This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Topics - Dragora

Pages: [1] 2 3 ... 110
1

Más de 5,4 millones de registros de usuarios de Twitter que contienen información no pública robada mediante una vulnerabilidad de API reparada en enero se han compartido de forma gratuita en un foro de hackers.

Un investigador de seguridad también reveló otro volcado de datos masivo, potencialmente más significativo, de millones de registros de Twitter, lo que demuestra cuán ampliamente abusaron de este error los actores de amenazas.

Los datos consisten en información pública recopilada, así como números de teléfono privados y direcciones de correo electrónico que no deben ser públicas.

La violación de datos de Twitter


En julio pasado, un actor de amenazas comenzó a vender la  información privada de más de 5,4 millones de usuarios de Twitter  en un foro de piratería por 30.000 dólares.

Si bien la mayoría de los datos consistía en información pública, como ID de Twitter, nombres, nombres de inicio de sesión, ubicaciones y estado verificado, también incluía información privada, como números de teléfono y direcciones de correo electrónico.


Estos datos se recopilaron en diciembre de 2021 mediante una vulnerabilidad de la API de Twitter revelada en el programa de recompensas por errores de HackerOne  que permitía a las personas enviar números de teléfono y direcciones de correo electrónico a la API para recuperar la ID de Twitter asociada.

Usando esta identificación, los actores de la amenaza podrían extraer información pública sobre la cuenta para crear un registro de usuario que contenga información pública y privada, como se muestra a continuación.


No está claro si se filtró la divulgación de HackerOne, pero se le dijo a BleepingComputer que varios actores de amenazas estaban utilizando el error para robar información privada de Twitter.

Después de que BleepingComputer compartiera una muestra de los registros de usuarios con Twitter, la empresa de redes sociales  confirmó que había sufrido una violación de datos  mediante un error de API solucionado en enero de 2022.

Pompompurin, el propietario del foro de piratería Breached, le dijo a BleepingComputer este fin de semana que ellos eran los responsables de explotar el error y crear el volcado masivo de registros de usuarios de Twitter después de que otro actor de amenazas conocido como 'Devil' compartiera la vulnerabilidad con ellos.

Además de los 5,4 millones de registros a la venta, también hubo 1,4 millones de perfiles de Twitter adicionales para usuarios suspendidos recopilados mediante una API diferente, lo que eleva el total a casi 7 millones de perfiles de Twitter que contienen información privada.

Pompompurin dijo que este segundo volcado de datos no se vendió y solo se compartió de forma privada entre unas pocas personas.

Datos de Twitter compartidos en un foro de piratería

En septiembre, y ahora más recientemente, el 24 de noviembre, los 5,4 millones de registros de Twitter ya se han compartido de forma gratuita en un foro de piratería.


Pompompurin ha confirmado a BleepingComputer que estos son los mismos datos que estaban a la venta en agosto e incluyen 5.485.635 registros de usuarios de Twitter.

Estos registros contienen una dirección de correo electrónico privada o un número de teléfono y datos recopilados públicos, incluidos el ID de Twitter de la cuenta, el nombre, el nombre de pantalla, el estado verificado, la ubicación, la URL, la descripción, el número de seguidores, la fecha de creación de la cuenta, el número de amigos, el número de favoritos, recuento de estados y URL de imagen de perfil.

Un volcado de datos aún más grande creado de forma privada
Si bien es preocupante que los actores de amenazas publicaron los 5,4 millones de registros de forma gratuita, supuestamente se creó un volcado de datos aún mayor utilizando la misma vulnerabilidad.

Este volcado de datos contiene potencialmente decenas de millones de registros de Twitter que consisten en números de teléfono personales recopilados con el mismo error de API e información pública, incluido el estado verificado, nombres de cuenta, ID de Twitter, biografía y nombre de pantalla.

La noticia de esta violación de datos más significativa proviene del experto en seguridad Chad Loder, quien primero dio la noticia en Twitter y fue suspendido poco después de publicar. Posteriormente, Loder publicó una muestra redactada de esta violación de datos más grande en  Mastodon .

"Acabo de recibir evidencia de una violación masiva de datos de Twitter que afecta a millones de cuentas de Twitter en la UE y EE. UU. Me puse en contacto con una muestra de las cuentas afectadas y confirmaron que los datos violados son precisos. Esta violación no ocurrió antes de 2021". Loder compartió en Twitter.


BleepingComputer obtuvo un archivo de muestra de este volcado de datos de Twitter previamente desconocido, que contiene 1.377.132 números de teléfono para usuarios en Francia.

Desde entonces, hemos confirmado con numerosos usuarios en esta filtración que los números de teléfono son válidos, verificando que esta violación de datos adicional sea real.

Además, ninguno de estos números de teléfono está presente en los datos originales vendidos en agosto, lo que ilustra cuán mayor fue la violación de datos de Twitter de lo que se reveló anteriormente y la gran cantidad de datos de usuarios que circulan entre los actores de amenazas.

Pompompurin también confirmó con BleepingComputer que no eran responsables y que no sabían quién creó este volcado de datos recién descubierto, lo que indica que otras personas estaban usando esta vulnerabilidad de API.

BleepingComputer se enteró de que este volcado de datos recientemente descubierto consta de numerosos archivos divididos por países y códigos de área, incluidos Europa, Israel y EE. UU.

Nos dijeron que consta de más de 17 millones de registros, pero no pudimos confirmarlo de forma independiente.

Dado que estos datos se pueden utilizar potencialmente para ataques de phishing dirigidos a obtener acceso a las credenciales de inicio de sesión, es esencial analizar cualquier correo electrónico que afirme provenir de Twitter.

Si recibe un correo electrónico que dice que su cuenta fue suspendida, hay problemas de inicio de sesión o está a punto de perder su estado verificado, y le solicita que inicie sesión en un dominio que no sea de Twitter, ignore los correos electrónicos y elimínelos como están. probables intentos de phishing.

BleepingComputer se comunicó con Twitter el jueves sobre este volcado de datos adicional de información privada, pero aún no ha recibido una respuesta.

Fuente: You are not allowed to view links. Register or Login

2
Noticias Informáticas / Así es el "Twitter 2.0" que quiere Elon Musk
« on: November 28, 2022, 03:00:47 pm »

Elon Musk ha mostrado sus objetivos para el "Twitter 2.0", el término con el que se refiere a la renovación de la red social tras su adquisición por 44,000 millones de dólares.

En una de sus últimas publicaciones en la misma plataforma, el magnate compartió las diapositivas de su lista de "pláticas de la empresa", proyectando que para 2024, Twitter tendrá más de mil millones de usuarios al mes.

Las cifras en la "Era Musk"

En específico, Musk dice que esta cifra se alcanzará entre los próximos 12 y 18 meses, lo que representa un aumento sustancial, y según un portavoz de Reuters, durante el segundo trimestre del año, la plataforma alcanzó los 238 millones de usuarios.

En la información compartida por el empresario, también se mostró que el número de nuevas cuentas estaba en un nivel más alto, con un crecimiento del 66% en comparación a 2021 y en promedio dos millones de nuevos usuarios por día hasta el 16 de noviembre.


Por su parte, el número de minutos activos también ha visto un crecimiento de aproximadamente el 30% contra el año pasado al corte del 15 de noviembre.

En otros datos, Musk también reveló que el discurso de odio bajó ligeramente en comparación a 2021, aunque aumentó cuando se hizo cargo de la empresa.

En otra información revelada, también se detallaron varios planes adicionales del magnate para la plataforma, como tuits de formato largo, mensajes directos encriptados y hasta publicidad como entretenimiento.

Menos usuarios y menos ingresos

Sin embargo, de acuerdo con Business Insider, las sesiones diarias en Twitter entre el 28 de octubre y el 19 de noviembre fue un 3% más baja que el período entre el 2 y el 27 de octubre, cuando Musk asumió el control de la compañía.

Por su parte, Reuters ha revelado que la plataforma está perdiendo a sus usuarios más activos, también conocidos como los "tuiteros pesados", que a pesar de representar menos del 10% de los usuarios mensuales generales, proporcionaban el 90% de todos los tuits y la mitad de los ingresos globales de la empresa. Según la agencia, un tuitero pesado se conectaba entre seis y siete veces al día, publicando tres a cuatro veces por semana.

Fuente: You are not allowed to view links. Register or Login

3

Los pasajeros de vuelos en la Unión Europea podrán usar 5G en sus smartphones, así lo ha anunciado la Comisión. "El cielo ya no es el límite cuando se trata de las posibilidades que ofrece la conectividad súper rápida y de alta capacidad", dijo Thierry Breton, Comisionado de mercado interior.

Las aerolíneas podrán proporcionar 5G en sus aviones, así como "tecnologías móviles de generaciones anteriores", gracias a la implementación de espectro para comunicaciones móviles a bordo de los aviones, con ciertas frecuencias designadas para el 5G durante los vuelos.

Los pasajeros a bordo de vuelos en la Unión Europea podrán "usar sus smartphones a su máxima capacidad, como en tierra", asegura la Comisión. La conectividad 5G en la cabina del avión será posible con un equipo de red especial llamado "picocélula", que permitirá a los usuarios conectarse a la red terrestre 5G mediante satélite, y así hacer uso de llamadas, mensajes de texto y datos para navegación en internet durante los vuelos.


Históricamente, a los pasajeros de un vuelo se dice que pongan sus dispositivos en "Modo Avión" por cuestiones de seguridad, sin embargo el uso de 5G durante vuelos no creará problemas de seguridad, dijo la Asociación Internacional de Transporte Aéreo a The Telegraph, pues usa diferentes frecuencias a aquellas usadas para la comunicación en cabina. Los smartphones usarán el espectro de 5 GHz en adelante, mientras los aviones usan el rango entre 4.2 y 4.4 GHz para la comunicación.


De hecho, The Verge apunta que las reglas del uso de "Modo Avión" durante vuelos se han relajado mucho en los últimos años, y desde 2014 la Agencia de Seguridad de Aviación de la Unión Europea actualizó su guía para decir a las aerolíneas que ya no requieran a sus pasajeros el uso de este modo por cuestiones de seguridad.

A pesar de la confirmación de la Comisión Europea, no se detalla cuándo se completará la implementación del 5G para uso en vuelos de la UE.

Este es un gran paso para la conectividad en la UE, pero la gran incógnita es cuándo se implementará la misma medida en vuelos de todo el mundo. De acuerdo con Bloomberg, la FCC, el órgano regulador de Estados Unidos, desechó los planes de permitir conectividad celular en vuelos desde 2020, citando "razones de seguridad nacional".



Fotos de Sten Ritterfeld y Jp Valery en Unsplash
Fuente:  You are not allowed to view links. Register or Login

4

Amazon Web Services (AWS) ha resuelto una vulnerabilidad entre inquilinos en su plataforma que un atacante podría utilizar como arma para obtener acceso no autorizado a los recursos.

El problema se relaciona con un problema de diputado confuso , un tipo de escalada de privilegios donde un programa que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción.

Datadog informó la deficiencia a AWS el 1 de septiembre de 2022, luego de lo cual se envió un parche el 6 de septiembre.

"Este ataque abusa del servicio AppSync para asumir roles [de administración de identidad y acceso] en otras cuentas de AWS, lo que permite que un atacante se convierta en una organización víctima y acceda a los recursos en esas cuentas", dijo Nick Frichette, investigador de Datadog , en un informe publicado la semana pasada. .

En una divulgación coordinada, Amazon dijo que ningún cliente se vio afectado por la vulnerabilidad y que no se requiere ninguna acción del cliente.

Lo describió como un "problema de análisis de mayúsculas y minúsculas dentro de AWS AppSync, que podría usarse para omitir las validaciones de uso de roles entre cuentas del servicio y tomar medidas como el servicio en todas las cuentas de los clientes".


AWS AppSync ofrece a los desarrolladores API de GraphQL para recuperar o modificar datos de múltiples fuentes de datos, así como para sincronizar automáticamente datos entre aplicaciones móviles y web y la nube.

El servicio también se puede utilizar para integrarse con otros servicios de AWS a través de roles específicos diseñados para realizar las llamadas API necesarias con los permisos de IAM requeridos.

Si bien AWS cuenta con medidas de seguridad para evitar que AppSync asuma roles arbitrarios al validar el nombre de recurso de Amazon (ARN) del rol, el problema se deriva del hecho de que la verificación podría pasarse por alto al pasar el parámetro " serviceRoleArn " en minúsculas.

Luego, este comportamiento podría explotarse para proporcionar el identificador de un rol en una cuenta de AWS diferente.

"Esta vulnerabilidad en AWS AppSync permitió a los atacantes cruzar los límites de la cuenta y ejecutar llamadas a la API de AWS en las cuentas de las víctimas a través de roles de IAM que confiaban en el servicio de AppSync", dijo Frichette.

"Al usar este método, los atacantes podrían violar las organizaciones que usaron AppSync y obtener acceso a los recursos asociados con esos roles".

Fuente: You are not allowed to view links. Register or Login

5

Más de 1600 imágenes de Docker Hub disponibles públicamente ocultan comportamientos maliciosos, incluidos mineros de criptomonedas, secretos incrustados que se pueden usar como puertas traseras, secuestradores de DNS y redireccionadores de sitios web.

Docker Hub es una biblioteca de contenedores basada en la nube que permite a las personas buscar y descargar libremente imágenes de Docker o cargar sus creaciones en la biblioteca pública o repositorios personales.

Las imágenes de Docker son plantillas para la creación rápida y sencilla de contenedores que contienen código y aplicaciones listos para usar. Por lo tanto, aquellos que buscan configurar nuevas instancias a menudo recurren a Docker Hub para encontrar rápidamente una aplicación que se implemente fácilmente.

Desafortunadamente, debido al abuso del servicio por parte de los actores de amenazas, más de mil cargas maliciosas presentan riesgos graves para los usuarios desprevenidos que implementan imágenes cargadas de malware en contenedores alojados localmente o basados ​​en la nube.

Muchas imágenes maliciosas usan nombres que las disfrazan como proyectos populares y confiables, por lo que los actores de amenazas claramente las cargaron para engañar a los usuarios para que las descarguen.

Los investigadores de Sysdig investigaron el problema, trataron de evaluar la escala del problema e informaron sobre las imágenes encontradas que presentan algún tipo de código o mecanismo malicioso.

Trampas de Docker Hub

Además de las imágenes revisadas por Docker Library Project, que se verifica que son confiables, cientos de miles de imágenes con un estado desconocido están en el servicio.

Sysdig usó sus escáneres automatizados para analizar 250 000 imágenes de Linux no verificadas e identificó 1652 de ellas como maliciosas.


Tipos de imágenes maliciosas en Docker Hub  (Sysdig)

La categoría más grande fue la de cripto-mineros, que se encuentra en 608 imágenes de contenedores, apuntando a los recursos del servidor para extraer criptomonedas para los actores de amenazas.

La segunda ocurrencia más común fueron las imágenes que ocultaban secretos incrustados, midiendo 281 casos. Los secretos incrustados en estas imágenes son claves SSH, credenciales de AWS, tokens de GitHub, tokens de NPM y otros.


Tipos de secretos que quedan en las imágenes de Docker (Sysdig)

Sysdig comenta que estos secretos pueden haber sido dejados en imágenes públicas por error o inyectados intencionalmente por el actor de amenazas que los creó y subió.

“Al incorporar una clave SSH o una clave API en el contenedor, el atacante puede obtener acceso una vez que se implementa el contenedor”, advierte Sysdig en  el informe .

“Por ejemplo, cargar una clave pública en un servidor remoto permite a los propietarios de la clave privada correspondiente abrir un shell y ejecutar comandos a través de SSH, de forma similar a implantar una puerta trasera”.

Muchas imágenes maliciosas descubiertas por Sysdig usaban typosquatting para hacerse pasar por imágenes legítimas y confiables, solo para infectar a los usuarios con criptomineros.

Esta táctica sienta las bases para algunos casos de gran éxito, como los dos ejemplos que se muestran a continuación, que se han descargado casi 17.000 veces.


Typosquatting también garantiza que los usuarios que escriban mal el nombre de un proyecto popular descarguen una imagen maliciosa, por lo que, si bien esto no produce un gran número de víctimas, garantiza un flujo constante de infecciones.


Imágenes con errores tipográficos que capturan errores tipográficos aleatorios (Sysdig)

Un problema que empeora
Sysdig dice que en 2022, el 61 % de todas las imágenes extraídas de Docker Hub provienen de repositorios públicos, un aumento del 15 % con respecto a las estadísticas de 2021, por lo que el riesgo para los usuarios va en aumento.

Desafortunadamente, el tamaño de la biblioteca pública de Docker Hub no permite a sus operadores examinar todas las cargas diariamente; por lo tanto, muchas imágenes maliciosas no se denuncian.

Sysdig también notó que la mayoría de los actores de amenazas solo cargan un par de imágenes maliciosas, por lo que incluso si se elimina una imagen riesgosa y se prohíbe el cargador, no afecta significativamente el panorama de amenazas de la plataforma.

Fuente: You are not allowed to view links. Register or Login

6

Un actor de amenazas asociado con operaciones de ciberespionaje desde al menos 2017 ha estado atrayendo a las víctimas con un software VPN falso para Android que es una versión troyana del software legítimo SoftVPN y OpenVPN.

Los investigadores dicen que la campaña estaba "altamente dirigida" y tenía como objetivo robar datos de contacto y llamadas, ubicación del dispositivo, así como mensajes de múltiples aplicaciones.

Suplantación de identidad del servicio VPN

La operación se ha atribuido a un actor de amenazas avanzado rastreado como Bahamut, que se cree que es un grupo mercenario que brinda servicios de pirateo a sueldo.

El analista de malware de ESET, Lukas Stefanko, dice que Bahamut volvió a empaquetar las aplicaciones SoftVPN y OpenVPN para Android para incluir código malicioso con funciones de espionaje.

Al hacer esto, el actor se aseguró de que la aplicación aún brindara la funcionalidad VPN a la víctima mientras extraía información confidencial del dispositivo móvil.

Para ocultar su funcionamiento y con fines de credibilidad, Bahamut usó el nombre SecureVPN (que es un servicio VPN legítimo) y creó un sitio web falso [thesecurevpn] para distribuir su aplicación maliciosa.


Sitio web falso de SecureVPN de Bahamut
fuente: ESET

Stefanko dice que la aplicación VPN fraudulenta de los piratas informáticos puede robar contactos, registros de llamadas, detalles de ubicación, SMS, espiar chats en aplicaciones de mensajería como Signal, Viber, WhatsApp, Telegram y Messenger de Facebook, así como recopilar una lista de archivos disponibles en almacenamiento externo.

El investigador de ESET descubrió ocho versiones de la aplicación VPN de espionaje de Bahamut, todas con números de versión cronológicos, lo que sugiere un desarrollo activo.

Todas las aplicaciones falsas incluían código observado solo en operaciones atribuidas a Bahamut en el pasado, como la campaña SecureChat documentada por las empresas de ciberseguridad Cyble y CoreSec360 [ 1 ,  2 ].


Consultas SQL que Bahamut usó en sus aplicaciones maliciosas SecureChat y SecureVPN
fuente: ESET

Vale la pena señalar que ninguna de las versiones de VPN troyanizadas estaba disponible a través de Google Play, el repositorio oficial de recursos de Android, otra indicación de la naturaleza dirigida de la operación.

Se desconoce el método para el vector de distribución inicial, pero podría ser cualquier cosa, desde phishing por correo electrónico, redes sociales u otros canales de comunicación.

Los detalles sobre las operaciones de Bahamut  surgieron en el espacio público en 2017  cuando los periodistas del grupo de investigación Bellingcat publicaron un artículo sobre el actor de espionaje dirigido a activistas de derechos humanos de Oriente Medio.

Conectar a Bahamut con otros actores de amenazas es una tarea difícil si se tiene en cuenta que el grupo depende en gran medida de las herramientas disponibles públicamente, cambia constantemente de táctica y sus objetivos no se encuentran en una región en particular.

Sin embargo, los investigadores de BlackBerry señalan en un extenso  informe  sobre Bahamut en 2020 que el grupo "parece estar no solo bien financiado y con buenos recursos, sino también bien versado en investigación de seguridad y los sesgos cognitivos que los analistas suelen poseer".

Algunos grupos de actores de amenazas con los que Bahamut se ha asociado incluyen Windshift  y  Urpage .

Fuente: You are not allowed to view links. Register or Login

7

El notorio malware Emotet ha regresado con renovado vigor como parte de una campaña de malspam de alto volumen diseñada para lanzar cargas útiles como IcedID y Bumblebee .

Se han enviado "cientos de miles de correos electrónicos por día" desde principios de noviembre de 2022, dijo la empresa de seguridad empresarial Proofpoint la semana pasada, y agregó: "la nueva actividad sugiere que Emotet está volviendo a su funcionalidad completa actuando como una red de entrega para las principales familias de malware".

Entre los principales países objetivo se encuentran EE. UU., Reino Unido, Japón, Alemania, Italia, Francia, España, México y Brasil.

La actividad relacionada con Emotet se observó por última vez en julio de 2022, aunque desde entonces se han informado infecciones esporádicas . A mediados de octubre, ESET reveló que Emotet podría estar preparándose para una nueva ola de ataques y señaló las actualizaciones de su módulo "systeminfo".

El malware, que se atribuye a un actor de amenazas conocido como Mummy Spider (también conocido como Gold Crestwood o TA542), protagonizó una especie de renacimiento a fines del año pasado después de que su infraestructura fuera desmantelada durante una operación coordinada de aplicación de la ley en enero de 2021.

Europol llamó a Emotet el "malware más peligroso del mundo" por su capacidad de actuar como "principal abridor de puertas para los sistemas informáticos" para implementar binarios de próxima etapa que facilitan el robo de datos y el ransomware. Comenzó en 2014 como un troyano bancario antes de convertirse en una botnet.


Se sabe que las cadenas de infección que involucran el malware emplean señuelos genéricos, así como la técnica de secuestro de hilos de correo electrónico para atraer a los destinatarios a abrir archivos adjuntos de Excel habilitados para macros.

“Tras el reciente anuncio de Microsoft de que comenzaría a deshabilitar las macros de forma predeterminada en los documentos de Office descargados de Internet, muchas familias de malware han comenzado a migrar de las macros de Office a otros mecanismos de entrega como archivos ISO y LNK”, dijo Cisco Talos a principios de este mes.


"Por lo tanto, es interesante notar que esta nueva campaña de Emotet está utilizando su antiguo método de distribución de documentos maliciosos de Microsoft Office (maldocs) a través de phishing basado en correo electrónico.

Un método alternativo insta a las posibles víctimas a copiar el archivo en una ubicación de plantilla de Microsoft Office, una ubicación confiable, y ejecutar el documento de señuelo desde allí en lugar de tener que habilitar macros explícitamente para activar la cadena de eliminación.

La actividad renovada también ha ido acompañada de cambios en el componente del cargador de Emotet, una reimplementación de las comunicaciones de C2 utilizando la API de Windows Timer Queue , la adición de nuevos comandos y actualizaciones del empaquetador para resistir la ingeniería inversa.

Una de las cargas útiles de seguimiento distribuidas a través de Emotet es una nueva variante del cargador IcedID, que recibe comandos para leer y enviar contenidos de archivos a un servidor remoto, además de ejecutar otras instrucciones de puerta trasera que le permiten extraer datos del navegador web.

El uso de IcedID es preocupante, ya que probablemente sea un precursor del ransomware, señalaron los investigadores. Otro malware lanzado a través de Emotet es Bumblebee , según la Unidad 42 de Palo Alto Networks.

"En general, estas modificaciones realizadas en el cliente indican que los desarrolladores están tratando de disuadir a los investigadores y reducir la cantidad de bots falsos o cautivos que existen dentro de la botnet", dijeron los investigadores Pim Trouerbach y Axel F.

"Emotet no ha demostrado una funcionalidad completa y una entrega de carga útil de seguimiento constante (eso no es Cobalt Strike) desde 2021, cuando se observó que distribuía The Trick y Qbot".

Fuente: You are not allowed to view links. Register or Login

8

El Departamento de Justicia de EE. UU. (DoJ) anunció el lunes la eliminación de siete nombres de dominio en relación con una estafa de criptomonedas de "matanza de cerdos". El esquema fraudulento, que operó de mayo a agosto de 2022, les reportó a los actores más de $10 millones de cinco víctimas, dijo el Departamento de Justicia.

La matanza de cerdos, también llamada Sha Zhu Pan, es un tipo de estafa en la que los estafadores atraen a inversores desprevenidos para que envíen sus criptoactivos. Los delincuentes encuentran víctimas potenciales en aplicaciones de citas, sitios de redes sociales y mensajes SMS.

Estas personas inician relaciones falsas en un intento de generar confianza, solo para engañarlos para que realicen una inversión en criptomonedas en una plataforma falsa.

"Una vez que el dinero se envía a la aplicación de inversión falsa, el estafador desaparece y se lleva todo el dinero, lo que a menudo resulta en pérdidas significativas para la víctima", dijo el Departamento de Justicia.

Los siete portales incautados imitaban a la Bolsa Monetaria Internacional de Singapur (SIMEX), señaló la agencia.

Pero una vez que los fondos se transfirieron a direcciones de billetera supuestamente proporcionadas por estos dominios, se dice que las monedas digitales se movieron de inmediato a través de una serie de billeteras privadas y servicios de intercambio para ocultar el rastro.

"El fraude de matanza de cerdos destaca los extremos a los que los actores llegarán para diseñar socialmente a un objetivo para que sea víctima de un crimen perpetuado por grandes ecosistemas de ciberdelincuencia", dijo Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas en Proofpoint, a The Hacker News.

"La manipulación emocional, el tono amistoso y la mera duración de la fase previa a la explotación permiten que se desarrollen sentimientos genuinos, y el actor explota esa emoción para obtener ganancias financieras, con pérdidas a veces de millones de dólares ".

Un aviso publicado por la Oficina Federal de Investigaciones (FBI) de EE. UU. el mes pasado señaló que cuando las víctimas intentaban retirar sus inversiones, se les pedía que pagaran impuestos o multas adicionales, lo que generaba más pérdidas.

La agencia de inteligencia, en abril, reveló que recibió más de 4300 quejas relacionadas con estafas de cripto-romance en 2021, lo que resultó en pérdidas por más de $429 millones.

Un informe reciente de Proofpoint también detalló algunas de las otras tácticas adoptadas por los estafadores, incluida la sugerencia de cambiar la conversación a Telegram o WhatsApp para un "chat más privado" y alentar a las víctimas a enviar fotos comprometedoras.

"Además de los señuelos basados ​​en criptomonedas, estas empresas criminales han utilizado oro, divisas, acciones y otros temas para explotar a sus víctimas", dijeron los investigadores Tim Kromphardt y Genina Po .

“Tales esquemas tienen éxito debido a la naturaleza íntima de las conversaciones que conducen a la 'masacre'. Causar vergüenza y vergüenza son objetivos clave para los actores de amenazas que aprovechan este tipo de ingeniería social para explotar a las víctimas, de forma similar al fraude romántico".

Fuente: You are not allowed to view links. Register or Login

9

Se dice que Meta Platforms despidió o sancionó a más de dos docenas de empleados y contratistas durante el último año por supuestamente comprometer y hacerse cargo de las cuentas de los usuarios, informó el jueves The Wall Street Journal.

Algunos de estos casos involucraron soborno, dijo la publicación, citando fuentes y documentos.

Entre los despedidos se encontraban contratistas que trabajaban como guardias de seguridad en las instalaciones de la empresa de redes sociales y se les dio acceso a una herramienta interna que permitía a los empleados ayudar a los "usuarios que conocen" a obtener acceso a las cuentas después de olvidar sus contraseñas o bloquear sus cuentas. .

El sistema, llamado "Oops" y abreviatura de Online Operations, está fuera del alcance de la gran mayoría de los usuarios de la plataforma, lo que lleva al surgimiento de una "industria casera de intermediarios" que cobran a los usuarios miles de dólares y se comunican con personas internas que estaban dispuesto a resetear las cuentas.

"Realmente tienes que tener a alguien adentro que realmente lo haga", dijo el propietario de una plataforma de creación de contenido.

Según el Journal, se estima que la alternativa al proceso automatizado de recuperación de cuentas de Meta , que se limita a los empleados y sus amigos y familiares, socios comerciales y figuras públicas, procesó alrededor de 50 270 informes en 2020, frente a los 22 000 de 2017.

Dado el acceso limitado a la herramienta, no sorprende que haya surgido una especie de mercado negro para los usuarios del servicio que han perdido el acceso a sus cuentas .

En un caso, un excontratista de seguridad supuestamente ayudó a terceros no identificados a hacerse cargo de forma fraudulenta de las cuentas de Instagram. El individuo afirmó que fue engañado para que presentara informes de Oops para restablecer las cuentas afectadas en cuestión.

Otro caso involucró a un contratista que fue despedido después de que una investigación interna descubrió que restableció varias cuentas de usuario en nombre de los piratas informáticos a cambio de recibir pagos de Bitcoin por sus servicios.

Meta le dijo al Journal que comprar o vender cuentas o pagar por un servicio de recuperación de cuentas es una violación de los términos de servicio de la red social.

Fuente: You are not allowed to view links. Register or Login

10

Atlassian ha lanzado actualizaciones para abordar las actualizaciones de gravedad crítica en su plataforma centralizada de gestión de identidades, Crowd Server and Data Center, y en Bitbucket Server and Data Center, la solución de la empresa para la gestión de repositorios Git.

Ambas vulnerabilidades de seguridad recibieron una calificación de gravedad de 9 sobre 10 (calculada por Atlassian) y afectan a varias versiones de los productos.

Configuración incorrecta en la multitud

Calificado como crítico, el problema en Crowd Server and Data Center se rastrea como CVE-2022-43782 y es una configuración incorrecta que permite a un atacante eludir las comprobaciones de contraseña al autenticarse como la aplicación Crowd y llamar a puntos finales de API privilegiados.

El problema se introdujo en la versión 3.0 del producto y no afecta las actualizaciones de versiones anteriores, como la 2.9.1.

Atlassian explica que la explotación es posible bajo ciertas condiciones. Uno de ellos es una configuración de dirección remota modificada para incluir una dirección IP permitida, una desviación de la configuración predeterminada (ninguna).

"Esto permitiría al atacante llamar a puntos finales privilegiados en la API REST de Crowd bajo la ruta de administración de usuarios", señala Atlassian en un aviso de seguridad .

El problema afecta a las versiones de Crowd 3.0.0 a 3.7.2, 4.0.0 a 4.4.3 y 5.0.0 a 5.0.2. Multitud 5.0.3 y 4.4.4 no se ven afectados.

Atlassian no corregirá la falla en la versión 3.0.0 del producto porque llegó al final de su vida útil y soporte.

El aviso de seguridad proporciona instrucciones detalladas para que los administradores verifiquen si una instancia se ha visto comprometida y los pasos a seguir en tales casos.

Detalles de la falla de Bitbucket

La falla que afecta a Bitbucket Server and Data Center se introdujo en la versión 7.0 del producto y se identifica como CVE-2022-43781. Es una vulnerabilidad de inyección de comandos que permite a un atacante con permiso controlar su nombre de usuario para obtener la ejecución del código en el sistema de destino bajo ciertas condiciones.

Todas las versiones de la 7.0 a la 7.21 se ven afectadas independientemente de su configuración, así como las versiones de la 8.0 a la 8.4 donde la función "mesh.enabled" está deshabilitada en "bitbucket.properties".

CVE-2022-43781 no afecta las instancias que ejecutan PostgreSQL y aquellas alojadas por Atlassian (a las que se accede a través de un dominio bitbucket.org).

Las versiones que solucionan el problema son:

7.6.19 o más reciente
7.17.12 o más reciente
7.21.6 o más reciente
8.0.5 o más reciente
8.1.5 o más reciente
8.2.4 o más reciente
8.3.3 o más reciente
8.4.2 o más reciente
8.5.0 o más reciente

Los usuarios que no puedan actualizar a las versiones fijas deben deshabilitar el "Registro público", lo que requeriría que el atacante se autentique con credenciales válidas, lo que reduce el riesgo de explotación.

El aviso de seguridad  señala que los usuarios de ADMIN y SYS_ADMIN aún pueden explotar la falla con esta configuración, por lo que debe tratarse como una medida de mitigación temporal.

Fuente: You are not allowed to view links. Register or Login

11

Microsoft ha lanzado actualizaciones opcionales fuera de banda (OOB) para solucionar un problema conocido que desencadena fallas de inicio de sesión de Kerberos y otros problemas de autenticación en los controladores de dominio de Windows empresariales después de instalar las actualizaciones acumulativas lanzadas durante el martes de parches de noviembre.

La compañía reconoció y  comenzó a investigar  el lunes cuando también dijo que el problema conocido podría afectar cualquier escenario de autenticación Kerberos dentro de los entornos empresariales afectados.

Si bien Microsoft también  comenzó a reforzar la seguridad  para Kerberos y Netlogon a partir del martes de parches de noviembre de 2022, dijo que estos problemas de autenticación no son un resultado esperado.

Problemas de autenticación en las versiones de Windows afectadas

"Después de instalar las actualizaciones lanzadas el 8 de noviembre de 2022 o más tarde en los servidores de Windows con la función de controlador de dominio, es posible que tenga problemas con la autenticación de Kerberos", explicó Microsoft.

"Cuando se encuentra este problema, es posible que reciba un evento de error de Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 en la sección Sistema del registro de eventos en su controlador de dominio con el siguiente texto".

La lista de escenarios de autenticación de Kerberos afectados incluye, entre otros, los siguientes:

- El inicio de sesión del usuario del dominio puede fallar. Esto también podría afectar  la  autenticación de los Servicios de federación de Active Directory (AD FS) .
- Las cuentas de servicio administradas de grupo  utilizadas para servicios como  Internet Information Services (IIS Web Server)  pueden fallar en la autenticación.
- Es posible que las conexiones de escritorio remoto que usan usuarios de dominio no se conecten.
- Es posible que no pueda acceder a carpetas compartidas en estaciones de trabajo y recursos compartidos de archivos en servidores.
- La impresión que requiere autenticación de usuario de dominio puede fallar.
- Corrección lanzada para las versiones de Windows afectadas
- Hoy, Microsoft ha lanzado actualizaciones de emergencia OOB que los administradores de Windows deben instalar en todos los controladores de dominio (DC) en los entornos afectados.

"No necesita instalar ninguna actualización ni realizar ningún cambio en otros servidores o dispositivos cliente en su entorno para resolver este problema", dice Microsoft .

"Si usó alguna solución o mitigación para este problema, ya no son necesarios y le recomendamos que los elimine".

Las actualizaciones OOB publicadas hoy solo están disponibles a través del  Catálogo de actualizaciones de Microsoft  y no se ofrecerán a través de Windows Update.

Redmond ha publicado actualizaciones acumulativas para la instalación en controladores de dominio (no se necesita ninguna acción en el lado del cliente):

- Servidor Windows 2022:  KB5021656
- Servidor Windows 2019:  KB5021655
- Servidor Windows 2016:  KB5021654

Microsoft también lanzó actualizaciones independientes que se pueden importar a Windows Server Update Services (WSUS) y Microsoft Endpoint Configuration Manager:

- Servidor de Windows 2012 R2:  KB5021653
- Servidor de Windows 2012:  KB5021652
- Servidor de Windows 2008 SP2:  KB5021657

La única plataforma afectada que aún espera una solución es Windows Server 2008 R2 SP1. Redmond dice que la próxima semana estará disponible una actualización dedicada.

Puede encontrar instrucciones detalladas de implementación de WSUS en  WSUS y en el Sitio del catálogo  y en las instrucciones del Administrador de configuración en la  página Importar actualizaciones desde el Catálogo de Microsoft Update.

"Si está utilizando solo actualizaciones de seguridad para estas versiones de Windows Server, solo necesita instalar estas actualizaciones independientes para el mes de noviembre de 2022", agregó Microsoft.

"Si está utilizando actualizaciones de paquetes acumulativos mensuales, deberá instalar las actualizaciones independientes enumeradas anteriormente para resolver este problema e instalar los paquetes acumulativos mensuales publicados el 8 de noviembre de 2022 para recibir las actualizaciones de calidad para noviembre de 2022".

Hace dos años, Redmond abordó  problemas similares de autenticación de Kerberos que  afectaban a los sistemas Windows  causados ​​por las actualizaciones de seguridad  lanzadas con el martes de parches de noviembre de 2020.

Fuente: You are not allowed to view links. Register or Login

12

Si has entrado en Twitter durante estos días, seguramente te has enterado de las catastróficas predicciones que apuntan al colapso de esta red. Recordemos por un segundo que la empresa ha perdido una gran cantidad de empelados, además de los que decidieron retirarse tras el polémico correo en el que avisó que tendrán que trabajar durante jornadas intensas o que se marcharan de la empresa.

Y es que ahora parece ser que Musk está buscando a cualquier programador de software que quede dentro de Twitter, pues aparentemente hay falta de persona calificado en este ramo. Así lo reporta Zoë Schiffer desde Twitter, oh, la ironía.


NUEVO: Correo electrónico de Elon al equipo de ingeniería: "Cualquiera que realmente pueda escribir software, por favor preséntese hoy en el piso 10 a las 2 pm de hoy. Antes de hacerlo, por favor, envíeme por correo electrónico con un resumen de lo que su código han trabajado en los últimos 6 meses.

Además, en el correo, solicita que se suban hasta 10 capturas de pantalla de sus líneas de código más desatacado. Todo parece apuntar a que el equipo de desarrollo de Twitter ha quedado diezmado, como muchos otros sectores de la empresa.

Una compañía desolada

Encima, Musk solicita que estén presentes de manera física en la reunión y solo los que "solo aquellos que no pueden llegar físicamente a la sede de Twitter están exentos". Sin embargo, invita a que los que puedan volar a San Francisco, lo hagan.


NUEVO: En un correo electrónico para ingenieros remotos de Twitter, Elon Musk dice que quiere hablar con la gente en video ("solo aquellos que no pueden llegar físicamente a la sede de Twitter están exentos") pero "si es posible, los animo a volar a SF para presente en persona". Estará en la oficina hasta medianoche.

Por otra parte, como lo reportó la BBC News, a los empleados también les llegó un correo informando que los edificios destinados a oficinas será cerrados temporalmente y serán abierto hasta el próximo lunes 21 de noviembre. Por lo que las oficinas de Twitter están, para efectos prácticos, desoladas.

Twitter parece estar viviendo momentos difíciles, pues no solo en las oficinas centrales fue que se efectuaron estos despidos, también en las cedes internacionales, pues a principios del mes se anunciaba un recorte de casi el 50% del personal. De momento se desconoce el destino de esta red social, pero desde ayer en la noche los presagios era malo y una tormenta parece estar por llegar.


En caso de suceder lo peor, al menos las risas no faltaron, como con los tuits que lanzaron las personas que registraron su Twitter Blue como empresas y personas importantes, causando confusión y diversión a partes iguales, spoilers: el falso Nintendo of America subió un Mario grosero enseñando el dedo corazón.

Fuente: You are not allowed to view links. Register or Login

13
Video Juegos / Ubisoft hace equipo con Riot Games
« on: November 17, 2022, 06:22:45 pm »

Ubisoft y Riot Games han anunciado esta tarde que unirán fuerzas para combatir los comportamientos tóxicos en las comunidades de sus plataformas. El primer paso para esto será la creación de una base de datos para poder entrenar algoritmos de Deep Learning y así crear una Inteligencia Artificial que combata la toxicidad en el gaming.

El proyecto será llamado Zero Harm In Comms, que se traduce como "Cero Ataques en las Comunicaciones". En palabras de Yves Jacquier, director ejecutivo de Ubisoft, se están tomando muy en serio su meta y piensan que estos problemas pueden resolverse de una manera más efectiva uniéndose como industria.

El comportamiento inapropiado de los jugadores es un problema que nos tomamos muy en serio, pero a la vez es muy difícil de resolver. En Ubisoft hemos estado trabajando en medidas concretas que ayuden a lograr experiencias seguras y disfrutables, pero creemos que seremos capaces de abordar este tema de forma más eficaz si nos unimos como industria.
A través de esta colaboración tecnológica con Riot Games, estamos explorando cómo prevenir la toxicidad dentro del juego como diseñadores de estos entornos con una conexión directa a nuestras comunidades.


Es bien sabido que este tipo de comentarios y acciones negativas inundan todo tipo de juegos, desde títulos de deportes hasta FPS, sin importar la comunidad a la que vayan dirigidos. El proyecto Zero Harms in Comms no es una solución definitiva, sino un primer paso hacia soluciones y regulaciones de estos problemas dentro del gaming.

Una alianza inesperada pero necesaria


Podemos leer en el boletín de prensa, que la colaboración llega tras el análisis de las distintas naturalezas de las empresas, como la gran cantidad de títulos de Ubisoft así como los juegos multijugador de Riot Games.

Con el proyecto de investigación ''Zero Harm in Comms'', Ubisoft y Riot Games estudian cómo sentar las bases tecnológicas para futuras colaboraciones en la industria y cómo crear un marco que garantice la ética y la privacidad de esta iniciativa. Gracias a los juegos altamente competitivos de Riot Games y a los diversos proyectos de Ubisoft, la base de datos resultante debería cubrir a todo tipo de jugadores y de comportamientos en el juego para poder entrenar mejor los sistemas de IA de Riot Games y Ubisoft.

Y es que las bases de datos son una parte fundamental para entrenar una IA, pues de lo contrario, no tienes nada con lo cual puedan aprender a identificar patrones. Los algoritmos de Inteligencia Artificial necesitan de información para su aprendizaje y en muchas ocasiones la recolección y limpieza de datos se lleva gran parte del tiempo y recursos del proyecto.

Si bien aún está en su etapa inicial, el proyecto de investigación ''Zero Harm in Comms'' es el primer paso de un proyecto más ambicioso que busca beneficiar a toda la comunidad de jugadores en el futuro. Como parte de la primera fase de este proyecto, Ubisoft y Riot se comprometieron a compartir los aprendizajes de la etapa inicial del experimento con toda la industria el próximo año, sin importar el resultado.

Por ello es que Zero Harm in Comms parece tan importante, porque supondrá un primer paso para crear una sólida base de datos y entrenamiento de IA que ayuden a crear algoritmos más eficaces en el futuro.

Fuente: You are not allowed to view links. Register or Login

14

Los correos electrónicos de phishing que distribuyen el malware QBot utilizan una falla de secuestro de DLL en el Panel de control de Windows 10 para infectar computadoras, probablemente como un intento de evadir la detección por parte del software de seguridad.

El secuestro de DLL es un método de ataque común que aprovecha cómo se cargan las bibliotecas de vínculos dinámicos (DLL) en Windows.

Cuando se inicia un ejecutable de Windows, buscará cualquier dependencia de DLL en la ruta de búsqueda de Windows. Sin embargo, si un actor de amenazas crea una DLL maliciosa con el mismo nombre que una de las DLL requeridas del programa y la almacena en la misma carpeta que el ejecutable, el programa cargaría esa DLL maliciosa e infectaría la computadora.

QBot, también conocido como Qakbot, es un malware de Windows que comenzó como un troyano bancario pero evolucionó hasta convertirse en un cuentagotas de malware con todas las funciones. Las pandillas de ransomware, incluidas  Black Basta ,  Egregor y  Prolock , también usan el malware para obtener acceso inicial a las redes corporativas.

En julio, el investigador de seguridad ProxyLife descubrió que los actores de amenazas estaban explotando una  vulnerabilidad de secuestro de DLL en la calculadora de Windows 7  para instalar el malware QBot.

Esta semana, ProxyLife le dijo a BleepingComputer que los atacantes han pasado a usar una falla de secuestro de DLL en el ejecutable del Panel de control de Windows 10, control.exe.


Abusar del panel de control de Windows

En una campaña de phishing vista por ProxyLife, los actores de la amenaza utilizan correos electrónicos de cadena de respuesta robados para distribuir un archivo adjunto HTML que descarga un archivo ZIP protegido por contraseña con un archivo ISO dentro.


Correo electrónico de phishing de QBot en una nueva campaña
Fuente: BleepingComputer

El archivo HTML, con un nombre similar a 'RNP_[número]_[número].html, muestra una imagen que pretende ser Google Drive y una contraseña para un archivo ZIP que se descarga automáticamente, como se muestra a continuación.


Archivo adjunto HTML en correos electrónicos no deseados de QBot
Fuente: BleepingComputer

Este archivo ZIP contiene una imagen de disco ISO que, al hacer doble clic, se abrirá automáticamente en una nueva letra de unidad en Windows 10 y versiones posteriores.

Este archivo ISO contiene un archivo de acceso directo de Windows (.LNK), un  ejecutable 'control.exe'  (Panel de control de Windows 10) y dos archivos DLL llamados  edputil.dll  (utilizado para el secuestro de DLL) y  msoffice32.dll  (malware QBot).


Contenido de la imagen ISO
Fuente: BleepingComputer

El acceso directo de Windows (.LNK) incluido en la ISO utiliza un icono que intenta que parezca una carpeta.

Sin embargo, cuando un usuario intenta abrir esta carpeta falsa, el acceso directo inicia el ejecutable del Panel de control de Windows 10, control.exe, que se almacena en el archivo ISO, como se muestra a continuación.


Acceso directo de Windows que desencadena la infección de QBot
Fuente: BleepingComputer

Cuando se inicia control.exe, automáticamente intentará cargar la DLL legítima edputil.dll, que se encuentra en la carpeta C:\Windows\System32. Sin embargo, no busca la DLL en carpetas específicas y cargará cualquier DLL con el mismo nombre si se coloca en la misma carpeta que el ejecutable control.exe.

Como los actores de la amenaza están agrupando una DLL maliciosa edputil.dll en la misma carpeta que control.exe, esa DLL maliciosa se cargará en su lugar.

Una vez cargada, la  DLL maliciosa edputil.dll infecta el dispositivo con el malware QBot ( msoffice32.dll ) usando el comando regsvr32.exe msoffice32.dll.

Al instalar QBot a través de un programa confiable como el Panel de control de Windows 10, es posible que el software de seguridad no marque el malware como malicioso, lo que le permite evadir la detección.

QBot ahora se ejecutará silenciosamente en segundo plano, robando correos electrónicos para usarlos en ataques de phishing y descargando cargas adicionales como  Brute Ratel  o  Cobalt Strike .

Brute Ratel y Cobalt Strike son kits de herramientas posteriores a la explotación que los actores de amenazas utilizan para obtener acceso remoto a las redes corporativas.

Este acceso remoto comúnmente conduce al robo de datos corporativos y ataques de ransomware.

Fuente: You are not allowed to view links. Register or Login

15

Un ransomware 'ARCrypter' previamente desconocido que comprometió a organizaciones clave en América Latina ahora está expandiendo sus ataques en todo el mundo.

Los actores de amenazas detrás de la nueva familia de ransomware  atacaron una agencia gubernamental en Chile en  agosto pasado, apuntando a los sistemas Linux y Windows y agregando la extensión ".crypt" en los archivos cifrados.

En ese entonces, el analista de amenazas chileno Germán Fernández le dijo a BleepingComputer que la cepa parecía completamente nueva, sin conexión con ninguna familia de ransomware conocida.

Los investigadores de BlackBerry han confirmado esto a través de un informe que identifica a la familia como ARCrypter y la vincula a un  segundo ataque  contra el Instituto Nacional de Vigilancia de Drogas y Alimentos de Colombia (Invima) en octubre.

BlackBerry también advierte que ARCrypter ahora está expandiendo sus operaciones fuera de América Latina y apuntando a varias organizaciones en todo el mundo, incluidas China y Canadá.

BleepingComputer confirmó esta expansión y también vio víctimas de ARCrypter en Alemania, EE. UU. y Francia.

Las demandas de rescate varían y llegan a ser tan bajas como $ 5,000 en algunos casos vistos por BleepingComputer, por lo que ARCrypter opera como un actor de ransomware de nivel medio.

Detalles de ARCrypter

BlackBerry dice que las primeras muestras de ARCrypter aparecieron a principios de agosto de 2022, unas semanas antes del ataque en Chile.

El vector de ataque sigue siendo desconocido, pero los analistas pudieron localizar dos URL de AnonFiles que se utilizan como recursos remotos para obtener un archivo "win.zip" que contiene "win.exe".

El ejecutable es un archivo cuentagotas que contiene los recursos BIN y HTML. HTML contiene los datos de la nota de rescate, mientras que BIN contiene datos cifrados que requieren una contraseña.


La nota de rescate, generada antes del cifrado (BleepingComputer)

Si se proporciona una contraseña, BIN creará un directorio aleatorio en la máquina comprometida para almacenar la carga útil de la segunda etapa, que se nombra con caracteres alfanuméricos aleatorios.

“Si bien no pudimos identificar la clave de descifrado correcta utilizada para descifrar el recurso BIN, creemos con un alto grado de certeza que la segunda carga útil es el ransomware ARCrypter”, dice BlackBerry en el informe.


La carga útil con nombre aleatorio cayó en una carpeta recién creada (BlackBerry)

La carga útil de ARCrypter luego crea persistencia agregando la siguiente clave de registro:

“HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SecurityUpdate”

A continuación, el malware elimina todas las instantáneas de volumen para evitar una fácil restauración de datos, modifica la configuración de la red para asegurar una conectividad estable y luego encripta todos los archivos excepto los tipos que se muestran a continuación.


Tipos de archivos excluidos del cifrado (BlackBerry)

Los archivos en ubicaciones críticas como las carpetas "Arranque" y "Windows" también se omiten para evitar que el sistema quede completamente inutilizable.

Aparte de la extensión '.crypt', los archivos encriptados mostrarán un mensaje 'TODOS SUS ARCHIVOS HAN SIDO ENCRIPTADOS' en el administrador de archivos, gracias a las modificaciones en las siguientes claves del Registro:



Archivos encriptados por ARCrypter  (BlackBerry)

Si bien los actores de amenazas afirman robar datos durante sus ataques, la operación de ransomware actualmente no tiene un sitio de fuga de datos que utilicen para publicar datos para víctimas no remuneradas.

En este momento, se sabe poco sobre los operadores de ARCrypter, su origen, idioma y vínculos potenciales con otras bandas de ransomware.

Fuente: You are not allowed to view links. Register or Login

16

Se han revelado múltiples vulnerabilidades de seguridad en los dispositivos F5 BIG-IP y BIG-IQ que, si se explotan con éxito, comprometen completamente los sistemas afectados.

La firma de seguridad cibernética Rapid7 dijo que se podría abusar de las fallas para acceder de forma remota a los dispositivos y vencer las restricciones de seguridad. Los problemas afectan las versiones 13.x, 14.x, 15.x, 16.x y 17.x de BIG-IP, y las versiones 7.x y 8.x de BIG-IQ Centralized Management.

Los dos problemas de alta gravedad, que se informaron a F5 el 18 de agosto de 2022, son los siguientes:

- CVE-2022-41622 (puntaje CVSS: 8.8): una vulnerabilidad de falsificación de solicitud entre sitios ( CSRF ) a través de iControl SOAP, lo que lleva a la ejecución remota de código no autenticado.

- CVE-2022-41800 (puntaje CVSS: 8.7): una vulnerabilidad REST de iControl que podría permitir que un usuario autenticado con una función de administrador eluda las restricciones del modo de dispositivo .

"Al explotar con éxito la peor de las vulnerabilidades (CVE-2022-41622), un atacante podría obtener acceso raíz persistente a la interfaz de administración del dispositivo (incluso si la interfaz de administración no está orientada a Internet)", dijo Ron Bowes, investigador de Rapid7 .

Sin embargo, vale la pena señalar que tal exploit requiere que un administrador con una sesión activa visite un sitio web hostil.

También se identificaron tres instancias diferentes de elusión de seguridad, que según F5 no se pueden explotar sin primero romper las barreras de seguridad existentes a través de un mecanismo previamente no documentado.

Si surgiera tal escenario, un adversario con acceso Advanced Shell ( bash ) al dispositivo podría utilizar estas debilidades como armas para ejecutar comandos arbitrarios del sistema, crear o eliminar archivos o deshabilitar servicios.

Si bien F5 no ha mencionado ninguna de las vulnerabilidades que se explotan en los ataques, se recomienda que los usuarios apliquen los parches necesarios a medida que estén disponibles para mitigar los riesgos potenciales.

Fuente: You are not allowed to view links. Register or Login

17

Un grupo motivado financieramente con sede en China está aprovechando la confianza asociada con marcas internacionales populares para orquestar una campaña de phishing a gran escala que data de 2019.

Se dice que el actor de amenazas, apodado Fangxiao por Cyjax, registró más de 42,000 dominios impostores , con una actividad inicial observada en 2017.

"Se dirige a negocios en múltiples verticales, incluidos el comercio minorista, la banca, los viajes y la energía", dijeron las investigadoras Emily Dennison y Alana Witten . "Los incentivos financieros o físicos prometidos se utilizan para engañar a las víctimas para que sigan difundiendo la campaña a través de WhatsApp".

Los usuarios que hacen clic en un enlace enviado a través de la aplicación de mensajería son dirigidos a un sitio controlado por el actor que, a su vez, los envía a un dominio de destino que se hace pasar por una marca conocida, desde donde las víctimas son nuevamente conducidas a sitios que distribuyen aplicaciones fraudulentas. y recompensas falsas.

Estos sitios invitan a los visitantes a completar una encuesta para reclamar premios en efectivo, a cambio de lo cual se les pide que reenvíen el mensaje a cinco grupos o 20 amigos. La redirección final, sin embargo, depende de la dirección IP de la víctima y la cadena User-Agent del navegador .

Más de 400 organizaciones, incluidas Emirates, Shopee, Unilever, Indomie, Coca-Cola, McDonald's y Knorr, están siendo imitadas como parte del esquema criminal, dijeron los investigadores.

Alternativamente, se ha observado que los ataques en los que se hace clic en anuncios móviles fraudulentos desde un dispositivo Android culminan en el despliegue de un troyano móvil llamado Triada , que recientemente se detectó propagándose a través de aplicaciones falsas de WhatsApp.


No es solo Triada, ya que otro destino de la campaña es la lista de Google Play Store de una aplicación llamada "App Booster Lite - RAM Booster" ( com.app.booster.lite.phonecleaner.batterysaver.cleanmaster ), que tiene más de 10 millones descargas

La aplicación, creada por un desarrollador con sede en Chequia conocido como LocoMind, se describe como un "Potente refuerzo de teléfono", "Limpiador de chatarra inteligente" y un "Ahorrador de batería efectivo".

Las revisiones de la aplicación han llamado al editor por mostrar demasiados anuncios, e incluso señalan que "Llegaron aquí [la página de Play Store] desde uno de esos anuncios 'su Android está dañado x%'".

"Nuestra aplicación no puede propagar virus", respondió LocoMind a la revisión el 31 de octubre de 2022. "Google Play verifica cada una de nuestras actualizaciones; habrían eliminado nuestra aplicación hace mucho tiempo por este motivo".

Si se realiza la misma acción desde un dispositivo con iOS, la víctima es redirigida a Amazon a través de un enlace de afiliado, lo que le otorga al actor una comisión por cada compra en la plataforma de comercio electrónico realizada durante las próximas 24 horas.

Las conexiones chinas del actor de amenazas se derivan de la presencia de texto en mandarín en un servicio web asociado con aaPanel , un panel de control de código abierto basado en Python para alojar múltiples sitios web.

Un análisis más detallado de los certificados TLS emitidos para los dominios de la encuesta en 2021 y 2022 revela que la mayor parte de los registros se superponen con la zona horaria UTC+08:00, que corresponde a la hora estándar de China de 9:00 a. m. a 11:00 p. m.

"Los operadores tienen experiencia en la ejecución de este tipo de campañas impostoras, están dispuestos a ser dinámicos para lograr sus objetivos y son técnica y logísticamente capaces de escalar para expandir su negocio", dijeron los investigadores.

"Las campañas de Fangxiao son métodos efectivos de generación de clientes potenciales que se han redirigido a varios dominios, desde malware hasta enlaces de referencia, anuncios y adware".

Fuente: You are not allowed to view links. Register or Login

18

El pasado 6 de noviembre, los seguidores de Sword Art Online conmemoraron la fecha de lanzamiento del VRMMORPG que da sentido a la historia del manganime. En él, la premisa arranca cuando los jugadores interesados en este título masivo de realidad virtual se dan cuenta que, una vez dentro de la propuesta, no pueden escapar hasta que completen los cien pisos del juego. Además, si mueren dentro de Aincrad, el mundo de Sword Art Online, también lo harán en la vida real.

Aunque suene macabro, muchos seguidores de la licencia nipona han buscado la forma de hacer realidad esta alocada premisa. Por ello, Palmer Luckey, fundador de Oculus VR y diseñador de Oculus Rift, se ha puesto manos a la obra para lograr lo inimaginable: unas gafas de realidad virtual capaces de acabar con tu vida si pierdes la partida. De hecho, Luckey ha querido ir más allá y ha ofrecido, además de detalles relacionados con la muerte del jugador, otras opciones que ha pensado para hacerlo más fiel a la premisa de Sword Art Online.


Será imposible destruir o retirarse el casco

Palmer ofreció varios detalles relacionados con esta macabra idea en su blog. En él detalla que su versión de NerveGear, el dispositivo de Sword Art Online que conecta a los jugadores con su avatar de Aincrad, lleva integrado una serie de explosivos que detonarán a través de un sensor que alcanza una frecuencia específica. Dicha frecuencia, tal y como sucede en el manganime, aparece cuando la vida del jugador llega a 0 y la partida se termina.

Además, Luckey añadió que está buscando la forma de hacer su dispositivo más real intentando evitar que los jugadores puedan quitárselo o, en su defecto, destruirlo. Pese a ello, hace hincapié en que se trata de un “trabajo de oficina”, motivo por el que este casco no contará con distribución oficial ni llegará a varios puntos de venta ya que se trata de un proyecto cerrado que nunca verá la luz.

¿Y si...sí tuvieras la oportunidad de usarlo...lo harías?


Fuente: You are not allowed to view links. Register or Login

19

El servicio de alojamiento de repositorios basado en la nube GitHub ha abordado una falla de seguridad de alta gravedad que podría haberse aprovechado para crear repositorios maliciosos y montar ataques a la cadena de suministro.

La técnica RepoJacking , divulgada por Checkmarx, implica eludir un mecanismo de protección llamado retiro del espacio de nombres del repositorio popular , que tiene como objetivo evitar que los desarrolladores extraigan repositorios inseguros con el mismo nombre.

El problema fue abordado por la subsidiaria propiedad de Microsoft el 19 de septiembre de 2022 luego de una divulgación responsable.

RepoJacking ocurre cuando un creador de un repositorio opta por cambiar el nombre de usuario, lo que podría permitir que un actor de amenazas reclame el nombre de usuario anterior y publique un repositorio falso con el mismo nombre en un intento de engañar a los usuarios para que los descarguen.


Si bien la contramedida de Microsoft "retira  [ s ] el espacio de nombres de cualquier proyecto de código abierto que tuvo más de 100 clones en la semana previa al cambio de nombre o la eliminación de la cuenta del propietario", Checkmarx descubrió que esto se puede eludir a través de la característica de " transferencia de repositorio ". .

La forma en que esto funciona es la siguiente:

- Un actor de amenazas crea un repositorio con el mismo nombre que el repositorio retirado (por ejemplo, "repo") propiedad de un usuario llamado "víctima" pero con un nombre de usuario diferente (por ejemplo, "ayudante").

- "ayudante" transfiere la propiedad de "repo" a una segunda cuenta con el nombre de usuario "atacante"

- "atacante" cambia el nombre de usuario de la cuenta a "víctima"

- El espacio de nombres "víctima/repo" ahora está bajo el control del adversario

En otras palabras, el ataque depende de la peculiaridad de que GitHub solo considera como retirado el espacio de nombres, es decir, la combinación de nombre de usuario y nombre de repositorio, lo que permite que un mal actor reutilice el nombre del repositorio junto con un nombre de usuario arbitrario.


Una explotación exitosa podría haber permitido efectivamente a los atacantes impulsar repositorios envenenados, poniendo los nombres de usuario renombrados en riesgo de ser víctimas de ataques a la cadena de suministro.

"Si no se atiende explícitamente, todos los nombres de usuario renombrados en GitHub eran vulnerables a esta falla, incluidos más de 10,000 paquetes en los administradores de paquetes Go, Swift y Packagist", dijo Aviad Gershon, investigador de Checkmarx.

Fuente: You are not allowed to view links. Register or Login

20

Se ha puesto a disposición un parche no oficial para una falla de seguridad explotada activamente en Microsoft Windows que hace posible que los archivos firmados con firmas mal formadas pasen sigilosamente las protecciones Mark-of-the-Web ( MotW ).

La solución, lanzada por 0patch, llega semanas después de que HP Wolf Security revelara una campaña de ransomware Magniber que se dirige a los usuarios con actualizaciones de seguridad falsas que emplean un archivo JavaScript para propagar el malware de cifrado de archivos.

Si bien los archivos descargados de Internet en Windows están etiquetados con un indicador MotW para evitar acciones no autorizadas, desde entonces se descubrió que las firmas corruptas de Authenticode se pueden usar para permitir la ejecución de ejecutables arbitrarios sin ninguna advertencia de SmartScreen .

Authenticode es una tecnología de firma de código de Microsoft que autentica la identidad del editor de un software en particular y verifica si el software fue manipulado después de que se firmó y publicó.

"El archivo [JavaScript] en realidad tiene el MotW, pero aún se ejecuta sin una advertencia cuando se abre", señaló Patrick Schläpfer, investigador de HP Wolf Security.


Quote
"Si el archivo tiene esta firma de Authenticode mal formada, se omitirá el cuadro de diálogo de advertencia de SmartScreen y/o apertura de archivo", explicó el investigador de seguridad Will Dormann .
Fuente: Twitter de Will Dormann

Ahora, según la cofundadora de 0patch, Mitja Kolsek, el error de día cero es el resultado de que SmartScreen devuelve una excepción al analizar la firma con formato incorrecto, lo que se interpreta incorrectamente como una decisión de ejecutar el programa en lugar de activar una advertencia.

Las correcciones para la falla también llegan menos de dos semanas después de que se enviaran parches no oficiales para otra falla de derivación de MotW de día cero que salió a la luz en julio y desde entonces ha sido atacada activamente, según el investigador de seguridad Kevin Beaumont .

La vulnerabilidad, descubierta por Dormann, se relaciona con la forma en que Windows no establece el identificador MotW en archivos extraídos de archivos .ZIP específicamente diseñados.

"Por lo tanto, los atacantes, comprensiblemente, prefieren que sus archivos maliciosos no estén marcados con MOTW; esta vulnerabilidad les permite crear un archivo ZIP de modo que los archivos maliciosos extraídos no estén marcados", dijo Kolsek.

Fuente: You are not allowed to view links. Register or Login

Pages: [1] 2 3 ... 110