This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Messages - Dragora

Pages: [1] 2 3 ... 112
1

Los estafadores se hacen pasar por investigadores de seguridad para vender exploits ProxyNotShell de prueba de concepto falsos para las vulnerabilidades de día cero de Microsoft Exchange recién descubiertas.

La semana pasada, la empresa de ciberseguridad vietnamita GTSC reveló que algunos de sus clientes habían sido atacados mediante dos nuevas vulnerabilidades de día cero en Microsoft Exchange .

Trabajando con Zero Day Initiative de Trend Micro, los investigadores revelaron las vulnerabilidades de forma privada a Microsoft, quien confirmó que los errores estaban siendo explotados en ataques y que estaban trabajando en un cronograma acelerado para lanzar actualizaciones de seguridad.

"Microsoft observó estos ataques en menos de 10 organizaciones a nivel mundial. MSTIC evalúa con confianza media que es probable que el único grupo de actividad sea una organización patrocinada por el estado", compartió Microsoft en un análisis de los ataques .

Los investigadores de seguridad mantienen en privado los detalles técnicos de las vulnerabilidades, y parece que solo una pequeña cantidad de actores de amenazas las están explotando.

Debido a esto, otros investigadores y actores de amenazas están a la espera de la primera divulgación pública de las vulnerabilidades para usar en sus propias actividades, ya sea defendiendo una red o pirateando una.

Estafadores que venden exploits falsos

Para aprovechar esta pausa antes de la tormenta, un estafador ha comenzado a crear repositorios de GitHub donde intenta vender exploits de prueba de concepto falsos para las vulnerabilidades de Exchange CVE-2022-41040 y CVE-2022-41082.

John Hammond de Huntress Lab ha estado siguiendo a estos estafadores y ha encontrado cinco cuentas ahora eliminadas que intentan vender las hazañas falsas. Estas cuentas estaban bajo los nombres 'jml4da', 'TimWallbey', 'Liu Zhao Khin (0daylabin)', 'R007er' y 'spher0x'.

Otra cuenta fraudulenta encontrada por Paulo Pacheco se hizo pasar por Kevin Beaumont (también conocido como GossTheDog ), un conocido investigador/profesional de seguridad que ha estado documentando las nuevas vulnerabilidades de Exchange y las mitigaciones disponibles.


Los repositorios en sí mismos no contienen nada de importancia, pero el README.md describe lo que se sabe actualmente sobre las nuevas vulnerabilidades, seguido de un discurso sobre cómo están vendiendo una copia de un exploit PoC para los días cero.

"Esto significa que puede pasar desapercibido para el usuario y potencialmente también para el equipo de seguridad. Una herramienta tan poderosa no debería ser completamente pública, estrictamente solo hay 1 copia disponible para que un investigador REAL pueda usarla: You are not allowed to view links. Register or Login. com/pay/xxx", dice el texto en el repositorio de estafas.


Los archivos README contienen un enlace a una página de SatoshiDisk donde el estafador intenta vender el exploit falso por 0.01825265 Bitcoin, con un valor aproximado de $420.00.


Página de SatoshiDisk para estafa
Fuente: BleepingComputer

Estas vulnerabilidades valen mucho más de $ 400, y Zerodium ofrece al menos $ 250,000 para la ejecución remota de código de Microsoft Exchange cero días.

No hace falta decir que esto es solo una estafa, y enviar cualquier bitcoin probablemente no dará como resultado que recibas nada.

Además, con toda la información ya disponible, es probable que descubrir un exploit para los errores no sea demasiado difícil, especialmente para los actores de amenazas más avanzados , como los piratas informáticos patrocinados por el estado que tendrían un incentivo para violar las organizaciones de interés.

Fuente: You are not allowed to view links. Register or Login

2

Un ex empleado de la Agencia de Seguridad Nacional de EE. UU. (NSA) fue arrestado por cargos de intentar vender información clasificada a un espía extranjero, que en realidad era un agente encubierto que trabajaba para la Oficina Federal de Investigaciones (FBI).

Jareh Sebastian Dalke, de 30 años, estuvo empleado en la NSA durante menos de un mes desde el 6 de junio de 2022 hasta el 1 de julio de 2022, y se desempeñó como diseñador de seguridad de sistemas de información como parte de una asignación temporal en Washington DC

Según una declaración jurada presentada por el FBI, Dalke también fue miembro del Ejército de los EE. UU. desde aproximadamente 2015 hasta 2018 y tenía una autorización de seguridad secreta, que recibió en 2016. El acusado también tuvo una autorización de seguridad de alto secreto durante su mandato en el NSA.

“Entre agosto y septiembre de 2022, Dalke usó una cuenta de correo electrónico cifrada para transmitir extractos de tres documentos clasificados que había obtenido durante su empleo a una persona que Dalke creía que trabajaba para un gobierno extranjero”, dijo el Departamento de Justicia (DoJ) en un comunicado de prensa . liberar.

También se alega que Dalke arregló la transferencia de información adicional de la Defensa Nacional (NDI) en sus manos al agente encubierto del FBI en un lugar no revelado en el estado estadounidense de Colorado. Posteriormente fue arrestado el 28 de septiembre por las fuerzas del orden al llegar al lugar acordado.

Las conversaciones con la persona que Dalke asumió que estaba asociada con el gobierno extranjero comenzaron el 29 de julio de 2022. En ellas, afirmó haber robado datos confidenciales relacionados con la orientación extranjera de sistemas estadounidenses e información sobre operaciones cibernéticas estadounidenses.

El primero de los extractos de documentos compartidos como prueba se clasificó en el nivel Secreto, mientras que los otros dos se clasificaron en el nivel Top Secret, y Dalke exigió un pago en criptomoneda a cambio de pasar la información.

Algunos de los fragmentos ofrecidos se relacionan con los planes de la NSA para actualizar un programa criptográfico no especificado, así como evaluaciones de amenazas relacionadas con las capacidades de defensa sensibles de EE. UU. y las capacidades ofensivas del gobierno extranjero.

“El 26 de agosto de 2022 o alrededor de esa fecha, Dalke solicitó 85.000 dólares a cambio de información adicional en su poder”, dijo el Departamento de Justicia, afirmando que “Dalke acordó transmitir información adicional mediante una conexión segura establecida por el FBI en un lugar público en Denver. ", lo que finalmente llevó a su captura.

El Departamento de Justicia no dice nada sobre el nombre del gobierno extranjero, pero hay indicios de que podría ser Rusia, dado que Dalke afirmó haber intentado establecer contacto a través de un "envío al sitio SVR TOR".

Vale la pena señalar que SVR, el Servicio de Inteligencia Exterior de Rusia, estableció una plataforma de denuncia de irregularidades similar a SecureDrop en la web oscura en abril de 2021, según informó The Record, para compartir información de forma anónima sobre "amenazas urgentes a la seguridad de la Federación Rusa". "

Además de eso, las comunicaciones por correo electrónico con el agente también muestran que Dalke estaba motivado por el hecho de que su "herencia se vincula con su país" y que había "cuestionado nuestro papel en el daño al mundo en el pasado".

El exempleado de la NSA ha sido acusado de tres violaciones de la Ley de Espionaje, una acusación que, si se demuestra su culpabilidad, conlleva una posible sentencia de muerte o cualquier período de años hasta cadena perpetua.

El arresto de Dalke se produce días después de que el gobierno ruso otorgara la ciudadanía rusa al excontratista de inteligencia estadounidense Edward Snowden, quien enfrenta cargos de espionaje por revelar numerosos programas de vigilancia dirigidos por miembros de la comunidad UKUSA .

En un desarrollo relacionado, los investigadores del Citizen Lab de la Universidad de Toronto revelaron fallas de seguridad "fatales" en los sitios web que la Agencia Central de Inteligencia (CIA) de EE. decenas de activos en China e Irán.

El método de comunicación ahora desaparecido aprovechó cientos de sitios web aparentemente legítimos, incluido un portal de noticias de fútbol llamado Irangoals[.]com, en el que ingresar una contraseña en el campo de búsqueda hizo que apareciera una interfaz de chat oculta, informó Reuters .

Citizen Lab dijo que pudo mapear la red de 885 sitios, que estuvieron activos entre 2004 y 2013, simplemente usando iraniangoals[.]com junto con material disponible públicamente de Wayback Machine de Internet Archive, una tarea que podría haber sido logrado por un "detective aficionado motivado".

Fuente: You are not allowed to view links. Register or Login

3
Noticias Informáticas / YouTube quiere darte motivos para pagar Premium
« on: October 03, 2022, 08:07:21 pm »

A mediados del mes pasado nos enteramos que YouTube había comenzado a mostrar hasta diez anuncios por vídeo a algunos usuarios. ¿La alternativa para evitar esto? Suscribirte a YouTube Premium. Próximamente, sin embargo, también podrías tener que pagar para disfrutar de los contenidos en su máxima calidad.

Como recoge MacRumors, algunos usuarios de Reddit y Twitter (1, 2, 3) han notado que la plataforma de vídeos de Google les ha pedido que se suscriban a YouTube Premium para habilitar la reproducción en 4K (2160p), una característica que desde su introducción ha estado disponible para todos sin ningún tipo de limitación.

¿Una forma de atraer más usuarios a YouTube Premium?

De momento no queda claro si se trata de una prueba que la compañía está haciendo con unos pocos usuarios o de un despliegue en algunos países. En cualquier caso, un movimiento de este tipo podría responder a una estrategia de la compañía para aumentar su base de usuarios de pago, que está por detrás de la competencia.


YouTube alcanzó a tener 50 millones de usuarios de pago en el segundo trimestre de este año. Esta cantidad puede parecer enorme, pero si la comparamos con algunos de sus competidores en el mismo período descubrimos que la diferencia entre unos y otros es mayor. Veamos.

Netflix, que está viviendo uno los peores momentos de su historia, contaba con 220,7 millones de "hogares que pagaban", aunque estimaba que más de 100 millones de ellos utilizan contraseñas compartidas. Spotify, que ha experimentado una desaceleración de suscriptores en el último tiempo, cerró el segundo trimestre de este año con 188 millones de usuarios de pago.

En la actualidad, YouTube ofrece dos tipos de suscripciones. Por un lado, tenemos a YouTube Premium Lite, que por 6,99 euros al mes permite eliminar los anuncios. Por otro lado, tenemos a YouTube Premium, que por 11,99 euros al mes ofrece las ventajas del plan Lite más descargas en el dispositivo, reproducción en segundo plano y Music Premium.

Añadiendo la reproducción en 4K a las ventajas existentes en sus suscripciones, YouTube podría hacer que más usuarios opten por pagar por su servicio. No obstante, cabe señalar, no se ha emitido comunicado alguno al respecto. Por nuestra parte hemos escrito a YouTube y actualizaremos este artículo si recibimos una respuesta.

Imágenes | Unsplash
Fuente: You are not allowed to view links. Register or Login

4

Hubo acceso a todos los datos y fuentes de información de Animal Político, luego de la infección de Pegasus, aseguró su director Daniel Moreno. En conferencia de prensa con Red por la Defensa de los Derechos Digitales, SocialTic, Amnistía Internacional y Artículo 19, las personas que han sido encontradas como espiadas y con equipos infectados por el malware Pegasus, dieron sus testimonios y exigieron respuesta de por qué el software sigue siendo utilizado.

Moreno dijo que ahora es necesario que el presidente, Andrés Manuel López Obrador, responda sobre cuántas infecciones hubo, bajo qué criterio se seleccionó a quienes fueron espiados y por qué se les espió. Destacó que ninguna de las tres personas en las que The Citizen Lab corroboró casos de infección de Pegasus, tienen relación alguna con actividades criminales.

Las personas son el periodista Ricardo Raphael, el defensor de derechos humanos Raymundo Ramos y un periodista sin identificar de Animal Político.

Las organizaciones que están detrás de la identificación de las nuevas infecciones dijeron que gobierno de México debe iniciar una nueva investigación sobre los casos, solicitaron que sea frenada la discusión en el Senado sobre la extensión de tiempo en que el ejército esté en las calles, y llamaron a que periodistas sospechen ante indicios por posibles infecciones por Pegasus.

Oficialmente, México no utiliza Pegasus. El propio presidente del país, López Obrador, dijo desde 2019 que el gobierno mexicano no utiliza malware para espiar a personas. "O el presidente mintió, o el ejército mexicano toma decisiones al margen de la decisión gubernamental", dijo en la conferencia de prensa Edith Olivares, presidenta de Amnistía Internacional.

La relación con el hackeo a la SEDENA

Además del análisis hecho por The Citizen Lab, Luis Fernando García, director de Red por la Defensa de los Derechos Digitales, explicó que una de las evidencias de que SEDENA ha utilizado Pegasus, está en el reciente hackeo de grupo Guacamaya a la Secretaría de Defensa Nacional.

En esos documentos, las organizaciones encontraron pruebas de la contratación de SEDENA de un servicio de "monitoreo remoto de información" a Comercializadora ANTSUA, representante de NSO Group, creador del software Pegasus.

Históricamente NSO Group ha asumido otros nombres o asociado con filiales comerciales para vender el software de Pegasus o alguna derivante en otros países. En Estados Unidos hizo lo propio bajo el nombre de 'Phantom', según The New York Times.
García explicó que aunque de momento solo se han identificado vulneraciones a tres personas, lo más probable es que haya muchos más casos en México, cuyas infecciones sucedieron de 2019 a la fecha.

Fuente: You are not allowed to view links. Register or Login

5
Noticias Informáticas / Abuso del controlador Dell para ataques BYOVD
« on: October 01, 2022, 08:03:04 pm »

Se vio al notorio grupo de piratas informáticos de Corea del Norte 'Lazarus' instalando un rootkit de Windows que abusa de un controlador de hardware de Dell en un ataque de Traiga su propio controlador vulnerable.

La campaña de spear-phishing se desarrolló en el otoño de 2021 y los objetivos confirmados incluyen un experto aeroespacial en los Países Bajos y un periodista político en Bélgica.

Según ESET, que publicó hoy un informe sobre la campaña, el objetivo principal era el espionaje y el robo de datos.

Abuso del controlador Dell para ataques BYOVD

Los objetivos de esta campaña en la UE recibieron ofertas de trabajo falsas por correo electrónico, esta vez para Amazon,  un  truco de ingeniería social  típico  y  común empleado por los piratas informáticos  en 2022.

Al abrir estos documentos, se descarga una plantilla remota desde una dirección codificada, seguida de infecciones que involucran cargadores de malware, droppers, puertas traseras personalizadas y más.

ESET informa que entre las herramientas implementadas en esta campaña, la más interesante es un nuevo rootkit FudModule que abusa de una técnica BYOVD (Bring Your Own Vulnerable Driver) para explotar una vulnerabilidad en un controlador de hardware de Dell por primera vez.

"La herramienta más notable entregada por los atacantes fue un módulo de modo de usuario que obtuvo la capacidad de leer y escribir en la memoria del kernel debido a la vulnerabilidad CVE-2021-21551 en un controlador Dell legítimo", explica ESET en un  nuevo informe  sobre el ataque . .

"Este es el primer abuso registrado de esta vulnerabilidad en la naturaleza".

Luego, los atacantes utilizaron su acceso de escritura a la memoria del kernel para deshabilitar siete mecanismos que ofrece el sistema operativo Windows para monitorear sus acciones, como el registro, el sistema de archivos, la creación de procesos, el seguimiento de eventos, etc., básicamente cegando las soluciones de seguridad de una manera muy genérica y robusta. "

Un ataque Bring Your Own Vulnerable Driver (BYOVD) es cuando los actores de amenazas cargan controladores legítimos y firmados en Windows que también contienen vulnerabilidades conocidas. Como los controladores del núcleo están firmados, Windows permitirá que el controlador se instale en el sistema operativo.

Sin embargo, los actores de amenazas ahora pueden explotar las vulnerabilidades del controlador para ejecutar comandos con privilegios a nivel de kernel.

En este ataque, Lazarus estaba explotando la vulnerabilidad CVE-2021-21551 en un  controlador de hardware de Dell  ("dbutil_2_3.sys"), que corresponde a un  conjunto de cinco fallas  que permanecieron explotables durante 12 años antes de que el proveedor de la computadora finalmente lanzara actualizaciones de seguridad para eso.

Controlador dbutil_2_3.sys firmado por Dell utilizado en el ataque
Fuente: BleepingComputer

En diciembre de 2021, los investigadores de Rapid 7  advirtieron que este controlador en particular  es un excelente candidato para los ataques BYOVD debido a las soluciones inadecuadas de Dell, lo que permite la ejecución del código del kernel incluso en versiones firmadas recientes.

Parece que Lazarus ya estaba al tanto de este potencial de abuso y explotó el controlador de Dell mucho antes de que los analistas de seguridad emitieran sus advertencias públicas.

"Luego, los atacantes usaron su acceso de escritura a la memoria del kernel para deshabilitar siete mecanismos que ofrece el sistema operativo Windows para monitorear sus acciones, como el registro, el sistema de archivos, la creación de procesos, el seguimiento de eventos, etc., básicamente cegando las soluciones de seguridad de una manera muy genérica y robusta. " continuó el informe de ESET.

Para aquellos interesados ​​en el aspecto BYOVD del ataque Lazarus, pueden profundizar en los detalles en este  documento técnico de 15 páginas  que ESET publicó por separado.

BLINDINGCAN y otras herramientas

ESET agregó que el grupo implementó su puerta trasera personalizada HTTP(S) 'BLINDINGCAN', descubierta por primera vez por la inteligencia de EE  . UU . en agosto de 2020  y atribuida a Lazarus por Kaspersky  en octubre de 2021 .

El troyano de acceso remoto (RAT) 'BLINDINGCAN' muestreado por ESET parece ejecutarse con un respaldo significativo de un tablero del lado del servidor no documentado que realiza la validación de parámetros.

La puerta trasera admite un amplio conjunto de 25 comandos, que cubren acciones de archivos, ejecución de comandos, configuración de comunicación C2, captura de pantalla, creación y finalización de procesos y exfiltración de información del sistema.

Otras herramientas implementadas en la campaña presentada son FudModule Rootkit, un cargador HTTP(S) utilizado para la filtración segura de datos, y varias aplicaciones de código abierto troyanas como wolfSSL y FingerText.

Troyanizar herramientas de código abierto es algo que Lazarus continúa haciendo, ya que  un informe de Microsoft de ayer  menciona que esta técnica se usó con PuTTY, KiTTY, TightVNC, Sumatra PDF Reader y el instalador de software muPDF/Subliminal Recording.

Fuente: You are not allowed to view links. Register or Login

6

Microsoft ahora está bloqueando la actualización de Windows 11 22H2 debido a problemas de compatibilidad que afectan a los dispositivos Windows con impresoras que utilizan el controlador de clase IPP de Microsoft o el controlador de clase de impresión universal.

En los sistemas afectados, es posible que algunas impresoras instaladas solo permitan a los clientes usar la configuración predeterminada con funciones como color, impresión a doble cara o resoluciones más altas que no están disponibles debido a problemas de conectividad.

"Windows necesita conectividad con la impresora para identificar todas las características de la impresora. Sin conectividad, la impresora está configurada con la configuración predeterminada y, en algunos escenarios, es posible que no se actualice una vez que se restablezca la conectividad con la impresora", explicó Microsoft.

"Es posible que se vea afectado por este problema si su impresora no puede usar funciones específicas de la impresora, como color, impresión a dos caras/dúplex, configuración de tamaño o tipo de papel, o resoluciones superiores a 300x300 ppp".

Redmond agregó una retención de compatibilidad (ID de protección 41332279) que solo se aplica a los sistemas Windows 11 22H2 con impresoras que usan controladores Universal Print Class o Microsoft IPP Class.

Microsoft aconseja a los clientes que no instalen manualmente la actualización de Windows 11 2022 en los sistemas afectados mediante la herramienta de creación de medios o el botón "Actualizar ahora" hasta que se resuelva este problema conocido y se elimine la protección.

Quote
"Estamos trabajando en una resolución y proporcionaremos una actualización en un próximo lanzamiento",  agregó Redmond

"Estamos trabajando para apuntar solo a dispositivos Windows con controladores de impresora que incorrectamente solo permiten configuraciones predeterminadas y se actualizarán cuando haya más información disponible".

Solución para los sistemas afectados

Microsoft agregó que los clientes de Windows 11 podrían solucionar este problema para las impresoras que solo permiten la configuración predeterminada eliminando y reinstalando las impresoras afectadas.

Reinstalar la impresora obligará a Windows a descargar y reinstalar los controladores, lo que debería mitigar los problemas, según Microsoft.

"Si Windows no encuentra automáticamente un nuevo controlador después de agregar la impresora, busque uno en el sitio web del fabricante del dispositivo y siga sus instrucciones de instalación", explica Redmond en un  documento de soporte .

Los clientes afectados también pueden mitigar la protección para actualizar sus sistemas a Windows 11 22H2 eliminando las impresoras que usan los controladores Microsoft IPP Class o Universal Print Class instalados en sus dispositivos.

Microsoft agregó que podrían pasar hasta 48 horas antes de que se ofrezca la actualización de Windows 11 2022 SI su dispositivo no se ve afectado por otras retenciones de compatibilidad.

Reiniciar el sistema afectado y  buscar actualizaciones a  través de Windows Update podría ayudar a obtener la actualización más rápido.

Esta semana, Microsoft  agregó otra retención de compatibilidad que  bloquea la actualización de Windows 11 22H2 para que no se ofrezca en algunos sistemas con controladores de audio Intel Smart Sound Technology (SST) debido a un problema conocido que desencadena pantallas azules de la muerte (BSOD).

Fuente: You are not allowed to view links. Register or Login

7

Finalmente después de más de un año de haberlo anunciado y de conocer (en forma de disfraz) a Optimus, el robot humanoide de Tesla, Elon Musk al fin ha mostrado el prototipo, durante el Día de la IA.

El diseño no es similar al visto en todas las imágenes conceptuales, y Musk junto con su equipo han comentado que esta es la primera vez que el robot no está utilizando sus sistemas de seguridad.

Además, se han mostrado algunos videos adicionales sobre lo que el robot ya es capaz de hacer, como levantar cosas y moverse entre oficinas.

El equipo a cargo de Optimus ha señalado que el robot tiene una gran diferencia con el concepto original, dado que se necesitaba una plataforma realista sobre la que se pudiera desarrollar.


El concepto del robot (izquierda), el desarrollo actual (centro), el modelo a desarrollar (derecha)

Para esto, se desarrolló el modelo que da pie a este prototipo, un robot con dimensiones y tamaño mucho más realista, con la intención de llegar a una nueva generación, que sería la refinación de la plataforma actual. Tesla también ha detallado que este cambio de diseño en el robot implica modificaciones tanto en su peso, potencia y nivel de movimiento.

Por ejemplo, ahora se tiene un peso de 73 kilos, contra los 56 del concepto original. Además, tendrá en total más de 200 grados de movimiento en todo el cuerpo y 27 de estos se encontrarán ubicados en las manos.


En los videos mostrados por Tesla, se puede ver cómo en situaciones controladas (con un arnés por ejemplo), Optimus es capaz de cargar objetos y completar algunas tareas básicas, como regar plantas y levantar componentes de vehículos de la fábrica de la compañía.

También se anunció que este reloj está potenciado por el mismo sistema Autopilot que se encuentra en los vehículos de Tesla para poder moverse por su entorno y reconocer los objetos.

En la parte de la mano el robot ha sido diseñado con una parecida a la de los humanos, con la intención de ser ergonómica, y de poder manipular objetos con relativa facilidad, pudiendo cargar hasta paquetes de nueve kilos en cada una.

Esta nueva versión de Optimus cuenta con una batería de 2.3 kWh, un chip de Tesla, e integra conectividad Wi-Fi, así como LTE. En la presentación también se mostró como por ejemplo, la rodilla del robot, está inspirada directamente en una rodilla humana, llevando así varios actuadores y articulaciones.


Las especificaciones técnicas de la versión de desarrollo de Optimus

Por lo pronto, Elon Musk ha comentado que está planeado que el robot se fabrique en gran volumen a partir del próximo año, y se espera que tenga un costo final de menos de 20,000 dólares para su compra.

Musk en múltiples ocasiones ha comentado que la finalidad de Optimus será utilizarlos para tareas domésticas en los hogares, pero también para el cuidado de adultos mayores, así como realizar tareas repetitivas, aburridas y peligrosas para los humanos.

Fuente: You are not allowed to view links. Register or Login

8

Reportado primero por Latinus y luego confirmado por el presidente de la república, Andrés Manuel López Obrador, la SEDENA fue objetivo de un ataque cibernético y le fueron robados 6 TB de documentos. El responsable es grupo hacking Guacamaya, quien hizo lo propio con milicias de países latinoamericanos como Chile y Colombia.

La operación ha sido monitoreada por especialistas en ciberseguridad desde el pasado 19 de septiembre. Fue entonces cuando el investigador de la empresa de ciberseguridad Cronup, Germán Fernández, tuiteó que el grupo aprovechó la vulnerabilidad ProxyShell (notificada desde agosto del 2021 y que permite ejecutar remotamente código en el servidor) para acceder a servidores Microsoft Exchange de las organizaciones.

Los parches correspondientes fueron liberados en abril y mayo del 2021, según retoma el CEO de Seekurity, Hiram Camarillo, lo que indica que la plataforma de la SEDENA no fue actualizada adecuadamente para mejorar la protección de los servidores.

Quote
"Es cierto, sí hubo un ataque cibernético, así le llaman al robo de información y mediante estos mecanismos modernos extraen archivos. Es gente muy especializada, no sé si en México haya especialistas en este ramo de la cibernética"
Presidente Andrés Manuel López Obrador

Apenas el comienzo

Grupo Guacamaya también vulneró con el mismo mecanismo a la Policía Nacional Civil de El Salvador, al Comando General de las Fuerzas Militares de Colombia, a la Fuerza Armada de El Salvador y al Ejército de Perú. La cantidad de datos robados varía entre 35 y 275 GB según la organización, salvo para la Policía Nacional Civil de El Salvador, cuyo robo ascendió a 4 TB,  y a la SEDENA, cuyo robo fue de 6 TB.

Grupo Guacamaya se reconoce a sí mismo como un grupo de hacktivismo.

Una cuenta auto identificada como la correspondiente a Grupo Guacamaya, ha tuiteado que el objetivo de las filtraciones es que los latinoamericanos "sepan la verdad acerca de lo que está pasando en cada país", y agradece a Latinus y a Carlos Loret por difundir información de la filtración, desde detalles sobre una hospitalización del presidente, hasta información sobre operativos de seguridad, como aquel en el que se capturó y liberó a Ovidio Guzmán.


Con más información filtrada en camino, el especialista Hiram Camarillo, dice a Xataka México que de poco sirve la cantidad de normas oficiales e iniciativas de ciberseguridad presentadas en Congreso. "Creo que han habido muchas iniciativas, muchas propuestas, mucha documentación que habla de cómo proteger a las instituciones gubernamentales, pero de nada sirve si del papel no pasa a la implementación", sentencia.

Fuente: You are not allowed to view links. Register or Login

9

La compañía de tecnología portátil Fitbit ha anunciado una nueva cláusula que requiere que los usuarios cambien a una cuenta de Google "en algún momento" en 2023.

"En 2023, planeamos lanzar cuentas de Google en Fitbit, lo que permitirá el uso de Fitbit con una cuenta de Google", dijo el fabricante de dispositivos de fitness propiedad de Google .

El cambio no estará disponible para todos los usuarios en 2023. Más bien, se espera que la compatibilidad con las cuentas de Fitbit continúe hasta al menos principios de 2025, después de lo cual será obligatoria una cuenta de Google para usar los dispositivos.

La integración más profunda también significa que una cuenta de Google será obligatoria para registrarse en Fitbit y activar nuevas funciones, incluidas aquellas que incorporan productos y servicios de Google, como el Asistente de Google.

También se necesita como parte de la transición el consentimiento de parte de los usuarios para transferir sus datos personales de Fitbit a Google. El gigante de Internet enfatizó que la información personal de los usuarios no se utilizará para publicar anuncios.

El objetivo, dijo Fitbit, es incluir un "inicio de sesión único para Fitbit y otros servicios de Google, seguridad de cuenta líder en la industria, controles de privacidad centralizados para los datos de usuario de Fitbit y más funciones de Google en Fitbit".

El desarrollo se produce más de tres años después de que Google anunciara cambios similares en mayo de 2019 después de la adquisición de la empresa de hogares inteligentes Nest.

En enero de 2021, cuando Google completó su adquisición de Fitbit, la compañía dijo que "el acuerdo siempre ha sido sobre dispositivos, no datos" y que "protegerá la privacidad de los usuarios de Fitbit".

Fuente: You are not allowed to view links. Register or Login

10

Los investigadores de seguridad han descubierto 75 aplicaciones en Google Play y otras diez en la App Store de Apple involucradas en fraude publicitario. Colectivamente, suman 13 millones de instalaciones.

Además de inundar a los usuarios móviles con anuncios, tanto visibles como ocultos, las aplicaciones fraudulentas también generaron ingresos al hacerse pasar por aplicaciones e impresiones legítimas.

Aunque este tipo de aplicaciones no se ven como una amenaza grave, sus operadores pueden usarlas para actividades más peligrosas .   

Los investigadores del equipo Satori Threat Intelligence de HUMAN identificaron una colección de aplicaciones móviles que forman parte de una nueva campaña de fraude publicitario a la que llamaron 'Scylla'.

Los analistas creen que Scylla es la tercera ola de una operación que encontraron en agosto de 2019 y que llamaron 'Poseidón'. La segunda ola, aparentemente del mismo actor de amenazas, se llamó 'Charybdis' y culminó a fines de 2020.

Aplicaciones de fraude publicitario

El equipo de Satori informó a Google y Apple sobre sus hallazgos y las aplicaciones se eliminaron de las tiendas oficiales de Android e iOS.

En los dispositivos Android, a menos que tenga desactivada la opción de seguridad Play Protect , las aplicaciones deberían detectarse automáticamente.

Para iOS, Apple no tiene claro cómo eliminar las aplicaciones de adware ya instaladas en el dispositivo. Human recomienda a los usuarios que eliminen las aplicaciones fraudulentas si están presentes en sus dispositivos. A continuación se presenta una breve lista con los más descargados:

Lista de aplicaciones de iOS :

Saquear el castillo – com.loot.rcastle.fight.battle (id1602634568)
Ejecutar puente: com.run.bridge.race (id1584737005)
Pistola brillante – com.shinning.gun.ios (id1588037078)
Racing Legend 3D – com.racing.legend.like (id1589579456)
Rope Runner – com.rope.runner.family (id1614987707)
Escultor de madera – com.wood.sculptor.cutter (id1603211466)
Cortafuegos – com.fire.wall.poptit (id1540542924)
Golpe crítico ninja – wger.ninjacriticalhit.ios (id1514055403)
Tony corre – com.TonyRuns.game

Lista de aplicaciones de Android (más de 1 millón de descargas)

Superhéroe-¡Salva el mundo! - com.asuper.man.playmilk
Encuentra 10 diferencias – com. different.ten.spotgames
Encuentra 5 diferencias: com.find.five.sutil.differences.spot.new
Leyenda de los dinosaurios – com.huluwagames.dinosaur.legend.play
Dibujo de una línea – com.one.line.drawing.stroke.yuxi
Shoot Master – com.shooter.master.bullet.puzzle.huahong
Trampa de talento – NUEVO – com.talent.trap.stop.all

La lista completa de aplicaciones que forman parte de la ola de fraude publicitario de Scylla está disponible en el informe de HUMAN .

Detalles del software malicioso

Las aplicaciones de Scylla generalmente usaban una ID de paquete que no coincide con el nombre de su publicación, para que los anunciantes los vean como si los clics/impresiones de anuncios provinieran de una categoría de software más rentable.

Los investigadores de HUMAN descubrieron que 29 aplicaciones de Scylla imitaban hasta 6000 aplicaciones basadas en CTV y alternaban periódicamente las identificaciones para evadir la detección de fraude.


En Android, los anuncios se cargan en ventanas WebView ocultas, por lo que la víctima nunca nota nada sospechoso, ya que todo sucede en segundo plano.


Elementos de la interfaz de usuario que identifican la ubicación de vistas web para anuncios (HUMANOS)


Además, el adware utiliza un sistema "JobScheduler" para activar eventos de impresión de anuncios cuando las víctimas no están utilizando activamente sus dispositivos, por ejemplo, cuando la pantalla está apagada.


Los signos de fraude se registran en los registros y se pueden ver en las capturas de paquetes de red, pero los usuarios habituales no suelen examinarlos.


Tráfico de anuncios en registros de red (HUMAN)

En comparación con 'Poseidon', la primera campaña para esta operación, las aplicaciones de Scylla se basan en capas adicionales de ofuscación de código utilizando el ofuscador Allatori Java. Esto hace que la detección y la ingeniería inversa sean más difíciles para los investigadores.

Los usuarios deben monitorear sus aplicaciones en busca de aplicaciones maliciosas o no deseadas buscando algunos signos que generalmente indican un problema, como el agotamiento rápido de la batería y el aumento del uso de datos de Internet, o aplicaciones que no recuerda haber instalado.

También se recomienda revisar la lista de aplicaciones instaladas y eliminar aquellas que no recuerda haber instalado o que provienen de un proveedor desconocido.

Fuente: You are not allowed to view links. Register or Login

11

Los piratas informáticos que se cree que trabajan para Rusia han comenzado a utilizar una nueva técnica de ejecución de código que se basa en el movimiento del mouse en las presentaciones de Microsoft PowerPoint para activar un script malicioso de PowerShell.

No se necesita una macro maliciosa para que el código malicioso se ejecute y descargue la carga útil, para un ataque más insidioso.

Un informe de la compañía de inteligencia de amenazas Cluster25 dice que APT28 (también conocido como 'Fancy Bear'), un grupo de amenazas atribuido a la GRU rusa  (Dirección Principal de Inteligencia del Estado Mayor Ruso), ha utilizado la nueva técnica para entregar el malware Graphite tan recientemente como 9 de septiembre.

El actor de amenazas atrae a los objetivos con un archivo de PowerPoint (.PPT) supuestamente vinculado a la Organización para la Cooperación y el Desarrollo Económicos (OCDE), una organización intergubernamental que trabaja para estimular el progreso económico y el comercio en todo el mundo.

Dentro del archivo PPT hay dos diapositivas, ambas con instrucciones en inglés y francés para usar la opción de interpretación en la aplicación de videoconferencia Zoom.

Señuelo de documento utilizado en una nueva campaña que usa la
fuente de malware Graphite: Cluster25

El archivo PPT contiene un hipervínculo que actúa como desencadenante para iniciar un script malicioso de PowerShell mediante la utilidad S yncAppvPublishingServer  . Esta técnica está documentada desde junio de 2017 . Varios investigadores explicaron en su momento cómo funciona la infección sin una macro maliciosa anidada dentro de un documento de Office ( 1 , 2 , 3 ,  4 ).

Según los metadatos encontrados, Cluster25 dice que los hackers han estado preparando la campaña entre enero y febrero, aunque las URL utilizadas en los ataques aparecieron activas en agosto y septiembre.


Uso de la técnica de pasar el mouse de PowerPoint para entregar la
fuente de malware Graphite: Cluster25

Los investigadores dicen que el actor de amenazas apunta a entidades en los sectores de defensa y gobierno de países de la Unión Europea y Europa del Este y creen que la campaña de espionaje continúa.

Cadena de infección

Al abrir el documento del señuelo en modo de presentación y la víctima pasa el mouse sobre un hipervínculo, se activa un script malicioso de PowerShell para descargar un archivo JPEG ("DSC0002.jpeg") desde una cuenta de Microsoft OneDrive.

El JPEG es un archivo DLL cifrado ( lmapi2.dll ), que se descifra y se coloca en el directorio 'C:\ProgramData\', luego se ejecuta a través de rundll32.exe . También se crea una clave de registro para la persistencia de la DLL.


Activación de la ejecución de código malicioso (Cluster25)

A continuación, lmapi2.dll obtiene y descifra un segundo archivo JPEG y lo carga en la memoria, en un nuevo subproceso creado previamente por la DLL.

Cluster25 detalla que cada una de las cadenas en el archivo recién obtenido requiere una clave XOR diferente para la desofuscación. La carga útil resultante es el malware Graphite en forma de ejecutable portátil (PE).

Graphite abusa de Microsoft Graph API y OneDrive para comunicarse con el servidor de comando y control (C2). El actor de amenazas accede al servicio utilizando una ID de cliente fija para obtener un token OAuth2 válido.


ID de cliente fijo utilizado por Graphite (Cluster25)

Con el nuevo token OAuth2, Graphite consulta las Microsoft GraphAPI en busca de nuevos comandos al enumerar los archivos secundarios en el subdirectorio de comprobación de OneDrive, explican los investigadores.

“Si se encuentra un archivo nuevo, el contenido se descarga y se descifra a través de un algoritmo de descifrado AES-256-CBC”, dice Cluster25, y agrega que “el malware permite la ejecución remota de comandos al asignar una nueva región de memoria y ejecutar el shellcode recibido por llamando a un nuevo hilo dedicado.”

El propósito del malware Graphite es permitir que el atacante cargue otro malware en la memoria del sistema. Fue documentado en enero por investigadores de Trellix, una  fusión  de McAfee Enterprise y FireEye, quienes lo nombraron así específicamente porque aprovecha la API de Microsoft Graph para usar OneDrive como C2.

La campaña que investigó Trellix usó documentos de Excel titulados "parliament_rew.xlsx" y "Missions Budget.xlsx" que parecían estar dirigidos a empleados gubernamentales e individuos en la industria de defensa.

Según las similitudes del código con muestras de malware de 2018, la orientación y la infraestructura utilizada en los ataques, Trellix ha atribuido Graphite a APT28 con una confianza de baja a moderada.

Fuente: You are not allowed to view links. Register or Login

12

En los últimos días han aparecido reportes de usuarios que aseguran que Google Fotos ha dañado algunas de sus fotos antiguas almacenadas en la nube, añadiendo líneas, puntos y marcas que parece ser manchas o arrugas que no estaban presentes en los respaldos originales.

Las fallas se han reportado en la página de soporte de Fotos y otros foros de internet, se dice que afectan a fotos respaldadas hace más de cinco años y se presentan través de todas las plataforma de Google Fotos. Otros reportes dicen que las marcas y fallas persisten incluso si las fotos dañadas son descargadas a la memoria interna de los dispositivos.

Así se ven algunas de las fotos dañadas compartidas por los usuarios que detectaron las fallas:




El daño en los fotos almacenadas en Google Fotos es reciente. En la página de soporte el primer reporte apareció hace tres días, pero en los días siguientes comenzaron a expandirse a una gran cantidad de usuarios.

Entre los reportes también han aparecido algunas soluciones. Un usuario sugiere descargar las fotos originales desde web, con el proceso usual que se conoce, y recomienda revisar aquellas fotos que fueron editadas (en su nombre llevan la marca -edited) pues suelen ser las que presentan los daños. Otro usuario asegura que algunas de sus fotos presentaban las fallas, pero ahora han desaparecido y sus imágenes ya no tienen marcas defectuosas. Finalmente, otro usuario recomienda limpiar la cache de la app de Google Fotos y reinstalar para eliminar estos errores en las fotos, pues menciona que fue un proceso que le funcionó.


Si algún usuario tiene este problema, por favor cuéntanos en los comentarios. Hasta el momento Google no ha dado una postura oficial al respecto la situación con Fotos.

A pesar de que el almacenamiento ilimitado gratis se terminó el año pasado, Google Fotos continúa siendo una gran plataforma de respaldo en la nube para muchos usuarios. Sin embargo, con estos problemas quizás sea buena idea buscar por una alternativa para el respaldo en la nube.

Fuente: You are not allowed to view links. Register or Login

13

Los investigadores han revelado una nueva vulnerabilidad grave de Oracle Cloud Infrastructure (OCI) que los usuarios podrían explotar para acceder a los discos virtuales de otros clientes de Oracle.

"Cada disco virtual en la nube de Oracle tiene un identificador único llamado OCID", dijo Shir Tamari, jefe de investigación de Wiz, en una serie de tuits. "Este identificador no se considera secreto y las organizaciones no lo tratan como tal".

"Dado el OCID del disco de una víctima que actualmente no está conectado a un servidor activo o configurado como compartible, un atacante podría 'conectarse' a él y obtener lectura/escritura sobre él", agregó Tamari.

La firma de seguridad en la nube, que denominó la vulnerabilidad de aislamiento de inquilinos " AdjuntarMe ", dijo que Oracle solucionó el problema dentro de las 24 horas posteriores a la divulgación responsable el 9 de junio de 2022.

Acceder a un volumen mediante la CLI sin permisos suficientes

En esencia, la vulnerabilidad se basa en el hecho de que un disco podría conectarse a una instancia de cómputo en otra cuenta a través del Oracle Cloud Identifier (OCID) sin ninguna autorización explícita.

Esto significaba que un atacante en posesión del OCID podría haberse aprovechado de AttachMe para acceder a cualquier volumen de almacenamiento, lo que daría como resultado la exposición de datos, la exfiltración o, peor aún, la alteración de los volúmenes de arranque para lograr la ejecución del código.

Además de conocer el OCID del volumen objetivo, otro requisito previo para llevar a cabo el ataque es que la instancia del adversario debe estar en el mismo dominio de disponibilidad (AD) que el objetivo.

"La validación insuficiente de los permisos de los usuarios es una clase de error común entre los proveedores de servicios en la nube", dijo el investigador de Wiz, Elad Gabay. "La mejor manera de identificar tales problemas es realizar revisiones rigurosas de código y pruebas exhaustivas para cada API sensible en la etapa de desarrollo".

Los hallazgos llegan casi cinco meses después de que Microsoft abordara un par de problemas con Azure Database for PostgreSQL Flexible Server que podrían resultar en el acceso no autorizado a la base de datos entre cuentas en una región.

Fuente: You are not allowed to view links. Register or Login

14

Se ha encontrado un paquete NPM malicioso disfrazado de biblioteca de software legítima para Material Tailwind, lo que una vez más indica intentos por parte de los actores de amenazas de distribuir código malicioso en repositorios de software de código abierto.

Material Tailwind es un marco basado en CSS anunciado por sus mantenedores como una "biblioteca de componentes fácil de usar para Tailwind CSS y Material Design".

"El paquete malicioso Material Tailwind npm, aunque se hace pasar por una herramienta de desarrollo útil, tiene un script automático posterior a la instalación", dijo Karlo Zanki, investigador de seguridad de ReversingLabs, en un informe compartido con The Hacker News.

Este script está diseñado para descargar un archivo ZIP protegido con contraseña que contiene un ejecutable de Windows capaz de ejecutar scripts de PowerShell.

El paquete malicioso, denominado material-tailwindcss , se ha descargado 320 veces hasta la fecha, todas ellas a partir del 15 de septiembre de 2022.

En una táctica que se está volviendo cada vez más común, el autor de la amenaza parece haber tenido mucho cuidado en imitar la funcionalidad proporcionada por el paquete original, mientras utiliza sigilosamente un script posterior a la instalación para introducir las características maliciosas.

Esto toma la forma de un archivo ZIP recuperado de un servidor remoto que incorpora un binario de Windows, al que se le da el nombre de "DiagnosticsHub.exe", probablemente en un intento de hacer pasar la carga útil como una utilidad de diagnóstico.

Código para la descarga de la etapa 2

Empaquetados dentro del ejecutable hay fragmentos de código de Powershell responsables del comando y control, la comunicación, la manipulación de procesos y el establecimiento de la persistencia por medio de una tarea programada.

El módulo Material Tailwind con error tipográfico es el último de una larga lista de ataques dirigidos a repositorios de software de código abierto como npm, PyPI y RubyGems en los últimos años.

El ataque también sirve para resaltar la cadena de suministro de software como una superficie de ataque, que ha cobrado importancia debido al impacto en cascada que los atacantes pueden tener al distribuir códigos maliciosos que pueden causar estragos en múltiples plataformas y entornos empresariales de una sola vez.

Las amenazas a la cadena de suministro también han llevado al gobierno de EE. UU. a publicar un memorando que ordena a las agencias federales que "utilicen solo software que cumpla con los estándares de desarrollo de software seguro" y obtengan "certificación propia para todo el software de terceros".

"Garantizar la integridad del software es clave para proteger los sistemas federales de amenazas y vulnerabilidades y reducir el riesgo general de los ataques cibernéticos", dijo la Casa Blanca la semana pasada.

Fuente: You are not allowed to view links. Register or Login

15

La posibilidad de ejecutar aplicaciones de Android fue una de las novedades más llamativas de Windows 11. No obstante, esta característica no estuvo disponible de inmediato. Entre febrero y mayo de este año, Microsoft desplegó una versión preliminar que aterrizó en unos pocos países, incluidos Canadá y Estados Unidos.

Ahora, con la llegada de Windows 11 2022 Update, los de Redmond han anunciado que esta característica se expandirá a 21 nuevas regiones, entre ellas España, Andorra, Francia e Italia, abriendo la puerta a instalar más de 20.000 aplicaciones de Android en los ordenadores que cumplan con los requisitos del sistema.

La Amazon Appstore llega oficialmente a España

Si bien desde hace tiempo que existen algunos trucos para instalar apps de Android en Windows 11, como explican nuestros compañeros de Genbeta, el despliegue oficial de la característica nos facilita mucho las cosas. Tan solo tendremos que seguir unos pocos pasos y ¡voilà! Apps de Android en el PC. Veamos cómo podemos hacerlo.

Para empezar, necesitamos instalar la Amazon Appstore, que es la tienda a través de la cual se distribuyen las aplicaciones de Android en Windows 11. Para ello, la buscamos por su nombre en la Microsoft Store y la instalamos. El paso siguiente será verificar si el Subsistema de Windows para Android está actualizado.

En este caso, dentro de Microsoft Store, nos dirigimos a Biblioteca y presionamos en Obtener actualizaciones. Si hay actualizaciones, seleccionamos Actualizar todas o, sino queremos perder demasiado tiempo, elegimos Subsistema de Windows para Android (pero puede que se haya actualizado automáticamente).


Después, entramos a la Amazon Appstore e iniciamos sesión con nuestra cuenta en esta tienda de aplicaciones o creamos una. Ahora podremos explorar el catálogo de apps y descargar la que deseemos (también directamente desde la Microsoft Store) ¿Quieres utilizar TikTok en tu PC? Puedes hacerlo. Un juego para Android como ‘Coin Master’, también.

Lo más interesante de esta integración a nivel de sistema, es que las aplicaciones de Android se ejecutarán en ventanas como cualquier otro programa, ya sea en formato horizontal o vertical. Además, podremos anclarlas a la barra de tareas para acceder a ellas con un simple clic o toque en caso de dispositivos con pantalla táctil.

Es preciso señalar que puede la Amazon Appstore todavía no esté disponible en tu región, aunque sea una de las mencionadas en el anuncio. Como decimos, Microsoft dice que expandirá su disponibilidad a lo largo de las próximas semanas, así que lo que queda es esperar. Y, algo muy importante, cumplir con los requisitos del sistema.

Deberás tener un mínimo de 8 GB de RAM (16 GB recomendados), como mínimo un procesador Intel Core i3 de 8.ª generación, AMD Ryzen 3000 o Qualcomm Snapdragon 8c. Además, debe estar habilitada la “Plataforma de máquina virtual” desde la UEFI o BIOS de tu ordenador.

Por último, recordemos, que el catálogo de aplicaciones de Android que encontraremos en Windows a través de la Amazon Appstore es reducido en comparación con el de la Play Store. Es, básicamente, el que Amazon utilizara para sus tabletas Fire, por lo que puede que alguna de tus apps favoritas no esté disponible.

Imágenes | Microsoft | Amazon
Fuente: You are not allowed to view links. Register or Login

16
Noticias Informáticas / Instagram: Filtro contra desnudez
« on: September 22, 2022, 09:03:48 pm »

Instagram sabe que varios de sus usuarios, y especialmente de sus usuarias, podrían estar teniendo problemas con la cantidad de mensajes privados que reciben con material explícito, incluyendo fotografías de desnudos. El filtrador Alessandro Paluzzi escribió en la semana que Instagram por fin hará algo al respecto, con la introducción de un filtro contra desnudez en mensajes privados.

La información fue confirmada por una portavoz de Meta, que dijo a TechCrunch que la herramienta está en desarrollo y que todavía no está en pruebas. El control permitiría a usuarios protegerse de los mensajes y de las fotos que incluyen desnudez, dijo la vocera Liz Fernandez.

Las insinuaciones sexuales son, desafortunadamente, una constante de acoso, ya no solo en Instagram ni en Estados Unidos, sino en el gran cosmos que es internet. En México, recibir insinuaciones sexuales está entre las principales formas de violencia digital a las mujeres, según el último reporte de ciberacoso hecho por el INEGI.

Las otras formas de ciberacoso más constantes son el contacto mediante identidades falsas y la recepción de mensajes ofensivos.

La vocera de Meta no dijo más sobre la función en desarrollo en Instagram, pero Paluzzi publicó una imagen en la semana que sugiere que el filtro podría ser activado sin necesidad de que el contenido sea directamente visto por Instagram. De activarse, las imágenes seguirán siendo cubiertas a menos que el usuario que las reciba elija verlas.

Fuente: You are not allowed to view links. Register or Login

17

Microsoft acaba de liberar una nueva versión previa para Windows Terminal, la herramienta de línea de comandos predeterminada para el sistema operativo.

Ahora, la versión 1.16 trae al programa la opción de personalizar completamente su apariencia, cambiando desde la imagen de fondo, el color de las pestañas y el manejo de distintos temas.

Sin embargo, para aprovechar este nuevo soporte, se tendrá que tener un poco de conocimiento al respecto, pues se requiere de editar archivos JSON, mismos que una vez guardados, aparecerán en la sección desplegable del Tema en la configuración.

Las ventajas de esta nueva versión

Entre lo que este Preview permite, está cambiar las pestañas, las filas, ventanas, así como alterar los colores predeterminados, para así dar, según detalla Kayla Cinnamon en el blog oficial de desarrolladores de Windows, una apariencia más cohesiva.


Como parte de las novedades estéticas de la versión 1.16, también llega un nuevo renderizador más eficiente que admite sombreadores de pixeles adicionales, negritas, subrayado, tachado e hipervínculos.

Incluso Cinnamon detalla que, si los equipos no cuentan con GPU, o si se está de forma remota en una máquina virtual que tampoco tiene este componente, se puede cambiar a un modo de mayor rendimiento que no requiere el soporte por hardware.

Recordemos que Windows Terminal fue lanzado originalmente para Windows 10 en 2019, una interfaz nueva, moderna, rápida, eficiente, potente y productiva, de acuerdo con Microsoft.

Fuente: You are not allowed to view links. Register or Login

18

Una campaña de publicidad maliciosa en curso está inyectando anuncios en Microsoft Edge News Feed para redirigir a las víctimas potenciales a sitios web que promueven estafas de soporte técnico.

Microsoft Edge es actualmente el navegador web predeterminado en las computadoras que ejecutan el sistema operativo Windows y actualmente tiene una participación de mercado del 4,3% en todo el mundo, según  Global Stats de Statcounter .

Esta operación de estafa ha estado funcionando durante al menos dos meses, según el Equipo de Inteligencia de Amenazas de Malwarebytes, quien dijo que esta es una de las campañas más extensas en este momento en función de la cantidad de ruido de telemetría que genera.

Esto no es sorprendente considerando su escala, ya que los atacantes cambian entre cientos de subdominios ondigitalocean.app para alojar sus páginas fraudulentas en un solo día.

Los varios anuncios maliciosos que están inyectando en la línea de tiempo de Edge News Feed también están vinculados a más de una docena de dominios, al menos uno de ellos (tissatweb[.]us) también  conocido por albergar un bloqueador de navegador  en el pasado.


Flujo de redirección de estafa (Malwarebytes)

El flujo de redirección utilizado para enviar a los usuarios de Edge comienza con una verificación de los navegadores web de los objetivos para varias configuraciones, como la zona horaria, para decidir si vale la pena su tiempo. Si no, los enviarán a una página señuelo.

Para redirigir a sus páginas de destino de estafa, los actores de amenazas utilizan la red publicitaria Taboola para cargar un  script JavaScript codificado en Base64  diseñado para filtrar a las posibles víctimas.

“El objetivo de este script es mostrar solo la redirección maliciosa a las posibles víctimas, ignorando bots, VPN y geolocalizaciones que no son de interés y que, en cambio, muestran una página inofensiva relacionada con el anuncio”,  explicó Malwarebytes .

"Este esquema está destinado a engañar a usuarios inocentes con páginas de bloqueo de navegador falsas, muy conocidas y utilizadas por estafadores de soporte técnico".


Página de inicio de estafa de soporte técnico (Malwarebytes)

Si bien Malwarebytes no dijo qué sucede si llama al número de teléfono de los estafadores, en la mayoría de los casos, bloquearán su computadora usando varios métodos o le dirán que su dispositivo está infectado y necesita comprar una licencia de soporte.

De cualquier manera, una vez que se conectan a su computadora para ayudarlo, los estafadores intentarán convencer a sus víctimas de que paguen un costoso contrato de soporte técnico sin ningún beneficio para la víctima.

Un portavoz de Microsoft no estuvo disponible de inmediato para hacer comentarios cuando BleepingComputer se puso en contacto con ellos el día de hoy.

Fuente: You are not allowed to view links. Register or Login

19

Un actor de amenazas rastreado bajo el nombre de Webworm ha sido vinculado a troyanos de acceso remoto personalizados basados ​​en Windows, algunos de los cuales se dice que están en fases previas a la implementación o de prueba.

"El grupo ha desarrollado versiones personalizadas de tres troyanos de acceso remoto (RAT) más antiguos, incluidos Trochilus RAT , Gh0st RAT y 9002 RAT ", dijo el equipo de Symantec Threat Hunter, parte de Broadcom Software, en un informe compartido con The Hacker News.

La firma de ciberseguridad dijo que al menos uno de los indicadores de compromiso (IOC) se utilizó en un ataque contra un proveedor de servicios de TI que opera en varios países asiáticos.

Vale la pena señalar que las tres puertas traseras están asociadas principalmente con actores de amenazas chinos como Stone Panda (APT10), Aurora Panda (APT17), Emissary Panda (APT27) y Judgment Panda (APT31), entre otros, aunque han sido puesto en uso por otros grupos de piratería.

Symantec dijo que el actor de amenazas Webworm exhibe superposiciones tácticas con otro nuevo colectivo adversario documentado por Positive Technologies a principios de mayo como Space Pirates , que se encontró golpeando entidades en la industria aeroespacial rusa con malware novedoso.

Space Pirates, por su parte, se cruza con la actividad de espionaje china previamente identificada conocida como Wicked Panda (APT41), Mustang Panda, Dagger Panda ( RedFoxtrot ), Colorful Panda (TA428) y Night Dragon debido al uso compartido de módulos posteriores a la explotación. RAT como PlugX y ShadowPad .

Otras herramientas en su arsenal de malware incluyen Zupdax, Deed RAT, una versión modificada de Gh0st RAT conocida como BH_A006 y MyKLoadClient.

Webworm, activo desde 2017, tiene un historial de ataques a agencias gubernamentales y empresas involucradas en servicios de TI, industrias aeroespaciales y de energía eléctrica ubicadas en Rusia, Georgia, Mongolia y varias otras naciones asiáticas.

Las cadenas de ataque implican el uso de malware dropper que alberga un cargador diseñado para lanzar versiones modificadas de los troyanos de acceso remoto Trochilus, Gh0st y 9002. La mayoría de los cambios están destinados a evadir la detección, dijo la firma de ciberseguridad, y señaló que el acceso inicial se logra a través de la ingeniería social con documentos señuelo.

"El uso de Webworm de versiones personalizadas de malware más antiguo y, en algunos casos, de código abierto, así como las superposiciones de código con el grupo conocido como Space Pirates, sugieren que pueden ser el mismo grupo de amenazas", dijeron los investigadores.

"Sin embargo, el uso común de este tipo de herramientas y el intercambio de herramientas entre grupos en esta región pueden oscurecer los rastros de distintos grupos de amenazas, lo que probablemente sea una de las razones por las que se adopta este enfoque, otra de las cuales es el costo, ya que desarrollar sofisticados el malware puede ser costoso en términos de dinero y tiempo".

Fuente: You are not allowed to view links. Register or Login

20

Los jugadores que buscan trucos en YouTube están siendo atacados con enlaces a archivos maliciosos protegidos con contraseña diseñados para instalar el malware RedLine Stealer y los mineros criptográficos en máquinas comprometidas.

"Los videos anuncian trucos y grietas y brindan instrucciones sobre cómo piratear juegos y software populares", dijo el investigador de seguridad de Kaspersky, Oleg Kupreev , en un nuevo informe publicado hoy.

Los juegos mencionados en los videos son APB Reloaded, CrossFire, DayZ, Farming Simulator, Farthest Frontier, FIFA 22, Final Fantasy XIV, Forza, Lego Star Wars, Sniper Elite y Spider-Man, entre otros.


La descarga del archivo RAR autoextraíble conduce a la ejecución de Redline Stealer, un minero de monedas, así como a una serie de otros binarios que permiten la autopropagación del paquete.

Específicamente, esto se logra mediante un ladrón de contraseñas de código abierto basado en C# que es capaz de extraer cookies de los navegadores, que luego utilizan los operadores para obtener acceso no autorizado a la cuenta de YouTube de la víctima y cargar un video con un enlace a la archivo malicioso.


Una vez que un video se carga con éxito en YouTube, uno de los ejecutables en el archivo transmite un mensaje a Discord con un enlace al video cargado.

Los hallazgos se producen cuando la cantidad total de usuarios que encontraron malware relacionado con juegos y software no deseado desde el 1 de julio de 2021 hasta el 30 de junio de 2022 llegó a casi 385 000, con más de 91 000 archivos distribuidos bajo la apariencia de juegos como Minecraft, Roblox, Need para Speed, Grand Theft Auto y Call of Duty.

"Los ciberdelincuentes buscan activamente cuentas de juegos y recursos informáticos de juegos", dijo Kupreev. "El malware de tipo ladrón a menudo se distribuye bajo la apariencia de hacks, trampas y cracks de juegos. Todo esto es una prueba más, si se necesita alguna, de que el software ilegal debe tratarse con extrema precaución".

Fuente: You are not allowed to view links. Register or Login

Pages: [1] 2 3 ... 112