La organización educativa estadounidense sin fines de lucro National Student Clearinghouse ha revelado una violación de datos que afecta a 890 escuelas que utilizan sus servicios en todo Estados Unidos.

En una carta de notificación de violación presentada ante la Oficina del Fiscal General de California, Clearinghouse dijo que los atacantes obtuvieron acceso a su servidor de transferencia de archivos administrada (MFT) MOVEit el 30 de mayo y robaron archivos que contenían una amplia gama de información personal.

"El 31 de mayo de 2023, nuestro proveedor de software externo, Progress Software, informó a Clearinghouse de un problema de ciberseguridad relacionado con la solución MOVEit Transfer del proveedor", dijo Clearinghouse.

"Después de enterarnos del problema, iniciamos rápidamente una investigación con el apoyo de los principales expertos en ciberseguridad. También nos hemos coordinado con la policía".

La información de identificación personal (PII) contenida en los documentos robados incluye nombres, fechas de nacimiento, información de contacto, números de Seguro Social, números de identificación de estudiantes y algunos registros relacionados con la escuela (por ejemplo, registros de inscripción, registros de títulos y datos de nivel de curso).

De acuerdo con las cartas de notificación de violación de datos, los datos expuestos en el ataque varían para cada individuo afectado. La lista completa de organizaciones educativas afectadas por esta violación masiva de datos se puede encontrar aquí.

Clearinghouse proporciona informes educativos, intercambio de datos, verificación y servicios de investigación a aproximadamente 22,000 escuelas secundarias y alrededor de 3,600 colegios y universidades.

La organización dice que sus participantes inscriben aproximadamente al 97% de los estudiantes en instituciones públicas y privadas.

Clop ransomware gang detrás de los hacks de MoveIT

La pandilla de ransomware Clop es responsable de los extensos ataques de robo de datos que comenzaron el 27 de mayo, aprovechando una falla de seguridad de día cero en la plataforma de transferencia segura de archivos MOVEit Transfer.

A partir del 15 de junio, los ciberdelincuentes comenzaron a extorsionar a las organizaciones que fueron víctimas de los ataques, exponiendo sus nombres en el sitio de fuga de datos de la web oscura del grupo.

Se prevé que las consecuencias de estos ataques afecten a cientos de organizaciones en todo el mundo, y muchas ya han notificado a los clientes afectados en los últimos cuatro meses.

A pesar del amplio grupo de víctimas potenciales, las estimaciones de Coveware sugieren que es probable que solo un número limitado ceda a las demandas de rescate de Clop. No obstante, se espera que la banda de ciberdelincuentes recaude un estimado de $ 75-100 millones en pagos debido a las altas solicitudes de rescate.

Los informes también han revelado que múltiples agencias federales de los Estados Unidos y dos entidades del Departamento de Energía de los Estados Unidos (DOE) han sido víctimas de estos ataques de robo de datos y extorsión.

H/T Brett Callow
Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Air Canada, la aerolínea de bandera y la aerolínea más grande de Canadá, reveló un incidente de seguridad cibernética esta semana en el que los piratas informáticos obtuvieron "brevemente" acceso limitado a sus sistemas internos.

Según la aerolínea, el incidente resultó en el robo de una cantidad limitada de información personal de algunos de sus empleados y "ciertos registros". Los datos de los clientes no se vieron afectados.

Los hackers obtuvieron acceso "brevemente"

Air Canada, la aerolínea que recientemente fue criticada por obligar a sus pasajeros a sentarse en asientos cubiertos de vómito o arriesgarse a ser agregada a una lista de exclusión aérea, una vez más ha sido noticia, esta vez, por un incidente de seguridad cibernética que afectó a uno de sus sistemas internos.

"Un grupo no autorizado obtuvo brevemente acceso limitado a un sistema interno de Air Canada relacionado con información personal limitada de algunos empleados y ciertos registros", se lee en un comunicado publicado el miércoles 20 de septiembre en el sitio web de prensa de Air Canada.

Los sistemas de operaciones de vuelo de la aerolínea y los sistemas orientados al cliente no se vieron afectados, y no se accedió a la información del cliente en este incidente.

La aerolínea se ha puesto en contacto con las partes afectadas y con las autoridades policiales pertinentes.

"También podemos confirmar que todos nuestros sistemas están en pleno funcionamiento", continúa el comunicado.

"Desde entonces, hemos implementado nuevas mejoras en nuestras medidas de seguridad, incluso con la ayuda de los principales expertos mundiales en seguridad cibernética, para prevenir tales incidentes en el futuro como parte de nuestro compromiso continuo de mantener la seguridad de los datos que tenemos".

La breve divulgación del incidente no incluyó ningún detalle más allá de eso, como qué causó el incidente, y terminó con la compañía afirmando que "no tenía más comentarios públicos sobre este asunto".

Esta no es la primera vez que los sistemas de Air Canada han experimentado un hackeo.

En 2018, Air Canada reveló que la información de perfil de 20,000 de sus usuarios de aplicaciones móviles había sido accedida por partes no autorizadas.

Como resultado de este incidente, la aerolínea, en ese momento, tuvo que bloquear todas sus 1,7 millones de cuentas de aplicaciones móviles como medida de seguridad.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las tres fallas de día cero abordadas por Apple el 21 de septiembre de 2023 se aprovecharon como parte de una cadena de explotación de iPhone en un intento de entregar una cepa de spyware llamada Predator dirigida al ex miembro del parlamento egipcio Ahmed Eltantawy entre mayo y septiembre de 2023.

"El ataque tuvo lugar después de que Eltantawy declarara públicamente sus planes de postularse para presidente en las elecciones egipcias de 2024", dijo el Citizen Lab, atribuyendo el ataque con alta confianza al gobierno egipcio debido a que era un cliente conocido de la herramienta de espionaje comercial.

Según una investigación conjunta realizada por el laboratorio interdisciplinario canadiense y el Grupo de Análisis de Amenazas (TAG) de Google, se dice que la herramienta de vigilancia mercenaria se entregó a través de enlaces enviados por SMS y WhatsApp.

"En agosto y septiembre de 2023, la conexión móvil Vodafone Egipto de Eltantawy se seleccionó persistentemente para la orientación a través de la inyección de red; cuando Eltantawy visitó ciertos sitios web que no usaban HTTPS, un dispositivo instalado en la frontera de la red de Vodafone Egipto lo redirigió automáticamente a un sitio web malicioso para infectar su teléfono con el spyware Predator de Cytrox", dijeron los investigadores de Citizen Lab.

La cadena de exploits aprovechó un conjunto de tres vulnerabilidades: CVE-2023-41991, CVE-2023-41992 y CVE-2023-41993, que podrían permitir a un actor malintencionado eludir la validación de certificados, elevar los privilegios y lograr la ejecución remota de código en dispositivos específicos al procesar un contenido web especialmente diseñado.

Predator, fabricado por una compañía llamada Cytrox, es análogo a Pegasus de NSO Group, lo que permite a sus clientes vigilar objetivos de interés y recopilar datos confidenciales de dispositivos comprometidos. Parte de un consorcio de proveedores de spyware llamado Intellexa Alliance, fue bloqueado por el gobierno de los Estados Unidos en julio de 2023 por "permitir campañas de represión y otros abusos contra los derechos humanos".


El exploit, alojado en un dominio llamado sec-flare[.] com, se dice que fue entregado después de que Eltantawy fue redirigido a un sitio web llamado c.betly[.] Me por medio de un sofisticado ataque de inyección de red utilizando el middlebox PacketLogic de Sandvine situado en un enlace entre Telecom Egypt y Vodafone Egypt.

"El cuerpo del sitio web de destino incluía dos iframes, ID 'if1' que contenía contenido de cebo aparentemente benigno (en este caso un enlace a un archivo APK que no contenía spyware) e ID 'if2' que era un iframe invisible que contenía un enlace de infección Predator alojado en sec-flare[.] com", dijo el Citizen Lab.

La investigadora de Google TAG Maddie Stone lo caracterizó como un caso de un ataque adversario en el medio (AitM) que aprovecha una visita a un sitio web utilizando HTTP (en lugar de HTTPS) para interceptar y obligar a la víctima a visitar un sitio diferente operado por el actor de la amenaza.

"En el caso de esta campaña, si el objetivo iba a cualquier sitio 'http', los atacantes inyectaban tráfico para redirigirlos silenciosamente a un sitio de Intellexa, c.betly[.] yo", explicó Stone. "Si el usuario era el usuario objetivo esperado, el sitio redirigiría el objetivo al servidor de exploits, sec-flare[.] com."

Eltantawy recibió tres mensajes SMS en septiembre de 2021, mayo de 2023 y septiembre de 2023 que se hicieron pasar por alertas de seguridad de WhatsApp instando a Eltantawy a hacer clic en un enlace para finalizar una sesión de inicio de sesión sospechosa originada en un supuesto dispositivo Windows.

Si bien estos enlaces no coinciden con la huella digital del dominio antes mencionado, la investigación reveló que el spyware Predator se instaló en el dispositivo aproximadamente 2 minutos y 30 segundos después de que Eltantawy leyera el mensaje enviado en septiembre de 2021.

También recibió dos mensajes de WhatsApp el 24 de junio de 2023 y el 12 de julio de 2023, en los que una persona que afirmaba estar trabajando para la Federación Internacional de Derechos Humanos (FIDH) solicitaba su opinión sobre un artículo que apuntaba al sitio web sec-flare. .com. Los mensajes quedaron sin leer.

Google TAG dijo que también detectó una cadena de exploits que armó una falla de ejecución remota de código en el navegador web Chrome (CVE-2023-4762) para entregar Predator en dispositivos Android utilizando dos métodos: la inyección AitM y a través de enlaces únicos enviados directamente al objetivo.


CVE-2023-4762, una vulnerabilidad de confusión de tipo en el motor V8, fue reportada anónimamente el 16 de agosto de 2023 y parcheada por Google el 5 de septiembre de 2023, aunque el gigante de Internet evalúa que Cytrox / Intellexa puede haber utilizado esta vulnerabilidad como un día cero.

Según una breve descripción en la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST, CVE-2023-4762 se refiere a una "confusión de tipo en V8 en Google Chrome anterior a 116.0.5845.179 [que] permitió a un atacante remoto ejecutar código arbitrario a través de una página HTML diseñada".

Los últimos hallazgos, además de destacar el abuso de las herramientas de vigilancia para atacar a la sociedad civil, subrayan los puntos ciegos en el ecosistema de telecomunicaciones que podrían explotarse para interceptar el tráfico de la red e inyectar malware en los dispositivos de los objetivos.

"Aunque se han logrado grandes avances en los últimos años para 'cifrar la web', los usuarios todavía visitan ocasionalmente sitios web sin HTTPS, y una sola visita al sitio web que no sea HTTPS puede resultar en una infección de spyware", dijo el Citizen Lab.

Se recomienda a los usuarios que están en riesgo de amenazas de spyware debido a "quiénes son o qué hacen" que mantengan sus dispositivos actualizados y habiliten el modo de bloqueo en iPhones, iPads y Mac para evitar tales ataques

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de ciberseguridad han descubierto una puerta trasera avanzada previamente indocumentada llamada Deadglyph empleada por un actor de amenazas conocido como Stealth Falcon como parte de una campaña de espionaje cibernético.

"La arquitectura de Deadglyph es inusual, ya que consiste en componentes cooperantes, uno un binario x64 nativo, el otro un ensamblaje .NET", dijo ESET en un nuevo informe compartido con The Hacker News.

"Esta combinación es inusual porque el malware generalmente usa solo un lenguaje de programación para sus componentes. Esta diferencia podría indicar un desarrollo separado de esos dos componentes al tiempo que aprovecha las características únicas de los distintos lenguajes de programación que utilizan".

También se sospecha que el uso de diferentes lenguajes de programación es una táctica deliberada para dificultar el análisis, lo que hace que sea mucho más difícil navegar y depurar.

A diferencia de otras puertas traseras tradicionales de su tipo, los comandos se reciben de un servidor controlado por actores en forma de módulos adicionales que le permiten crear nuevos procesos, leer archivos y recopilar información de los sistemas comprometidos.

Stealth Falcon (también conocido como FruityArmor) fue expuesto por primera vez por el Citizen Lab en 2016, vinculándolo a un conjunto de ataques de spyware dirigidos en el Medio Oriente dirigidos a periodistas, activistas y disidentes en los Emiratos Árabes Unidos utilizando señuelos de spear-phishing que incrustan enlaces con trampas explosivas que apuntan a documentos macro-atados para entregar un implante personalizado capaz de ejecutar comandos arbitrarios.

Una investigación posterior realizada por Reuters en 2019 reveló una operación clandestina llamada Proyecto Raven que involucró a un grupo de ex agentes de inteligencia estadounidenses que fueron reclutados por una firma de ciberseguridad llamada DarkMatter para espiar objetivos críticos de la monarquía árabe.

Se cree que Stealth Falcon y Project Raven son el mismo grupo basado en las superposiciones en tácticas y objetivos.

Desde entonces, el grupo se ha relacionado con la explotación de día cero de fallas de Windows como CVE-2018-8611 y CVE-2019-0797, y Mandiant señaló en abril de 2020 que el actor de espionaje "usó más días cero que cualquier otro grupo" de 2016 a 2019.

Casi al mismo tiempo, ESET detalló el uso por parte del adversario de una puerta trasera llamada Win32 / StealthFalcon que se descubrió que usaba el Servicio de transferencia inteligente en segundo plano (BITS) de Windows para las comunicaciones de comando y control (C2) y para obtener el control completo de un punto final.

Deadglyph es la última incorporación al arsenal de Stealth Falcon, según la firma eslovaca de ciberseguridad, que analizó una intrusión en una entidad gubernamental no identificada en el Medio Oriente.

El método exacto utilizado para administrar el implante es actualmente desconocido, pero el componente inicial que activa su ejecución es un cargador de shellcode que extrae y carga shellcode del Registro de Windows, que posteriormente inicia el módulo x64 nativo de Deadglyph, conocido como Executor.

A continuación, el ejecutor continúa cargando un componente .NET conocido como Orchestrator que, a su vez, se comunica con el servidor de comando y control (C2) para esperar más instrucciones. El malware también se involucra en una serie de maniobras evasivas para volar bajo el radar, contando la capacidad de desinstalarse.

Los comandos recibidos del servidor se ponen en cola para su ejecución y pueden clasificarse en una de tres categorías: tareas de Orchestrator, tareas de ejecutor y tareas de carga.

"Las tareas de Ejecutor ofrecen la capacidad de administrar la puerta trasera y ejecutar módulos adicionales", dijo ESET. "Las tareas de Orchestrator ofrecen la capacidad de administrar la configuración de los módulos Red y Timer, y también de cancelar tareas pendientes".

Algunas de las tareas de Executor identificadas comprenden la creación de procesos, el acceso a archivos y la recopilación de metadatos del sistema. El módulo Timer se utiliza para sondear el servidor C2 periódicamente en combinación con el módulo Network, que implementa las comunicaciones C2 mediante solicitudes HTTPS POST.

Las tareas de carga, como su nombre lo indica, permiten que la puerta trasera cargue la salida de comandos y errores.

ESET dijo que también identificó un archivo de panel de control (CPL) que se cargó en VirusTotal desde Qatar, que se dice que funcionó como punto de partida para una cadena de múltiples etapas que allana el camino para un descargador de shellcode que comparte algunas semejanzas de código con Deadglyph.

Si bien la naturaleza del shellcode recuperado del servidor C2 sigue sin estar clara, se ha teorizado que el contenido podría servir como instalador para el malware Deadglyph.

Deadglyph recibe su nombre de los artefactos encontrados en la puerta trasera (identificadores hexadecimales 0xDEADB001 y 0xDEADB101 para el módulo Timer y su configuración), junto con la presencia de un ataque homoglifo que se hace pasar por Microsoft ("Ϻicrоsоft Corpоratiоn") en el recurso VERSIONINFO del cargador de shellcode del Registro.

"Deadglyph cuenta con una gama de mecanismos de contradetección, incluido el monitoreo continuo de los procesos del sistema y la implementación de patrones de red aleatorios", dijo la compañía. "Además, la puerta trasera es capaz de desinstalarse para minimizar la probabilidad de su detección en ciertos casos".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La firma de análisis de blockchain Ethereum Nansen le pide a un subconjunto de sus usuarios que restablezcan las contraseñas luego de una reciente violación de datos en su proveedor de autenticación.

Nansen es una entidad popular en el espacio de criptomonedas, que ofrece a los usuarios información sobre la actividad de la billetera Ethereum, ayuda a identificar proyectos emergentes y, en general, ayuda a las personas a tomar decisiones de inversión informadas.

En una carta enviada a los usuarios afectados, Nansen dice que se enteraron el 20 de septiembre de que uno de sus proveedores externos sufrió una violación de datos.

El proveedor no identificado fue comprometido por un atacante que de alguna manera obtuvo acceso a un panel de administración que controla el acceso de los clientes de Nansen en la plataforma de análisis.

Nansen detuvo la actividad maliciosa poco después de que el proveedor les informara sobre el incidente, pero la investigación posterior confirmó que los datos del usuario estaban comprometidos.

"Según nuestras investigaciones preliminares en las últimas 48 horas, el 6,8% de nuestros usuarios se vieron afectados", se lee en el aviso de Nansen compartido en Twitter.

"Estos usuarios tenían sus direcciones de correo electrónico expuestas, una porción más pequeña también tenía hashes de contraseña expuestos, y un último grupo más pequeño también tenía su dirección de blockchain expuesta".



Todos los usuarios afectados han sido informados sobre la violación a través de notificaciones por correo electrónico, mientras que el soporte de Nansen también se ha puesto en contacto con ellos para solicitar una acción de restablecimiento de contraseña.

Nansen dice que las contraseñas fueron encriptadas, pero aconseja a las personas afectadas que cambien las contraseñas, ya que la fuerza bruta siempre es un escenario plausible.

La firma enfatiza el mayor riesgo de phishing para las personas cuyos detalles están expuestos. Los actores de amenazas, ahora armados con conocimiento de la propiedad de activos digitales y sus direcciones de correo electrónico, pueden atacarlos de manera más efectiva.

Como la investigación aún no se ha completado, no es improbable que el alcance del impacto se revise para incluir a más usuarios.

Por lo tanto, sería aconsejable que todos los usuarios de Nansen, independientemente de si han recibido un aviso, restablezcan sus contraseñas por precaución.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La ciudad de Dallas, Texas, dijo esta semana que el ataque de ransomware Royal que lo obligó a cerrar todos los sistemas de TI en mayo comenzó con una cuenta robada.

Royal obtuvo acceso a la red de la Ciudad utilizando una cuenta de servicio de dominio robada a principios de abril y mantuvo el acceso a los sistemas comprometidos entre el 7 de abril y el 4 de mayo.

Durante este período, recopilaron y exfiltraron con éxito 1.169 TB de archivos basados en el análisis de datos de registro del sistema realizado por funcionarios de la ciudad y expertos externos en ciberseguridad.

La pandilla también preparó la fase de implementación de ransomware lanzando balizas de comando y control de Cobalt Strike en los sistemas de la ciudad. A las 2 AM del 3 de mayo, Royal comenzó a implementar las cargas útiles de ransomware, utilizando herramientas administrativas legítimas de Microsoft para cifrar los servidores.

Después de detectar el ataque, la Ciudad inició esfuerzos de mitigación, desconectando servidores de alta prioridad para impedir el progreso de Royal. Simultáneamente, comenzó los esfuerzos de restauración del servicio con la ayuda de equipos de expertos en ciberseguridad internos y externos.

El proceso de restauración de todos los servidores tomó poco más de 5 semanas, desde el 9 de mayo, cuando se revivió el servidor financiero, hasta el 13 de junio, cuando se restauró el último servidor afectado por el ataque, el servidor de gestión de residuos.

"La Ciudad informó a la TxOAG que la información personal de 26,212 residentes de Texas y un total de 30,253 personas fue potencialmente expuesta debido al ataque", dijo la Ciudad en una autopsia publicada esta semana.

"El sitio web de la Procuraduría General indicó que la información personal como nombres, direcciones, información de seguridad social, información de salud, información de seguro de salud y otra información similar fue expuesta por Royal".

Hasta ahora, el Ayuntamiento de Dallas ha establecido un presupuesto de $ 8.5 millones para los esfuerzos de restauración de ataques de ransomware, y los costos finales se compartirán más adelante.

Dallas es la cuarta área metropolitana más grande y la novena ciudad más grande de los Estados Unidos, con una población de aproximadamente 2.6 millones de personas.

Notas de rescate entregadas a través de impresoras de red

Los medios locales informaron por primera vez que las comunicaciones policiales y los sistemas de TI de la Ciudad se cerraron el lunes por la mañana, 3 de mayo, debido a un presunto ataque de ransomware.

"El miércoles por la mañana, las herramientas de monitoreo de seguridad de la Ciudad notificaron a nuestro Centro de Operaciones de Seguridad (SOC) que se había lanzado un probable ataque de ransomware dentro de nuestro entorno. Posteriormente, la Ciudad ha confirmado que varios servidores se han visto comprometidos con ransomware, afectando varias áreas funcionales, incluido el sitio web del Departamento de Policía de Dallas ", explicó la Ciudad de Dallas en un comunicado emitido el 3 de mayo.

"El equipo de la ciudad, junto con sus proveedores, están trabajando activamente para aislar el ransomware para evitar su propagación, eliminar el ransomware de los servidores infectados y restaurar cualquier servicio afectado actualmente. El alcalde y el Concejo Municipal fueron notificados del incidente de conformidad con el Plan de Respuesta a Incidentes (IRP) de la Ciudad".

Las impresoras de red en la red de la ciudad de Dallas comenzaron a imprimir notas de rescate la mañana del incidente, lo que permitió a BleepingComputer confirmar que la pandilla de ransomware Royal estaba detrás del ataque después de que se compartiera una foto de la nota con nosotros.


Se cree que la pandilla de ransomware Royal surgió como una rama de la pandilla de cibercrimen Conti, ganando prominencia después de que Conti cerrara las operaciones.

Tras su lanzamiento en enero de 2022, Royal utilizó inicialmente encriptadores de otras operaciones de ransomware, como ALPHV / BlackCat, para evitar llamar la atención. Sin embargo, posteriormente comenzaron a utilizar su propio encriptador, Zeon, en sus ataques durante todo el año.

La operación de ransomware se sometió a un cambio de marca hacia fines de 2022, adoptando el nombre de "Royal" y emergiendo como una de las pandillas de ransomware más activas dirigidas a empresas.

Si bien Royal es conocido por explotar fallas de seguridad en dispositivos de acceso público para violar las redes de los objetivos, también recurre con frecuencia a ataques de phishing de devolución de llamada para obtener acceso inicial a las redes empresariales.

Cuando los objetivos llaman a los números de teléfono incrustados en correos electrónicos camuflados como renovaciones de suscripción, los atacantes utilizan la ingeniería social para engañar a las víctimas para que instalen software de acceso remoto que proporcione a los actores de amenazas acceso a su red.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El Ministerio de Seguridad del Estado de China (MSS) ha acusado a Estados Unidos de irrumpir en los servidores de Huawei, robar datos críticos e implantar puertas traseras desde 2009, en medio de las crecientes tensiones geopolíticas entre los dos países.

En un mensaje publicado en WeChat, la autoridad gubernamental dijo que las agencias de inteligencia estadounidenses han "hecho todo lo posible" para llevar a cabo vigilancia, robos secretos e intrusiones en muchos países del mundo, incluida China, utilizando un "poderoso arsenal de ataques cibernéticos". Los detalles sobre los supuestos hackeos no fueron compartidos.

Señaló explícitamente las Operaciones de Red Informática de la Agencia de Seguridad Nacional de los Estados Unidos (NSA) (anteriormente la Oficina de Operaciones de Acceso a Medida o TAO) por haber "llevado a cabo repetidamente ataques sistemáticos y basados en plataformas" contra el país para saquear sus "importantes recursos de datos".

La publicación continuó afirmando que la unidad de recopilación de inteligencia de guerra cibernética pirateó los servidores de Huawei en 2009 y que había llevado a cabo "decenas de miles de ataques de red maliciosos" contra entidades nacionales, incluida la Universidad Politécnica del Noroeste, para desviar datos confidenciales, una acusación que China planteó por primera vez en septiembre de 2022.

Además, se dice que el Centro Nacional de Respuesta de Emergencia de Virus Informáticos de China (NCVERC) aisló un artefacto de spyware denominado Second Date cuando se trata de un incidente en la universidad pública de investigación que supuestamente es desarrollado por la NSA y se ejecuta sigilosamente en "miles de dispositivos de red en muchos países del mundo".

Los detalles sobre Second Date fueron reportados previamente por South China Morning Post y China Daily la semana pasada, describiéndolo como un malware multiplataforma capaz de monitorear y secuestrar el tráfico de la red, así como inyectar código malicioso. Se cree que Alemania, Japón, Corea del Sur, India y Taiwán son algunos de los países atacados por el spyware.

"La agencia de inteligencia de Estados Unidos ha utilizado estas armas y equipos a gran escala para llevar a cabo ataques cibernéticos y operaciones de espionaje cibernético durante más de diez años contra China, Rusia y otros 45 países y regiones de todo el mundo", dijo MSS, y agregó que los ataques se dirigieron a los sectores de telecomunicaciones, investigación científica, economía, energía y militar.

MSS también afirmó que Estados Unidos ha obligado a las compañías de tecnología a instalar puertas traseras en su software y equipo para realizar espionaje cibernético y robar datos, citando ejemplos de compañías como X-Mode Social y Anomaly Six, que han demostrado habilidades para rastrear los teléfonos móviles de los usuarios.

"Durante mucho tiempo ha sido un secreto a voces que Estados Unidos ha confiado durante mucho tiempo en sus ventajas tecnológicas para realizar escuchas a gran escala en países de todo el mundo, incluidos sus aliados, y ha llevado a cabo actividades de robo cibernético", dijo el MSS, y agregó que Rusia, Irán, China y Corea del Norte son sus principales objetivos.

"Al mismo tiempo, Estados Unidos está haciendo todo lo posible para presentarse como una víctima de un ataque cibernético, incitando y coaccionando a otros países para que se unan al llamado programa de 'red limpia' bajo la bandera de mantener la seguridad de la red, en un intento de eliminar a las empresas chinas del mercado internacional de redes".

En julio de 2023, después de que Microsoft revelara una campaña de espionaje vinculada a China montada por un actor con nombre en código Storm-0558 dirigida a dos docenas de organizaciones en los Estados Unidos y Europa, China respondió llamando a Estados Unidos "el imperio de piratería más grande del mundo y el ladrón cibernético global".

El MSS hizo su debut en WeChat el 1 de agosto de 2023, enfatizando la necesidad de impulsar los esfuerzos de contraespionaje y alentar a los ciudadanos a denunciar actividades sospechosas, así como a ser recompensados y protegidos por sus contribuciones.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una campaña activa de malware dirigida a América Latina está distribuyendo una nueva variante de un troyano bancario llamado BBTok, particularmente usuarios en Brasil y México.

"El banquero BBTok tiene una funcionalidad dedicada que replica las interfaces de más de 40 bancos mexicanos y brasileños, y engaña a las víctimas para que ingresen su código 2FA en sus cuentas bancarias o en su número de tarjeta de pago", dijo Check Point en una investigación publicada esta semana.

Las cargas útiles son generadas por un script de PowerShell personalizado del lado del servidor y son únicas para cada víctima según el sistema operativo y el país, mientras que se entregan a través de correos electrónicos de phishing que aprovechan una variedad de tipos de archivos.

BBTok es un malware bancario basado en Windows que apareció por primera vez en 2020. Está equipado con características que ejecutan la gama típica de troyanos, lo que le permite enumerar y eliminar procesos, emitir comandos remotos, manipular el teclado y servir páginas de inicio de sesión falsas para los bancos que operan en los dos países.

Las cadenas de ataque en sí mismas son bastante sencillas, empleando enlaces falsos o archivos adjuntos ZIP para desplegar sigilosamente el banquero recuperado de un servidor remoto (216.250.251[.] 196) mientras mostraba un documento señuelo a la víctima.

Pero también están diversificados para los sistemas Windows 7 y Windows 10, principalmente tomando medidas para evadir los mecanismos de detección recientemente implementados, como la interfaz de escaneo antimalware (AMSI) que permite escanear la máquina en busca de amenazas.

Otros dos métodos clave para volar bajo el radar son el uso de binarios de vida fuera de la tierra (LOLBins) y controles de geofencing para garantizar que los objetivos sean solo de Brasil o México antes de servir el malware a través del script PowerShell.

Una vez lanzado, BBTok establece conexiones con un servidor remoto para recibir comandos para simular las páginas de verificación de seguridad para varios bancos.

Al hacerse pasar por las interfaces de los bancos latinoamericanos, el objetivo es recopilar la información de credenciales y autenticación ingresada por los usuarios para realizar adquisiciones de cuentas de las cuentas bancarias en línea.

"Lo que es notable es el enfoque cauteloso del operador: todas las actividades bancarias solo se ejecutan bajo comando directo de su servidor C2, y no se llevan a cabo automáticamente en todos los sistemas infectados", dijo la compañía.

El análisis de Check Point del malware ha revelado una mejora significativa en su ofuscación y focalización desde 2020, expandiéndose más allá de los bancos mexicanos. La presencia de español y portugués en el código fuente, así como en los correos electrónicos de phishing, ofrece una pista sobre el origen de los atacantes.

Se estima que más de 150 usuarios han sido infectados por BBTok, según una base de datos SQLite que se encuentra en el servidor que aloja el componente de generación de carga útil que registra el acceso a la aplicación maliciosa.

La orientación y el lenguaje apuntan a los actores de amenazas que probablemente operan fuera de Brasil, que sigue siendo el epicentro de un potente malware centrado en las finanzas.

"Aunque BBTok ha podido permanecer bajo el radar debido a sus técnicas esquivas y apuntando a las víctimas solo en México y Brasil, es evidente que todavía está desplegado activamente", dijo Check Point.

"Debido a sus muchas capacidades y su método de entrega único y creativo que involucra archivos LNK, SMB y MSBuild, todavía representa un peligro para las organizaciones e individuos en la región".

El desarrollo se produce cuando la compañía israelí de ciberseguridad detalló una nueva campaña de phishing a gran escala que recientemente se dirigió a más de 40 compañías prominentes en múltiples industrias en Colombia con el objetivo final de implementar Remcos RAT a través de una secuencia de infección de múltiples etapas.

"Remcos, una sofisticada RAT de 'navaja suiza', otorga a los atacantes el control total sobre la computadora infectada y puede usarse en una variedad de ataques. Las consecuencias comunes de una infección por Remcos incluyen el robo de datos, las infecciones de seguimiento y la adquisición de cuentas", dijo Check Point.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los desarrolladores de Free Download Manager (FDM) han publicado un script para comprobar si un dispositivo Linux fue infectado a través de un ataque a la cadena de suministro recientemente reportado.

Free Download Manager es un popular administrador de descargas multiplataforma que ofrece torrenting, proxy y descargas de video en línea a través de una interfaz fácil de usar.

La semana pasada, Kaspersky reveló que el sitio web del proyecto se vio comprometido en algún momento de 2020, redirigiendo a una parte de los usuarios de Linux que intentaron descargar el software a un sitio malicioso.

Este sitio lanzó un instalador FDM troyano para Linux que instalaba un ladrón de información Bash y una puerta trasera que establecía un shell inverso desde el servidor del atacante.

A pesar de que muchos usuarios informaron un comportamiento peculiar después de instalar el instalador malicioso, la infección permaneció sin ser detectada durante tres años hasta que se publicó el informe de Kaspersky.

Respuesta de Free Download Manager

Con el asunto ganando atención, FDM investigó y descubrió que los informes de Kaspersky y otros sobre el compromiso de su sitio habían sido ignorados debido a un error en su sistema de contacto.

"Parece que una página web específica en nuestro sitio fue comprometida por un grupo de hackers ucranianos, explotándola para distribuir software malicioso", explicó el anuncio de seguridad en el sitio de FDM.

"Solo un pequeño subconjunto de usuarios, específicamente aquellos que intentaron descargar FDM para Linux entre 2020 y 2022, fueron potencialmente expuestos".

"Curiosamente, esta vulnerabilidad se resolvió sin saberlo durante una actualización rutinaria del sitio en 2022".

Los desarrolladores dicen que el sitio fue violado a través de la vulnerabilidad del sitio web, lo que permitió a los atacantes introducir un código malicioso que cambió la página de descarga para un pequeño porcentaje de visitantes.

Hoy, FDM lanzó un script que escaneará computadoras Linux para verificar si estaban infectadas con el malware ladrón de información de esta campaña.

El script está disponible desde aquí, y ejecutarlo es un proceso de dos pasos desde un terminal:


Los usuarios deben tener en cuenta que el script del escáner solo identificará si el malware está instalado buscando la presencia de algunos archivos en el sistema, pero no los elimina.

Por lo tanto, si el escáner encuentra algo, los usuarios deben eliminar manualmente el malware o utilizar herramientas de seguridad adicionales para localizar y desarraigar los archivos de malware.

La acción recomendada de FDM es reinstalar el sistema.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Apple lanzó actualizaciones de seguridad de emergencia para parchear tres nuevas vulnerabilidades de día cero explotadas en ataques dirigidos a usuarios de iPhone y Mac, para un total de 16 días cero corregidos este año.

Se encontraron dos errores en el motor del navegador WebKit (CVE-2023-41993) y el marco de seguridad (CVE-2023-41991), lo que permite a los atacantes eludir la validación de firmas utilizando aplicaciones maliciosas u obtener la ejecución de código arbitrario a través de páginas web creadas con fines malintencionados.

Apple lanzó actualizaciones de seguridad de emergencia para parchear tres nuevas vulnerabilidades de día cero explotadas en ataques dirigidos a usuarios de iPhone y Mac, para un total de 16 días cero corregidos este año.

Se encontraron dos errores en el motor del navegador WebKit (CVE-2023-41993) y el marco de seguridad (CVE-2023-41991), lo que permite a los atacantes eludir la validación de firmas utilizando aplicaciones maliciosas u obtener la ejecución de código arbitrario a través de páginas web creadas con fines malintencionados.

Apple corrigió los tres errores de día cero en macOS 12.7 / 13.6, iOS 16.7 / 17.0.1, iPadOS 16.7 / 17.0.1 y watchOS 9.6.3 / 10.0.1 abordando un problema de validación de certificados y mediante comprobaciones mejoradas.

"Apple está al tanto de un informe de que este problema puede haber sido explotado activamente contra versiones de iOS anteriores a iOS 16.7", reveló la compañía en avisos de seguridad que describen las fallas de seguridad.

La lista de dispositivos afectados abarca modelos de dispositivos más antiguos y más nuevos, e incluye:

• iPhone 8 y versiones posteriores
• iPad mini 5.ª generación y posteriores
• Macs con macOS Monterey y versiones posteriores
• Apple Watch Series 4 y versiones posteriores

Los tres días cero fueron encontrados e informados por Bill Marczak del Citizen Lab de la Escuela Munk de la Universidad de Toronto y Maddie Stone del Grupo de Análisis de Amenazas de Google.

Si bien Apple aún no ha proporcionado detalles adicionales sobre la explotación de las fallas en la naturaleza, los investigadores de seguridad de Citizen Lab y Google Threat Analysis Group a menudo han revelado errores de día cero abusados en ataques de spyware dirigidos a personas de alto riesgo, incluidos periodistas, políticos de la oposición y disidentes.

Citizen Lab reveló otros dos días cero (CVE-2023-41061 y CVE-2023-41064), también corregidos por Apple en actualizaciones de seguridad de emergencia a principios de este mes y abusados como parte de una cadena de exploits de clic cero (denominada BLASTPASS) para infectar iPhones completamente parcheados con el spyware comercial Pegasus de NSO Group.

Desde principios de año, Apple también ha parcheado:

• dos días cero (CVE-2023-37450 y CVE-2023-38606) en julio
• tres días cero (CVE-2023-32434, CVE-2023-32435 y CVE-2023-32439) en junio
• tres días cero más (CVE-2023-32409, CVE-2023-28204 y CVE-2023-32373) en mayo
• dos días cero (CVE-2023-28206 y CVE-2023-28205) en abril
• y otro WebKit de día cero (CVE-2023-23529) en febrero

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un actor de amenazas previamente indocumentado apodado Sandman ha sido atribuido a un conjunto de ataques cibernéticos dirigidos a proveedores de koation de telecomunicaciones en el Medio Oriente, Europa Occidental y el subcontinente del sur de Asia.

En particular, las intrusiones aprovechan un compilador justo a tiempo (JIT) para el lenguaje de programación Lua conocido como LuaJIT como un vehículo para implementar un nuevo implante llamado LuaDream.

"Las actividades que observamos se caracterizan por un movimiento lateral estratégico a estaciones de trabajo específicas y un compromiso mínimo, lo que sugiere un enfoque deliberado destinado a lograr los objetivos establecidos y minimizar el riesgo de detección", dijo el investigador de seguridad de SentinelOne, Aleksandar Milenkoski, en un análisis publicado en colaboración con QGroup.

"La implementación de LuaDream indica un proyecto bien ejecutado, mantenido y desarrollado activamente de una escala considerable".

Ni la campaña ni sus tácticas se han correlacionado con ningún actor o grupo de amenazas conocido, aunque la evidencia disponible apunta a un adversario de espionaje cibernético con una inclinación por apuntar al sector de las telecomunicaciones en todas las geografías. Los ataques se observaron por primera vez durante varias semanas en agosto de 2023.

"La cadena de puesta en escena LuaDream está diseñada para evadir la detección y frustrar el análisis mientras se implementa el malware directamente en la memoria", explicó Milenkoski. "El proceso de implementación y puesta en escena de LuaDream aprovecha la plataforma LuaJIT, el compilador justo a tiempo para el lenguaje de scripting Lua. Esto es principalmente para hacer que el código malicioso del script Lua sea difícil de detectar".

Los artefactos de cadena contenidos en el código fuente del implante hacen referencia el 3 de junio de 2022, lo que indica que el trabajo preparatorio ha estado en marcha durante más de un año.

Se sospecha que LuaDream es una variante de una nueva cepa de malware conocida como DreamLand por Kaspersky en su informe de tendencias APT para el primer trimestre de 1, y la compañía rusa de ciberseguridad lo describe como empleando "el lenguaje de scripting Lua junto con su compilador Just-in-Time (JIT) para ejecutar código malicioso que es difícil de detectar".

El uso de Lua es algo raro en el panorama de amenazas, ya que se ha observado previamente en tres instancias diferentes desde 2012: Flame, Animal Farm (también conocido como SNOWGLOBE) y Project Sauron.


El modo exacto de acceso inicial sigue sin estar claro, pero se ha observado el robo de credenciales administrativas y la realización de reconocimientos para violar las estaciones de trabajo de interés y, en última instancia, entregar LuaDream.

Una puerta trasera modular y multiprotocolo con 13 componentes centrales y 21 de soporte, LuaDream está diseñada principalmente para filtrar información del sistema y del usuario, así como para administrar complementos proporcionados por el atacante que amplían sus características, como la ejecución de comandos. También cuenta con varias capacidades antidepuración para evadir la detección y frustrar el análisis.

La comunicación de comando y control (C2) se logra estableciendo contacto con un dominio llamado "mode.encagil[.] com" utilizando el protocolo WebSocket. Pero también puede escuchar conexiones entrantes a través de los protocolos TCP, HTTPS y QUIC.

Los módulos principales implementan todas las características mencionadas anteriormente, mientras que los componentes de soporte son responsables de aumentar las capacidades de la puerta trasera para esperar conexiones basadas en la API del servidor HTTP de Windows y ejecutar comandos.

"LuaDream se erige como una ilustración convincente de la innovación continua y los esfuerzos de avance que los actores de amenazas de ciberespionaje vierten en su arsenal de malware en constante evolución", dijo Milenkoski.

La revelación coincide con un informe paralelo de SentinelOne que detalla intrusiones estratégicas sostenidas por parte de actores de amenazas chinos en África, incluidos los dirigidos a los sectores de telecomunicaciones, finanzas y gobierno en África, como parte de grupos de actividad denominados BackdoorDiplomacy, Earth Estries y Operation Tainted Love.

El objetivo, dijo la compañía, es extender la influencia en todo el continente y aprovechar tales ofensivas como parte de su agenda de poder blando.

SentinelOne dijo que detectó un compromiso de una entidad de telecomunicaciones con sede en el norte de África por el mismo actor de amenazas detrás de la Operación Tainted Love, y agregó que el momento del ataque se alineó con las negociaciones privadas de la organización para una mayor expansión regional.

"Las intrusiones dirigidas por la APT BackdoorDiplomacy y el grupo de amenazas que orquesta la Operación Tainted Love indican una intención nivelada dirigida a apoyar [a China en sus esfuerzos para] dar forma a políticas y narrativas alineadas con sus ambiciones geoestratégicas, estableciéndose como una fuerza fundamental y definitoria en la evolución digital de África", dijo el investigador de seguridad Tom Hegel.

También se produce días después de que Cisco Talos revelara que los proveedores de servicios de telecomunicaciones en el Medio Oriente son el objetivo de un nuevo conjunto de intrusiones denominado ShroudedSnooper que emplea un conjunto de puertas traseras sigilosas llamadas HTTPSnoop y PipeSnoop.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de ciberseguridad han descubierto un nuevo lote de paquetes maliciosos en el registro de paquetes npm que están diseñados para filtrar configuraciones de Kubernetes y claves SSH de máquinas comprometidas a un servidor remoto.

Sonatype dijo que ha descubierto 14 paquetes npm diferentes hasta ahora: @am-fe/hooks, @am-fe/provider, @am-fe/request, @am-fe/utils, @am-fe/watermark, @am-fe/watermark-core, @dynamic-form-components/mui, @dynamic-form-components/shineout, @expue/app, @fixedwidthtable/fixedwidthtable, @soc-fe/use, @spgy/eslint-plugin-spgy-fe, @virtualsearchtable/virtualsearchtable y shineouts.

"Estos paquetes [...] intentar hacerse pasar por bibliotecas y componentes de JavaScript, como los complementos de ESLint y las herramientas del SDK de TypeScript", dijo la firma de seguridad de la cadena de suministro de software. "Pero, tras la instalación, se vieron múltiples versiones de los paquetes ejecutando código ofuscado para recopilar y desviar archivos confidenciales de la máquina de destino".

Junto con la configuración de Kubernetes y las claves SSH, los módulos también son capaces de recolectar metadatos del sistema como nombre de usuario, dirección IP y nombre de host, todos los cuales se transmiten a un dominio llamado app.threatest[.] .com.

La revelación se produce poco más de una semana después de que Sonatype detectara paquetes npm falsificados que explotan una técnica conocida como confusión de dependencia para hacerse pasar por paquetes internos supuestamente utilizados por PayPal Zettle y los desarrolladores de Airbnb como parte de un experimento de investigación ética.

Dicho esto, los actores de amenazas continúan apuntando a registros de código abierto como npm y PyPI con cryptojackers, infostealers y otro malware novedoso para comprometer los sistemas de los desarrolladores y, en última instancia, envenenar la cadena de suministro de software.

En un caso destacado por Phylum a principios de este mes, un módulo npm llamado hardhat-gas-report permaneció benigno durante más de ocho meses desde el 6 de enero de 2023, antes de recibir dos actualizaciones consecutivas el 1 de septiembre de 2023, para incluir JavaScript malicioso capaz de exfiltrar claves privadas de Ethereum copiadas al portapapeles a un servidor remoto.

"Este enfoque dirigido indica una comprensión sofisticada de la seguridad de las criptomonedas y sugiere que el atacante tiene como objetivo capturar y filtrar claves criptográficas sensibles para el acceso no autorizado a billeteras Ethereum u otros activos digitales seguros", dijo la compañía.

Otro caso de un intento de ataque a la cadena de suministro involucró un astuto paquete npm llamado gcc-patch que se descubrió que se hacía pasar por un compilador GCC a medida, pero en realidad albergaba un minero de criptomonedas que "aprovecha encubiertamente el poder computacional de desarrolladores inocentes, con el objetivo de obtener ganancias a su costa".

Pero en una señal de que tales amenazas se están volviendo demasiado frecuentes, una campaña similar de cryptojacking dirigida a PyPI aprovechó un paquete fraudulento de Python llamado culturestreak para secuestrar recursos del sistema y extraer la criptomoneda Dero descargando una carga útil de un repositorio de GitLab, según Checkmarx.

Además, tales campañas se han diversificado para abarcar los ecosistemas Javascript (npm), Python (PyPI) y Ruby (RubyGems), con actores de amenazas que cargan varios paquetes con capacidades de recopilación y exfiltración de datos y lo siguen publicando nuevas versiones que llevan cargas útiles maliciosas.

La campaña se dirige específicamente a los usuarios de Apple macOS, lo que indica que el malware en los repositorios de paquetes de código abierto no solo se está volviendo cada vez más frecuente, sino que también está señalando otros sistemas operativos más allá de Windows.

"El autor de estos paquetes está organizando una amplia campaña contra los desarrolladores de software", señaló Phylum en un análisis. "El objetivo final de esta campaña sigue sin estar claro".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Freecycle, un foro en línea dedicado a intercambiar artículos usados en lugar de tirarlos a la basura, confirmó una violación masiva de datos que afectó a más de 7 millones de usuarios.

La organización sin fines de lucro dice que descubrió la violación el miércoles, semanas después de que un actor de amenazas pusiera a la venta los datos robados en un foro de piratería el 30 de mayo, advirtiendo a las personas afectadas que cambiaran las contraseñas de inmediato.

La información robada incluye nombres de usuario, ID de usuario, direcciones de correo electrónico y contraseñas con hash MD5, sin otra información expuesta, según Freecycle.

A partir de capturas de pantalla compartidas por el actor de amenazas que está vendiendo la información robada, las credenciales del fundador y director ejecutivo de Freecycle, Deron Beal, fueron robadas en el incidente, lo que le dio al actor de amenazas acceso completo a la información de los miembros y las publicaciones en el foro.

"El 30 de agosto nos dimos cuenta de una violación de datos en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Como resultado, estamos aconsejando a todos los miembros que cambien sus contraseñas lo antes posible", advirtió Beal en una notificación agregada a la página de inicio.

"Pedimos disculpas por las molestias y le pedimos que vea este espacio para más antecedentes pendientes".


También se aconsejó a aquellos que usaban las mismas credenciales en otros servicios en línea que las cambiaran para evitar violaciones de cuentas.

Para restablecer tu contraseña de Freecycle, puedes usar uno de estos dos métodos:

• Desde la configuración de su perfil y desplazándose hacia abajo hasta la sección Restablecimiento de contraseña
• Desde la página de restablecimiento de contraseña por correo electrónico

Los usuarios deben ser conscientes de los retrasos (hasta una hora) que afectan el proceso de restablecimiento de contraseña por correo electrónico porque el "sistema de correo electrónico de Freecycle está muy ocupado en este momento".

Después de enterarse de la violación de datos, Freecycle dijo que también informó el incidente a las autoridades correspondientes.

"Si bien la mayoría de los proveedores de correo electrónico hacen un buen trabajo filtrando el spam, puede notar que recibe más spam de lo habitual", se advirtió a los usuarios.

"Como siempre, manténgase atento a los correos electrónicos de phishing, evite hacer clic en los enlaces de los correos electrónicos y no descargue archivos adjuntos a menos que los esté esperando".

Freecycle cuenta con una base de usuarios que comprende casi 11 millones de miembros de más de 5,300 ciudades locales en todo el mundo.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una vulnerabilidad de día cero de Atlas VPN que afecta al cliente Linux filtra la dirección IP real de un usuario simplemente visitando un sitio web.

Atlas VPN es un producto VPN que ofrece una solución rentable basada en WireGuard y es compatible con los principales sistemas operativos.

En un exploit de prueba de concepto compartido en Reddit, un investigador describe cómo el cliente Linux de Atlas VPN, específicamente la última versión, 1.0.3, tiene un punto final API que escucha en localhost (127.0.0.1) a través del puerto 8076.

Esta API ofrece una interfaz de línea de comandos (CLI) para realizar diversas acciones, como desconectar una sesión VPN mediante la URL No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Sin embargo, esta API no realiza ninguna autenticación, lo que permite a cualquiera emitir comandos a la CLI, incluso a un sitio web que está visitando.

La API VPN de Atlas conduce a un exploit de día cero

Un usuario de Reddit llamado 'Educational-Map-8145' publicó un exploit PoC en Reddit que abusa de la API de Atlas VPN Linux para revelar las direcciones IP reales de un usuario.

Esta PoC crea un formulario oculto que JavaScript envía automáticamente para conectarse a la URL del punto de enlace de la No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cuando se accede a este punto de enlace de API, finaliza automáticamente cualquier sesión activa de Atlas VPN que oculte la dirección IP de un usuario.

Una vez que se desconecta la conexión VPN, la PoC se conectará a la URL para registrar la dirección IP real del No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Esta es una violación grave de la privacidad para cualquier usuario de VPN, ya que expone su ubicación física aproximada y su dirección IP real, lo que les permite ser rastreados y anular una de las razones principales para usar un proveedor de VPN.

El ingeniero de ciberseguridad de Amazon, Chris Partridge, probó y confirmó el exploit, creando el siguiente video para demostrar que se puede aprovechar para revelar una dirección IP.

Partridge explicó además que la PoC evita las protecciones CORS (Cross-Origin Resource Sharing) existentes en los navegadores web porque las solicitudes se envían a la API de Atlas VPN como envíos de formularios.

"Las presentaciones de formularios están exentas de CORS por razones de legado / compatibilidad, se consideran una 'solicitud simple' por la especificación de CORS", dijo Partridge a BleepingComputer.

Normalmente, CORS bloquearía las solicitudes realizadas por scripts en páginas web a dominios diferentes al dominio de origen. En el caso de este exploit, serían las solicitudes realizadas por cualquier sitio web al localhost de un visitante en "No tienes permitido ver los links. Registrarse o Entrar a mi cuenta".

Sin embargo, Partridge explicó a BleepingComputer que el uso de un formulario para "omitir" CORS no permitiría que un sitio web vea ninguna respuesta del envío del formulario.

Sin embargo, en este caso, la respuesta no es necesaria, ya que el envío del formulario simplemente se utiliza para acceder a la URL para desconectar la conexión VPN de Atlas en Linux.

"Se supone que los formularios ya deberían protegerse contra el CSRF. Lo cual, como podemos ver hoy, no es una buena suposición y ha llevado a algunas consecuencias no deseadas", advirtió Partridge.

Solución próximamente en el próximo parche

El usuario de Reddit afirma que se puso en contacto con Atlas VPN sobre el problema, pero fue ignorado, y dado que la compañía no tenía un programa de recompensas de errores, la divulgación pública era la única opción lógica que quedaba.

Atlas VPN finalmente respondió al problema cuatro días después de la divulgación, disculpándose con el reportero y prometiendo lanzar una solución para su cliente Linux lo antes posible. Además, los usuarios de Linux serán notificados cuando la actualización esté disponible.

En respuesta a nuestra solicitud de comentarios, un portavoz de Atlas VPN ha enviado lo siguiente:

"Somos conscientes de la vulnerabilidad de seguridad que afecta a nuestro cliente Linux. Nos tomamos muy en serio la seguridad y la privacidad del usuario. Por lo tanto, estamos trabajando activamente para solucionarlo lo antes posible. Una vez resuelto, nuestros usuarios recibirán un mensaje para actualizar su aplicación Linux a la última versión.

La vulnerabilidad afecta al cliente Linux VPN Atlas versión 1.0.3. Como afirmó el investigador, debido a la vulnerabilidad, la aplicación y, por lo tanto, el tráfico cifrado entre un usuario y la puerta de enlace VPN pueden ser desconectados por un actor malicioso. Esto podría conducir a la divulgación de la dirección IP del usuario.

Apreciamos enormemente el papel vital de los investigadores de ciberseguridad en la identificación y el tratamiento de fallas de seguridad en los sistemas, lo que ayuda a protegerse contra posibles ataques cibernéticos, y les agradecemos por llamar nuestra atención sobre esta vulnerabilidad. Implementaremos más controles de seguridad en el proceso de desarrollo para evitar tales vulnerabilidades en el futuro. Si alguien se encuentra con cualquier otra amenaza potencial relacionada con nuestro servicio, póngase en contacto con nosotros a través de security@Atlas No tienes permitido ver los links. Registrarse o Entrar a mi cuenta." - Atlas VPN.

Dada la naturaleza crítica de esta vulnerabilidad de día cero, que sigue siendo explotable hasta que se lance un parche, se recomienda encarecidamente a los usuarios de clientes Linux que tomen precauciones inmediatas, incluida la consideración de una solución VPN alternativa.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una versión actualizada de un cargador de malware conocido como BLISTER se está utilizando como parte de las cadenas de infección SocGholish para distribuir un marco de comando y control (C2) de código abierto llamado Mythic.

"La nueva actualización de BLISTER incluye una función de clave que permite una orientación precisa de las redes de las víctimas y reduce la exposición dentro de los entornos de VM / sandbox", dijeron los investigadores de Elastic Security Labs Salim Bitam y Daniel Stepanic en un informe técnico publicado a fines del mes pasado.

BLISTER fue descubierto por primera vez por la compañía en diciembre de 2021 actuando como un conducto para distribuir cargas útiles de Cobalt Strike y BitRAT en sistemas comprometidos.

El uso del malware junto con SocGholish (también conocido como FakeUpdates), un malware de descarga basado en JavaScript, para entregar Mythic fue revelado previamente por Palo Alto Networks Unit 42 en julio de 2023.

En estos ataques, BLISTER está incrustado dentro de una biblioteca legítima de VLC Media Player en un intento de sortear el software de seguridad e infiltrarse en los entornos de las víctimas.

Tanto SocGholish como BLISTER se han utilizado en tándem como parte de varias campañas, y este último se ha utilizado como cargador de segunda etapa para distribuir Cobalt Strike y LockBit ransomware, como lo demostraron Red Canary y Trend Micro a principios de 2022.

Un análisis más detallado del malware muestra que se está manteniendo activamente, con los autores de malware incorporando una serie de técnicas para volar bajo el radar y complicar el análisis.

"BLISTER es un cargador que continúa bajo el radar, siendo utilizado activamente para cargar una variedad de malware, incluidos clipbankers, ladrones de información, troyanos, ransomware y shellcode", señaló Elastic en abril de 2023.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las industrias bancarias y logísticas están bajo el ataque de una variante reelaborada de un malware llamado Chaes.

"Ha sufrido revisiones importantes: desde ser reescrito completamente en Python, lo que resultó en tasas de detección más bajas por parte de los sistemas de defensa tradicionales, hasta un rediseño integral y un protocolo de comunicación mejorado", dijo Morphisec en un nuevo artículo técnico detallado compartido con The Hacker News.

Chaes, que surgió por primera vez en 2020, es conocido por apuntar a clientes de comercio electrónico en América Latina, particularmente Brasil, para robar información financiera confidencial.

Un análisis posterior de Avast a principios de 2022 encontró que los actores de amenazas detrás de la operación, que se hacen llamar Lucifer, habían violado más de 800 sitios web de WordPress para entregar Chaes a los usuarios de Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre y Mercado Pago.

Se detectaron más actualizaciones en diciembre de 2022, cuando la empresa brasileña de ciberseguridad Tempest Security Intelligence descubrió el uso del malware de Instrumental de administración de Windows (WMI) en su cadena de infección para facilitar la recopilación de metadatos del sistema, como BIOS, procesador, tamaño de disco e información de memoria.

La última iteración del malware, denominada Chae$ 4 en referencia a los mensajes de registro de depuración presentes en el código fuente, incluye "transformaciones y mejoras significativas", incluido un catálogo ampliado de servicios destinados al robo de credenciales, así como funcionalidades de clipper.

A pesar de los cambios en la arquitectura de malware, el mecanismo de entrega general se ha mantenido igual en los ataques que se identificaron en enero de 2023.


Las víctimas potenciales que llegan a uno de los sitios web comprometidos son recibidas por un mensaje emergente que les pide que descarguen un instalador para Java Runtime o una solución antivirus, lo que desencadena el despliegue de un archivo MSI malicioso que, a su vez, lanza un módulo orquestador primario conocido como ChaesCore.

El componente es responsable de establecer un canal de comunicación con el servidor de comando y control (C2) desde donde obtiene módulos adicionales que admiten la actividad posterior al compromiso y el robo de datos.

• Init, que recopila amplia información sobre el sistema
• En línea, que actúa como una baliza para transmitir un mensaje al atacante de que el malware se está ejecutando en la máquina
• Chronod, que roba las credenciales de inicio de sesión ingresadas en los navegadores web e intercepta las transferencias de pago BTC, ETH y PIX
• Appita, un módulo con características similares a las de Chronod pero diseñado específicamente para apuntar a la aplicación de escritorio del Itaú Unibanco ("itauaplicativo.exe")
• Chrautos, una versión actualizada de Chronod y Appita que se enfoca en recopilar datos de Mercado Libre, Mercado Pago y WhatsApp
• Stealer, una variante mejorada de Chrolog que saquea datos de tarjetas de crédito, cookies, autocompletar y otra información almacenada en navegadores web, y
• File Uploader, que carga datos relacionados con la extensión de Chrome de MetaMask

La persistencia en el host se logra mediante una tarea programada, mientras que las comunicaciones C2 implican el uso de WebSockets, con el implante ejecutándose en un bucle infinito para esperar más instrucciones del servidor remoto.

La focalización de las transferencias de criptomonedas y los pagos instantáneos a través de la plataforma PIX de Brasil es una adición notable que subraya las motivaciones financieras de los actores de amenazas.

"El módulo Chronod introduce otro componente utilizado en el marco, un componente llamado Module Packer", explicó Morphisec. "Este componente proporciona al módulo sus propios mecanismos de persistencia y migración, que funcionan de manera muy similar a los de ChaesCore".

Este método implica alterar todos los archivos de acceso directo (LNK) asociados con los navegadores web (por ejemplo, Google Chrome, Microsoft Edge, Brave y Avast Secure Browser) para ejecutar el módulo Chronod en lugar del navegador real.

"El malware utiliza el protocolo DevTools de Google para conectarse a la instancia actual del navegador", dijo la compañía. "Este protocolo permite la comunicación directa con la funcionalidad del navegador interno a través de WebSockets".

"La amplia gama de capacidades expuestas por este protocolo permite al atacante ejecutar scripts, interceptar solicitudes de red, leer cuerpos POST antes de ser cifrados y mucho más".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una nueva operación motivada financieramente está aprovechando un bot malicioso de Telegram para ayudar a los actores de amenazas a estafar a sus víctimas.

Apodado Telekopye, un acrónimo de Telegram y kopye (que significa "lanza" en ruso), el kit de herramientas funciona como un medio automatizado para crear una página web de phishing a partir de una plantilla prefabricada y enviar la URL a víctimas potenciales, con nombre en código Mammoths por los delincuentes.

"Este kit de herramientas se implementa como un bot de Telegram que, cuando se activa, proporciona varios menús fáciles de navegar en forma de botones en los que se puede hacer clic que pueden acomodar a muchos estafadores a la vez", dijo el investigador de ESET, Radek Jizba, en un informe compartido con The Hacker News.

Los orígenes exactos de los actores de amenazas, apodados neandertales, no están claros, pero la evidencia apunta a Rusia como el país de origen de los autores y usuarios del kit de herramientas, debido al uso de plantillas de SMS rusas y al hecho de que la mayoría de los mercados en línea específicos son populares en el país.

Se han detectado múltiples versiones de Telekopye hasta la fecha, la más temprana data de 2015, lo que sugiere que se está manteniendo y utilizando activamente durante varios años.

Las cadenas de ataque proceden así: los neandertales encuentran a sus mamuts y tratan de establecer una relación con ellos, antes de enviar un enlace falso creado utilizando el kit de phishing Telekopye por correo electrónico, SMS o un mensaje directo.

Una vez que se ingresan los detalles de pago en la pasarela de tarjeta de crédito / débito falsa, la información se utiliza para desviar fondos de la víctima, que luego se lavan a través de criptomonedas.

Telekopye tiene todas las funciones, lo que permite a sus usuarios enviar correos electrónicos de phishing, generar páginas web, enviar mensajes SMS, crear códigos QR y crear imágenes convincentes y capturas de pantalla de cheques y recibos.

Los dominios de phishing utilizados para alojar las páginas se registran de tal manera que la URL final comienza con el nombre de marca esperado: cdek.id7423[.] ru, olx.id7423[.] ru y sbazar.id7423[.] ru -- en un esfuerzo por hacerlos difíciles de detectar.

Un aspecto notable de la operación es la naturaleza centralizada de los pagos. En lugar de transferir el dinero robado de los mamuts a sus propias cuentas, se canaliza a una cuenta compartida administrada por el administrador de Telekopye, lo que le da al equipo central una supervisión de las operaciones de cada neandertal.


En otras palabras, los neandertales son pagados por el administrador de Telekopye después de solicitar un pago a través del kit de herramientas en sí, pero no antes de que una parte de él se tome como comisión para el propietario de la plataforma y el recomendador.

"Telekopye verifica el saldo del neandertal, la solicitud final es aprobada por el administrador de Telekopye y, finalmente, los fondos se transfieren a la billetera de criptomonedas del neandertal", dijo Jizba.

"En algunas implementaciones de Telekopye, el primer paso, pedir un pago, se automatiza y la negociación se inicia cada vez que un neandertal alcanza un cierto umbral de dinero robado por estafas realizadas con éxito".

En lo que es una señal más de la profesionalización de la empresa criminal, los usuarios y operadores de Telekopye están organizados en una jerarquía clara que abarca roles como administradores, moderadores, buenos trabajadores (o bots de soporte), trabajadores y bloqueados.

• Bloqueado: Usuarios a los que se les prohíbe usar Telekopye por infringir las reglas del proyecto.
• Trabajadores: Un papel común asignado a todos los nuevos neandertales.
• Buenos trabajadores: Una actualización del rol de trabajador con un pago mayor y tarifas de comisión más bajas.
• Moderadores: usuarios que pueden promover y degradar a otros miembros y aprobar nuevos miembros, pero no pueden modificar la configuración del kit de herramientas.
• Administradores: usuarios con los privilegios más altos que pueden agregar plantillas de páginas web de phishing y alterar las tasas de pago.

"La forma más fácil de saber si estás siendo atacado por un neandertal que intenta robar tu dinero es mirando el lenguaje utilizado", dijo Jizba. "Insista en el intercambio de dinero y bienes en persona siempre que sea posible cuando se trate de bienes de segunda mano en los mercados en línea. Evite enviar dinero a menos que esté seguro de dónde irá".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Oficina Federal de Investigaciones (FBI) de Estados Unidos advierte que los dispositivos Email Security Gateway (ESG) de Barracuda Networks parcheados contra una falla crítica recientemente revelada continúan en riesgo de un posible compromiso por parte de presuntos grupos de piratería chinos.

También consideró las correcciones como "ineficaces" y que "continúa observando intrusiones activas y considera que todos los dispositivos Barracuda ESG afectados están comprometidos y son vulnerables a este exploit".

Rastreado como CVE-2023-2868 (puntuación CVSS: 9.8 ), se dice que el error de día cero se armó ya en octubre de 2022, más de siete meses antes de que se tapara el agujero de seguridad. Mandiant, propiedad de Google, está rastreando el clúster de actividad del nexo entre China bajo el nombre UNC4841.

La vulnerabilidad de inyección remota de comandos, que afecta a las versiones 5.1.3.001 a 9.2.0.006, permite la ejecución no autorizada de comandos del sistema con privilegios de administrador en el producto ESG.

En los ataques observados hasta ahora, una violación exitosa actúa como un conducto para desplegar múltiples cepas de malware como SALTWATER, SEASIDE, SEASPY, SANDBAR, SEASPRAY, SKIPJACK, WHIRLPOOL y SUBMARINE (también conocido como DEPTHCHARGE) que permiten la ejecución de comandos arbitrarios y la evasión de defensa.


"Los actores cibernéticos utilizaron esta vulnerabilidad para insertar cargas maliciosas en el dispositivo ESG con una variedad de capacidades que permitieron el acceso persistente, el escaneo de correo electrónico, la recolección de credenciales y la exfiltración de datos", dijo el FBI.

La firma de inteligencia de amenazas ha caracterizado a UNC4841 como agresivo y hábil, demostrando un don para la sofisticación y adaptando rápidamente sus herramientas personalizadas para emplear mecanismos de persistencia adicionales y mantener su punto de apoyo en objetivos de alta prioridad.

La agencia federal recomienda a los clientes que aíslen y reemplacen todos los dispositivos ESG afectados con efecto inmediato, y escaneen las redes en busca de tráfico saliente sospechoso.

Actualizar

Cuando se contactó para hacer comentarios, Barracuda Networks compartió la siguiente declaración con The Hacker News:

La orientación de Barracuda sigue siendo consistente para los clientes. Por precaución y para promover nuestra estrategia de contención, recomendamos que los clientes afectados reemplacen su electrodoméstico comprometido. Si un cliente recibió la notificación de la interfaz de usuario o ha sido contactado por un representante de soporte técnico de Barracuda, el cliente debe comunicarse con support@barracuda[.] com para reemplazar el dispositivo ESG. Barracuda está proporcionando el producto de reemplazo a los clientes afectados sin costo alguno.

Hemos notificado a los clientes afectados por este incidente. Si un dispositivo ESG muestra una notificación en la interfaz de usuario, el dispositivo ESG tenía indicadores de compromiso. Si no se muestra ninguna notificación, no tenemos ninguna razón para creer que el dispositivo se haya visto comprometido en este momento. Una vez más, solo un subconjunto de dispositivos ESG se vio afectado por este incidente.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft ha identificado un nuevo grupo de piratería que ahora rastrea como Flax Typhoon que reúne a agencias gubernamentales y organizaciones educativas, de fabricación crítica y de tecnología de la información probablemente con fines de espionaje.

El actor de amenazas no depende mucho del malware para obtener y mantener el acceso a la red de la víctima y prefiere usar principalmente componentes ya disponibles en el sistema operativo, los llamados binarios que viven fuera de la tierra o LOLBins, y software legítimo.

Operando desde al menos mediados de 2021, Flax Typhoon se dirigió principalmente a organizaciones en Taiwán, aunque Microsoft descubrió algunas víctimas en el sudeste asiático, América del Norte y África.

TTP del tifón del lino observado

En la campaña observada por Microsoft, Flax Typhoon obtuvo acceso inicial explotando vulnerabilidades conocidas en servidores públicos, incluyendo VPN, web, Java y aplicaciones SQL.

Los hackers lanzaron China Chopper, un shell web pequeño (4KB) pero potente que proporciona capacidades de ejecución remota de código.

Si es necesario, los piratas informáticos elevan sus privilegios al nivel de administrador utilizando las herramientas de código abierto 'Juicy Potato' y 'BadPotato' disponibles públicamente que explotan vulnerabilidades conocidas para obtener permisos más altos.

A continuación, Flax Typhoon establece la persistencia desactivando la autenticación a nivel de red (NLA) a través de modificaciones en el registro y explotando la característica de accesibilidad Windows Sticky Keys para configurar una conexión RDP (Protocolo de escritorio remoto).

"Flax Typhoon puede acceder al sistema comprometido a través de RDP, usar el acceso directo Sticky Keys en la pantalla de inicio de sesión y acceder al Administrador de tareas con privilegios del sistema local", explica Microsoft.

"A partir de ahí, el actor puede iniciar la Terminal, crear volcados de memoria y realizar casi cualquier otra acción en el sistema comprometido".


Para eludir las restricciones de conectividad RDP de RDP a la red interna, Flax Typhoon instala un puente VPN (red privada virtual) legítimo para mantener el enlace entre el sistema comprometido y su servidor externo.

Los piratas informáticos descargan el cliente VPN SoftEther de código abierto utilizando LOLBins como PowerShell Invoke-WebRequest utility, certutil o bitsadmin, y abusan de varias herramientas integradas de Windows para configurar la aplicación VPN para que se inicie automáticamente al iniciar el sistema.


Para minimizar el riesgo de detección, los atacantes lo renombran a 'conhost.exe' o 'dllhost.exe', enmascarándolo así como un componente legítimo de Windows.

Además, Flax Typhoon utiliza el modo VPN sobre HTTPS de SoftEther para ocultar el tráfico VPN como tráfico HTTPS estándar.

Microsoft dice que los piratas informáticos utilizan Windows Remote Management (WinRM), WMIC y otros LOLBins para el movimiento lateral.

Los investigadores dicen que este adversario con sede en China utiliza con frecuencia la herramienta Mimikatz para extraer credenciales de la memoria de proceso del Servicio de Subsistema de Autoridad de Seguridad (LSASS) ocal y el subárbol de registro del Administrador de cuentas de seguridad (SAM).

Microsoft no ha observado que Flax Typhoon use las credenciales robadas para extraer datos adicionales, lo que hace que el objetivo principal del actor no esté claro en este momento.

Protección

Microsoft recomienda que las organizaciones apliquen las actualizaciones de seguridad más recientes a los puntos de conexión expuestos a Internet y a los servidores públicos, y la autenticación multifactor (MFA) debe estar habilitada en todas las cuentas.

Además, el monitoreo del registro podría ayudar a detectar intentos de modificación y cambios no autorizados como los realizados por Flax Typhoon para deshabilitar NLA.

Las organizaciones que sospechan una violación de este actor de amenazas en particular necesitan examinar a fondo sus redes, ya que los largos períodos de permanencia de Flax Typhoon permiten comprometer múltiples cuentas y alterar la configuración del sistema para el acceso a largo plazo.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

MSI ha confirmado oficialmente la reciente oleada de pantallas azules de la muerte (BSOD) encontradas por los usuarios de Windows después de instalar las actualizaciones de vista previa opcionales de esta semana está vinculada a algunos de sus modelos de placas base.

"MSI ha recibido varios informes de usuarios que se encuentran con una pantalla azul de la muerte que tiene un mensaje de error que dice 'UNSUPPORTED_PROCESSOR' con las placas base de la serie 600/700 de MSI después de instalar la actualización de Windows 11, KB5029351 Preview", dijo la compañía.

"Tanto MSI como Microsoft son conscientes del error 'UNSUPPORTED_PROCESSOR' y han comenzado a investigar la causa raíz".

El proveedor taiwanés de PC también ha aconsejado a todos los usuarios que eviten instalar las actualizaciones de vista previa de agosto de 2023 en sistemas Windows por ahora.

Aquellos que ya han actualizado sus sistemas y se han visto afectados por las pantallas azules deben revertir su BIOS a una versión anterior y desinstalar las actualizaciones opcionales de Windows.

MSI proporciona información detallada en este video sobre el uso de M-FLASH para volver a versiones anteriores del BIOS en las placas base MSI.


Microsoft también reconoció este problema conocido el miércoles, diciendo que las plataformas afectadas incluyen Windows 10 21H2 / 22H2 y Windows 11 22H2.

"Microsoft ha recibido informes de un problema en el que los usuarios reciben un mensaje de error 'UNSUPPORTED_PROCESSOR' en una pantalla azul después de instalar las actualizaciones lanzadas el 2 de agosto", dijo la compañía.

Redmond agregó que las actualizaciones opcionales con errores "podrían desinstalarse automáticamente para permitir que Windows se inicie como se esperaba".

Esto fue confirmado por varios clientes [1, 2] que dijeron que las actualizaciones problemáticas se revirtieron automáticamente después de varios reinicios del sistema.

Microsoft pidió a los usuarios afectados que han encontrado problemas de BSOD que presenten un informe mediante el Centro de opiniones.

Esta semana, Microsoft también presentó una nueva política de Windows 11 que otorga a los administradores un mejor control sobre la entrega de actualizaciones mensuales de vista previa no relacionadas con la seguridad en dispositivos empresariales.

Tras la activación, los usuarios pueden elegir entre instalar automáticamente actualizaciones opcionales o seleccionar manualmente las actualizaciones que desean instalar.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta