Mostrar Mensajes

Información del Perfil

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

Páginas 1 ... 51 52 53 54 55 ... 249

#1041

Noticias Informáticas / El FBI confisca los foros Cracked.io y Nulled.to en la Operación Talento

Enero 29, 2025, 07:01:23 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Actualización: Se agregaron banners de incautación a cracked[.] io, nulled [.] to, starkrdp [.] io, mysellix [.] io y sellix [.] io, lo que confirma que los dominios habían sido incautados en una acción policial conjunta denominada "Operación Talento" que incluyó a autoridades de los Estados Unidos, Italia, España, Europa, Francia, Grecia, Australia y Rumania.

"Este sitio web, así como la información sobre los clientes y las víctimas del sitio web, ha sido incautado por socios policiales internacionales", se lee en los banners.

El personal de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login ha publicado una nueva declaración en Telegram que confirma que la policía ha incautado el dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

"Ahora que todos tienen más claridad sobre la situación, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login ha sido incautado bajo la operación Talento sin que se hayan revelado las razones específicas", dijeron.

"Aún estamos esperando la documentación oficial del tribunal del centro de datos y del host del dominio. Les informaremos más sobre esos detalles una vez que los tengamos. Un día triste para nuestra comunidad".

Cómo sucedió

El FBI ha confiscado los dominios de los foros de piratería You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, que son conocidos por su enfoque en el cibercrimen, el robo de contraseñas, el cracking y los ataques de robo de credenciales.

Si bien algunos de sus miembros también participaron en debates sobre piratería ética, los sitios eran ampliamente considerados como un centro de actividad cibercriminal.

También alojaban contenido relacionado con cracks de software, herramientas de piratería como "configuraciones" utilizadas por herramientas de ataque de robo de credenciales (por ejemplo, OpenBullet y SilverBullet) y otras actividades ilícitas, incluido un mercado de " Combo Lists " con credenciales o bases de datos robadas.

Al intentar abrir los sitios, los navegadores web muestran los mensajes "Error 1000. DNS apunta a IP prohibida" y "Error 1016. Error de DNS de origen".

Hoy, el FBI confiscó los dominios de los foros y cambió sus servidores de nombres a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login desde sus servidores de nombres Cloudflare anteriores.

El personal de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login publicó un anuncio en su canal de Telegram hoy, culpando a un problema del centro de datos por los problemas de acceso en curso.

"Hay un problema activo en nuestro centro de datos en el que el personal está trabajando. Por lo tanto, los servicios permanecen fuera de línea hasta que se resuelva el problema. Recibiremos un informe detallado más adelante", dijeron.

"Solo podemos esperar que se resuelva sin más problemas. No hay tiempo estimado en este momento. El estado actual del centro de datos es que puede demorar hasta 1 día".

Hoy, el FBI también confiscó dominios utilizados por:

MySellIX (mysellix.io) y SellIX (sellix.io), dos plataformas que permitían a los usuarios crear sus propias tiendas en línea, que los actores de amenazas también usaban para vender datos robados, claves de software y cuentas comprometidas, y
StarkRDP (starkrdp.io), un proveedor de alojamiento virtual de Windows RDP que algunos actores de amenazas supuestamente usaron para ataques de robo de credenciales.

Un portavoz del FBI no estaba inmediatamente disponible para hacer comentarios cuando BleepingComputer se puso en contacto con él hoy temprano.

Si bien las autoridades aún no han compartido más información sobre esta ola de incautaciones, todas las señales apuntan a una ofensiva contra las plataformas involucradas en el robo de credenciales y robo de cuentas.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1042

Noticias Informáticas / Hackers explotan una falla crítica sin parchear en los dispositivos CPE de Zyxel

Enero 29, 2025, 06:59:25 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los piratas informáticos están explotando una vulnerabilidad crítica de inyección de comandos en los dispositivos de la serie CPE de Zyxel que actualmente se conoce como CVE-2024-40891 y que permanece sin parchear desde julio pasado.

La vulnerabilidad permite a los atacantes no autenticados ejecutar comandos arbitrarios utilizando las cuentas de servicio "supervisor" o "zyuser".

La empresa de inteligencia de vulnerabilidades VulnCheck agregó el problema de seguridad a su base de datos el año pasado, el 12 de julio, y lo incluyó entre otros problemas explotados en la naturaleza para el acceso inicial.

Los detalles técnicos sobre la vulnerabilidad no se han revelado públicamente y Zyxel no publicó un aviso de seguridad ni un parche para CVE-2024-40891, y el problema sigue siendo explotable en el último firmware.

Parece que los piratas informáticos descubrieron cómo aprovechar la vulnerabilidad y la están utilizando en ataques, ya que la plataforma de monitoreo de amenazas GreyNoise ha observado recientemente una actividad de explotación que se origina en múltiples direcciones IP únicas.

Actividad de explotación
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

GreyNoise señala que la falla es similar a CVE-2024-40890, que se basa en HTTP. Sin embargo, VulnCheck confirmó que la detección de explotación actual es para CVE-2024-40891 sin parchear, que se basa en el protocolo telnet.

"GreyNoise está observando intentos de explotación activos dirigidos a una vulnerabilidad de inyección de comandos crítica de día cero en dispositivos Zyxel CPE Series identificada como CVE-2024-40891", se lee en el boletín.

"En este momento, la vulnerabilidad no está parcheada ni se ha divulgado públicamente. Los atacantes pueden aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios en los dispositivos afectados, lo que lleva a un compromiso completo del sistema, exfiltración de datos o infiltración en la red" - GreyNoise

El servicio de escaneo de Internet Censys informa que hay más de 1500 dispositivos Zyxel CPE Series actualmente expuestos en línea, principalmente en Filipinas, Turquía, el Reino Unido, Francia e Italia.

Teniendo en cuenta que no hay ninguna actualización de seguridad disponible para solucionar el problema, los administradores de sistemas deberían al menos intentar bloquear las direcciones IP que lanzan los intentos de explotación. Sin embargo, estos ataques desde otras direcciones IP aún son posibles.

Para una mayor mitigación, se recomienda monitorear el tráfico de solicitudes de telnet atípicas a las interfaces de administración de CPE de Zyxel y restringir el acceso a la interfaz administrativa solo a una lista de direcciones IP permitidas especificada.

Si no se utilizan o no se necesitan las funciones de administración remota, es mejor deshabilitarlas por completo para reducir la superficie de ataque.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1043

Noticias Informáticas / Lumma en herramientas criptográficas falsas y mods de juegos en GitHub

Enero 28, 2025, 04:30:06 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

McAfee Labs, la división de investigación de amenazas del gigante de la ciberseguridad McAfee, ha descubierto recientemente una tendencia inquietante: la explotación de plataformas populares como GitHub para distribuir malware. Su investigación revela una red de repositorios maliciosos que ofrecen contenido aparentemente legítimo, como hacks de juegos, software pirateado y herramientas gratuitas de criptomonedas, todo ello diseñado para atraer a usuarios desprevenidos para que descarguen y ejecuten código dañino.

Estos repositorios, a menudo disfrazados con características de aspecto profesional, como licencias de distribución y capturas de pantalla, aprovechan la confianza y la accesibilidad de GitHub para engañar a los usuarios. Los atacantes apuntan estratégicamente a personas que buscan una ventaja en juegos populares como Minecraft, Roblox y Call of Duty, o a aquellos que buscan acceso gratuito a software premium como Spotify y Adobe Express.

Vector de Ataque
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El malware Lumma Stealer es el principal tipo de malware que se distribuye a través de estos repositorios. Los usuarios son atraídos por promesas de hacks de juegos, software crackeado o herramientas de criptomonedas gratuitas. Una vez en el repositorio, se les indica que descarguen y ejecuten un archivo disfrazado como el software prometido.

El archivo descargado suele ser una variante del malware Lumma Stealer, que luego recopila información confidencial, incluidas las credenciales de inicio de sesión, la información de la billetera de criptomonedas, el historial del navegador, las cookies y la información de identificación personal, y extrae los datos robados a servidores de comando y control controlados por los atacantes.

"Cada semana, se lanza un nuevo conjunto de repositorios con una nueva variante de malware, ya que GitHub detecta y elimina los repositorios más antiguos. Estos repositorios también incluyen licencias de distribución y capturas de pantalla del software para mejorar su apariencia de legitimidad", explicó Aayush Tyagi de McAfee en una publicación de blog.

Para atraer aún más a los usuarios, estos repositorios a menudo instruyen a las víctimas a desactivar su software antivirus, alegando que interferirá con el programa descargado. Este paso crucial desactiva de manera efectiva la línea de defensa principal del usuario, lo que permite que el malware opere sin ser detectado y robe información confidencial, como credenciales de inicio de sesión, datos de billetera de criptomonedas e historial de navegación.

Los niños y los adultos jóvenes, en particular los jugadores ávidos, son los principales objetivos de estos ataques. El atractivo de los hacks de juegos, que ofrecen ventajas como aimbots y hacks de velocidad, y el hecho de que el paquete incluye un sistema avanzado Anti-Ban para evitar la suspensión de cuentas, son muy atractivos, lo que los hace más susceptibles a ser víctimas de estas tácticas engañosas.

La búsqueda de Google muestra el repositorio malicioso de GitHub y un video de YouTube donde los estafadores usan descripciones para difundir el repositorio

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Respuesta y recomendaciones de McAfee

McAfee Labs está mitigando activamente esta amenaza mediante el bloqueo de URL maliciosas, la detección y el bloqueo de malware descargado y el suministro de soluciones de seguridad integrales para proteger a los usuarios. La empresa recomienda mejorar su postura de seguridad, por ejemplo, manteniendo actualizado el software antivirus y antimalware y adoptando un comportamiento cauteloso en línea. También es fundamental realizar actualizaciones periódicas del sistema con los parches de seguridad más recientes.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1044

Noticias Informáticas / Backdoor de TorNet explota la red TOR en un ataque de phishing avanzado

Enero 28, 2025, 04:27:57 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una campaña maliciosa, descubierta por Cisco Talos en julio de 2024, se dirigía principalmente a usuarios de Polonia y Alemania a través de correos electrónicos de phishing que contenían archivos adjuntos maliciosos camuflados en archivos .tgz. Estos correos electrónicos se hacen pasar por instituciones financieras y empresas, a menudo con temas como confirmaciones de transferencias de dinero o recibos de pedidos. Están escritos principalmente en polaco y alemán y contienen archivos .tgz comprimidos.

Según la investigación de Cisco Talos, compartida con You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login antes de su publicación el martes 28, el actor también ha desplegado otras cargas útiles, incluido "Agent Tesla", Snake Keylogger y una nueva puerta trasera no documentada, que los investigadores denominaron TorNet.

Cuando un usuario extrae un archivo adjunto, aparece un archivo ejecutable .NET que descarga la siguiente etapa del ataque, el malware PureCrypter, desde un servidor remoto o dentro del propio cargador (descifrado mediante el algoritmo AES y cargado en la memoria del dispositivo de destino).

El malware PureCrypter es una biblioteca de vínculos dinámicos de Windows ofuscada con el ofuscador .NET Reactor de Eziriz. Contiene binarios cifrados de DLL legítimas, incluidas Protobuf-net y la DLL del programador de tareas de Microsoft, y la puerta trasera TorNet.

PureCrypter emplea varias técnicas de evasión, que incluyen desconectar la máquina de la víctima de la red antes de soltar las cargas útiles, verificar si hay una máquina virtual, un entorno sandbox o el estado del depurador, y modificar la configuración de Windows Defender. Garantiza la persistencia creando una tarea programada que se ejecuta cada pocos minutos, incluso con poca batería, y agregando entradas al registro de Windows para garantizar que el cargador se ejecute al inicio.

Además, elimina la puerta trasera TorNet, que es una puerta trasera .NET relativamente nueva que se utilizó en este ataque para conectarse a un servidor C2 a través de la red TOR para una comunicación sigilosa. Anonimiza la comunicación con el servidor C2, lo que dificulta la detección. Después de establecer una conexión, envía información de identificación y permite a los atacantes llevar a cabo la ejecución remota de código enviando ensamblados .NET arbitrarios al servidor C2, lo que amplía sustancialmente la superficie de ataque.

Vector de Ataque
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La campaña utiliza técnicas avanzadas como desconexiones de red, explotación de la red Tor y cargas útiles de varias etapas. El uso de la red Tor dificulta aún más el seguimiento y la interrupción. Esta campaña destaca la necesidad de una cautela continua y de un monitoreo de la red para abordar las crecientes tácticas de amenaza de los atacantes.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1045

Noticias Informáticas / Hackers se atribuyen una segunda vulneración a HP Enterprise

Enero 28, 2025, 04:23:51 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

IntelBroker, un conocido hacker vinculado a ciberataques de alto perfil anteriores, ha anunciado una supuesta nueva violación de datos de Hewlett-Packard Enterprise (HPE). El hacker afirma haber accedido y clonado nuevos datos de los repositorios de HPE.

Aunque los datos reclamados tienen un tamaño de 500 MB, un tamaño relativamente más pequeño de lo habitual, las capturas de pantalla compartidas exclusivamente con You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login brindan información sobre lo que parece ser la infraestructura comprometida, revelando credenciales expuestas, configuraciones internas y código fuente propietario.

Esta última violación es la segunda vez que IntelBroker apunta a Hewlett Packard Enterprise. En enero de 2025, como informó You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, IntelBroker se atribuyó públicamente la responsabilidad de comprometer la infraestructura de HPE en un ataque anterior. Esa violación, divulgada a través de Breach Forums y en una conversación exclusiva con You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, implicó una exfiltración sustancial de datos confidenciales.

Últimas afirmaciones

Un análisis rápido del árbol de datos y las capturas de pantalla internas vistas por You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login señalan la posible extracción de algunos datos confidenciales, incluidas claves privadas y certificados, código fuente propietario de productos HPE, incluidos los sistemas iLO y Zerto, repositorios internos de Git y compilaciones de Docker.

Además, el árbol de datos muestra que los piratas informáticos también supuestamente lograron acceder a configuraciones de infraestructura expuestas, incluidos servicios y puntos finales internos, como integraciones de SignonService y Salesforce, DNS interno y canales de implementación para microservicios, credenciales de MongoDB, integraciones de QID y más.

Planes para vender el acceso

En la primera supuesta violación de HPE, IntelBroker ofreció los datos robados a la venta, exigiendo el pago en la criptomoneda Monero para permanecer anónimos. Esta vez, sin embargo, el hacker afirma que planea liberar todo el conjunto de datos de forma gratuita y vender el acceso.

"No estoy seguro de vender los datos, tal vez los filtre de forma gratuita esta vez, aún no lo sé, pero mi equipo podría estar vendiendo el acceso que tenemos a la infraestructura de HPE a las partes interesadas". IntelBroker le dijo a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Sin embargo, las denuncias sobre la nueva filtración de datos de HPE muestran la urgencia de que las organizaciones aseguren su infraestructura, auditen periódicamente los controles de acceso y controlen la actividad sospechosa. Si se confirma, esta filtración representa un incidente importante para HPE, con implicaciones a largo plazo para sus operaciones y la confianza de los clientes.

HPE NO ES HP Inc

Hewlett-Packard Enterprise (HPE) y HP Inc. son dos entidades independientes que se originaron a partir de la división de Hewlett-Packard en 2015. HPE se centra en soluciones de TI de nivel empresarial, incluidos servidores, almacenamiento, redes, computación en la nube y servicios de software diseñados para empresas.

Por el contrario, HP Inc. se especializa en dispositivos informáticos personales e impresoras, y está dirigida a consumidores y pequeñas empresas. Si bien comparten un origen común, sus operaciones y áreas de enfoque son completamente diferentes.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login se ha puesto en contacto con HPE para obtener una declaración. Cualquier respuesta de la empresa se agregará a este artículo tan pronto como se reciba. ¡Esté atento a las actualizaciones!

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1046

Noticias Informáticas / Google renombra el Golfo de México tras la orden ejecutiva de Trump

Enero 28, 2025, 12:51:54 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google se despide del Golfo de México. A partir de ahora, Google Maps lo llamará Golfo de América, anunció el gigante tecnológico el lunes, una semana después de que el presidente Donald Trump firmara una orden ejecutiva para cambiarle el nombre en su primer día de regreso al cargo.

"Hemos recibido algunas preguntas sobre los nombres en Google Maps", publicó Google en X. "Tenemos una práctica de larga data de aplicar los cambios de nombre cuando se han actualizado en las fuentes oficiales del gobierno".

Google también dijo que cambiaría el nombre de Denali, la montaña más alta de Norteamérica, por el de Monte McKinley, tras una orden ejecutiva diferente de Trump. La montaña de Alaska había sido rebautizada en 2015 como Denali por el entonces presidente Barack Obama; inicialmente se le dio el nombre en honor al presidente William McKinley en 1896.

Los nuevos cambios no habían entrado en vigor en Google Maps el lunes por la tarde; Google dijo que actualizaría su aplicación "rápidamente" para reflejar los nuevos nombres.

Curiosamente, Google dijo que, si bien los usuarios estadounidenses verán el "nombre local oficial", los usuarios "del resto del mundo verán ambos nombres" para las ubicaciones.

Los cambios se producen después de que Sundar Pichai, el director ejecutivo de Alphabet, la empresa matriz de Google, se sentara detrás del presidente Trump en su toma de posesión la semana pasada. Varios otros ejecutivos de tecnología, incluido el director ejecutivo de Meta, Mark Zuckerberg, el jefe de Tesla y X, Elon Musk, el director ejecutivo de Apple, Tim Cook, y el fundador de Amazon, Jeff Bezos, estuvieron allí junto a Pichai.

Fuente:
msn News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1047

Noticias Informáticas / DeepSeek detiene nuevos registros en medio de un ciberataque "a gran escala"

Enero 28, 2025, 12:50:21 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La plataforma de inteligencia artificial china DeepSeek ha desactivado los registros en su plataforma de chat DeepSeek-V3 debido a un ciberataque "a gran escala" en curso dirigido a sus servicios.

DeepSeek es una plataforma de inteligencia artificial relativamente nueva que ha ganado rápidamente atención durante la semana pasada por su desarrollo y lanzamiento de un modelo de inteligencia artificial avanzado que supuestamente iguala o supera las capacidades de los modelos del gigante tecnológico estadounidense a costos significativamente más bajos.

La noticia del nuevo modelo provocó una venta masiva en el mercado de valores de EE. UU. a medida que se intensifica la carrera armamentista de la inteligencia artificial.

Sin embargo, con este aumento de popularidad llega la atención de los actores de amenazas, o como algunos creen, sus rivales corporativos.

Hoy, justo cuando la aplicación DeepSeek AI Assistant superó a ChatGPT como la aplicación más descargada en la App Store de Apple, la compañía se vio obligada a desactivar nuevos registros después de sufrir un ciberataque.

"Debido a ataques maliciosos a gran escala a los servicios de DeepSeek, estamos limitando temporalmente los registros para garantizar la continuidad del servicio", se lee en un mensaje en la página de estado de DeepSeek.

"Los usuarios existentes pueden iniciar sesión como siempre. Gracias por su comprensión y apoyo".

Si bien no se compartieron detalles sobre el ataque, se cree que la empresa se enfrenta a un ataque de denegación de servicio distribuido (DDoS) contra su API y plataforma de chat web.

Un ataque DDoS se produce cuando se envía una gran cantidad de tráfico a una dirección IP o URL en particular, lo que utiliza los recursos disponibles en los dispositivos. Esto hace que los servicios ya no funcionen hasta que se mitigue o detenga el ataque DDoS.

Si bien el ataque está afectando su proceso de registro, ahora puede iniciar sesión con su cuenta de Google para obtener acceso.

Al hacerlo, compartirá su nombre, dirección de correo electrónico, preferencia de idioma y foto de perfil con DeepSeek.

Ahora que DeepSeek ha recibido una inmensa atención de los medios, también está siendo objeto de un intenso escrutinio por parte de investigadores de ciberseguridad.

Hoy, la empresa de ciberseguridad KELA informó que pudo desbloquear el modelo para producir resultados maliciosos.

"KELA ha observado que, si bien DeepSeek R1 tiene similitudes con ChatGPT, es significativamente más vulnerable", se lee en el informe de KELA.

"El equipo rojo de inteligencia artificial de KELA pudo desbloquear el modelo en una amplia gama de escenarios, lo que le permitió generar resultados maliciosos, como el desarrollo de ransomware, la fabricación de contenido confidencial e instrucciones detalladas para crear toxinas y dispositivos explosivos".

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1048

Noticias Informáticas / Trump pide «cúpula de hierro» para defensa antimisiles de US

Enero 28, 2025, 12:48:29 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El presidente Donald Trump está preparando una orden ejecutiva para un escudo de defensa de "próxima generación" que proteja a Estados Unidos contra misiles balísticos y otros ataques de largo alcance, asumiendo un objetivo que las administraciones anteriores, incluida la suya, lucharon por alcanzar.

"La amenaza de ataque con misiles balísticos, de crucero e hipersónicos sigue siendo una amenaza catastrófica para Estados Unidos", según un documento de la Casa Blanca sobre la próxima orden ejecutiva.

En el documento se afirma que Trump ordenará la construcción de un escudo "Cúpula de Hierro", comparándolo con el sistema de Israel, que fue desarrollado en coordinación con Estados Unidos y está diseñado para hacer frente a amenazas como drones, cohetes y misiles de crucero.

Cualquier sistema de este tipo tendría que ir mucho más allá de lo que ofrece la Cúpula de Hierro de Israel si se pretende que cubra todo Estados Unidos. La unidad Raytheon de RTX Corp., que produce la Cúpula de Hierro en coordinación con Rafael Advanced Defense Systems de Israel, dice que el misil Tamir del sistema puede derribar armas lanzadas desde un rango de 4 a 70 km (44 millas).

La orden ejecutiva del presidente busca acelerar la producción y entrega de nuevos sistemas para rastrear e interceptar misiles entrantes, así como para neutralizarlos antes del lanzamiento. El documento de la Casa Blanca sobre la orden prevista fue reportado anteriormente por CNN.

Estados Unidos ya tiene una gama de sistemas de defensa antimisiles en funcionamiento. Hay sistemas de defensa aérea de gran altitud terminal, así como sistemas Aegis en buques de guerra y baterías Patriot e interceptores terrestres.

Pero el Departamento de Defensa ha tenido dificultades para desarrollar un escudo de defensa para todo Estados Unidos. Los esfuerzos infructuosos se remontan a la Iniciativa de Defensa Estratégica propuesta por el presidente Ronald Reagan, un sistema basado en el espacio que se conoció como "La Guerra de las Galaxias".

Desde 2002, la Agencia de Defensa de Misiles del Pentágono ha gastado más de 194.000 millones de dólares, incluidos 10.400 millones para el año fiscal 2022, para equipar a los comandantes operativos con un sistema en capas de sensores, interceptores y capacidades de mando y control para detectar, rastrear y destruir los misiles entrantes, dijo la Oficina de Responsabilidad Gubernamental en un informe de 2023.

En 2019, durante el primer mandato de Trump, el Pentágono canceló un contrato de mil millones de dólares con Boeing Co. para un "vehículo de ataque" concebido para derribar misiles de Corea del Norte o Irán.

En los últimos años, adversarios como China y Rusia han trabajado para desarrollar armas hipersónicas, mientras que el Departamento de Defensa ha tenido dificultades para seguir el ritmo. Según la Casa Blanca, incluso ante las crecientes amenazas, "la política de defensa antimisiles de Estados Unidos se ha limitado a mantenerse a la vanguardia de las amenazas de naciones rebeldes y los lanzamientos de misiles accidentales o no autorizados".

La Agencia de Defensa de Misiles supervisa un sistema de 44 interceptores terrestres con base en California y Alaska, diseñados y pensados para detener pequeñas cantidades de misiles balísticos de Corea del Norte, no oleadas de misiles de China o Rusia. El año pasado, Lockheed Martin Corp. ganó un contrato de 17 mil millones de dólares para modernizar los interceptores.

Según el presidente, el nuevo sistema "se fabricará íntegramente en Estados Unidos".

Fuente:
msn News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1049

Noticias Informáticas / Facebook marca temas relacionados con Linux como "amenazas a la ciberseguridad"

Enero 27, 2025, 08:07:22 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Facebook está prohibiendo publicaciones que mencionen varios temas, sitios o grupos relacionados con Linux. Algunos usuarios también pueden ver sus cuentas bloqueadas o limitadas al publicar temas sobre Linux. DistroWatch, el principal sitio de noticias, reseñas y debates sobre sistemas operativos de código abierto, está en el centro de la controversia, ya que parece ser el primero en haber notado que las Normas comunitarias de Facebook lo habían prohibido.

Una publicación en el sitio afirma: "Los responsables de las políticas internas de Facebook decidieron que Linux es malware y etiquetaron a los grupos asociados con Linux como 'amenazas de ciberseguridad'. Intentamos publicar algo de propaganda sobre You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login en Facebook y podemos confirmar que fue bloqueado con un mensaje que cita las Normas comunitarias.

DistroWatch dice que la prohibición de Facebook entró en vigencia el 19 de enero. Los lectores han informado de dificultades para publicar enlaces al sitio en esta plataforma de redes sociales. Además, algunos le han dicho a DistroWatch que sus cuentas de Facebook han sido bloqueadas o limitadas después de compartir publicaciones que mencionan temas sobre Linux.

Si te preguntas si podría haber algo específico de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, algo en el sitio que los propietarios/operadores tal vez ni siquiera sepan, por ejemplo, entonces parece bastante seguro descartar tal posibilidad. Los informes muestran que "varios grupos asociados con Linux y discusiones sobre Linux han sido cerrados o se han eliminado muchas de sus publicaciones". Sin embargo, probamos algunas otras publicaciones de Facebook con menciones a Linux y no se bloquearon de inmediato.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

DistroWatch, con sede en Copenhague, dice que ha intentado apelar contra la prohibición provocada por las Normas comunitarias. Sin embargo, dicen que un representante de Facebook dijo que los temas de Linux permanecerían en el filtro de ciberseguridad. El escritor de DistroWatch posteriormente vio bloqueada su cuenta de Facebook...

La prohibición excesivamente entusiasta de Facebook sobre algunos temas de Linux en nombre de las Normas comunitarias y su protección de sus usuarios contra amenazas viene con una gran dosis de ironía.
"Facebook ejecuta gran parte de su infraestructura en Linux", señala DistroWatch, "y a menudo publica anuncios de trabajo en busca de desarrolladores de Linux".

Sin embargo, el sitio de noticias sobre Linux fue lo suficientemente amable como para no burlarse del historial de Facebook de (no) proteger a sus usuarios. Por ejemplo, algunos consideran que Facebook ha sido fundamental en la interferencia electoral en todo el mundo, que ha alimentado el genocidio en Myanmar y, a pesar de su terrible pasado, ha decidido recientemente deshacerse de sus verificadores de hechos independientes.

Fuente:
Tom´s Hardware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1050

Noticias Informáticas / Vulnerabilidad en Brave permite que sitios maliciosos parezcan confiables

Enero 27, 2025, 08:05:10 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha descubierto una vulnerabilidad de seguridad crítica en el popular navegador Brave, que permite que sitios web maliciosos engañen a los usuarios haciéndoles creer que están interactuando con fuentes confiables. Esta falla, identificada como CVE-2025-23086 (clasificada bajo CWE-60), afecta a las versiones de escritorio de Brave desde la versión 1.70.x hasta la 1.73.x.

El problema radica en una característica diseñada para mejorar la seguridad del usuario: mostrar el origen de un sitio web en el diálogo del selector de archivos del sistema operativo durante la carga o descarga de archivos. Esto tiene como objetivo proporcionar una pista visual que confirme la legitimidad del sitio involucrado en la transferencia de archivos. Sin embargo, en escenarios específicos, esta información crucial sobre el origen no se dedujo con precisión, lo que dejó una brecha crítica en la protección del usuario.

Esta tergiversación del origen se vuelve particularmente peligrosa cuando se combina con una vulnerabilidad de "redireccionamiento abierto" en un sitio web legítimo. Los redireccionamientos abiertos significan que un sitio web confiable permite que la entrada controlada por el usuario redirija a los usuarios a URL externas y no la valida correctamente. Al explotar esta combinación, los actores maliciosos pueden crear escenarios en los que un sitio web malicioso, a través de la redirección abierta, aparece como una fuente confiable en el diálogo del selector de archivos, engañando a los usuarios para que interactúen con él.

En mayo de 2024, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login informó sobre los resultados de la serie trimestral Wolf Security Threat Insights de HP, que reveló un aumento en los ciberdelincuentes que emplean tácticas de "cat-phishing", explotando vulnerabilidades de redirección abierta y otras técnicas de Living-off-the-Land para eludir las medidas de seguridad tradicionales.

La vulnerabilidad tiene una puntuación base de 6,1, clasificada como de gravedad media, con un vector de ataque de RED y una complejidad de ataque baja y requisitos de interacción del usuario bajos. Las consecuencias de esta vulnerabilidad podrían ser drásticas. Los usuarios podrían ser engañados sin saberlo para que descarguen malware, compartan información confidencial con actores maliciosos o sean víctimas de sofisticados ataques de phishing. Esto socava el principio básico de confianza y seguridad del usuario que los navegadores están diseñados para mantener.

Para mitigar CVE-2025-23086, actualice a la versión 1.74.48 o posterior del navegador Brave Desktop, compruebe si hay vulnerabilidades de redireccionamiento abierto y asegúrese de verificar las fuentes de descarga de archivos y reconocer los mensajes sospechosos.

Además, utilice herramientas de seguridad y extensiones de navegador para protegerse contra redireccionamientos abiertos y tácticas de phishing. Las actualizaciones periódicas y la concienciación de los usuarios pueden reducir significativamente los riesgos de explotación. Los administradores de sitios de confianza también deben revisar sus plataformas para eliminar o reparar vulnerabilidades de redireccionamiento abierto.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1051

Noticias Informáticas / Hackers roban 85 millones de dólares en criptomonedas de Phemex

Enero 27, 2025, 07:43:35 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El intercambio de criptomonedas Phemex sufrió una brecha de seguridad masiva el jueves, donde los actores de amenazas robaron más de $85 millones en criptomonedas.

Después del ciberataque del jueves, el intercambio de criptomonedas suspendió inmediatamente los depósitos y retiros y publicó una prueba de reservas para mayor transparencia.

Según el CEO de Phemex, Federico Variola, el incidente solo afectó a las billeteras calientes, mientras que las billeteras frías permanecieron seguras.

"El 23 de enero de 2025, a las 11:30 UTC, detectamos una actividad inusual en nuestra billetera caliente", se lee en el anuncio en el sitio web de Phemex.

"Activamos rápidamente nuestro mecanismo de respuesta de emergencia, suspendimos las funciones relacionadas y comenzamos a abordar las posibles vulnerabilidades".

"Los dispositivos afectados han sido identificados y aislados, y hemos informado el asunto a empresas de seguridad de terceros y a las fuerzas del orden para obtener más apoyo y acciones".

El valor de las criptomonedas robadas se estimó inicialmente en 29 millones de dólares, pero la empresa de seguridad criptográfica PeckShield elevó la estimación a 69 millones de dólares el viernes.

Sin embargo, el domingo, las estimaciones aumentaron de nuevo, y Taylor Monahan de MetaMask calculó que las criptomonedas robadas valían al menos 85 millones de dólares.

La plataforma de intercambio y comercio de criptomonedas dice que ha establecido un nuevo sistema más seguro, que su socio de ciberseguridad monitorea de cerca.

Los retiros se están restaurando gradualmente, con ETH, USDT y USDC en Ethereum restaurados el viernes, SOL, USDT y USDC en Solana el sábado, y Arbitrum, Optimism, BSC, Polygon y Base ayer.

Phemex señala que las direcciones de depósito antiguas ya no deben usarse, ya que la revisión manual puede retrasar las transacciones. Se recomienda a los usuarios con depósitos aún pendientes de acreditación que se comuniquen con el servicio de atención al cliente para resolver cualquier problema.

Los robos de criptomonedas de esta escala son llevados a cabo comúnmente por piratas informáticos norcoreanos como el grupo Lazarus, que se especializan en estas operaciones.

A finales del año pasado, el FBI vinculó al grupo de amenazas norcoreano 'TraderTraitor' con el hackeo de DDM Bitcoin en mayo de 2024, lo que resultó en pérdidas de $308,000,000.

Una estimación más amplia publicada por el gobierno de EE. UU. a principios de este mes atribuye $659,000,000 de pérdidas de criptomonedas este año a los hackeos norcoreanos, mientras que Chainalysis informó una cantidad mayor de $1,3 mil millones para 2024.

El director ejecutivo de Phemex, Variola, mencionó en X que el actor de la amenaza y el ataque fueron "sofisticados", pero omitió cualquier detalle que pudiera proporcionar pistas para la atribución.

Hasta el momento, los actores de amenazas que robaron $85 millones de Phemex siguen sin identificar.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1052

Noticias Informáticas / Apple corrige el primer error de día cero explotado activamente este año

Enero 27, 2025, 07:41:54 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apple ha publicado actualizaciones de seguridad para corregir la primera vulnerabilidad de día cero de este año, etiquetada como explotada activamente en ataques dirigidos a usuarios de iPhone.

La vulnerabilidad de día cero corregida hoy se identifica como CVE-2025-24085 [iOS/iPadOS, macOS, tvOS, watchOS, visionOS] y es una falla de seguridad de escalada de privilegios en el marco Core Media de Apple.

"Una aplicación maliciosa podría ser capaz de elevar privilegios. Apple está al tanto de un informe que indica que este problema podría haber sido explotado activamente contra versiones de iOS anteriores a iOS 17.2", dijo Apple hoy.

Según la documentación oficial de la empresa, Core Media "define el canal de medios utilizado por AVFoundation y otros marcos de medios de alto nivel que se encuentran en las plataformas de Apple".

Apple ha corregido el CVE-2024-23222 con una gestión de memoria mejorada en iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3, visionOS 2.3 y tvOS 18.3.

La lista de dispositivos afectados por este día cero es bastante extensa, ya que el error afecta a modelos antiguos y nuevos, incluidos:

iPhone XS y posteriores,

iPad Pro de 13 pulgadas, iPad Pro de 12,9 pulgadas de tercera generación y posteriores, iPad Pro de 11 pulgadas de primera generación y posteriores, iPad Air de tercera generación y posteriores, iPad de séptima generación y posteriores, y iPad mini de quinta generación y posteriores

macOS Sequoia

Apple Watch Series 6 y posteriores

Apple TV HD y Apple TV 4K (todos los modelos)

Apple aún no ha atribuido el descubrimiento de esta vulnerabilidad de seguridad a un investigador de seguridad y no ha publicado detalles sobre los ataques, a pesar de que reveló que se explota en la naturaleza.

Si bien es probable que este error de día cero solo haya sido explotado en ataques dirigidos, se recomienda encarecidamente instalar las actualizaciones de seguridad actuales lo antes posible para bloquear posibles intentos de ataques en curso.

El año pasado, la compañía corrigió un total de seis vulnerabilidades de día cero: la primera en enero, dos en marzo, una cuarta en mayo y dos más en noviembre.

Un año antes, en 2023, Apple corrigió 20 vulnerabilidades de día cero explotadas in situ, entre ellas:

dos vulnerabilidades de día cero (CVE-2023-42916 y CVE-2023-42917) en noviembre

dos vulnerabilidades de día cero (CVE-2023-42824 y CVE-2023-5217) en octubre

cinco vulnerabilidades de día cero (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 y CVE-2023-41993) en septiembre

dos vulnerabilidades de día cero (CVE-2023-37450 y CVE-2023-41993) en septiembre CVE-2023-38606) en julio

tres ataques de día cero (CVE-2023-32434, CVE-2023-32435 y CVE-2023-32439) en junio

tres ataques de día cero más (CVE-2023-32409, CVE-2023-28204 y CVE-2023-32373) en mayo

dos ataques de día cero (CVE-2023-28206 y CVE-2023-28205) en abril

y otro ataque de día cero de WebKit (CVE-2023-23529) en febrero

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1053

Noticias Informáticas / Nuevo gusano de minería de criptomonedas vinculado a campaña global

Enero 27, 2025, 07:37:19 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Tangerine Turkey es un gusano de Visual Basic Script (VBS) que se propaga a través de unidades USB y despliega malware de minería de criptomonedas para generar criptomonedas para los atacantes.

El gusano utiliza una técnica llamada secuestro de DLL, manipulando el archivo legítimo printui.exe para entregar su carga útil, según los expertos de Red Canary, una empresa de ciberseguridad.

Red Canary observó Tangerine Turkey en noviembre del año pasado (de ahí el nombre) y señaló que era una amenaza en curso que podría estar relacionada con la operación mundial Universal Mining.

La campaña generalizada de minería de criptomonedas fue detallada por primera vez por el CERT de Azerbaiyán en octubre. Utiliza gusanos VBS y, según se informa, ha infectado más de 270.000 sistemas en 135 países.

A pesar de su naturaleza generalizada, la campaña fue "relativamente poco denunciada", dijo Stef Rand de Red Canary en una publicación de blog, y agregó que "todavía sigue siendo fuerte, posiblemente con nuevas variantes de malware".

Se descubrió que Tangerine Turkey usaba XMRig y Zephyr Miner como software de minería, ambos diseñados para extraer criptomonedas de forma encubierta. Zephyr Miner tiene como objetivo Zephyr, una moneda estable creada en 2023.

El malware se distribuye a través de unidades USB y ejecuta archivos maliciosos para instalar y manipular binarios del sistema. Los indicadores clave de compromiso incluyen archivos printui.exe reubicados y la presencia de carpetas o scripts inusuales en los sistemas infectados.

Los expertos en seguridad recomiendan monitorear las ubicaciones de archivos inusuales, en particular printui.exe fuera de su directorio predeterminado, lo que podría ser un indicio de actividad sospechosa.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1054

Noticias Informáticas / Hacker evaden filtros de spam de email mediante texto oculto

Enero 27, 2025, 07:35:07 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Para Ud., se lee "WELLS FARGO". Para el filtro de spam de correo electrónico, es "WEqcvuilLLS FAroyawdRGO". Este galimatías debería ser una señal de alerta obvia para ambos. Sin embargo, algunos sistemas de seguridad pueden ser eludidos mediante trucos HTML/CSS.

Desde principios de la segunda mitad de 2024, Cisco Talos ha observado un aumento en la cantidad de amenazas de correo electrónico que contienen sal de texto similar, también conocido como envenenamiento.

El correo electrónico fraudulento parece normal para los usuarios que lo ven en HTML. Sin embargo, el texto está alterado para los analizadores de correo electrónico.

Al insertar caracteres ocultos en el código fuente de un correo electrónico, los estafadores logran múltiples objetivos. Evitan la extracción de la marca por parte de los analizadores de correo electrónico, confunden los procedimientos de detección de idioma e impiden que las herramientas de seguridad decodifiquen y analicen correctamente los archivos adjuntos.

"La sal de texto oculto es una técnica simple pero efectiva para eludir los analizadores de correo electrónico, confundir los filtros de spam y evadir los motores de detección que se basan en palabras clave", se lee en el informe.

Los filtros no detectan palabras clave ni idioma

Los piratas informáticos utilizan el método de "salting" con al menos tres propósitos diferentes. Los filtros de spam suelen basarse en la detección de palabras clave, y el método de "salting" puede ayudar a eludir esta comprobación.

Para hacerse pasar por una marca conocida, como Wells Fargo, los estafadores modifican el nombre en HTML con etiquetas de estilo. Especifican que solo las letras del nombre de la marca real son visibles para el usuario, mientras que los caracteres insertados entre esas letras se configuran como "ocultos".

En otro caso, los estafadores se hacían pasar por la marca Norton LifeLock. Los correos electrónicos fraudulentos contenían caracteres de ancho cero insertados entre las letras.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El segundo objetivo es confundir la detección de idioma. Durante una campaña, los spammers enviaron correos electrónicos haciéndose pasar por la marca Harbor Freight. Para los destinatarios, se leía en inglés. Sin embargo, los correos electrónicos spam contenían varias palabras y frases en francés que estaban visualmente ocultas. De esta manera, los piratas informáticos engañaron al módulo de detección de idioma de Microsoft y pasaron por alto el control de seguridad.

El tercer tipo de spam se basa en el contrabando de archivos adjuntos que pasan por alto los filtros de seguridad. Los actores de amenazas agregan archivos adjuntos HTML con múltiples comentarios irrelevantes entre los caracteres codificados en base64, lo que impide que los analizadores puedan unir las cadenas y decodificarlas fácilmente.

Cisco Talos sugiere que para combatir estas estafas se necesitan técnicas de filtrado avanzadas que se basen en la IA y en funciones visuales. Por ejemplo, se podrían crear sistemas de filtrado que identifiquen el uso cuestionable de propiedades CSS como la visibilidad (por ejemplo, "visibilidad: oculta") y la visualización (por ejemplo, "visualización: ninguna"), que se utilizan con frecuencia para ocultar texto.

"La protección contra estas amenazas sofisticadas y perversas requiere una solución integral de seguridad del correo electrónico que aproveche las detecciones impulsadas por la IA", afirmaron los investigadores.

Ver correos electrónicos en HTML también puede conllevar otros riesgos. Cybernews informó recientemente sobre una vulnerabilidad crítica de cero clic que afecta a los usuarios de Microsoft Outlook. Para explotarla, los atacantes podrían enviar correos electrónicos especialmente diseñados a las víctimas, y la carga maliciosa se ejecutaría cuando la aplicación Microsoft Outlook muestre una vista previa sin abrir realmente un correo electrónico.

Como solución alternativa, la propia Microsoft recomendó que "los usuarios lean los mensajes de correo electrónico en formato de texto simple" que no muestre imágenes, fuentes especializadas, animaciones u otro contenido enriquecido.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1055

Dudas y pedidos generales / Re:Extraer conversaciones de whatsap

Enero 27, 2025, 12:45:41 AM

Le reitero, nunca lo he realizado, incluso cuando era más permisible.

Le destaco este aspecto, porque opinar o referir sobre algo que no se posee la experiencia de la práctica, se corre el riesgo de ser juzgado como charlatanería.

No obstante, me gusta estar bien informado, que en este negocio es vital.

Mírelo aquí en las noticias sobre los métodos que le menciono:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Esto es el engaño del envío de un link disfrazado, en este caso como código QR, a la víctima a través del Whatsapp.
Estas redirecciones el resultado final es la descarga de un malware en el móvil de la víctima que troyaniza el whatsapp objetivo. Tipo de malware y cómo funciona... ya eso es cosa del equipo de espionaje de los rusos. Pero es el método. Fíjese que no se explota ninguna debilidad de whatsapp, es el engaño. Este puede ser un link, o una descarga de alguna app o servicio.

Otros casos (aunque no referidos a Whatsapp propiamente):

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Son similares, enfocados en la seguridad de Apple. En los SO que estén actualizados la seguridad le bloqueará incluso los links sospechosos.

Ya con malware muy sofisticado (tipo cero clic), y que son costosísimos (tipo Pegasus), si se llevan toda la comunicación del móvil, sea cual fuese.

En el Foro puse una vez a un desarrollador que realizó ingeniería inversa al software Pegasus (en una de sus versiones no muy actualizada, que funcionaba en móviles de cierto tiempo). El desarrollador mantenía el proyecto más o menos y con cierto impacto. Microsoft lo eliminó del GitHub.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En BreachForums, como en otros, hay un código fuente que se afirma que es el de Pegasus.
Es falso y ya se demostró.
Solo se repostea por el aquello de ganarse celebridad y esas tonterías.

Mírelo aquí:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Para Whatsapp, en estos momentos (y que yo sepa), no hay vulnerabilidad connotada, salvo la que poseen los rusos o koreanos para el espionaje y ya ve cómo son detectados.

Nada de esto avala y ya está bloqueado y hasta eliminado del GitHub:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1056

Dudas y pedidos generales / Re:Extraer conversaciones de whatsap

Enero 25, 2025, 09:56:40 PM

Hola You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ya es usuario de tiempo y sabe que en este Foro no vivimos para las reglas, o se esclavizan a los usuarios por ellas, o son instrumento para alimentar egos u ocultar ignorancias.

De cualquier modo, a su necesidad y respuesta.

Nunca lo he realizado: extraer las conversaciones de un Whatsapp de un móvil ajeno, ya sea por la vía que fuese. No obstante, "hasta donde estoy informado", a día de hoy estas son las vías para realizarlo:

- Un intercambio de Tarjeta (SIM Swap)

- A través de malware. No todos son válidos. Para esa función específica es el célebre Pegasus.

Hasta aquí.

Esos bug o hack de tipo "cero clic" son muy bien pagados precisamente para espionaje. No son reslizados por solo individuo, si no por equipos de desarrolladores.

Nunca he visto que se ofrezcan servicios al respecto (Hackeo de Whatsapp), y los que dicen realizarlo es una estafa garantizada.
Otra historia es el "poseer físicamente" el dispositivo del cual se desea extraer el contenido del Whatsapp.

Nada de esto funciona (a excepción de ciertos spyware como el que le mencioné (Pegasus):

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un usuario con un móvil de los modernos y bien configurado . Ni modo.
A no ser que se le envíe un link, para que descargue un malware, que a la vez le elimine al app y le monte una troyanizada. Esto es más difícil de realizar que escribirlo. En algún punto es detectado.

Montarle una app troyanizada de Whatsapp que envie los datos paralelos, a un servidor bajo su dominio y que lo remita a su móvil.
Es lo más viable, pero... tiene que ser una app bien hecha, y un usuario de los despreocupados y entretenidos.
Por lo general las versiones modernas de Android lo detectan y bloquean, o no lo dejan montar. Esto lo he presenciado.

#1057

Noticias Informáticas / Utilizan el RAT XWorm para explotar a los Script Kiddies

Enero 24, 2025, 05:16:43 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

CloudSEK ha descubierto una nueva campaña que involucra una versión troyanizada del generador de RAT XWorm. El malware se propagó a través de varios canales, incluidos los servicios de intercambio de archivos (como Mega y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login), repositorios de Github (como LifelsHex/FastCryptor y FullPenetrationTesting/888-RAT), canales de Telegram (incluidos HAX_CRYPT y heritageedeu) e incluso YouTube y otros sitios web.

Esta campaña resultó en la vulneración de más de 18.459 dispositivos en todo el mundo. Los datos robados incluían información confidencial como credenciales del navegador, tokens de Discord, datos de Telegram e información del sistema de los dispositivos vulnerados.

"Este generador proporciona a los atacantes una herramienta optimizada para implementar y operar un RAT de gran capacidad, que cuenta con funciones avanzadas como reconocimiento del sistema, exfiltración de datos y ejecución de comandos", reveló la publicación del blog de CloudSEK escrita por el investigador de inteligencia de amenazas de la empresa, Vikas Kundu.

Los actores de amenazas distribuyeron específicamente un generador de RAT XWorm modificado para atacar a atacantes inexpertos (también conocidos como Script Kiddies). Una vez instalado, el malware extrajo datos confidenciales como credenciales del navegador, tokens de Discord, datos de Telegram e información del sistema del dispositivo de la víctima. También contaba con funciones avanzadas como comprobaciones de virtualización, la capacidad de modificar el registro y amplias capacidades de comando y control.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Además, este malware depende de Telegram para su función de comando y control. Utilizaba tokens de bots y llamadas a la API de Telegram para recibir comandos del atacante y extraer datos robados.

Los investigadores pudieron identificar y aprovechar una función de "interruptor de seguridad" dentro del malware. Esta función se utilizó para interrumpir las operaciones en dispositivos activos infectados con el malware. Sin embargo, este enfoque tenía limitaciones. Las máquinas sin conexión y los mecanismos de limitación de velocidad de Telegram impidieron la interrupción completa.

Con base en la investigación, los investigadores pudieron vincular al actor de la amenaza con los alias "@shinyenigma" y "@milleniumrat". Además, pudieron identificar cuentas de GitHub asociadas y una dirección de ProtonMail.

Cabe señalar que XWorm se ha convertido en una amenaza persistente, y el Servicio Estatal de Protección de la Información y las Comunicaciones Especiales (SSSCIP) de Ucrania informó de su uso en operaciones cibernéticas rusas contra Ucrania en la primera mitad de 2024.

Para protegerse contra estas amenazas, las organizaciones y las personas deben utilizar soluciones de detección y respuesta de puntos finales (EDR) para detectar actividad sospechosa en la red e incluso la identificación de malware.

Además, la monitorización de la red mediante sistemas de detección y prevención de intrusiones (IDPS) puede bloquear la comunicación entre los dispositivos infectados y el servidor C&C malicioso en Telegram. Las medidas proactivas, como bloquear el acceso a URL maliciosas conocidas y aplicar la lista blanca de aplicaciones, pueden evitar que se descargue y ejecute malware.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1058

Noticias Informáticas / Bienvenido el nuevo Samsung Galaxy S25, S25 Plus, y S25 Ultra!

Enero 24, 2025, 04:56:03 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¡Fecha de lanzamiento, precios, colores y todo lo demás!
Los nuevos buques insignia Samsung Galaxy S25 están listos para mostrarnos todo de lo que son capaces One UI 7 y Galaxy AI.

(Inglés)

(Español)

Fuente:
AndroidAuthority
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1059

Noticias Informáticas / Secuestro de criptomonedas llega a su fin: diez detenidos y víctima hospitalizada

Enero 24, 2025, 04:52:33 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los dramáticos acontecimientos en Francia terminaron con la liberación de una pareja secuestrada, durante la cual varias personas fueron arrestadas y el rescate que se les pagó fue congelado.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La policía local confirmó que David Balland, cofundador de un importante fabricante de bitcoin (BTC) y billeteras de hardware de criptomonedas, Ledger, y su esposa fueron liberados del cautiverio el jueves. Según informes de los medios, diez personas fueron arrestadas y Balland fue hospitalizado debido a la mutilación de la mano. Le Berry Républicain afirma que otro cofundador de Ledger, Eric Larchevêque, recibió un video del dedo mutilado de Balland y una demanda de un gran rescate. No hay información pública sobre la cantidad exigida.

"Como la investigación y las operaciones policiales aún están en curso, lamentablemente no puedo compartir más detalles sobre este caso", publicó Larchevêque en X. Los informes iniciales sugirieron que los secuestradores apuntaban a Larchevêque.

Los fiscales confirmaron que parte de la suma exigida se pagó durante las negociaciones; sin embargo, poco después, el dinero fue congelado.

El autor francés de criptomonedas y cofundador del medio de comunicación The Big Whale, Grégory Raymond, citó fuentes no reveladas que afirman que el 95% del rescate pagado se congeló porque se pagó en tether (USDT), la moneda estable más popular. La industria de las criptomonedas ya ha visto muchos casos en los que los operadores de monedas estables centralizadas, como USDT o USD Coin (USDC), congelaron cuentas asociadas con actividades ilícitas tras las solicitudes de las fuerzas del orden.

"Respetamos las solicitudes de las fuerzas del orden en cuanto a salvaguardar los detalles críticos de la investigación en curso y apreciamos a los miembros de la prensa que hicieron lo mismo", dijo el director ejecutivo de Ledger, Pascal Gauthier, en X.

También agradeció a Larchevêque "por su valentía ante una situación tan traumática que esperamos que nunca se repita".

Este secuestro confirmado es al menos el séptimo asalto físico registrado a los titulares de criptoactivos este año, lo que representa casi un tercio de todos los casos de este tipo registrados en 2024.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1060

Noticias Informáticas / Hackers utilizan el secuestro del RID para crear una cuenta de admin oculta

Enero 24, 2025, 04:47:00 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un grupo de amenazas norcoreano ha estado utilizando una técnica llamada secuestro RID que engaña a Windows para que trate una cuenta con pocos privilegios como si tuviera permisos de administrador.

Los piratas informáticos utilizaron un archivo malicioso personalizado y una herramienta de código abierto para el ataque de secuestro. Ambas utilidades pueden realizar el ataque, pero los investigadores de la empresa de ciberseguridad surcoreana AhnLab afirman que existen diferencias.

Cómo funciona el secuestro RID

El identificador relativo (RID) en Windows es parte del identificador de seguridad (SID), una etiqueta única asignada a cada cuenta de usuario para distinguirlas.

El RID puede tomar valores que indican el nivel de acceso de la cuenta, como "500" para administradores, "501" para cuentas de invitados, "1000" para usuarios normales y "512" para el grupo de administradores de dominio.

El secuestro de RID ocurre cuando los atacantes modifican el RID de una cuenta con pocos privilegios para que coincida con el valor de una cuenta de administrador, y Windows le otorgará acceso elevado.

Sin embargo, para realizar el ataque se requiere acceso al registro SAM, por lo que los piratas informáticos primero deben violar el sistema y obtener acceso a SYSTEM.

Proceso de secuestro de RID
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ataques de Andariel

Los investigadores de ASEC, el centro de inteligencia de seguridad de AhnLab, atribuyen el ataque al grupo de amenazas Andariel, que ha sido vinculado al grupo de hackers Lazarus de Corea del Norte.

Los ataques comienzan con Andariel teniendo acceso a SYSTEM en el objetivo a través de la explotación de una vulnerabilidad.

Los hackers logran la escalada inicial utilizando herramientas como PsExec y JuicyPotato para iniciar un símbolo del sistema a nivel de SYSTEM.

Aunque el acceso a SYSTEM es el nivel más alto en Windows, no permite el acceso remoto, no puede interactuar con aplicaciones GUI, es muy ruidoso y es probable que se detecte, y no puede persistir entre reinicios del sistema.

Para abordar estos problemas, Andariel primero creó un usuario local oculto y de bajo privilegio utilizando el comando "net user" y agregando el carácter '$' al final.

Al hacerlo, el atacante se aseguró de que la cuenta no sea visible a través del comando "net user" y solo se pueda identificar en el registro SAM. Luego realizó el secuestro de RID para aumentar los permisos de administrador.

Cuenta Andariel oculta en el sistema Windows
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según los investigadores, Andariel agregó su cuenta a los grupos de usuarios y administradores de escritorio remoto.

El secuestro del RID necesario para ello es posible a través de modificaciones del registro del Administrador de cuentas de seguridad (SAM). Los norcoreanos utilizan malware personalizado y una herramienta de código abierto para realizar los cambios.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Aunque el acceso SYSTEM permite la creación directa de cuentas de administrador, pueden aplicarse ciertas restricciones según la configuración de seguridad. Elevar los privilegios de las cuentas normales es mucho más sigiloso y más difícil de detectar y detener.

Andariel intenta además cubrir sus huellas exportando la configuración de registro modificada, eliminando la clave y la cuenta falsa y luego volviéndola a registrar desde una copia de seguridad guardada, lo que permite la reactivación sin aparecer en los registros del sistema.

Para mitigar los riesgos de ataques de secuestro de RID, los administradores de sistemas deben utilizar el Servicio de subsistema de autoridad de seguridad local (LSA) para verificar los intentos de inicio de sesión y los cambios de contraseña, así como para evitar el acceso no autorizado y los cambios en el registro SAM.

También es recomendable restringir la ejecución de PsExec, JuicyPotato y herramientas similares, deshabilitar la cuenta de invitado y proteger todas las cuentas existentes, incluso las de bajo privilegio, con autenticación multifactor.

Vale la pena señalar que el secuestro de RID se conoce desde al menos 2018, cuando el investigador de seguridad Sebastián Castro presentó el ataque en DerbyCon 8 como una técnica de persistencia en sistemas Windows.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Páginas 1 ... 51 52 53 54 55 ... 249