abre el archivo y hace clic en la tabla vinculada, el cliente víctima se pone en contacto con el servidor controlado por el atacante para la autenticación, lo que permite a este último llevar a cabo un ataque de retransmisión iniciando un proceso de autenticación con un servidor NTLM de destino en la misma organización.

A continuación, el servidor no autorizado recibe el desafío, se lo pasa a la víctima como parte del proceso de autenticación y obtiene una respuesta válida, que finalmente se transmite al servidor NTLM.

Si bien Microsoft ha publicado mitigaciones para el problema en la versión de Office/Access (Canal actual, versión 2306, compilación 16529.20182) luego de la divulgación responsable en enero de 2023, 0patch ha lanzado correcciones no oficiales para Office 2010, Office 2013, Office 2016, Office 2019 y Office 365.

El desarrollo también se produce cuando Microsoft anunció planes para descontinuar NTLM en Windows 11 en favor de Kerberos para mejorar la seguridad.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Asociación de Pilotos Aliados (APA, por sus siglas en inglés), un sindicato que representa a 15.000 pilotos de American Airlines, reveló un ataque de ransomware que afectó a sus sistemas el lunes.

El sindicato APA fue fundado en 1963 y actualmente es el mayor sindicato independiente de pilotos del mundo.

"El 30 de octubre experimentamos un incidente de ciberseguridad. Tras el descubrimiento del incidente, inmediatamente tomamos medidas para proteger nuestra red. Nuestro equipo de TI, con el apoyo de expertos externos, continúa trabajando sin parar para restaurar nuestros sistemas", dijo el sindicato en un comunicado visto por el analista de amenazas de Emsisoft, Brett Callow.

"Si bien la investigación está en curso, podemos compartir que hemos determinado que el incidente se debió a un ransomware y que ciertos sistemas estaban encriptados".

APA dijo que su equipo de TI y expertos externos están trabajando en la restauración de los sistemas afectados por el ataque de ransomware a partir de copias de seguridad, con un enfoque inicial en traer de vuelta primero productos y herramientas orientados a la prueba piloto en las próximas horas y días.

El sindicato ha iniciado una investigación dirigida por expertos en ciberseguridad para evaluar el alcance total del incidente y su impacto en los datos almacenados en los sistemas comprometidos.

La APA aún no ha compartido si la información personal de los pilotos se vio comprometida en el ataque o el número exacto de personas afectadas.

Gregg Overman, director de comunicaciones del sindicato, dijo a BleepingComputer que la organización no podía proporcionar más detalles más allá de lo que se había revelado cuando se le pidió que vinculara el incidente con una operación de ransomware.


Los pilotos de American Airlines también fueron informados sobre una violación de datos que afectó su información personal en junio después del hackeo de abril de Pilot Credentials, un proveedor externo que administra las solicitudes de pilotos y los portales de reclutamiento de múltiples aerolíneas.

En las notificaciones de violación enviadas a las personas afectadas, American Airlines dijo que los atacantes obtuvieron acceso a información confidencial perteneciente a 5745 pilotos y solicitantes.

La información expuesta en la violación de terceros de abril incluye nombres y números de Seguro Social, números de licencia de conducir, números de pasaporte, fechas de nacimiento, números de certificado de aviador y otros números de identificación emitidos por el gobierno.

En septiembre de 2022, American Airlines reveló una violación de datos que afectó a más de 1.708 clientes y empleados después de que varias cuentas de correo electrónico de empleados se vieran comprometidas en un ataque de phishing en julio de 2022.

Un año antes, en marzo de 2021, la aerolínea reveló otra violación de datos después de que los piratas informáticos hicieran el Sistema de Servicio al Pasajero (PSS) utilizado por varias aerolíneas y operado por el gigante mundial de la tecnología de la información aérea SITA.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Discord cambiará a enlaces CDN temporales para todos los usuarios a finales de año para evitar que los atacantes utilicen su red de entrega de contenido para la entrega de malware.

"Discord está evolucionando su enfoque de las URL de CDN de archivos adjuntos para crear una experiencia más segura para los usuarios. En particular, esto ayudará a nuestro equipo de seguridad a restringir el acceso al contenido marcado y, en general, a reducir la cantidad de malware distribuido mediante nuestra CDN", dijo Discord a BleepingComputer.

"No hay ningún impacto para los usuarios de Discord que comparten contenido dentro del cliente de Discord. Todos los enlaces dentro del cliente se actualizarán automáticamente. Si los usuarios utilizan Discord para alojar archivos, les recomendamos que busquen un servicio más adecuado.

"Los desarrolladores de Discord pueden ver un impacto mínimo y estamos trabajando en estrecha colaboración con la comunidad en la transición. Estos cambios se implementarán a finales de este año y compartiremos más información con los desarrolladores en las próximas semanas".

Después de que el cambio de alojamiento de archivos (descrito por Discord como aplicación de autenticación) se implemente a finales de este año, todos los enlaces a los archivos cargados en los servidores de Discord caducarán después de 24 horas.

Las URL de CDN vendrán con tres nuevos parámetros que agregarán marcas de tiempo de vencimiento y firmas únicas que seguirán siendo válidas hasta que caduquen los enlaces, lo que evitará el uso de la CDN de Discord para el alojamiento permanente de archivos.

Si bien estos parámetros ya se están agregando a los enlaces de Discord, aún deben aplicarse, y los enlaces compartidos fuera de los servidores de Discord solo caducarán una vez que la compañía implemente sus cambios en la aplicación de la autenticación.

"Para mejorar la seguridad de la CDN de Discord, las URL de CDN adjuntas tienen 3 nuevos parámetros de URL: ex, is y hm. Una vez que comience la aplicación de la autenticación a finales de este año, los enlaces con una firma determinada (hm) seguirán siendo válidos hasta la marca de tiempo de vencimiento (ex)", explicó el equipo de desarrollo de Discord en una publicación compartida en el servidor de Discord Developers.

"Para acceder al enlace de CDN adjunto después de que caduque el vínculo, la aplicación deberá obtener una nueva URL de CDN. La API devolverá automáticamente URL válidas y no caducadas cuando acceda a recursos que contengan una URL de CDN de archivos adjuntos, como cuando recupere un mensaje".

Un paso de gigante en la batalla contra el malware

Se trata de un paso muy esperado hacia los retos a los que se enfrenta Discord para frenar las actividades de ciberdelincuencia en su plataforma, ya que sus servidores han servido durante mucho tiempo como caldo de cultivo para actividades maliciosas asociadas a grupos de hackers con motivaciones financieras y respaldados por el Estado.

Las capacidades de alojamiento permanente de archivos de Discord se han utilizado indebidamente con frecuencia para distribuir malware y exfiltrar datos recopilados de sistemas comprometidos mediante webhooks.

A pesar de la escalada de este problema en los últimos años, Discord ha luchado hasta ahora por implementar medidas efectivas para disuadir el abuso de su plataforma por parte de los ciberdelincuentes y abordar el problema de manera decisiva o, al menos, limitar su impacto.

Según un informe reciente de la empresa de ciberseguridad Trellix, las URL de CDN de Discord han sido explotadas por al menos 10.000 operaciones de malware para lanzar cargas útiles maliciosas de segunda etapa en los sistemas infectados.

Estas cargas útiles consisten principalmente en cargadores de malware y scripts que instalan malware, como RedLine stealer, Vidar, AgentTesla, zgRAT y Raccoon stealer.

Según los datos de Trellix, varias familias de malware, incluidas Agent Tesla, UmbralStealer, Stealerium y zgRAT, también han utilizado webhooks de Discord en los últimos años para robar información confidencial como credenciales, cookies del navegador y billeteras de criptomonedas de dispositivos comprometidos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Google está implementando una insignia de "Revisión de seguridad independiente" en la sección de seguridad de datos de Play Store para las aplicaciones de Android que se han sometido a una auditoría de Evaluación de seguridad de aplicaciones móviles (MASA).

"Hemos lanzado este banner comenzando con las aplicaciones VPN debido a la cantidad sensible y significativa de datos de usuario que manejan estas aplicaciones", dijo Nataliya Stanetsky, del Equipo de Seguridad y Privacidad de Android.

MASA permite a los desarrolladores validar sus aplicaciones de forma independiente con respecto a un estándar de seguridad global, como el Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS), lo que proporciona más transparencia y permite a los usuarios tomar decisiones informadas antes de descargarlas.

Los esfuerzos son parte de un impulso más amplio de Google para hacer de la sección de seguridad de datos una ventanilla única que presente una "visión unificada de la seguridad de las aplicaciones", ofreciendo detalles sobre el tipo de datos que se recopilan, con qué propósito y si se comparten con terceros.


Los desarrolladores de aplicaciones de terceros que estén interesados en participar pueden comunicarse directamente con uno de los seis socios de Authorized Labs, quienes luego probarán la versión pública de la aplicación disponible en Play Store y señalarán posibles problemas de seguridad para su corrección.

"Una vez que la aplicación cumple con todos los requisitos, el laboratorio envía un informe de validación directamente a Google como confirmación, y los desarrolladores serán elegibles para declarar la insignia de seguridad en su formulario de seguridad de datos", señala Google.

"En promedio, el proceso toma alrededor de 2 a 3 semanas desde la evaluación inicial hasta la disponibilidad de la insignia".

Dicho esto, Google enfatizó que el proceso de prueba de seguridad independiente ayuda a los usuarios a verificar si un "desarrollador ha priorizado las prácticas de seguridad y privacidad y se ha comprometido con la seguridad del usuario".

Sin embargo, señaló que la certificación de los estándares de seguridad básicos no implica que una aplicación validada esté libre de vulnerabilidades.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una cepa avanzada de malware que se hace pasar por un minero de criptomonedas ha logrado volar el radar durante más de cinco años, infectando no menos de un millón de dispositivos en todo el mundo en el proceso.

Eso es según los hallazgos de Kaspersky, que ha nombrado a la amenaza StripedFly, describiéndola como un "intrincado marco modular que admite tanto Linux como Windows".

El proveedor ruso de ciberseguridad, que detectó por primera vez las muestras en 2017, dijo que el minero es parte de una entidad mucho más grande que emplea un exploit personalizado EternalBlue SMBv1 atribuido a Equation Group para infiltrarse en sistemas de acceso público.

El shellcode malicioso, entregado a través del exploit, tiene la capacidad de descargar archivos binarios desde un repositorio remoto de Bitbucket, así como ejecutar scripts de PowerShell. También es compatible con una colección de funciones expandibles similares a complementos para recopilar datos confidenciales e incluso desinstalarse a sí mismo.

El shellcode de la plataforma se inserta en el proceso wininit.exe, un proceso legítimo de Windows que inicia el administrador de arranque (BOOTMGR) y maneja la inicialización de varios servicios.

"La carga útil del malware en sí está estructurada como un código ejecutable binario monolítico diseñado para admitir módulos conectables para extender o actualizar su funcionalidad", dijeron los investigadores de seguridad Sergey Belov, Vilen Kamalov y Sergey Lozhkin en un informe técnico publicado la semana pasada.

"Viene equipado con un túnel de red TOR incorporado para la comunicación con los servidores de comando, junto con la funcionalidad de actualización y entrega a través de servicios confiables como GitLab, GitHub y Bitbucket, todos utilizando archivos cifrados personalizados".

Otros módulos de espionaje notables le permiten recopilar credenciales cada dos horas, capturar capturas de pantalla en el dispositivo de la víctima sin ser detectado, grabar la entrada del micrófono e iniciar un proxy inverso para ejecutar acciones remotas.

Al afianzarse con éxito, el malware procede a desactivar el protocolo SMBv1 en el host infectado y propaga el malware a otras máquinas utilizando un módulo de gusano a través de SMB y SSH, utilizando claves recogidas en los sistemas pirateados.

StripedFly logra la persistencia modificando el Registro de Windows o creando entradas del programador de tareas si el intérprete de PowerShell está instalado y el acceso administrativo está disponible. En Linux, la persistencia se logra por medio de un servicio de usuario systemd, un archivo .desktop autoiniciado o modificando los archivos /etc/rc*, profile, bashrc o inittab.

También se ha descargado un minero de criptomonedas Monero que aprovecha las solicitudes de DNS sobre HTTPS (DoH) para resolver los servidores del grupo, lo que añade una capa adicional de sigilo a las actividades maliciosas. Se ha evaluado que el minero se utiliza como señuelo para evitar que el software de seguridad descubra el alcance total de las capacidades del malware.

En un esfuerzo por minimizar la huella, los componentes de malware que se pueden descargar se alojan como binarios cifrados en varios servicios de alojamiento de repositorios de código, como Bitbucket, GitHub o GitLab.

Por ejemplo, el repositorio de Bitbucket operado por el actor de amenazas desde junio de 2018 incluye archivos ejecutables capaces de servir la carga útil inicial de la infección tanto en Windows como en Linux, buscar nuevas actualizaciones y, en última instancia, actualizar el malware.

La comunicación con el servidor de comando y control (C2), que está alojado en la red TOR, se lleva a cabo mediante una implementación personalizada y ligera de un cliente TOR que no se basa en ningún método documentado públicamente.

"El nivel de dedicación demostrado por esta funcionalidad es notable", dijeron los investigadores. "El objetivo de ocultar el servidor C2 a toda costa impulsó el desarrollo de un proyecto único y que requiere mucho tiempo: la creación de su propio cliente TOR".

Otra característica llamativa es que estos repositorios actúan como mecanismos alternativos para que el malware descargue los archivos de actualización cuando su fuente principal (es decir, el servidor C2) deja de responder.

Kaspersky dijo que descubrió además una familia de ransomware llamada ThunderCrypt que comparte importantes superposiciones de código fuente con StripedFly, salvo la ausencia del módulo de infección SMBv1. Se dice que ThunderCrypt se utilizó contra objetivos en Taiwán en 2017.

Los orígenes de StripedFly siguen siendo desconocidos en la actualidad, aunque la sofisticación del marco y sus paralelismos con EternalBlue exhiben todas las características de un actor de amenazas persistentes avanzadas (APT).

Vale la pena señalar que, si bien la filtración del exploit EternalBlue por parte de Shadow Brokers tuvo lugar el 14 de abril de 2017, la primera versión identificada de StripedFly que incorpora EternalBlue data de hace un año, el 9 de abril de 2016. Desde la filtración, el exploit EternalBlue ha sido reutilizado por equipos de hackers norcoreanos y rusos para propagar el malware WannaCry y Petya.

Dicho esto, también hay pruebas de que los grupos de hackers chinos pueden haber tenido acceso a algunos de los exploits de Equation Group antes de que se filtraran en línea, como reveló Check Point en febrero de 2021.

Las similitudes con el malware asociado con el grupo Equation, dijo Kaspersky, también se reflejan en el estilo de codificación y las prácticas que se asemejan a las observadas en STRAITBIZARRE, otra plataforma de espionaje cibernético manejada por el presunto colectivo adversario vinculado a Estados Unidos.

El desarrollo se produce casi dos años después de que los investigadores del Pangu Lab de China detallaran una puerta trasera de "primer nivel" llamada Bvp47 que supuestamente fue utilizada por el Grupo de Ecuación en más de 287 objetivos que abarcan múltiples sectores en 45 países.

No hace falta decir que un aspecto crucial de la campaña que sigue siendo un misterio, aparte de aquellos que diseñaron el malware, es su verdadero propósito.

"Si bien el ransomware ThunderCrypt sugiere un motivo comercial para sus autores, plantea la pregunta de por qué no optaron por el camino potencialmente más lucrativo", dijeron los investigadores.

"Es difícil aceptar la noción de que un malware tan sofisticado y diseñado profesionalmente sirva para un propósito tan trivial, dada toda la evidencia de lo contrario".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ubuntu 23.10 llegó con puntualidad y un buen montón de novedades de lo más interesantes el pasado jueves, 12 de octubre, pero también lo hizo con un problema de «traducciones maliciosas» debido al cual, Canonical retiró de la circulación las descargas oficiales del sistema. Descargas que ya vuelven a estar disponibles.

Lo cierto, de hecho, es que hubo algún que otro vaivén en lo que a la disponibilidad de las descargas de Ubuntu 23.10 se refiere, pues en un primer momento estaban luego sí, luego volvieron a desaparecer de la vista... Hasta ahora. Por lo tanto, si fuiste una de las personas que se quedaron con las ganas de catar lo nuevo del Linux para seres humano instalando desde cero, tienes vía libre.

Explicando rápido el asunto, el lanzamiento de Ubuntu 23.10 se dio conforme correspondía en fecha y forma, incluyendo en su haber una atractiva lista de novedades para todos los sabores oficiales del sistema de la que dimos cuenta en el anuncio aquí enlazado, con el matiz habitual en este tipo de versiones intermedias como es el escaso tiempo de soporte. Sin embargo, se coló algo que no estaba en el guión.

Como recogimos apenas un día después del lanzamiento, las imágenes de instalación de Ubuntu 23.10 salieron a la luz con una desagradable sorpresa, de la que Canonical tardó poco -o mucho, según se mire- en percatarse: unas «traducciones maliciosas» que al parecer solo afectaron a la traducción ucraniana del instalador de Ubuntu con «mensajes de odio» relacionados con los conflictos en Ucrania y Palestina.

Canonical retiró entonces de la circulación las descargas oficiales del sistema y hasta ahora, que vuelven a estar a disposición del público. Si eres uno de los interesados, ve a la noticia del lanzamiento de Ubuntu 23.10 enlazada más arriba donde además de la lista con todas las descargas de Ubuntu y familia, puedes repasar las novedades para estar al tanto de lo que trae 'Mantic Minotaur'.

Ya advertimos el otro día que ni se trataba de un problema grave, ni afectaba a nadie más que a los usuarios que utilizasen la traducción mencionada. En cualquier caso, todo ha quedado solucionado.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En GNOME ha aparecido una petición de fusión para retirar la sesión de Xorg y hacer que sea un escritorio que funciona únicamente sobre Wayland y apoyado en XWayland para las aplicaciones heredadas. Como suele ser habitual con este tema, las redes se han llenado de comentarios tanto a favor como en contra.

Una cosa hay que tener en cuenta, y es que la sesión de Xorg (o X11, el protocolo que implementa) está bastante abandonada en GNOME, ya que los desarrolladores centran sus esfuerzos desde hace tiempo en Wayland. Xorg tiene a su favor una mayor compatibilidad debido a que todo lo relacionado con el despliegue de gráficos en Linux ha girado en torno a él durante muchos años, mientras que Wayland ofrece mejoras en aspectos como la seguridad, es más eficiente a nivel energético y tiene el camino más llano para soportar características como el HDR.

A estas alturas es obvio que la transición hacia Wayland se está demorando demasiado, y aquí hay factores tanto internos como externos. Los factores internos se basan principalmente en un diseño inicial del protocolo que se quedó muy lejos de cubrir lo necesario para un entorno de escritorio y en que no se trazó o diseñó ninguna vía clara de cómo hacer la transición desde Xorg. Aquí se puede sumar el hecho de que se han tenido que traspasar algunas líneas rojas o romper algunos principios con los que nació Wayland, como por ejemplo que todos los fotogramas deben ser perfectos.

Con el paso de los años han surgido algunas tecnologías que se han encargado de cubrir algunas de las deficiencias de Wayland frente a Xorg, como el mencionado PipeWire y XDG Desktop Portal. La primera no es solo un servidor de sonido al ser también capaz de transmitir imagen, así que es lo empleado por OBS Studio y Kooha para grabar el escritorio desde Wayland, mientras que la segunda es un marco que proporciona lo que se podría llamar como portales de XDG, los cuales permiten acceder a recursos que están fuera de un sandbox. Está estrechamente relacionado con Flatpak, aunque no atado a él, y es, por ejemplo, una parte fundamental de lo que permite a OBS Studio grabar desde una sesión de Wayland (sí, junto a PipeWire).

Entre los factores externos que han dificultado la consolidación de Wayland sobresalen las reticencias de NVIDIA a la hora de adoptar los mecanismos estándares que fueron acordados por el resto, entre ellos AMD e Intel. El gigante verde parece estar inmerso en la actualidad en una transición para soportar Wayland correctamente, cosa que parece no hacer del todo bien en estos momentos. La compañía está intentando recorrer en poco tiempo la ventaja de al menos cinco años que le llevan Intel y AMD, que sí han aceptado dar soporte a través de la pila gráfica estándar.


Hay un tercer factor externo: los desarrolladores que no se han planteado soportar Wayland. Aquí llegamos a la parte más espinosa del asunto y la que va a terminar forzando la toma de las decisiones más dolorosas.

Una peculiaridad del escritorio Linux frente a los sistemas operativos exitosos en el mercado de consumo es que la relación que mantiene con los desarrolladores de aplicaciones está invertida. Si una aplicación falla en Windows, macOS, iOS o Android la responsabilidad recae en el desarrollador de la aplicación, pero si falla en Linux, son los responsables del sistema los que tienen que solucionar los problemas.

El hecho de que la relación con los desarrolladores esté invertida es uno de los motivos de por qué hay compilaciones de las aplicaciones para Linux peores que las disponibles para Windows y macOS. Chromium es un claro ejemplo de esto, con un fallo en el desplazamiento que ha necesitado de ocho años para ser resuelto y un soporte para Wayland que, diez años después de iniciarse su desarrollo, sigue siendo una calamidad. Desgraciadamente, la solución en torno a Wayland va a terminar siendo aplicar el hacha y que los proyectos que no se pongan al día acaben abandonados o busquen refugio en otros entornos que usen Xorg/X11.

Recuperando el tema que nos ocupa, que la sesión de Xorg tiene los días contados en GNOME es algo que hay que dar por sentado. Viendo que el escritorio Linux pivota en torno a Ubuntu, sería muy extraño que la retirada se hiciera antes del lanzamiento de la versión 24.04 LTS de la distribución, pero es bastante verosímil pensar que se producirá después, más viendo que Canonical está dando pasos para consolidar Wayland en Ubuntu. Por ahora y según se puede leer en la petición de fusión, parece que se van a atender ciertas peticiones de características, ordenar ciertos aspectos en torno a la organización y lograr una paridad mayor antes de proceder.

La retirada de la sesión de Xorg en GNOME va a ser una decisión dolorosa que traerá más de un problema, pero viendo que muchos no tienen planes para soportar Wayland, la única manera de culminar la transición hacia este último va a ser precisamente tomando la medida más drástica.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Citrix ha advertido hoy a los administradores que protejan inmediatamente todos los dispositivos NetScaler ADC y Gateway contra los ataques en curso que explotan la vulnerabilidad CVE-2023-4966.

La compañía parcheó esta falla crítica de divulgación de información confidencial (rastreada como CVE-2023-4966) hace dos semanas, asignándole una calificación de gravedad de 9.4/10, ya que es explotable de forma remota por atacantes no autenticados en ataques de baja complejidad que no requieren la interacción del usuario.

Los dispositivos NetScaler deben configurarse como una puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o un servidor virtual AAA para ser vulnerables a los ataques.

Si bien la compañía no tenía evidencia de que la vulnerabilidad estuviera siendo explotada en la naturaleza cuando se lanzó la solución, Mandiant reveló la explotación en curso una semana después.

La compañía de ciberseguridad dijo que los actores de amenazas habían estado explotando CVE-2023-4966 como día cero desde finales de agosto de 2023 para robar sesiones de autenticación y secuestrar cuentas, lo que podría ayudar a los atacantes a eludir la autenticación multifactor u otros requisitos de autenticación fuertes.

Mandiant advirtió que las sesiones comprometidas persisten incluso después de la aplicación de parches y, dependiendo de los permisos de las cuentas comprometidas, los atacantes podrían moverse lateralmente a través de la red o comprometer otras cuentas.

Además, Mandiant encontró casos en los que se explotó CVE-2023-4966 para infiltrarse en la infraestructura de entidades gubernamentales y corporaciones tecnológicas.

Se insta a los administradores a proteger los sistemas contra los ataques en curso

"Ahora tenemos informes de incidentes consistentes con el secuestro de sesiones, y hemos recibido informes creíbles de ataques dirigidos que explotan esta vulnerabilidad", advirtió Citrix hoy.

"Si está utilizando compilaciones afectadas y ha configurado NetScaler ADC como una puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o como un servidor virtual AAA, le recomendamos encarecidamente que instale inmediatamente las compilaciones recomendadas porque esta vulnerabilidad se ha identificado como crítica".

Citrix agregó que "no puede proporcionar un análisis forense para determinar si un sistema puede haber sido comprometido".

Además, Citrix recomienda eliminar todas las sesiones activas y persistentes mediante los siguientes comandos:


Los dispositivos NetScaler ADC y NetScaler Gateway, cuando no están configurados como puertas de enlace (incluido el servidor virtual VPN, el proxy ICA, CVPN o el proxy RDP) o como servidores virtuales AAA (configuraciones típicas de equilibrio de carga, por ejemplo), no son vulnerables a los ataques CVE-2023-4966.

Esto también incluye productos como NetScaler Application Delivery Management (ADM) y Citrix SD-WAN, como confirmó Citrix.

El jueves pasado, CISA agregó CVE-2023-4966 a su Catálogo de Vulnerabilidades y Exploits Conocidos, ordenando a las agencias federales que protejan sus sistemas contra la explotación activa antes del 8 de noviembre.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Mientras miles de civiles mueren en medio de la mortífera guerra entre Israel y Hamas, los estafadores están aprovechando los horribles eventos para recolectar donaciones haciéndose pasar por organizaciones benéficas legítimas.

BleepingComputer se ha encontrado con varias publicaciones en X (anteriormente Twitter), Telegram e Instagram donde los estafadores enumeran direcciones dudosas de billeteras de criptomonedas y atraen a víctimas desprevenidas para que les envíen fondos.

Los investigadores también han detectado más de 500 correos electrónicos de "recaudación de fondos" enviados por entidades que afirman ser organizaciones benéficas.

Surgen estafas de donaciones de criptomonedas en Palestina en medio de la guerra entre Israel y Hamas

Varias cuentas en plataformas sociales, incluidas X, Telegram e Instagram, están atrayendo a las personas a hacer donaciones humanitarias para apoyar a las víctimas de la actual crisis en Oriente Medio.

Sin embargo, estas cuentas, que enumeran principalmente direcciones de billeteras criptográficas, tienen orígenes dudosos, no están respaldadas por una organización benéfica oficial y es muy probable que sean estafas.

Al igual que las anteriores estafas de donaciones de criptomonedas de las que hemos informado antes, durante la guerra ruso-ucraniana y tras los terremotos en Turquía, estas cuentas evocan emociones en los espectadores al publicar imágenes sangrientas de soldados, mujeres y niños heridos.

Un ejemplo con el que se encontró BleepingComputer fue una cuenta de "Gaza Relief Aid" en X, que utiliza el dominio No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y mantiene presencia en Telegram e Instagram:


El dominio, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta asociado con la cuenta, fue registrado el 15 de octubre y no está respaldado por ninguna organización benéfica establecida, contrariamente a su afirmación de ser "Una Iniciativa de Ayuda Islámica" que figura en el pie de página de la página.

La copia del sitio web, sin embargo, ha sido extraída del sitio web oficial de Islamic Relief.

También vale la pena señalar que, aparte de un puñado de "comunicados de prensa" que se distribuyen textualmente de agencias de noticias que informan sobre la guerra entre Israel y Hamas, e imágenes de víctimas heridas de guerra, el sitio web no tiene información con respecto a las personas detrás de él, la organización o un número de contacto asociado y una dirección física.


Los operadores detrás de esta cuenta han enumerado sus direcciones de Ethereum, Bitcoin y USDT en su sitio web y cuentas de redes sociales [1, 2] a las que se deben enviar los fondos.



Afortunadamente, BleepingComputer rastreó el historial de transacciones de las direcciones criptográficas y observó que aún no se habían enviado donaciones a ninguna de estas direcciones.

Además, observamos que la cuenta de Instagram @gazareliefaid ya no estaba disponible, después de haber sido probablemente suspendida por Meta (la empresa matriz de Instagram).

Algunas publicaciones en las redes sociales [1, 2] mostraban a un tercero afirmando que había donado los fondos, y a la persona que buscaba donaciones confirmando haberlos recibido, pero el historial de la billetera indicaba lo contrario. Es muy probable que esta sea una táctica empleada por cuentas sospechosas para dar más credibilidad a sus operaciones.

Por otro lado, también están circulando cuentas sospechosas que dicen apoyar a Israel y a las víctimas israelíes. Por ejemplo, BleepingComputer se encontró con una cuenta de 'Donar para Israel' en X [1, 2, 3]. La dirección de la billetera criptográfica asociada (0x4aC1Ea2e36fE3ab844E408DF30Ce45C8B985d8cd) una vez más muestra cero transacciones y los escasos datos asociados con la cuenta X arrojan dudas sobre su autenticidad.

Hay que tener en cuenta que ninguna de las cuentas de ejemplo que se muestran aquí está verificada para comprobar su autenticidad y, como tal, los usuarios deben tener cuidado al acercarse a tales afirmaciones en línea.

Los correos electrónicos falsos de recaudación de fondos se hacen pasar por organizaciones benéficas

La firma de ciberseguridad Kaspersky también compartió sus hallazgos con BleepingComputer la semana pasada.

Los investigadores del gigante de la seguridad informan haber visto más de 500 correos electrónicos fraudulentos, junto con sitios web fraudulentos diseñados para capitalizar la voluntad de las personas de ayudar a los afectados.

Estos correos electrónicos y sitios web fraudulentos, redactados en inglés, afirman buscar dominios "para los afectados de ambos lados".

El lenguaje emocional y las ayudas visuales utilizadas en estas comunicaciones son, una vez más, una táctica para atraer a los usuarios a visitar la estafa, donde se les pide que contribuyan, solo para perder su dinero.

Los sitios web vistos por los investigadores de Kaspersky admiten opciones fáciles de transferencia de dinero y aceptan una amplia gama de criptomonedas: Bitcoin, Ethereum, Tether y Litecoin. A continuación se muestra un ejemplo compartido por los investigadores.

Si bien Kaspersky no nombró el sitio web específico en cuestión, BleepingComputer pudo rastrearlo hasta un dominio No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, con el sitio web titulado 'Ayuda a la Sociedad Palestina'. El sitio web no estaba disponible en el momento de redactar este informe.


Usando las direcciones de las billeteras, los expertos de Kaspersky descubrieron páginas web fraudulentas adicionales que afirmaban recolectar ayuda para varios otros grupos en el área de conflicto.

"En estos correos electrónicos, los estafadores intentan crear múltiples variaciones de texto para evadir los filtros de spam", dijo Andrey Kovtun, experto en seguridad de Kaspersky, a BleepingComputer.

"Por ejemplo, usan varias frases de llamado a donar como 'llamamos a su compasión y benevolencia' o 'llamamos a su empatía y generosidad', y sustituyen palabras como 'ayuda' con sinónimos como 'apoyo', 'ayuda', etc. Además, alteran los enlaces y las direcciones de los remitentes".

Los investigadores de Kaspersky han advertido que este tipo de páginas fraudulentas pueden multiplicarse rápidamente simplemente modificando su diseño y dirigiéndose a grupos específicos de personas.

¿Cómo donar de forma segura?

Para evitar estafas, los investigadores instan a los espectadores a examinar las páginas a fondo antes de donar. Los sitios web falsos a menudo carecen de información esencial sobre los organizadores y destinatarios de organizaciones benéficas, documentación de legitimidad o carecen de transparencia con respecto al uso de los fondos.

En una sucinta publicación de blog, Larissa Bungo, abogada sénior de la Comisión Federal de Comercio de EE. UU. (FTC, por sus siglas en inglés), compartió varios consejos prácticos que pueden evitar que caiga en estafas. Uno de estos consejos incluye investigar la organización que está buscando donaciones:


El Servicio de Impuestos Internos (IRS, por sus siglas en inglés) ha emitido un aviso similar advirtiendo a las personas que no "cedan a la presión".

El gobierno del Reino Unido ha publicado una guía sobre cómo donar de forma segura, que incluye una lista de organizaciones benéficas legítimas como la Agencia de Obras Públicas y Socorro de las Naciones Unidas para Palestina (UNRWA) o la Cruz Roja Británica. La legitimidad de estas organizaciones benéficas se puede validar visitando el registro de organizaciones benéficas del gobierno.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El gigante de los seguros American Family Insurance ha confirmado que sufrió un ciberataque y apagó partes de sus sistemas informáticos después de que los clientes informaran de interrupciones del sitio web durante toda la semana.

American Family Insurance (AmFam) es una compañía de seguros que se enfoca en seguros comerciales y personales, accidentes, automóviles y vida, además de ofrecer planificación de inversiones y jubilación La compañía emplea a 13,000 personas y tiene un ingreso en 2022 de $14.4 mil millones.

En un correo electrónico a BleepingComputer, American Family Insurance confirmó que detectaron actividad inusual en su red y apagaron los sistemas informáticos para evitar la propagación del ciberataque.

"Esta semana, los equipos de tecnología de American Family Insurance detectaron actividad inusual en una parte de nuestra red. Rápidamente tomamos medidas de precaución para proteger los datos y los recursos y cerramos varios sistemas comerciales", dijo un portavoz de AmFam a BleepingComputer.

"Reconocemos que las interrupciones del sistema están afectando a los clientes, agentes y empleados, y agradecemos su paciencia y comprensión".

"Nuestra investigación sobre la actividad está en curso e incluye expertos internos y externos. Hasta la fecha, no hemos detectado ningún compromiso en los sistemas críticos de negocio, procesamiento de datos de clientes o almacenamiento, y varios componentes de nuestra empresa continúan operando sin interrupción".

La compañía espera volver a poner los sistemas en línea mientras continúa investigando la violación y determinando que es segura.


Los sistemas informáticos se apagan tras un ciberataque

Desde el fin de semana pasado, American Family Insurance ha sufrido interrupciones de TI que han afectado el servicio telefónico de la compañía, la conectividad del edificio y los servicios en línea.

Varias fuentes también le han dicho a BleepingComputer que American Family Insurance cortó la conectividad a Internet después del ataque, lo que afectó a otros inquilinos del mismo edificio.

Los clientes han informado que no pueden pagar facturas o presentar reclamos en línea, solo para encontrarse con mensajes que indican que el sitio en línea está caído y que se comuniquen con ellos por teléfono.

"Actualmente estamos experimentando una interrupción del servicio. Si necesita presentar un reclamo, llame al 1-800-692-6326", se lee en un mensaje en el sitio de AmFam.

"Si no puede realizar un pago, puede hacerlo cuando el sistema esté de vuelta y no será penalizado. Agradecemos su paciencia y comprensión".


Del mismo modo, al intentar pagar una factura como invitado, se muestra un mensaje de error que indica: "El servidor no puede atender temporalmente su solicitud debido a un tiempo de inactividad por mantenimiento o problemas de capacidad. Por favor, inténtelo de nuevo más tarde".

No está claro qué tipo de ataque sufrió American Family Insurance, pero comparte señales similares a los ataques de ransomware que afectan a la empresa.

Muchos de estos ataques ocurren durante el fin de semana, cuando menos empleados monitorean la red o usan sus computadoras y notan actividad sospechosa.

Como parte de los ataques, los actores de amenazas suelen propagarse por toda la red, robando datos y cifrando dispositivos.

Cuando se completa el ataque, las víctimas reciben notas de rescate que advierten que los datos se filtrarán públicamente si no se paga una demanda de rescate.

Desafortunadamente, estas tácticas han tenido mucho éxito, y la empresa de análisis de blockchain Chainalysis informa que las bandas de ransomware han ganado al menos USD 449.1 millones en 2023.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Kevin Backhouse, investigador en el Laboratorio de Seguridad de GitHub, ha publicado en coordinación con otras partes una vulnerabilidad de corrupción de memoria que afecta a libcue, un componente que está presente en GNOME y que es empleado por Tracker, el indexador y buscador interno utilizado por el escritorio.

libcue es una biblioteca utilizada para analizar las hojas cue, un formato de metadatos para describir el diseño de las pistas de un CD de música. Debido a que las hojas cue son a menudo empleadas en combinación con el formato de audio FLAC, la biblioteca es una dependencia de algunos reproductores de audio, como por ejemplo el popular Audacious. Sin embargo, dentro de GNOME es usado por tracker-miners, que se encarga de indexar los ficheros de la carpeta de usuario con el fin de hacerlos fácilmente localizables a través de la barra de búsqueda presente en la vista de Actividades.

El índice de ficheros es actualizado de forma automática conforme el usuario va haciendo modificaciones en su directorio personal, lo que abre la puerta a que un atacante tenga éxito poco después de que el usuario haya descargado un fichero malicioso que termina indexado por Tracker.

GNOME
Kevin Backhouse, investigador en el Laboratorio de Seguridad de GitHub, ha publicado en coordinación con otras partes una vulnerabilidad de corrupción de memoria que afecta a libcue, un componente que está presente en GNOME y que es empleado por Tracker, el indexador y buscador interno utilizado por el escritorio.

libcue es una biblioteca utilizada para analizar las hojas cue, un formato de metadatos para describir el diseño de las pistas de un CD de música. Debido a que las hojas cue son a menudo empleadas en combinación con el formato de audio FLAC, la biblioteca es una dependencia de algunos reproductores de audio, como por ejemplo el popular Audacious. Sin embargo, dentro de GNOME es usado por tracker-miners, que se encarga de indexar los ficheros de la carpeta de usuario con el fin de hacerlos fácilmente localizables a través de la barra de búsqueda presente en la vista de Actividades.

El índice de ficheros es actualizado de forma automática conforme el usuario va haciendo modificaciones en su directorio personal, lo que abre la puerta a que un atacante tenga éxito poco después de que el usuario haya descargado un fichero malicioso que termina indexado por Tracker.


El propio Kevin Backhouse ha publicado en el blog de GitHub un vídeo en el que se puede ver que descarga un fichero con extensión .cue. Tras eso, tracker-miners entra en acción y usa libcue para analizar el archivo, el cual explota la vulnerabilidad presente en la biblioteca para ejecutar el código y abrir la calculadora de GNOME. El investigador recuerda que las hojas cue son solo uno de los formatos de ficheros que tracker-miners es capaz de escanear, ya que también están HTML, JPEG y PDF, entre otros.

Backhouse ha creado una prueba de concepto solo para Ubuntu 23.04 y Fedora 38, pero todo apunta a que la vulnerabilidad puede ser ejecutada en muchos sistemas Linux que hacen uso de GNOME. Los que quieran pueden poner en ejecución una versión simplificada de la prueba de concepto que provoca un "cuelgue benigno" del escritorio, pero en MuyLinux recomendamos muy encarecidamente probarlo en un entorno virtualizado o en un ordenador que se pueda sacrificar (no vamos a poner el enlace directo por cuestiones de seguridad).

La explotación de la vulnerabilidad no parece ser sencilla al requerir de saltarse la aleatoriedad en la disposición del espacio de direcciones, más conocida como ASLR por sus siglas en inglés. Otro detalle importante es que la vulnerabilidad es capaz de saltarse el aislamiento (sandbox) de seccomp, el cual está ahí con el propósito de evitar la explotación de este tipo de fallos de seguridad a través de tracker-miners. Backhouse tardó en darse cuenta de que el aislamiento de seccomp está ahí, y cuando se dirigió a los desarrolladores de GNOME, estos le preguntaron cómo logró saltárselo.



El desarrollador Carlos Garnacho ha aparecido para reforzar el sandbox de seccomp y evitar así la explotación de la vulnerabilidad descubierta por Kevin Backhouse. Para los curiosos, el paquete que incluye la mitigación ya lo hemos mencionado, tracker-miners mientras que licbue ya ha sido parcheado para supuestamente dar carpetazo definitivo al asunto. Red Hat ha salido al paso para decir que las versiones 7, 8 y 9 de RHEL no está afectadas, mientras que en Debian los parches han empezado a distribuirse para 'Buster', 'Bullseye' y 'Bookworm'.

Seguido como CVE-2023-43641, el fallo de seguridad tiene actualmente en GitHub una puntuación de 5,3, así que está considerado como de gravedad moderada. Sin embargo, llegó a tener una puntuación de 8,8, lo que indica una severidad alta. Si bien la puesta a disposición de los parches empezó hace unos días, desde MuyLinux recomendamos encarecidamente comprobar las actualizaciones para el sistema con el fin de estar seguros.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Disponible desde hace casi un año, Linux 6.1 es la última versión LTS del kernel hasta el momento en ver la luz; una cuyo periodo de soporte extendido, al igual que el resto de versiones LTS, estaba previsto que durase seis años. Pero todo cambió con el reciente anuncio en torno al mantenimiento de dichas versiones y, en lo que respecta a esta en concreto, lo ha vuelto a hacer... para mejor, eso sí.

Poniendo en orden la historia de Linux LTS, de las versiones con soporte extendido del kernel, comenzaron su andadura ofreciendo dos años de soporte, que más adelante pasaron a ser seis años. Sin embargo, todo ha cambiado de una semanas a esta parte. A finales del septiembre se anunció una drástica modificación en el periodo de soporte de las versiones LTS de Linux, que ahora recuperan los dos años de actualizaciones.

Estas versiones LTS de Linux son muy valoradas por muchas partes, ya que garantizan un periodo de mantenimiento durante el cual se recibirán parches de seguridad y correcciones limitadas, propiciando así la compatibilidad y estabilidad del componente a largo plazo en diferentes proyectos. Pese a ello, el mantenimiento, a cargo de desarrolladores habituales del kernel, no es baladí y ya se advirtió que de no contar con implicación empresarial podría suceder lo que ha terminado sucediendo.

Cabe mencionar otro dato relevante que también ha pesado para la reducción en el tiempo de soporte de Linux LTS, y es que a la falta de apoyos externos por los supuestos interesados en que estas versiones existan o en que el periodo sea tan extenso, se ha sumado el poco uso que se les da. Es decir, conforme pasa el tiempo cada vez cuentan con menos usuarios, lo que tiene su lógica puesto que no reciben nuevas características ni amplían su soporte de hardware.

Así las cosas, por un lado faltan manos para encargarse del mantenimiento de Linux LTS como corresponde, por el otro lo largo del recorrido hace que pierdan el interés... pero sigue habiendo partes que se poyan en ellas y, con esto en mente, se acaba de anunciar lo que parecer ser un impulso extraordinario para encontrar el equilibrio: las versiones SLTS de Linux, o lo que es lo mismo, las versiones «Super LTS (por Long Term Support).

Linux 6.1 será la primera versión SLTS del kernel y su soporte se extenderá por un mínimo de 10 años. O eso es lo que han adelantado en el comunicado oficial de CIP, padrinos de este programa. CIP es el acrónimo de Civil Infrastructure Platform y se trata de un proyecto de The Linux Foundation enfocado en «impulsar la colaboración e innovación del código abierto en torno al software industrial para productos utilizados en la automatización y la infraestructura civil».

Al final todo queda en casa y no solo por tratarse CIP de un proyecto bajo el ala de The Linux Foundation. «Los kernels de CIP se desarrollan y revisan con la misma meticulosa atención que los kernels LTS habituales», explica Yoshi Kobayashi, responsable del proyecto. «Nuestros desarrolladores participan activamente en la revisión y prueba de Linux LTS, contribuyendo a la calidad y seguridad general de la plataforma».

En resumen, nace la iniciativa Linux SLTS y la punta de lanza es Linux 6.1, cuyo soporte iniciar se iba a extender hasta 2028, tras el primer cambio hasta 2026, aunque debía ser 2024 y tras este segundo que recogemos ahora, hasta 2032 «como mínimo». Falta por ver qué versión le sucederá, aun cuando no parece que vaya a seguir la cadencia anual de Linux LTS, cuyo próximo candidato también desconocemos (¿quizás Linux 6.6? Lo sabremos en breve).

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las fuerzas del orden arrestaron a un desarrollador de malware vinculado con la banda de ransomware Ragnar Locker y se apoderaron de los sitios de la web oscura del grupo en una operación internacional conjunta.

Se cree que la banda de ransomware Ragnar Locker ha llevado a cabo ataques contra 168 empresas internacionales en todo el mundo desde 2020.

"El 'objetivo clave' de esta cepa de ransomware malicioso fue arrestado en París, Francia, el 16 de octubre, y su casa en Chequia fue registrada. Cinco sospechosos fueron entrevistados en España y Letonia en los días siguientes", dijo hoy Europol.

"Al final de la semana de acción, el principal perpetrador, sospechoso de ser un desarrollador del grupo Ragnar, ha sido llevado ante los jueces de instrucción del Tribunal Judicial de París".

La policía ucraniana también allanó las instalaciones de otro presunto miembro de una banda en Kiev, incautando ordenadores portátiles, teléfonos móviles y dispositivos electrónicos.

Eurojust abrió el caso en mayo de 2021 a petición de las autoridades francesas. La agencia llevó a cabo cinco reuniones de coordinación para facilitar la colaboración judicial entre las autoridades involucradas en la investigación.

Esta operación conjunta entre autoridades de Francia, República Checa, Alemania, Italia, Letonia, Países Bajos, España, Suecia, Japón, Canadá y Estados Unidos marca la tercera acción contra la misma banda de ransomware.

En septiembre de 2021, los esfuerzos coordinados en los que participaron autoridades francesas, ucranianas y estadounidenses condujeron a la detención de dos sospechosos en Ucrania.

Posteriormente, en octubre de 2022, otro sospechoso fue detenido en Canadá a través de una operación conjunta llevada a cabo por las fuerzas del orden francesas, canadienses y estadounidenses.

Durante la operación coordinada, los agentes encargados de hacer cumplir la ley también incautaron activos de criptomonedas y desmantelaron los sitios de negociación y fuga de datos Tor de Ragnar Locker el jueves.

"Además, se eliminaron nueve servidores; cinco en los Países Bajos, dos en Alemania y dos en Suecia", dijo Europol.

"Este servicio ha sido incautado como parte de una acción coordinada de aplicación de la ley contra el grupo Ragnar Locker", se lee en una pancarta que se muestra en el sitio de filtración de datos de Ragnar Locker.


Junto con la incautación exitosa de la infraestructura de Ragnar Locker, la Alianza Cibernética Ucraniana (UCA) hackeó la operación Trigona Ransomware, recuperando con éxito los datos y borrando los servidores de los ciberdelincuentes.

La operación de ransomware Ragnar Locker (también conocida como Ragnar_Locker y RagnarLocker) surgió a fines de diciembre de 2019 cuando comenzó a dirigirse a víctimas empresariales de todo el mundo.

A diferencia de muchas bandas de ransomware modernas, Ragnar Locker no operaba como un ransomware como servicio, en el que se recluta a los afiliados para violar las redes de los objetivos y desplegar el ransomware a cambio de una parte de los ingresos.

En cambio, Ragnar Locker operaba de forma semiprivada, ya que no reclutaba activamente afiliados, sino que optaba por colaborar con probadores de penetración externos para violar las redes.

Su lista de víctimas anteriores incluye entidades prominentes como el fabricante de chips de computadora ADATA, el gigante de la aviación Dassault Falcon y el fabricante de juegos japonés Capcom.

Según un aviso del FBI de marzo de 2022, este ransomware se ha desplegado en las redes de al menos 52 organizaciones de varios sectores de infraestructuras críticas en Estados Unidos desde abril de 2020.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un actor de amenazas está utilizando publicaciones falsas de LinkedIn y mensajes directos sobre un puesto de especialista en anuncios de Facebook en el fabricante de hardware Corsair para atraer a las personas a descargar malware que roba información como DarkGate y RedLine.

La empresa de ciberseguridad WithSecure detectó la actividad y rastreó la actividad del grupo, mostrando en un informe hoy que está vinculado a grupos de ciberdelincuentes vietnamitas responsables de las campañas 'Ducktail' descubiertas por primera vez el año pasado.

Estas campañas tienen como objetivo robar valiosas cuentas comerciales de Facebook que pueden usarse para publicidad maliciosa o venderse a otros ciberdelincuentes.

DarkGate se detectó por primera vez en 2017, pero su despliegue siguió siendo limitado hasta junio de 2023, cuando su autor decidió vender el acceso al malware a un público más amplio.

Ejemplos recientes del uso de DarkGate incluyen ataques de phishing a través de Microsoft Teams que empujan la carga útil y aprovechar las cuentas de Skype comprometidas para enviar scripts VBS para desencadenar una cadena de infección que conduce al malware.

Señuelo corsario

Los actores de amenazas vietnamitas se dirigieron principalmente a usuarios en los EE. UU., el Reino Unido y la India, que ocupan puestos de administración de redes sociales y es probable que tengan acceso a cuentas comerciales de Facebook. El señuelo se entrega a través de LinkedIn e implica una oferta de trabajo en Corsair.

Se engaña a los objetivos para que descarguen archivos maliciosos de una URL("g2[.] by/corsair-JD") que redirige a Google Drive o Dropbox para soltar un archivo ZIP ("Salario y nuevos No tienes permitido ver los links. Registrarse o Entrar a mi cuenta") con un documento PDF o DOCX y un archivo TXT con los siguientes nombres:

• Descripción del trabajo de Corsair.docx
• Salario y nuevos productos.txt
• PDF Salario y Productos.pdf

Los investigadores de WithSecure analizaron los metadatos de los archivos anteriores y encontraron pistas para la distribución del ladrón RedLine.

El archivo descargado contiene un script VBS, posiblemente incrustado en el archivo DOCX, que copia y cambia el nombre de 'curl.exe' a una nueva ubicación y lo aprovecha para descargar 'autoit3.exe' y un script Autoit3 compilado.

El ejecutable inicia el script, y este último se desofusca a sí mismo y construye DarkGate utilizando cadenas presentes en el script.

Treinta segundos después de la instalación, el malware intenta desinstalar los productos de seguridad del sistema comprometido, lo que indica la existencia de un proceso automatizado.

LinkedIn introdujo funciones para combatir el abuso en la plataforma a fines del año pasado que pueden ayudar a los usuarios a determinar si una cuenta es sospechosa o falsa. Sin embargo, corresponde a los usuarios verificar la información verificada antes de comunicarse con una nueva cuenta.

WithSecure ha publicado una lista de indicadores de compromiso (IoC) que podrían ayudar a las organizaciones a defenderse de la actividad de este actor de amenazas. Los detalles incluyen las direcciones IP, los dominios utilizados, las URL, los metadatos de los archivos y los nombres de los archivos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un actor de amenazas, presumiblemente de Túnez, ha sido vinculado a una nueva campaña dirigida a Jupyter Notebooks expuestos en un doble intento de minar ilícitamente criptomonedas y violar entornos en la nube.

Apodado Qubitstrike por Cado, el conjunto de intrusión utiliza la API de Telegram para filtrar las credenciales del proveedor de servicios en la nube después de un compromiso exitoso.

"Las cargas útiles para la campaña Qubitstrike están alojadas en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, una plataforma alternativa de alojamiento de Git, que proporciona gran parte de la misma funcionalidad que GitHub", dijeron los investigadores de seguridad Matt Muir y Nate Bill en un artículo del miércoles.

En la cadena de ataque documentada por la empresa de seguridad en la nube, las instancias de Jupyter de acceso público se vulneran para ejecutar comandos para recuperar un script de shell (mi.sh) alojado en Codeberg.

El script de shell, que actúa como carga útil principal, es responsable de ejecutar un minero de criptomonedas, establecer la persistencia por medio de un cron job, insertar una clave controlada por el atacante en el archivo .ssh/authorized_keys para el acceso remoto y propagar el malware a otros hosts a través de SSH.

El malware también es capaz de recuperar e instalar el rootkit Diamorphine para ocultar procesos maliciosos, así como transmitir las credenciales capturadas de Amazon Web Services (AWS) y Google Cloud al atacante a través de la API del bot de Telegram.

Un aspecto digno de mención de los ataques es el cambio de nombre de utilidades legítimas de transferencia de datos como curl y wget en un probable intento de evadir la detección y evitar que otros usuarios del sistema utilicen las herramientas.

"mi.sh también iterará a través de una lista codificada de nombres de procesos e intentará matar los procesos asociados", dijeron los investigadores. "Es probable que esto frustre cualquier operación minera por parte de competidores que puedan haber comprometido previamente el sistema".


El script de shell está diseñado además para aprovechar el comando netstat y una lista codificada de pares IP/puerto, previamente asociados con campañas de cryptojacking, para eliminar cualquier conexión de red existente a esas direcciones IP.

También se han tomado medidas para eliminar varios archivos de registro de Linux (por ejemplo, /var/log/secure y /var/log/wtmp), en lo que es otra señal de que los actores de Qubitstrike están buscando pasar desapercibidos.

Los orígenes exactos del actor de amenazas siguen sin estar claros, aunque la evidencia apunta a que probablemente sea Túnez debido a la dirección IP utilizada para iniciar sesión en el honeypot en la nube utilizando las credenciales robadas.

Un examen más detallado del repositorio de Codeberg también ha revelado un implante de Python (kdfs.py) que está diseñado para ejecutarse en hosts infectados, con Discord actuando como un mecanismo de comando y control (C2) para cargar y descargar desde y hacia la máquina.

La conexión entre No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y No tienes permitido ver los links. Registrarse o Entrar a mi cuenta sigue siendo desconocida hasta el momento, aunque se sospecha que la puerta trasera de Python facilita el despliegue del script de shell. También parece que No tienes permitido ver los links. Registrarse o Entrar a mi cuenta se puede entregar como un malware independiente sin depender de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

"Qubitstrike es una campaña de malware relativamente sofisticada, encabezada por atacantes con un enfoque particular en la explotación de servicios en la nube", dijeron los investigadores.

"Por supuesto, el objetivo principal de Qubitstrike parece ser el secuestro de recursos con el fin de minar la criptomoneda XMRig. A pesar de esto, el análisis de la infraestructura de Discord C2 muestra que, en realidad, cualquier ataque concebible podría ser llevado a cabo por los operadores después de obtener acceso a estos hosts vulnerables".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los ataques que aprovechan el malware DarkGate dirigido a entidades en el Reino Unido, los EE. UU. y la India se han relacionado con actores vietnamitas asociados con el uso del infame ladrón Ducktail.

"Es muy probable que la superposición de herramientas y campañas se deba a los efectos de un mercado de delitos cibernéticos", dijo WithSecure en un informe publicado hoy. "Los actores de amenazas pueden adquirir y utilizar múltiples herramientas diferentes para el mismo propósito, y todo lo que tienen que hacer es idear objetivos, campañas y señuelos".

El desarrollo se produce en medio de un aumento en las campañas de malware que utilizan DarkGate en los últimos meses, impulsado principalmente por la decisión de su autor de alquilarlo sobre la base de malware como servicio (MaaS) a otros actores de amenazas después de usarlo de forma privada desde 2018.

No se trata solo de DarkGate y Ducktail, ya que el grupo de actores de amenazas vietnamitas responsable de estas campañas está aprovechando señuelos, temas, objetivos y métodos de entrega iguales o muy similares para ofrecer también LOBSHOT y RedLine Stealer.

Las cadenas de ataque que distribuyen DarkGate se caracterizan por el uso de scripts de AutoIt recuperados a través de un script de Visual Basic enviado a través de correos electrónicos o mensajes de phishing en Skype o Microsoft Teams. La ejecución del script AutoIt conduce a la implementación de DarkGate.

En este caso, sin embargo, el vector de infección inicial fue un mensaje de LinkedIn que redirigía a la víctima a un archivo alojado en Google Drive, una técnica comúnmente utilizada por los actores de Ducktail.

"Se han utilizado temas de campaña y señuelos muy similares para entregar Ducktail y DarkGate", dijo WithSecure, aunque la función de la etapa final difiere en gran medida.

Mientras que Ducktail funciona como un ladrón, DarkGate es un troyano de acceso remoto (RAT) con capacidades de robo de información que también establecen una persistencia encubierta en los hosts comprometidos para el acceso por puerta trasera.

"DarkGate ha existido durante mucho tiempo y está siendo utilizado por muchos grupos para diferentes propósitos, y no solo por este grupo o grupo en Vietnam", dijo el investigador de seguridad Stephen Robinson, analista senior de inteligencia de amenazas de WithSecure.

"La otra cara de la moneda es que los actores pueden usar múltiples herramientas para la misma campaña, lo que podría oscurecer el verdadero alcance de su actividad a partir de un análisis puramente basado en malware".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los piratas informáticos están escaneando en busca de Jupyter Notebooks expuestos a Internet para violar los servidores y desplegar un cóctel de malware que consiste en un rootkit de Linux, mineros criptográficos y scripts de robo de contraseñas.

Jupyter Notebooks son entornos informáticos interactivos de código abierto para el análisis de datos, el aprendizaje automático y la investigación científica. Esta plataforma fue atacada recientemente por otro malware llamado 'PyLoose', que también llevó a la implementación del minero XMRRig en el contenedor subyacente.

En una nueva campaña llamada 'Qubitstrike', los actores de amenazas descargan cargas útiles maliciosas para secuestrar un servidor Linux para la criptominería y robar credenciales de servicios en la nube, como AWS y Google Cloud.

Como informa hoy Cado Research, las cargas útiles del malware Qubitstrike están alojadas en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, lo que marca la primera vez que se abusa de esta plataforma para la distribución de malware.

Secuestro de Linux con Qubitstrike

Se cree que los ataques de Qubitstrike comienzan con un escaneo manual de Jupyter Notebooks expuestos, seguido de una identificación de la CPU para evaluar su potencial de minería.

Los atacantes buscan archivos de credenciales que pueden robar y descargar y ejecutar un script ('mi.sh') utilizando un comando codificado en base64.

El script es responsable de la mayor parte de la actividad maliciosa en un servidor Linux comprometido, incluidos los siguientes:

• Descargue y ejecute un minero XMRig disfrazado de "python-dev"
• Configure cuatro trabajos cron (apache2, apache2.2, netns, netns2) para la persistencia del minero y del script
• Inserte una clave SSH controlada por el atacante para el acceso raíz persistente
• Instale el rootkit LKM (módulo de kernel cargable) 'Diamorphine' que ayuda a ocultar procesos específicos de las herramientas de monitoreo
• Robar credenciales del endpoint vulnerado y propagarlas a través de SSH

Cado informa que No tienes permitido ver los links. Registrarse o Entrar a mi cuenta también realiza algunos pasos de optimización de ataques utilizando un componente adicional llamado "kthreadd", como detectar mineros competidores en la lista de procesos en ejecución y eliminarlos y usar la utilidad 'netstat' para cerrar las conexiones a las IP marcadas para cryptojacking.

Para cubrir los rastros del atacante, se cambia el nombre de las utilidades de transferencia de datos como 'curl' y 'wget', y los archivos de registro que contienen evidencia de la violación se borran del sistema mediante una función personalizada ('log_f').

Los scripts de Qubitstrike también instalan el rootkit de código abierto Diamorphine para Linux, que se utiliza para ocultar la presencia de scripts en ejecución y cargas útiles de malware.

"La diamorfina es bien conocida en los círculos de malware de Linux, y el rootkit se ha observado en campañas de TeamTNT y, más recientemente, Kiss-a-dog", explica el informe de Cado.

"La compilación del malware en el momento de la entrega es común y se utiliza para evadir los EDR y otros mecanismos de detección".

Robo de credenciales

Qubitstrike busca credenciales en el endpoint comprometido y las envía de vuelta a sus operadores mediante la API de Telegram Bot.

Específicamente, el malware itera a través de una lista de 23 directorios que generalmente alojan credenciales para archivos llamados "credenciales", "nube", "kyber-env" y otros.

Las credenciales que se encuentran allí se almacenan en un archivo temporal en "/tmp/creds", se envían al bot de Telegram y, finalmente, se eliminan.


Cado ha descubierto que el bot vinculado a la exfiltración de credenciales está vinculado a un chat privado con un usuario llamado "z4r0u1". Además, los investigadores encontraron que la dirección IP del atacante los ubica en Túnez, mientras que el agente de usuario muestra el uso de Kali Linux.


Usar Discord como C2

Al examinar el repositorio del atacante en Codeberg, se reveló otro script llamado 'kdfs.py', que utiliza un bot de Discord para operaciones de comando y control (C2) utilizando un token multiofuscado.

El script puede ejecutarse como un ejecutable independiente, enviando mensajes a un canal de Discord codificado para enviar información del host y luego esperar a que se ejecuten los comandos. El implante también abusa de Discord para la exfiltración de datos.

El token incrustado expuso el apodo del atacante, 'BlackSUN', el servidor de Discord, 'NETShadow' y los canales contenidos llamados 'víctimas' y 'ssh', que dejan pocas dudas sobre la naturaleza del espacio, creado el 2 de septiembre de 2023.


Aunque el implante No tienes permitido ver los links. Registrarse o Entrar a mi cuenta nunca se implementó en los honeypots de Cado, los investigadores sugieren que es un predecesor del script No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Entre agosto de 2022 y mayo de 2023 se detectó una versión actualizada del marco de puerta trasera MATA en ataques dirigidos a empresas de petróleo y gas y a la industria de defensa en Europa del Este.

Los ataques emplearon correos electrónicos de spear-phishing para engañar a los objetivos para que descargaran ejecutables maliciosos que explotan CVE-2021-26411 en Internet Explorer para iniciar la cadena de infección.

El marco MATA actualizado combina un cargador, un troyano principal y un ladrón de información para hacer una puerta trasera y ganar persistencia en las redes objetivo.

La versión de MATA en estos ataques es similar a las versiones anteriores vinculadas al grupo de hackers norcoreano Lazarus, pero con capacidades actualizadas.

En particular, la propagación del malware a través de todos los rincones accesibles de la red corporativa se produce al violar las soluciones de cumplimiento de seguridad y explotar sus fallas.

Abusar de EDR en los ataques

La empresa de ciberseguridad descubrió la actividad en septiembre de 2022 después de examinar dos muestras de MATA que se comunicaban con servidores de comando y control (C2) dentro de las redes de la organización violadas.

Un análisis más detallado reveló que los sistemas violados eran servidores de software financiero conectados a numerosas subsidiarias de la organización objetivo.

La investigación reveló que los piratas informáticos habían expandido su posición de un solo controlador de dominio en una planta de producción a toda la red corporativa.

El ataque continuó con los piratas informáticos accediendo a dos paneles de administración de soluciones de seguridad, uno para la protección de endpoints y otro para las comprobaciones de cumplimiento.

Los piratas informáticos abusaron del acceso al panel de administración del software de seguridad para realizar vigilancia en la infraestructura de la organización y difundir malware a sus subsidiarias.


Malware MATA actualizado

En los casos en los que los objetivos eran servidores Linux, los atacantes emplearon una variante Linux de MATA en forma de archivo ELF, que parece ser similar en funcionalidad a la tercera generación del implante de Windows.

Kaspersky dice que probó tres nuevas versiones del malware MATA: una (v3) evolucionó a partir de la segunda generación vista en ataques anteriores, una segunda (v4) denominada 'MataDoor' y una tercera (v5) que fue escrita desde cero.

La última versión de MATA viene en forma de DLL y cuenta con amplias capacidades de control remoto, admite conexiones multiprotocolo (TCP, SSL, PSSL, PDTLS) a los servidores de control y admite cadenas de servidores proxy (SOCKS4, SOCKS5, HTTP+web, HTTP+NTLM).

Los 23 comandos soportados por MATA quinta generación incluyen acciones para configurar la conectividad, realizar la gestión del implante y recuperar información.

Los comandos más importantes soportados por vanilla MATA son los siguientes:

• 0x003: Se conecta al servidor C2 mediante un conjunto de comandos específico.
• 0x001: Inicia una nueva sesión de cliente que administra varios comandos desde Buffer-box.
• 0x006: Programa una reconexión con retrasos específicos y comandos en cola.
• 0x007: Devuelve información detallada del sistema y del malware, claves de cifrado, rutas de complementos, etc.
• 0x00d: Configura ajustes vitales como VictimID y parámetros de conexión.
• 0x020: Inicia la conexión con el servidor C2 y reenvía el tráfico.
• 0x022: Sondea la conexión activa a los servidores C2 y a la lista de proxys.

Los complementos adicionales cargados en el malware le permiten lanzar otros 75 comandos relacionados con la recopilación de información, la gestión de procesos, la gestión de archivos, el reconocimiento de la red, la funcionalidad de proxy y la ejecución remota de shells.


Otros hallazgos interesantes incluyen un nuevo módulo de malware que puede aprovechar los medios de almacenamiento extraíbles como USB para infectar sistemas aislados, varios ladrones capaces de capturar credenciales, cookies, capturas de pantalla y contenido del portapapeles, y herramientas de omisión de seguridad / EDR.

Los investigadores informan de que los hackers eludieron el EDR y las herramientas de seguridad utilizando un exploit disponible públicamente para CVE-2021-40449, denominado 'CallbackHell'.

Al emplear esta herramienta, los atacantes alteran la memoria del kernel y apuntan a rutinas específicas de devolución de llamada, lo que hace que las herramientas de seguridad de endpoints sean ineficaces.

Si ese método de omisión fallaba, cambiaban a técnicas de Bring Your Own Vulnerable Driver (BYOVD) previamente documentadas.


La atribución no está clara

Aunque Kaspersky asoció previamente a MATA con el grupo de hackers Lazarus, respaldado por el estado de Corea del Norte, la firma de ciberseguridad tiene problemas para asociar la actividad observada recientemente con una alta confianza.

Aunque todavía hay vínculos aparentes con la actividad de Lazarus, las nuevas variantes y técnicas de MATA, como la serialización TTLV, los protocolos multicapa y los mecanismos de protocolo de enlace, se parecen más a los de los grupos APT de los 'Cinco Ojos' como Purple, Magenta y Green Lambert.

Además, la implementación de múltiples marcos de malware y versiones de marcos MATA en un solo ataque es muy poco común, lo que indica un actor de amenazas particularmente bien dotado de recursos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El fabricante taiwanés de equipos de red D-Link ha confirmado una violación de datos que llevó a la exposición de lo que dijo que es "información semipública y de baja sensibilidad".

"Los datos no se confirmaron desde la nube, sino que probablemente se originaron en un antiguo sistema D-View 6, que llegó al final de su vida útil en 2015", dijo la compañía.

"Los datos se utilizaban para fines de registro en ese entonces. Hasta ahora, no hay evidencia que sugiera que los datos arcaicos contenían identificaciones de usuario o información financiera".

El desarrollo se produce más de dos semanas después de que una parte no autorizada alegara haber robado los datos personales de muchos funcionarios del gobierno de Taiwán, así como el código fuente del software de gestión de red D-View de D-Link, en una publicación compartida en BreachForums el 1 de octubre de 2023.

D-Link, que contrató a la firma de ciberseguridad Trend Micro para investigar el incidente, citó numerosas inexactitudes y exageraciones, afirmando que la violación llevó al compromiso de aproximadamente 700 registros "obsoletos y fragmentados", contrariamente a las afirmaciones de que los datos de millones de usuarios habían sido desviados.

"Tenemos razones para creer que las últimas marcas de tiempo de inicio de sesión fueron manipuladas intencionalmente para hacer que los datos arcaicos parezcan recientes", señaló.

También dijo que la violación ocurrió como resultado de que un empleado fue víctima inadvertidamente de un ataque de phishing, y que está tomando medidas para mejorar la seguridad de sus operaciones. Los detalles exactos del ataque no fueron revelados.

La compañía enfatizó además que es poco probable que sus clientes activos actuales se vean afectados por este incidente.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las entidades gubernamentales de la región de Asia-Pacífico (APAC) son el objetivo de una campaña de ciberespionaje de larga duración denominada TetrisPhantom.

"El atacante espió y recolectó de forma encubierta datos confidenciales de las entidades gubernamentales de APAC explotando un tipo particular de unidad USB segura, protegida por cifrado de hardware para garantizar el almacenamiento seguro y la transferencia de datos entre sistemas informáticos", dijo Kaspersky en su informe de tendencias APT para el tercer trimestre de 3.

La firma rusa de ciberseguridad, que detectó la actividad en curso a principios de 2023, dijo que las unidades USB ofrecen cifrado de hardware y son empleadas por organizaciones gubernamentales de todo el mundo para almacenar y transferir datos de forma segura, lo que plantea la posibilidad de que los ataques puedan expandirse en el futuro para tener una huella global.

El conjunto de intrusión clandestina no se ha vinculado a ningún actor o grupo de amenazas conocido, pero el alto nivel de sofisticación de la campaña apunta a un equipo de estado-nación.

"Estas operaciones fueron llevadas a cabo por un actor de amenazas altamente calificado e ingenioso, con un gran interés en las actividades de espionaje dentro de las redes gubernamentales sensibles y protegidas", dijo Noushin Shabab, investigador senior de seguridad de Kaspersky. "Los ataques fueron extremadamente selectivos y tuvieron un número bastante limitado de víctimas".

Un sello distintivo clave de la campaña es el uso de varios módulos maliciosos para ejecutar comandos y recopilar archivos e información de máquinas comprometidas y propagar la infección a otras máquinas utilizando la misma u otras unidades USB seguras como vector.

Los componentes de malware, además de autorreplicarse a través de unidades USB seguras conectadas para violar redes aisladas, también son capaces de ejecutar otros archivos maliciosos en los sistemas infectados.

"El ataque comprende herramientas y técnicas sofisticadas", dijo Kaspersky, y agregó que las secuencias de ataque también implicaron la "inyección de código en un programa de administración de acceso legítimo en la unidad USB que actúa como un cargador para el malware en una nueva máquina".

La revelación se produce cuando un nuevo y desconocido actor de amenazas persistentes avanzadas (APT) ha sido vinculado a un conjunto de ataques dirigidos a entidades gubernamentales, contratistas militares, universidades y hospitales en Rusia a través de correos electrónicos de spear-phishing que contienen documentos de Microsoft Office con trampas explosivas.

"Esto inicia un esquema de infección de varios niveles que conduce a la instalación de un nuevo troyano, que está diseñado principalmente para exfiltrar archivos de la máquina de la víctima y obtener el control mediante la ejecución de comandos arbitrarios", dijo Kaspersky.

Los ataques, cuyo nombre en clave es BadRory por parte de la empresa, se desarrollaron en forma de dos oleadas: una en octubre de 2022, seguida de una segunda en abril de 2023.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una falla de gravedad que afecta a los enrutadores celulares industriales de Milesight puede haber sido explotada activamente en ataques del mundo real, según revelan nuevos hallazgos de VulnCheck.

Rastreada como CVE-2023-43261 (puntuación CVSS: 7.5), la vulnerabilidad se ha descrito como un caso de divulgación de información que afecta a los enrutadores UR5X, UR32L, UR32, UR35 y UR41 antes de la versión 35.3.0.7 que podría permitir a los atacantes acceder a registros como httpd.log, así como a otras credenciales confidenciales.

Como resultado, esto podría permitir a los atacantes remotos y no autenticados obtener acceso no autorizado a la interfaz web, lo que permitiría configurar servidores VPN e incluso eliminar las protecciones del firewall.

"Esta vulnerabilidad se vuelve aún más grave a medida que algunos enrutadores permiten el envío y recepción de mensajes SMS", dijo a principios de este mes el investigador de seguridad Bipin Jitiya, quien descubrió el problema. "Un atacante podría explotar esta funcionalidad para actividades fraudulentas, lo que podría causar daños financieros al propietario del enrutador".

Ahora, según Jacob Baines de VulnCheck, hay evidencia de que la falla puede haber sido explotada a pequeña escala en la naturaleza.

"Observamos 5.61.39[.] 232 intentando iniciar sesión en seis sistemas el 2 de octubre de 2023", dijo Baines. "Las direcciones IP de los sistemas afectados se geolocalizan en Francia, Lituania y Noruega. No parecen estar relacionados, y todos usan diferentes credenciales no predeterminadas".


En cuatro de las seis máquinas, se dice que el actor de amenazas se ha autenticado con éxito en el primer intento. En el quinto sistema, el inicio de sesión se realizó correctamente la segunda vez, y en el sexto, la autenticación resultó en un error.

Las credenciales utilizadas para llevar a cabo el ataque se extrajeron del httpd.log, aludiendo a la militarización de CVE-2023-43261. No hay evidencia de más acciones maliciosas, aunque parece que el actor desconocido verificó la configuración y las páginas de estado.

Según VulnCheck, si bien hay aproximadamente 5,500 enrutadores Milesight expuestos a Internet, solo alrededor del 5% ejecuta versiones de firmware vulnerables y, por lo tanto, susceptibles a la falla.

"Si tiene un enrutador celular industrial Milesight, probablemente sea prudente asumir que todas las credenciales del sistema se han visto comprometidas y simplemente generar otras nuevas, y asegurarse de que no se pueda acceder a ninguna interfaz a través de Internet", dijo Baines.

Seis fallas descubiertas en los servidores Titan MFT y Titan SFTP


La revelación se produce cuando Rapid7 detalló varias fallas de seguridad en los servidores Titan MFT y Titan SFTP de South River Technologies que, si se explotan, podrían permitir el acceso remoto de superusuarios a los hosts afectados.

La lista de vulnerabilidades es la siguiente:

• CVE-2023-45685 - Ejecución remota de código autenticada a través de "Zip Slip"
• CVE-2023-45686 - Ejecución remota de código autenticado a través del recorrido de ruta WebDAV
• CVE-2023-45687 - Fijación de sesión en el servidor de administración remota
• CVE-2023-45688 - Divulgación de información a través de la ruta transversal en FTP
• CVE-2023-45689 - Divulgación de información a través de la ruta transversal en la interfaz de administración
• CVE-2023-45690 - Fuga de información a través de una base de datos legible por todo el mundo + registros

"La explotación exitosa de varios de estos problemas otorga a un atacante la ejecución remota de código como usuario raíz o SYSTEM", dijo la compañía. "Sin embargo, todos los problemas son posteriores a la autenticación y requieren configuraciones no predeterminadas y, por lo tanto, es poco probable que se exploten a gran escala".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El troyano bancario de Android conocido como SpyNote ha sido diseccionado para revelar sus diversas funciones de recopilación de información.

Por lo general, se propagan a través de campañas de phishing por SMS, las cadenas de ataque que involucran el spyware engañan a las víctimas potenciales para que instalen la aplicación haciendo clic en el enlace incrustado, según F-Secure.

Además de solicitar permisos invasivos para acceder a los registros de llamadas, la cámara, los mensajes SMS y el almacenamiento externo, SpyNote es conocido por ocultar su presencia en la pantalla de inicio de Android y en la pantalla de Recientes en un intento por dificultar la detección de Evasión.

"La aplicación de malware SpyNote se puede iniciar a través de un disparador externo", dijo el investigador de F-Secure, Amit Tambe, en un análisis publicado la semana pasada. "Al recibir la intención, la aplicación de malware inicia la actividad principal".

Pero lo más importante es que busca permisos de accesibilidad, aprovechándolos posteriormente para otorgarse permisos adicionales para grabar audio y llamadas telefónicas, registrar pulsaciones de teclas, así como capturar capturas de pantalla del teléfono a través de la API MediaProjection.

Un examen más detallado del malware ha revelado la presencia de lo que se denominan servicios intransigentes que tienen como objetivo resistir los intentos, ya sea de las víctimas o del sistema operativo, de eliminarlo.


Esto se logra registrando un receptor de transmisión que está diseñado para reiniciarlo automáticamente cada vez que está a punto de apagarse. Además, los usuarios que intentan desinstalar la aplicación maliciosa navegando a Configuración no pueden hacerlo cerrando la pantalla del menú a través de su abuso de las API de accesibilidad.

"La muestra de SpyNote es un software espía que registra y roba una variedad de información, incluidas las pulsaciones de teclas, los registros de llamadas, la información sobre las aplicaciones instaladas, etc.", dijo Tambe. "Permanece oculto en el dispositivo de la víctima, lo que dificulta su percepción. También hace que la desinstalación sea extremadamente complicada".

"Al final, a la víctima solo le queda la opción de realizar un restablecimiento de fábrica, perdiendo así todos los datos en el proceso".

La revelación se produce cuando la firma finlandesa de ciberseguridad detalló una aplicación falsa para Android que se hace pasar por una actualización del sistema operativo para atraer a los objetivos para que le otorguen permisos de servicios de accesibilidad y exfiltren SMS y datos bancarios.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Actualización del 17 de octubre, 16:40 EDT: Se agregó nueva información sobre los dispositivos Cisco IOS XE violados.

Los atacantes han explotado un error crítico de día cero recientemente revelado para comprometer e infectar más de 10.000 dispositivos Cisco IOS XE con implantes maliciosos.

La lista de productos que ejecutan el software Cisco IOS XE incluye switches empresariales, routers industriales y de agregación, puntos de acceso, controladores inalámbricos y más.

Según la empresa de inteligencia de amenazas VulnCheck, la vulnerabilidad de máxima gravedad (CVE-2023-20198) se ha explotado ampliamente en ataques dirigidos a sistemas Cisco IOS XE con la función de interfaz de usuario web (interfaz de usuario web) habilitada, que también tienen activada la función de servidor HTTP o HTTPS.

VulnCheck escaneó las interfaces web de Cisco IOS XE orientadas a Internet y descubrió miles de hosts infectados. La compañía también ha lanzado un escáner para detectar estos implantes en los dispositivos afectados.

"Cisco enterró la lede al no mencionar que se han implantado miles de sistemas IOS XE orientados a Internet. Esta es una mala situación, ya que el acceso privilegiado en IOS XE probablemente permite a los atacantes monitorear el tráfico de red, pivotar hacia redes protegidas y realizar cualquier cantidad de ataques de intermediarios", dijo el CTO de VulnCheck, Jacob Baines.

"Si su organización utiliza un sistema IOS XE, es imperativo que determine si sus sistemas se han visto comprometidos y tome las medidas adecuadas una vez que se hayan descubierto los implantes. Si bien aún no hay un parche disponible, puede proteger su organización deshabilitando la interfaz web y eliminando todas las interfaces de administración de Internet de inmediato".

"VulnCheck ha tomado las huellas dactilares de aproximadamente 10.000 sistemas implantados, pero solo hemos escaneado aproximadamente la mitad de los dispositivos enumerados en Shodan/Censys. No queríamos comprometernos con un número específico, ya que está evolucionando (aumentando) a medida que continuamos con nuestras actividades", dijo Baines a BleepingComputer.

Una búsqueda en Shodan de dispositivos Cisco con su interfaz de usuario web habilitada (compartida por el CEO de Aves Netsec, Simo Kohonen) muestra actualmente más de 140.000 dispositivos expuestos a Internet.


Cisco: Aplicar medidas de mitigación y buscar indicadores de incumplimiento

El lunes, Cisco reveló que los atacantes no autenticados pueden explotar el día cero de IOS XE para obtener privilegios de administrador completos y tomar el control completo sobre los routers y switches de Cisco afectados de forma remota.

La compañía advirtió a los administradores que deshabiliten la función vulnerable del servidor HTTP en todos los sistemas orientados a Internet hasta que haya un parche disponible.

Cisco detectó los ataques CVE-2023-20198 a finales de septiembre tras los informes de comportamiento inusual en un dispositivo del cliente recibidos por el Centro de Asistencia Técnica (TAC) de Cisco. La evidencia de estos ataques se remonta al 18 de septiembre, cuando se observó a los atacantes creando cuentas de usuario locales llamadas "cisco_tac_admin" y "cisco_support".

Además, los atacantes desplegaron implantes maliciosos, lo que les permitió ejecutar comandos arbitrarios a nivel del sistema o IOS en dispositivos comprometidos.

"Evaluamos que estos grupos de actividad probablemente fueron llevados a cabo por el mismo actor. Ambos grupos aparecieron muy juntos, y la actividad de octubre pareció basarse en la actividad de septiembre", dijo Cisco.

"El primer grupo fue posiblemente el intento inicial del actor y probar su código, mientras que la actividad de octubre parece mostrar que el actor expandió su operación para incluir el establecimiento de un acceso persistente a través de la implementación del implante".

La compañía también emitió una "fuerte recomendación" para que los administradores busquen cuentas de usuario sospechosas o creadas recientemente como posibles signos de actividad maliciosa vinculada a esta amenaza.

En septiembre, Cisco advirtió a los clientes que parchearan otra vulnerabilidad de día cero (CVE-2023-20109) en su software IOS e IOS XE, objetivo de los atacantes en la naturaleza.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Según los informes de los clientes, las actualizaciones del martes de parches de este mes están rompiendo las máquinas virtuales en los hosts de Hyper-V, lo que hace que ya no arranquen y muestren errores de "no se pudo iniciar".

Según las quejas de los administradores de Windows, el problema se desencadena después de instalar KB5031361 y KB5031364 en los sistemas Windows Server 2019 y Windows Server 2022.

Un portavoz de Microsoft le dijo a BleepingComputer que la compañía está al tanto del problema y está investigando.

Los siguientes errores se registrarán en el visor de eventos al intentar iniciar una máquina virtual en un sistema Hyper-V afectado:

• No se pudo iniciar la máquina virtual TOOLS. Error: 'TOOLS' no se pudo iniciar.
• No se pudo encender con el error 'Función incorrecta'.
• No se pudo abrir el archivo adjunto 'vhdx_path'. Error: 'Función incorrecta'.

Los administradores con dispositivos afectados han observado que la desinstalación de las actualizaciones problemáticas resuelve el problema, lo que permite que todas las máquinas virtuales (VM) se inicien sin ningún problema.

Esto se puede lograr mediante la herramienta Instalador independiente de Windows Update (WUSA), que ayuda a instalar y quitar paquetes de actualización a través de la API del agente de Windows Update.

Para solucionar los problemas de arranque de Hyper-V, abra un símbolo del sistema elevado haciendo clic en el menú Inicio, escribiendo cmd, haciendo clic con el botón derecho en la aplicación del símbolo del sistema y eligiendo 'Ejecutar como administrador'.

A continuación, ejecute los siguientes comandos, en función de la actualización acumulativa que haya instalado en el sistema:



Microsoft aún no ha agregado esto como un problema conocido al Panel de salud de Windows, pero, sin embargo, cuando lanzó las actualizaciones acumulativas con errores, la compañía revisó el documento de soporte para KB5031364, incluyendo y eliminando un problema conocido relacionado con VMware ESXi.

"Después de instalar esta actualización en máquinas virtuales (VM) invitadas que ejecutan Windows Server 2022 en algunas versiones de VMware ESXi, es posible que Windows Server 2022 no se inicie", decía el problema conocido ahora eliminado.

"Solo las máquinas virtuales de Windows Server 2022 con arranque seguro habilitado se ven afectadas por este problema. Las versiones afectadas de VMware ESXi son las versiones de vSphere ESXi 7.0.x y anteriores".

Redmond también lanzó actualizaciones de emergencia de Windows Server fuera de banda en enero y diciembre de 2022 para solucionar problemas conocidos que causaban que las máquinas virtuales de Hyper-V ya no se iniciaran y problemas para crear nuevas máquinas virtuales en algunos hosts de Hyper-V.

Microsoft reconoció un problema similar a principios de este año que afectó a las máquinas virtuales VMware ESXi con arranque seguro después de instalar las actualizaciones acumulativas de febrero de 2023. VMware emitió actualizaciones de emergencia de vSphere ESXi que corrigieron un error que causaba problemas de arranque después de no poder localizar un sistema operativo de arranque.

Actualización del 17 de octubre a las 13:23 EDT: Se ha agregado una declaración de Microsoft.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha anunciado que planea eliminar NT LAN Manager (NTLM) en Windows 11 en el futuro, a medida que gira hacia métodos alternativos para la autenticación y refuerza la seguridad.

"La atención se centra en fortalecer el protocolo de autenticación Kerberos, que ha sido el predeterminado desde el año 2000, y reducir la dependencia de NT LAN Manager (NTLM)", dijo el gigante tecnológico. "Las nuevas características para Windows 11 incluyen la autenticación inicial y de paso a través mediante Kerberos (IAKerb) y un centro de distribución de claves (KDC) local para Kerberos".

IAKerb permite a los clientes autenticarse con Kerberos en una amplia gama de topologías de red. La segunda característica, un centro de distribución de claves (KDC) local para Kerberos, amplía la compatibilidad con Kerberos a las cuentas locales.

Introducido por primera vez en la década de 1990, NTLM es un conjunto de protocolos de seguridad destinados a proporcionar autenticación, integridad y confidencialidad a los usuarios. Es una herramienta de inicio de sesión único (SSO) que se basa en un protocolo de desafío-respuesta que demuestra a un servidor o controlador de dominio que un usuario conoce la contraseña asociada a una cuenta.

Desde entonces, ha sido suplantado por otro protocolo de autenticación llamado Kerberos desde el lanzamiento de Windows 2000, aunque NTLM se sigue utilizando como mecanismo de reserva.

"La principal diferencia entre NTLM y Kerberos está en la forma en que los dos protocolos gestionan la autenticación. NTLM se basa en un protocolo de enlace de tres vías entre el cliente y el servidor para autenticar a un usuario", señala CrowdStrike. "Kerberos utiliza un proceso de dos partes que aprovecha un servicio de concesión de tickets o un centro de distribución de claves".

Otra distinción crucial es que, mientras que NTLM se basa en el hash de contraseñas, Kerberos aprovecha el cifrado.

Además de las debilidades de seguridad inherentes a NTLM, la tecnología se ha vuelto vulnerable a los ataques de retransmisión, lo que podría permitir a los malos actores interceptar los intentos de autenticación y obtener acceso no autorizado a los recursos de la red.

Microsoft dijo que también está trabajando para abordar las instancias NTLM codificadas en sus componentes en preparación para el cambio para deshabilitar finalmente NTLM en Windows 11, y agregó que está realizando mejoras que fomentan el uso de Kerberos en lugar de NTLM.

"Todos estos cambios estarán habilitados de forma predeterminada y no requerirán configuración para la mayoría de los escenarios", dijo Matthew Palko, líder senior de gestión de productos de Microsoft en Enterprise and Security. "NTLM seguirá estando disponible como alternativa para mantener la compatibilidad existente".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta