Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

Páginas 1 ... 53 54 55 56 57 ... 249
#1081
Noticias Informáticas / Fallas de tunelización ponen en riesgo a las VPN, CDN y enrutadores
Enero 21, 2025, 03:48:47 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Top10VPN, en colaboración con el investigador de seguridad Mathy Vanhoef, ha descubierto nuevas vulnerabilidades en varios protocolos de tunelización (IPIP/IP6IP6, GRE/GRE6, 4in6, 6in4). Estas vulnerabilidades permiten a los atacantes secuestrar los hosts de Internet afectados para realizar ataques anónimos y obtener acceso no autorizado a la red.

Un análisis de Internet a gran escala identificó 4,2 millones de hosts de tunelización abiertos.
 
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Esto incluye infraestructura crítica como servidores VPN, enrutadores domésticos, enrutadores de Internet centrales, puertas de enlace de redes móviles e incluso redes de distribución de contenido (CDN) operadas por actores importantes como Facebook y Tencent. Los hosts vulnerables pueden permitir una variedad de ataques, incluidas nuevas técnicas de denegación de servicio (DoS) y suplantación de DNS. Las vulnerabilidades identificadas incluyen CVE-2024-7595, CVE-2025-23018/23019 y CVE-2024-7596.

Los países más afectados son China, Francia, Japón, Estados Unidos y Brasil. Más de 11.000 sistemas autónomos (AS) se han visto afectados, siendo Softbank, Eircom, Telmex y China Mobile los más afectados.

Las vulnerabilidades se deben a que muchos hosts de Internet aceptan tráfico de tunelización sin verificar la identidad del remitente. Esta falta de autenticación permite a los atacantes explotar estos hosts como servidores proxy para actividades maliciosas.

"Estos hosts aceptan tráfico de tunelización no autenticado de cualquier fuente. Esto significa que pueden ser utilizados como servidores proxy unidireccionales para realizar una variedad de ataques anónimos. Los hosts vulnerables también pueden ser utilizados para obtener acceso a las redes privadas de las víctimas", señaló el investigador y autor del informe de Top10VPN, Simon Migliano.

En concreto, los atacantes pueden manipular estos hosts para enviar tráfico en su nombre, ocultando su verdadero origen y dificultando el rastreo de los ataques hasta ellos. En algunos casos, los atacantes podrían aprovechar estas vulnerabilidades para obtener acceso a redes privadas conectadas al host secuestrado.

Los protocolos de tunelización, como IPIP, GRE y 6in4/4in6, desempeñan un papel crucial en las redes modernas, ya que permiten una comunicación fluida entre diversas redes. Sin embargo, muchos dispositivos que utilizan estos protocolos carecen de la autenticación y el cifrado adecuados, lo que los deja vulnerables a la explotación.

Según el informe de Top10VPN, se identificaron al menos 1365 servidores VPN vulnerables, incluidos VPN de consumo, enrutadores con funciones de acceso remoto y VPN comerciales. AoxVPN, un servicio con más de un millón de usuarios, estaba entre los que presentaban vulnerabilidades.

Además, se detectaron alrededor de 1200 enrutadores DNS dinámicos vulnerables, principalmente modelos de Synology que ofrecen acceso remoto a través de VPN Plus Server. Y se expusieron 171 servidores VPN de empresas, principalmente utilizando el protocolo GRE, pertenecientes a empresas y organizaciones en 33 países, siendo Estados Unidos, China y Hong Kong los más afectados. Más del 17% de los dispositivos vulnerables eran enrutadores domésticos de Free ISP en Francia, que aceptaban tráfico no autenticado.

Además, los investigadores descubrieron nuevos métodos de ataque, como la "amplificación de ping-pong" y la "lente temporal en túnel", que aprovechan estas vulnerabilidades para lanzar poderosos ataques de denegación de servicio (DoS). Estas vulnerabilidades también pueden amplificar el impacto de ataques existentes, como la suplantación de DNS, los ataques DoS de amplificación tradicionales, el secuestro de TCP fuera de ruta, las inundaciones SYN y ciertos ataques WiFi.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#1082
Noticias Informáticas / Ransomware Nnice se ríe reemplazando las extensiones de archivo con ‘.xdddd’
Enero 21, 2025, 03:43:55 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva variante de ransomware ha aparecido en varios foros clandestinos. El equipo de investigación y asesoramiento de CYFIRMA ha informado sobre Nnice Ransomware, que emplea técnicas de cifrado avanzadas y métodos sofisticados de evasión y persistencia.

CYFIRMA advierte que la nueva variante de ransomware, observada por primera vez el 17 de enero, plantea "riesgos significativos para la seguridad de los datos" y destaca "la necesidad urgente de defensas proactivas".

El nuevo ransomware se dirige a los sistemas Windows. El informe no detalla cómo los operadores obtienen acceso inicial a los sistemas. Sin embargo, una vez dentro, el ransomware cifra los archivos añadiendo la extensión ".xdddd" a los nombres de archivo originales.

Según el informe, el malware es capaz de persistir a nivel de arranque mediante la implementación de bootkit junto con la funcionalidad de rootkit, lo que dificulta su detección y eliminación.

La muestra tenía capacidades de ataque integrales, como robo de credenciales y cookies de sesión web, recopilación de correo electrónico y descubrimiento de software de seguridad. Es capaz de evadir entornos sandbox, debilitar defensas, elevar privilegios, suplantar identidad, inyectar procesos, cargar archivos DLL de forma lateral y mucho más.

Una vez que el ransomware termina, deja una nota de rescate titulada "Readme.txt", que contiene instrucciones para la recuperación de archivos, también cambia el fondo de pantalla con una nota que dice que "todos sus archivos importantes han sido cifrados" y se necesita un descifrador especial para descifrarlos.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El actor de amenazas detrás de NNice parece preferir comunicarse por correo electrónico.

CYFIRMA recomienda proteger los entornos locales y en la nube mediante la implementación de protocolos de seguridad competentes y configuraciones de cifrado, autenticación o credenciales de acceso para acceder a los sistemas críticos.

"Asegúrese de mantener copias de seguridad de los sistemas críticos que se puedan utilizar para restaurar los datos en caso de que surja una necesidad", advierte la empresa de seguridad.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#1083
Noticias Informáticas / Samsung ampliará su colección de plegables con un smartphone de tres pliegues
Enero 21, 2025, 03:41:55 PM



Un experto de la industria, @Jukanlosreve, citando a un medio de noticias tecnológicas coreano, compartió que la línea plegable de Samsung podría constar de cuatro modelos: Galaxy Z Fold 7, Galaxy Z Flip 7, Triple Fold y Galaxy Flip FE.

Los detalles revelaron que la producción de componentes para el teléfono inteligente de triple pliegue debería comenzar en el segundo trimestre de 2025, y el lanzamiento del teléfono inteligente está programado para el tercer trimestre de este año.

El nuevo dispositivo podría tener una pantalla de 9,9 y 10 pulgadas cuando esté desplegado. Se espera que la compañía lance 200.000 unidades.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Samsung ha estado en una carrera con la empresa tecnológica china Huawei para lanzar un teléfono con una pantalla triple. Esta última presentó su plegable de 2.800 dólares en septiembre de 2024.

Más empresas han estado trabajando en sus teléfonos inteligentes triples, una de las cuales es Tecno. La empresa china ha creado un concepto de Phantom Ultimate 2, un teléfono inteligente triple, que incluso se puede convertir en una computadora portátil.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#1084
Noticias Informáticas / Donald Trump decepciona a los optimistas del bitcoin y las criptomonedas
Enero 21, 2025, 03:39:45 PM


Ayer, Trump indultó, conmutó las penas de prisión y prometió desestimar los casos de más de 1.500 estadounidenses acusados de delitos durante los disturbios del Capitolio en enero de 2021. Sin embargo, a pesar de su promesa de hacerlo en su primer día en el cargo, Trump no indultó a Ross Ulbricht, fundador del sitio web de mercado de la darknet Silk Road.

En la comunidad de bitcoin y criptomonedas, Ulbricht, que está cumpliendo cadena perpetua y ya ha estado en prisión durante 12 años, es visto en gran medida como un condenado injustamente, y las autoridades lo están convirtiendo en un ejemplo para otros operadores de mercados similares.

A continuación, parte de la corrección de los precios de bitcoin (BTC) de ayer y hoy se atribuye al hecho de que Trump no mencionó a BTC ni a las criptomonedas entre las prioridades de su administración, como se esperaba en gran medida.

Sin embargo, en ambos casos, algunos observadores de la industria afirman que Trump simplemente necesita más tiempo.

Una persona detrás de una popular cuenta de comercio de criptomonedas, MacroScope, señaló que "nadie debería sorprenderse de que no se haya mencionado a BTC" porque "no es un tema apropiado para ese discurso, por decir lo menos".

Los últimos informes de los medios, basados en fuentes no reveladas, también han afirmado que podrían llegar más noticias favorables a las criptomonedas desde la Casa Blanca en los primeros días de la presidencia de Trump. Uno de los anuncios largamente esperados es la derogación del Boletín de Contabilidad del Personal No. 121 de la Comisión de Bolsa y Valores de Estados Unidos, que hace que sea muy complicado para los bancos mantener activos criptográficos.

"Si se deroga, se abren las puertas para que los bancos ofrezcan servicios de bitcoin, lo integren en sus operaciones principales y aceleren su camino para convertirse en un estándar monetario global", dijo otra cuenta X, FiatHawk, enfatizando que esto sería incluso más importante que la Reserva Estratégica de Bitcoin que la industria también espera que anuncie Trump.

Mientras tanto, Trump y su familia decepcionaron a los bitcoiners al lanzar memecoins, que en gran medida se consideran una forma de obtener efectivo. En cualquier caso, al momento de escribir este artículo, el token TRUMP ha bajado un 48% desde su máximo histórico, mientras que el token MELANIA ha caído un 68%.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#1085
Noticias Informáticas / La OTAN despliega 'drones marinos' para salvaguardar cables submarinos
Enero 20, 2025, 11:00:39 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se espera que estos drones sirvan como elemento disuasorio frente al sabotaje a los cables submarinos realizado por buques privados.

La OTAN ha lanzado la Operación Baltic Sentry para proteger sus cables submarinos de energía y comunicaciones en el Mar Báltico del sabotaje. Según The War Zone, la alianza desplegará buques de superficie sin tripulación (USV), también conocidos como "lanchas no tripuladas", para mejorar su conocimiento general de la situación en la zona. Al menos 20 USV están asignados a la misión, que se desplegarán junto a unos 12 barcos del Grupo Marítimo Permanente 1 de la OTAN y del Grupo Permanente 1 de Medidas Contra Minas de la OTAN y un número desconocido de aviones de patrulla marítima.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Esta medida se tomó después de varios incidentes en los últimos meses en los que se sospecha que un buque afiliado a Rusia dañó cables submarinos críticos. El primer incidente ocurrió en noviembre de 2024, cuando se sospecha que un barco con bandera china dañó dos cables de comunicaciones que conectan Finlandia y Suecia con Europa Central, mientras que el otro evento ocurrió un mes después, en diciembre, cuando otro barco cortó un cable eléctrico y algunos cables de comunicaciones entre Finlandia y Estonia.

A principios de este mes, ya se había discutido el plan de desplegar drones marítimos, y un almirante de la OTAN esperaba que se desplegaran en junio de 2025. Sin embargo, parece que la alianza adelantó el cronograma en seis meses, especialmente dada la sensibilidad de la infraestructura que necesitaba proteger.

Estos USV probablemente tendrán varios sensores a bordo, incluidos ópticos y electromagnéticos, y se combinarán con otros datos que se compartirán con todas las partes interesadas. "Esos requisitos se centrarán en brindar conocimiento de la situación, a través de sensores principalmente pasivos (incluidas imágenes y el espectro electromagnético) y generar la cantidad necesaria de plataformas para cubrir las áreas de interés", dijo un portavoz de la OTAN a The War Zone. "El inicio prevé que la flota evolucione en fases, lo que permitirá oportunidades para escalar el esfuerzo, integrar tecnologías nuevas o diferentes y ampliar los dominios operativos".

Al otro lado del mundo, Taiwán también está aumentando la vigilancia de su red de cables submarinos después de que un buque de carga de propiedad china fuera sospechoso de sabotear un cable submarino de Internet que conectaba el país insular con la costa este de Estados Unidos. La Armada y la Guardia Costera de Taiwán trabajarán juntas para monitorear los barcos, especialmente aquellos que cambian repentinamente de velocidad o siguen trayectorias erráticas e inusuales. Las autoridades dijeron que la Armada desplegará barcos a pedido de la Guardia Costera y que también abordará embarcaciones sospechosas para inspección o incautación, si es necesario.

Fuente:
Tom´s Hardware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#1086
Noticias Informáticas / HPE investiga una violación de seguridad por supuesto robo el código fuente
Enero 20, 2025, 10:34:24 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hewlett Packard Enterprise (HPE) está investigando las denuncias de una nueva vulneración de seguridad después de que un actor de amenazas dijera que había robado documentos de los entornos de desarrollo de la empresa.

La empresa ha dicho a BleepingComputer que no ha encontrado ninguna prueba de una vulneración de seguridad, pero que está investigando las denuncias del actor de amenazas.

"HPE se enteró el 16 de enero de las denuncias realizadas por un grupo llamado IntelBroker de que estaba en posesión de información perteneciente a HPE", dijo la portavoz Clare Loxley a BleepingComputer.

"HPE activó inmediatamente nuestros protocolos de respuesta cibernética, deshabilitó las credenciales relacionadas y lanzó una investigación para evaluar la validez de las afirmaciones. No hay impacto operativo en nuestro negocio en este momento, ni evidencia de que la información del cliente esté involucrada".

IntelBroker, quien anunció la venta de información supuestamente robada de las redes de HPE, afirma que tuvo acceso a la API de la empresa, WePay y repositorios (públicos y privados) de GitHub durante al menos dos días y robó certificados (claves públicas y privadas), código fuente de Zerto e iLO, compilaciones de Docker e información personal antigua de usuarios utilizada para entregas.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

IntelBroker publicó otro archivo de datos (incluidas credenciales y tokens de acceso) supuestamente robados de los sistemas de HPE hace casi un año, el 1 de febrero de 2024. La empresa también dijo en ese momento que estaba investigando las afirmaciones del actor de amenazas, pero que no tenía evidencia de una violación de seguridad.

IntelBroker ganó notoriedad después de violar DC Health Link, la organización que administra los planes de atención médica de los miembros de la Cámara de Representantes de los EE. UU., un incidente que condujo a una audiencia en el Congreso después de que los datos personales pertenecientes a 170.000 personas afectadas se filtraran en línea.

Otros incidentes vinculados a IntelBroker incluyen las violaciones de seguridad de Nokia, Cisco, Europol, Home Depot y Acuity y presuntas violaciones de seguridad de AMD, el Departamento de Estado, Zscaler, Ford y General Electric Aviation.

HPE también fue violada en 2018 cuando, según se informa, los piratas informáticos chinos de APT10 comprometieron algunos de sus sistemas y utilizaron el acceso para piratear los dispositivos de los clientes.

Más recientemente, en 2021, el gigante tecnológico reveló que los repositorios de datos de su plataforma de monitoreo de red Aruba Central también se habían visto comprometidos, lo que permitió a los atacantes acceder a datos sobre los dispositivos monitoreados y sus ubicaciones.

HPE también reveló hace un año que su entorno de correo electrónico Microsoft Office 365 fue vulnerado en mayo de 2023 por atacantes que se cree que forman parte del grupo de piratería APT29, vinculado al Servicio de Inteligencia Exterior de Rusia (SVR).

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#1087
Noticias Informáticas / Hackean la cuenta de la Cancillería cubana en X para promocionar criptomoneda
Enero 20, 2025, 10:32:03 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
El Nuevo Herald
lun, 20 de enero de 2025, 11:39 a.m. EST

La cuenta del Ministerio cubano de Relaciones Exteriores (Minrex) en la red social X fue hackeada durante horas este lunes y utilizada para promocionar una supuesta criptomoneda con el nombre de Cuba coin (moneda Cuba, en inglés).

El propio Minrex lo confirmó en Facebook y a través de perfiles oficiales de sus representantes tras horas de actividad fuera de lo normal en la cuenta.

"¡Urgente! La cuenta en X del Ministerio de Relaciones Exteriores de Cuba ha sido hackeada. Cualquier información que se publique desde la cuenta @CubaMINREX a partir de ahora es falsa", informó.

La directora general de Prensa, Comunicación e Imagen del Minrex, Yaira Jiménez, también confirmó en redes el pirateo de la cuenta oficial y agregó que "se hacen las gestiones pertinentes para recuperarla".

Desde la madrugada y hasta media mañana el perfil oficial de la Cancillería acogió al menos dos espacios (foros de audio en directo) con nombre "$Cuba", en los que el administrador animaba de manera informal y en inglés a invertir en una supuesta criptomoneda.

Según pudo comprobar EFE, los foros contaban con centenares de participantes, en su mayoría perfiles anónimos y sin ninguna vinculación institucional con el Minrex.

Además, la cuenta envió varios mensajes públicos promocionado la criptomoneda, que posteriormente fueron borrados del perfil sin ninguna aclaración en X de lo sucedido.

Fuente:
Yahoo News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#1088
Noticias Informáticas / El paquete malicioso PyPi roba tokens de autenticación de Discord
Enero 20, 2025, 10:29:19 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un paquete malicioso llamado 'pycord-self' en el índice de paquetes de Python (PyPI) tiene como objetivo a los desarrolladores de Discord robar tokens de autenticación e instalar una puerta trasera para el control remoto del sistema.

El paquete imita al muy popular 'discord.py-self', que tiene casi 28 millones de descargas, e incluso ofrece la funcionalidad del proyecto legítimo.

El paquete oficial es una biblioteca de Python que permite la comunicación con la API de usuario de Discord y permite a los desarrolladores controlar las cuentas mediante programación.

Se utiliza normalmente para enviar mensajes y automatizar interacciones, crear bots de Discord, programar moderación automatizada, notificaciones o respuestas, y ejecutar comandos o recuperar datos de Discord sin una cuenta de bot.

Según la empresa de seguridad de código Socket, el paquete malicioso se agregó a PyPi el año pasado en junio y hasta ahora se ha descargado 885 veces.

Al momento de escribir este artículo, el paquete todavía está disponible en PyPI de un editor cuyos detalles fueron verificados por la plataforma.

El paquete malicioso en PyPI
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Robo de tokens y acceso persistente

Los investigadores de Socket analizaron el paquete malicioso y descubrieron que pycord-self contiene código que realiza dos cosas principales. Una es robar tokens de autenticación de Discord de la víctima y enviarlos a una URL externa.

Código para obtener el token de Discord
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los atacantes pueden usar el token robado para secuestrar la cuenta de Discord del desarrollador sin necesidad de las credenciales de acceso, incluso si la protección de autenticación de dos factores está activa.

La segunda función del paquete malicioso es configurar un mecanismo de puerta trasera sigilosa mediante la creación de una conexión persistente a un servidor remoto a través del puerto 6969.

"Dependiendo del sistema operativo, lanza un shell ("bash" en Linux o "cmd" en Windows) que otorga al atacante acceso continuo al sistema de la víctima", explica Socket en el informe.

"La puerta trasera se ejecuta en un hilo separado, lo que dificulta su detección mientras el paquete sigue pareciendo funcional".

Configurar una puerta trasera en la máquina
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se recomienda a los desarrolladores de software que eviten instalar paquetes sin comprobar que el código proviene del autor oficial, especialmente si es un autor conocido. Verificar el nombre del paquete también puede reducir el riesgo de ser víctima de typosquatting.

Al trabajar con bibliotecas de código abierto, es recomendable revisar el código en busca de funciones sospechosas, si es posible, y evitar cualquier cosa que parezca ofuscada. Además, las herramientas de escaneo pueden ayudar a detectar y bloquear paquetes maliciosos.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#1089
Noticias Informáticas / Y a los Comunistas chinos por fin… les ha llegado su hora
Enero 19, 2025, 01:39:50 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una de las mayores filtraciones de datos que involucra principalmente a ciudadanos chinos incluye una cantidad colosal de 1.500 millones de registros, con nombres completos y números de identificación del gobierno expuestos. El conjunto de datos reveló detalles tomados de Weibo, varios bancos chinos y operadores de telefonía móvil, que abarcan información de múltiples sectores.

Si bien la mundanidad de las filtraciones de datos diarias es difícilmente discutible, no todas las filtraciones son iguales. Tomemos esto, por ejemplo. Una base de datos expuesta que comprende 1.500 millones de registros que cubren numerosas empresas en diferentes sectores económicos y sociales. Sin embargo, una característica común es que las víctimas son en su mayoría ciudadanos chinos, lo que convierte a este descubrimiento en uno de los más grandes de su tipo.

El servidor desprotegido con cientos de millones de registros, descubierto por el equipo de investigación de Cybernews, alberga datos de varias marcas importantes como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, una empresa de comercio electrónico china, Weibo, la principal plataforma de redes sociales de China, DiDi, la empresa de transporte de pasajeros más grande del país, y muchas otras.

Los investigadores creen que es probable que el conjunto de datos sea una mezcla de filtraciones de datos conocidas y completamente nuevas recopiladas en un único servidor Elasticsearch ahora cerrado. Si bien no todos los 1500 millones de registros quedaron expuestos por primera vez, algunos sin duda lo fueron, ya que no encontramos indicios de filtraciones de datos anteriores de las empresas incluidas en la lista.

Es preocupante que la instancia expuesta no tuviera una indicación clara de su verdadero propietario, lo que daba pistas de intenciones maliciosas detrás de un conjunto de datos tan grande y diverso. Los actores de amenazas valoran estas grandes colecciones, ya que los datos agregados permiten una amplia gama de ataques, incluido el robo de identidad, sofisticados esquemas de phishing, ciberataques dirigidos y acceso no autorizado a cuentas personales y confidenciales.

El servidor estuvo expuesto durante varios meses, pero finalmente se cerró después de múltiples intentos por parte de nuestro equipo de comunicarse con el CERT de China.

Muestra de los datos filtrados
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¿Qué datos se vieron expuestos?

Si bien se expusieron casi 1.500 millones de registros en total, eso no significa que se filtraran los datos de la misma cantidad de personas en línea. Dado que los datos provienen de diferentes plataformas, organizaciones y sectores económicos, es posible que algunos usuarios hayan visto sus datos filtrados varias veces. Según los investigadores, el servidor desprotegido expuso:

Nombres completos
Direcciones de correo electrónico
Números de identificación de la plataforma
Nombres de usuario
Números de teléfono
Datos de atención médica
Registros financieros
Detalles relacionados con el transporte
Registros relacionados con la educación

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

No todos los usuarios tenían los mismos detalles expuestos, ya que los diferentes conjuntos de datos dentro del servidor expuesto tenían diferentes datos correspondientes a la empresa o sector desde el que se agregaron. Los investigadores observaron datos de los sectores de atención médica, finanzas, transporte, redes sociales, comercio electrónico y educación de China.

La mayor cantidad de registros identificables se agruparon en una colección atribuida a QQ Messenger, el software de mensajería instantánea de Tencent. Sin embargo, las filtraciones de QQ son bastante comunes y probablemente provengan de incidentes anteriores.

La segunda colección más grande de registros filtrados, 504 millones, se atribuyó a Weibo, a veces denominado el Twitter de China. Sin embargo, el equipo señaló que en 2020, una cantidad similar de datos de usuarios de Weibo, 538 millones, se puso a la venta en foros de filtración de datos, lo que sugiere que la información en la filtración descubierta por Cybernews podría estar duplicada.

Sin embargo, otra entrada en el conjunto de datos filtrados, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login (Jingdong), no tenía filtraciones de datos importantes conocidas previamente. Mientras tanto, la instancia expuesta que descubrió nuestro equipo tenía 142 millones de registros de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login expuestos.

El tercer conjunto de datos expuesto más grande, con más de 25 millones de registros, se atribuyó al servicio de mensajería más grande de China, SF Express. Otra entrada en el servidor expuesto, con 100.000 registros, también se atribuyó a SF Express. Sin embargo, esta última se refiere específicamente a las entregas de la empresa.

Mientras tanto, DiDi, el servicio de transporte más grande de China, tenía más de 20 millones de registros a su nombre en el servidor expuesto. Según el equipo, si bien en el pasado hubo dudas sobre las prácticas de seguridad de datos de la empresa, nunca antes se había informado de una violación importante de esta magnitud.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

KFC, el Partido Comunista y lo desconocido

Aunque otras entradas reconocibles en el servidor expuesto tenían menos registros expuestos, su incorporación al conjunto de datos es, cuanto menos, interesante. El equipo descubrió decenas de miles de registros filtrados titulados Enfermera de Sichuan, otro millón titulado Médico y Paciente, y 400.000 más acreditados a farmacias.

Colecciones como Valores (243.000), Fondo de Previsión de China (531.000), Usuarios de China Union Pay (1,1 millones), Banco Mercantil de China (1 millón), Banco de China (985.000), así como una colección denominada Criptomoneda (100.000), sugieren firmemente una exposición masiva de datos financieros.

La colección de Registros de Estudiantes de Zhejiang (9 millones), así como la colección de datos de Graduados (366.000) apuntan a la exposición de datos educativos que probablemente involucran a millones de estudiantes chinos.

También se ha añadido la colección Zhilian (1,1 millones), que probablemente hace referencia a Zhillian Technology, una empresa de investigación y desarrollo de automóviles, 2,6 millones de registros atribuidos a propietarios de vehículos y otros 3,5 millones de registros atribuidos a una escuela de conducción sin nombre, lo que apunta al interés de los propietarios de servidores en los automovilistas chinos.

"Decir que la magnitud de esta filtración es alarmante es quedarse corto. El volumen de las filtraciones por sí solo es alucinante. Peor aún, el servidor expuesto tenía datos de sectores esenciales como la atención sanitaria y las finanzas, lo que amplifica el daño potencial".

Se atribuyeron otros 65.000 registros a clientes de un operador de telefonía móvil desconocido, residentes de Pekín (196.000), KFC China (5 millones) y datos de registro de hogares (5,4 millones).

Curiosamente, algunas colecciones fueron ominosamente denominadas "naciones amigas" (313.000) y "datos de varios países vecinos" (2 millones), lo que indica al menos algún nivel de motivación política para quienquiera que esté detrás del conjunto de datos. La inclusión de 1,6 millones de registros en una colección titulada El Partido Comunista de Shanghái no hizo más que reforzar la impresión.

Se incluyeron otros 74 millones de registros en colecciones que no pudimos traducir de forma fiable o que fueron nombradas utilizando conjuntos aleatorios de números y letras.

"La presencia de infracciones conocidas y potencialmente desconocidas sugiere que, si bien algunos de los datos pueden haberse originado a partir de incidentes informados anteriormente, otras partes podrían representar infracciones nuevas y no informadas", afirmó el equipo.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#1090
Noticias Informáticas / La operación liderada por Europol va tras “las carteras” de los cibercriminales
Enero 19, 2025, 01:04:35 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El proyecto A.S.S.E.T. (Grupo de trabajo para la búsqueda y el decomiso de activos) finalizó el 17 de enero de 2025 e identificó docenas de propiedades, más de 220 cuentas bancarias y millones de dólares en activos.

La Agencia de la Unión Europea para la Cooperación Policial (Europol) anunció una iniciativa única en la que más de 80 expertos financieros y 43 agencias de aplicación de la ley de más de 28 países cooperaron para aumentar las incautaciones de activos a los delincuentes.

El esfuerzo dio como resultado 53 propiedades identificadas, 8 de las cuales estaban valoradas en 38,5 millones de euros (40 millones de dólares), más de 220 cuentas bancarias, una de las cuales tenía un saldo de 5,6 millones de dólares, y 83 billeteras y direcciones de criptomonedas. Las autoridades también descubrieron 15 empresas, más de 20 yates y vehículos de lujo valorados en cientos de miles de dólares.

Otro resultado clave de la operación fue la congelación de 200.000 euros en criptomonedas.

"Juntos atacamos a los criminales donde más les duele: sus bolsillos", afirmó Burkhard Mühl, director del Centro Europeo contra los Delitos Financieros y Económicos (EFECC), que organizó la iniciativa.

El proyecto A.S.S.E.T. surge en un momento en que las autoridades estiman que actualmente se incautan menos del 2% de los ingresos delictivos en todo el mundo, y el 98% restante alimenta el crimen organizado.

Europol estima que el sector inmobiliario es una de las principales industrias utilizadas para blanquear los beneficios delictivos en la UE, atrayendo el 41% de los beneficios ilícitos y no gravados.

La nueva Directiva de la UE sobre recuperación y decomiso de activos, que entró en vigor en 2024, otorga poderes adicionales para congelar los activos delictivos y tomar medidas inmediatas para preservar la propiedad.

"Se convertirá en una herramienta importante en la confiscación de estos activos delictivos", dijo Europol.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#1091
Noticias Informáticas / El oscuro secreto ruso tras un código QR por WhatsApp
Enero 19, 2025, 01:02:37 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El grupo de hackers ruso Star Blizzard está evolucionando desde correos electrónicos hasta chats encriptados. Su última campaña de phishing utiliza códigos QR en WhatsApp como arma, lo que indica una nueva era de guerra cibernética.

Imagínese esto: un funcionario público recibe un código QR por correo electrónico de "funcionarios del gobierno estadounidense" que supuestamente apoyan a ONG ucranianas.

Este código QR roto intencionalmente no envía al destinatario a ningún dominio válido y está diseñado para incitar a los usuarios a responder a los actores de la amenaza.

El destinatario ha sido engañado de dos maneras: primero por la causa y segundo por el inconveniente técnico.

Una vez que el destinatario responde, Star Blizzard enviará otro correo electrónico que contiene un segundo enlace, que está destinado a dirigirlo al grupo inicial de WhatsApp.

Desde allí, la víctima es dirigida a un nuevo código QR que, si se escanea, dará a los actores de la amenaza acceso a los mensajes en su cuenta, lo que significa que Star Blizzard puede exfiltrar los datos.

Se trata de un nuevo esquema ideado por Star Blizzard, un grupo de piratas informáticos ruso que lleva en funcionamiento desde 2017 y que ha atacado repetidamente a centros de investigación, periodistas y exfuncionarios militares y de inteligencia occidentales.

Esta estafa con códigos QR en realidad se calmó en noviembre de 2024, pero el cambio de su modus operandi habitual, que implicaba comunicarse por correo electrónico y redes sociales, podría presagiar un enfoque más directo, disparando desde la cadera en WhatsApp.

Según Microsoft, este grupo es especialmente versátil y tenaz a la hora de obtener información sensible y confidencial por cualquier medio necesario.

Estos ataques, iniciados a través de una plataforma de código abierto y de las redes sociales, han afectado especialmente a objetivos en el Reino Unido y los EE. UU.

Al hacerse pasar por expertos respetados, sus elaboradas campañas han tenido altos niveles de verosimilitud.

Star Blizzard ha preferido anteriormente establecer una relación mediante un intercambio de correos electrónicos y, una vez establecida la confianza, se enviaba un enlace a un documento o sitio web de interés.

Esto se ejecutaba a través del servidor de los piratas informáticos, por lo que habría un medio para introducir información confidencial de la cuenta, en forma de credenciales de cuenta.

Luego, todo lo que quisieran obtener de la bandeja de entrada del usuario se volvía posible.

Sin embargo, estas campañas de phishing selectivo son la punta del iceberg, ya que la guerra cibernética se ha salido de control durante la invasión ucraniana, saboteando y paralizando la infraestructura civil, así como manipulando y contaminando las elecciones extranjeras.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1092
Noticias Informáticas / Motorola lanza su última línea de teléfonos inteligentes asequibles, el Moto G
Enero 19, 2025, 12:35:19 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los compradores y seguidores de la marca no tendrán que esperar mucho para adquirir los últimos dispositivos de la compañía.

Motorola ha anunciado su línea de teléfonos inteligentes Moto G 2025, que incluye dos opciones de teléfonos inteligentes económicos, Moto G y Moto G Power.

La última serie de teléfonos inteligentes de Motorola incluye un modo de alto brillo de 1000 nits para una visibilidad clara y una frecuencia de actualización de 120 Hz para juegos, transmisión, desplazamiento y más.

Ambos teléfonos inteligentes vienen equipados con una experiencia de audio mejorada debido a la tecnología Bass Boost y soporte de audio de alta resolución y ofrecen conectividad 5G.

El Moto G Power con una pantalla de 6,8 pulgadas se conoce como un dispositivo "construido para durar" con su batería de 5000 mAh que puede soportar un día entero de uso intenso.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El teléfono inteligente incluye un sistema de cámara de 50 MP con una lente ultra ancha y macrovisión de 8 MP y una cámara frontal de 16 MP. La cámara del teléfono inteligente fue creada para tomar fotografías en diversas condiciones de luz con su sensor de luz ambiental, estabilización óptica de imagen (OIS) y tecnología Quad Pixel utilizada para mejorar la calidad de la imagen.

El Moto G Power, que está protegido por Corning Gorilla Glass 5, fue creado para funcionar en diversas condiciones. Según la compañía, puede soportar una caída desde casi un metro y medio, temperaturas que van desde -20 °C a 60 °C y altos niveles de humedad de hasta el 95 %.

Con un índice de protección subacuática IP68 e IP69, el teléfono inteligente también es resistente al agua contra líquidos a alta presión.

El teléfono inteligente Moto G tiene una pantalla un poco más pequeña de 6,7 pulgadas y una frecuencia de actualización de 120 Hz. Está cubierto con Gorilla Glass 3, que protege el dispositivo de arañazos y caídas.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El teléfono inteligente tiene una clasificación IP52 repelente al agua, lo que significa que está protegido contra salpicaduras de agua, pero no se puede sumergir por completo en el agua.

Con un precio de $200 en los EE. UU., Moto G estará disponible para su compra en línea a partir del 30 de enero, con disponibilidad en tiendas en los próximos meses.

El Moto G Power de 300 dólares estará disponible online el 6 de febrero y en las tiendas físicas en los próximos meses.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#1093
Noticias Informáticas / Hackers filtran configuraciones y credenciales de VPN de dispositivos FortiGate
Enero 16, 2025, 01:16:35 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un nuevo grupo de piratas informáticos ha filtrado los archivos de configuración, las direcciones IP y las credenciales de VPN de más de 15.000 dispositivos FortiGate de forma gratuita, lo que expone una gran cantidad de información técnica confidencial a otros cibercriminales.

Los datos fueron filtrados por el "Grupo Belsen", un nuevo grupo de piratas informáticos que apareció por primera vez en las redes sociales y en los foros de ciberdelincuencia este mes. Para promocionarse, el Grupo Belsen ha creado un sitio web en Tor donde publicaron el volcado de datos de FortiGate de forma gratuita para que lo usen otros actores de amenazas.

"A principios de año, y como un comienzo positivo para nosotros, y con el fin de solidificar el nombre de nuestro grupo en su memoria, estamos orgullosos de anunciar nuestra primera operación oficial: se publicarán datos confidenciales de más de 15.000 objetivos en todo el mundo (tanto del sector gubernamental como privado) que han sido pirateados y sus datos extraídos", se lee en una publicación en un foro de piratería.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La filtración de FortiGate consta de un archivo de 1,6 GB que contiene carpetas ordenadas por país. Cada carpeta contiene subcarpetas adicionales para cada dirección IP de FortiGate en ese país.

Carpeta de direcciones IP para dispositivos FortiGate y sus configuraciones
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según el experto en ciberseguridad Kevin Beaumont, cada dirección IP tiene un configuration.conf (volcado de configuración de Fortigate) y un archivo vpn-passwords.txt, con algunas de las contraseñas en texto sin formato. Las configuraciones también contienen información confidencial, como claves privadas y reglas de firewall.

En una publicación de blog sobre la filtración de FortiGate, Beaumont dice que se cree que la filtración está vinculada a un día cero de 2022 identificado como CVE-2022–40684 que se explotó en ataques antes de que se lanzara una solución.

"He respondido a incidentes en un dispositivo en una organización víctima y la explotación se produjo efectivamente a través de CVE-2022–40684 en función de los artefactos del dispositivo. También he podido verificar que los nombres de usuario y la contraseña que se ven en el volcado coinciden con los detalles del dispositivo", explica Beaumont.

"Los datos parecen haber sido recopilados en octubre de 2022, como una vulnerabilidad de día cero. Por alguna razón, el volcado de datos de configuración se publicó hoy, poco más de dos años después".

En 2022, Fortinet advirtió que los actores de amenazas estaban explotando una vulnerabilidad de día cero identificada como CVE-2022–40684 para descargar archivos de configuración de dispositivos FortiGate específicos y luego agregar una cuenta super_admin maliciosa llamada 'fortigate-tech-support'.

Ataque CVE-2022-40684 que agrega la cuenta de administrador no autorizada
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El sitio de noticias alemán Heise analizó la filtración de datos y también dijo que se recopiló en 2022, y que todos los dispositivos utilizaban el firmware FortiOS 7.0.0-7.0.6 o 7.2.0-7.2.2.

"Todos los dispositivos estaban equipados con FortiOS 7.0.0-7.0.6 o 7.2.0-7.2.2, la mayoría con la versión 7.2.0. No encontramos ninguna versión de FortiOS en el conjunto de datos que fuera más reciente que la versión 7.2.2, lanzada el 3 de octubre de 2022", informó Heise.

Sin embargo, FortiOS 7.2.2 corrigió la falla CVE-2022–40684, por lo que no estaría claro cómo los dispositivos que ejecutan esa versión podrían ser explotados con esta vulnerabilidad.

A pesar de que estos archivos de configuración se recopilaron en 2022, Beaumont advierte que aún exponen mucha información confidencial sobre las defensas de una red.

Esto incluye reglas de firewall y credenciales que, si no se cambiaron en ese momento, deberían cambiarse inmediatamente ahora que los datos se han publicado para un grupo más amplio de actores de amenazas.

Beaumont dice que planea publicar una lista de las direcciones IP en la filtración para que los administradores de FortiGate puedan saber si la filtración los afectó.

BleepingComputer también se comunicó con los actores de amenazas y Fortinet con preguntas sobre la filtración y actualizará la historia si recibimos una respuesta.

Fuente:
BleepìngComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#1094
Noticias Informáticas / Botnet MikroTik utiliza registros DNS SPF mal configurados para propagar malware
Enero 16, 2025, 01:10:43 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una botnet recién descubierta de 13.000 dispositivos MikroTik utiliza una configuración incorrecta en los registros del servidor de nombres de dominio para eludir las protecciones de correo electrónico y distribuir malware falsificando aproximadamente 20.000 dominios web.

El actor de amenazas aprovecha un registro DNS configurado incorrectamente para el marco de políticas de remitente (SPF) utilizado para enumerar todos los servidores autorizados para enviar correos electrónicos en nombre de un dominio.

Registro SPF mal configurado

Según la empresa de seguridad DNS Infoblox, la campaña de spam malicioso estuvo activa a fines de noviembre de 2024. Algunos de los correos electrónicos se hacían pasar por la empresa de envíos DHL Express y entregaban facturas de flete falsas con un archivo ZIP que contenía una carga maliciosa.

Dentro del archivo ZIP adjunto había un archivo JavaScript que ensambla y ejecuta un script de PowerShell. El script establece una conexión con el servidor de comando y control (C2) del actor de la amenaza en un dominio previamente vinculado a piratas informáticos rusos.

"Los encabezados de los numerosos correos electrónicos no deseados revelaron una amplia gama de dominios y direcciones IP de servidores SMTP, y nos dimos cuenta de que habíamos descubierto una red en expansión de aproximadamente 13.000 dispositivos MikroTik secuestrados, todos parte de una red de bots considerable", explica Infoblox.

Infoblox explica que los registros DNS SPF para aproximadamente 20.000 dominios se configuraron con la opción excesivamente permisiva "+all", que permite que cualquier servidor envíe correos electrónicos en nombre de esos dominios.

"Esto básicamente frustra el propósito de tener un registro SPF, porque abre la puerta a la suplantación de identidad y al envío de correo electrónico no autorizado" - Infoblox

Una opción más segura es usar la opción "-all", que limita el envío de correo electrónico a los servidores especificados por el dominio.

Descripción general del funcionamiento de la botnet
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

MikroTik alimenta otra botnet

El método de ataque sigue sin estar claro, pero Infoblox afirma que "vieron una variedad de versiones afectadas, incluidas las recientes versiones de firmware [de MikroTik]".

Los enrutadores MikroTik son conocidos por ser potentes y los actores de amenazas los atacaron para crear botnets capaces de realizar ataques muy potentes.

El verano pasado, el proveedor de servicios en la nube OVHcloud culpó a una botnet de dispositivos MikroTik comprometidos por un ataque masivo de denegación de servicio que alcanzó un récord de 840 millones de paquetes por segundo.

A pesar de instar a los propietarios de dispositivos MikroTik a actualizar los sistemas, muchos de los enrutadores siguen siendo vulnerables durante largos períodos de tiempo debido a una tasa de parches muy lenta.

La botnet en este caso configuró los dispositivos como proxies SOCKS4 para lanzar ataques DDoS, enviar correos electrónicos de phishing, exfiltrar datos y, en general, ayudar a enmascarar el origen del tráfico malicioso.

"Aunque la botnet consta de 13.000 dispositivos, su configuración como servidores proxy SOCKS permite que decenas o incluso cientos de miles de máquinas comprometidas los utilicen para acceder a la red, lo que amplifica significativamente la escala potencial y el impacto de las operaciones de la botnet", comenta Infoblox.

Se recomienda a los propietarios de dispositivos MikroTik que apliquen la última actualización de firmware para su modelo, cambien las credenciales de la cuenta de administrador predeterminada y cierren el acceso remoto a los paneles de control si no es necesario.

Fuente:
BleepìngComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#1095
Noticias Informáticas / Hackers utilizan anuncios de Google Search para robar cuentas de Google Ads
Enero 16, 2025, 01:08:04 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Irónicamente, los cibercriminales ahora utilizan anuncios de búsqueda de Google para promocionar sitios de phishing que roban las credenciales de los anunciantes para la plataforma Google Ads.

Los atacantes publican anuncios en la Búsqueda de Google que se hacen pasar por Google Ads, que se muestran como resultados patrocinados que redirigen a las víctimas potenciales a páginas de inicio de sesión falsas alojadas en Google Sites, pero que parecen la página de inicio oficial de Google Ads, donde se les pide que inicien sesión en sus cuentas.

Google Sites se utiliza para alojar páginas de phishing porque permite a los atacantes camuflar sus anuncios falsos, dado que la URL (sites.google.com) coincide con el dominio raíz de Google Ads para una suplantación completa.

Anuncio falso que se hace pasar por Google Ads (Malwarebytes Labs)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"De hecho, no se puede mostrar una URL en un anuncio a menos que la página de destino (URL final) coincida con el mismo nombre de dominio. Si bien se trata de una regla destinada a proteger el abuso y la suplantación de identidad, es muy fácil de eludir", dijo Jérôme Segura, director sénior de investigación de Malwarebytes.

"Al observar el anuncio y la página de Google Sites, vemos que este anuncio malicioso no infringe estrictamente la regla, ya que You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login utiliza los mismos dominios raíz que You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. En otras palabras, se permite mostrar esta URL en el anuncio, por lo que no se puede distinguir del mismo anuncio publicado por Google LLC".

Según las personas que fueron víctimas de estos ataques o los vieron en acción, los ataques incluyen varias etapas:

La víctima ingresa la información de su cuenta de Google en la página de phishing.

El kit de phishing recopila identificadores únicos, cookies y credenciales.

La víctima puede recibir un correo electrónico que indique que ha iniciado sesión desde una ubicación inusual (Brasil)

Si la víctima no logra detener este intento, se agrega un nuevo administrador a la cuenta de Google Ads a través de una dirección de Gmail diferente.

El actor de la amenaza realiza una ola de gastos y bloquea a las víctimas si pueden
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Flujo del ataque (Malwarebytes Labs)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Al menos tres grupos de cibercriminales están detrás de estos ataques, incluidos hablantes de portugués que probablemente operan desde Brasil, actores de amenazas con base en Asia que utilizan cuentas de anunciantes de Hong Kong (o de China) y una tercera banda probablemente formada por europeos del este.

Malwarebytes Labs, que detectó esta campaña en curso, cree que el objetivo final de los delincuentes es vender las cuentas robadas en foros de piratería y usar algunas de ellas para ejecutar futuros ataques utilizando las mismas técnicas de phishing.

"Esta es la operación de publicidad maliciosa más atroz que hemos rastreado, llegando al núcleo del negocio de Google y probablemente afectando a miles de sus clientes en todo el mundo. Hemos estado informando nuevos incidentes las 24 horas del día y, sin embargo, seguimos identificando otros nuevos, incluso en el momento de la publicación", agregó Segura.

"Irónicamente, es muy posible que las personas y las empresas que realizan campañas publicitarias no utilicen un bloqueador de anuncios (para ver sus anuncios y los de sus competidores), lo que los hace aún más susceptibles a caer en estos esquemas de phishing".

Las cuentas robadas de Google Ads son muy buscadas por los ciberdelincuentes, que las utilizan habitualmente como combustible para otros ataques que también abusan de los anuncios de búsqueda de Google para difundir malware y diversas estafas.

"Prohibimos expresamente los anuncios que tienen como objetivo engañar a las personas para robarles su información o estafarlas. Nuestros equipos están investigando activamente este problema y trabajando rápidamente para solucionarlo", dijo Google a BleepingComputer cuando se le pidió que proporcionara más detalles sobre los ataques.

A lo largo de 2023, Google también bloqueó o eliminó 206,5 millones de anuncios por violar su Política de tergiversación. También eliminó más de 3.400 millones de anuncios, restringió más de 5.700 millones y suspendió más de 5,6 millones de cuentas de anunciantes.

Fuente:
BleepìngComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#1096
Noticias Informáticas / Microsoft finalizará el soporte para aplicaciones de Office en Windows 10 en oct
Enero 16, 2025, 01:05:46 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En un documento de soporte independiente descubierto por primera vez por The Verge, la compañía dice que las aplicaciones de Office seguirán funcionando incluso después de que finalice el soporte de Windows 10, pero dijo que los clientes podrían encontrar problemas hasta que actualicen sus PC a Windows 11.

"Después de esa fecha, si está ejecutando Microsoft 365 en un dispositivo con Windows 10, las aplicaciones seguirán funcionando como antes. Sin embargo, recomendamos encarecidamente actualizar a Windows 11 para evitar problemas de rendimiento y confiabilidad con el tiempo", dice Microsoft.

Si bien la compañía ha presionado continuamente a los usuarios para que se pasen a Windows 11 desde su lanzamiento en octubre de 2021, incluso nombrando 2025 "el año de la actualización de PC con Windows 11" a principios de este mes, los clientes no están dispuestos a cambiar debido a los requisitos de soporte "no negociables" de TPM 2.0.

Aunque Windows 10 llegará al final del soporte en ocho meses, más del 62% de todos los sistemas Windows en todo el mundo todavía ejecutan Windows 10, mientras que menos del 35% ejecutan Windows 11, según datos de Statcounter Global.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft anunció en junio de 2021 que TPM 2.0 es un requisito obligatorio para las instalaciones o actualizaciones de Windows 11, afirmando que hace que los sistemas sean más resistentes a la manipulación y los ciberataques. Sin embargo, esto no ha impedido que los usuarios creen herramientas y encuentren técnicas para eludir el requisito de TPM.

Aunque el fin del soporte de Windows 10 se acerca rápidamente, la compañía anunció el 31 de octubre que los usuarios domésticos de Windows 10 podrían retrasar el cambio a Windows 11 un año más si pagan 30 dólares por las Actualizaciones de seguridad extendidas (ESU).

Además, las versiones de la rama de mantenimiento a largo plazo (LTSB) como Windows 10 2016 LTSB y las versiones del canal de mantenimiento a largo plazo (LTSC) como Windows 10 IoT Enterprise LTSC 2021 que atienden a dispositivos especializados, incluidos los sistemas industriales y médicos, también recibirán actualizaciones más allá de octubre de 2025.

Fuente:
BleepìngComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#1097
Noticias Informáticas / Más de 660.000 servidores Rsync expuestos a ataques de ejecución de código
Enero 16, 2025, 01:04:09 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Más de 660.000 servidores Rsync expuestos son potencialmente vulnerables a seis nuevas vulnerabilidades, incluida una falla de desbordamiento de búfer de pila de gravedad crítica que permite la ejecución remota de código en los servidores.

Rsync es una herramienta de sincronización de archivos y transferencia de datos de código abierto valorada por su capacidad de realizar transferencias incrementales, lo que reduce los tiempos de transferencia de datos y el uso de ancho de banda.

Admite transferencias de sistemas de archivos locales, transferencias remotas a través de protocolos seguros como SSH y sincronización directa de archivos a través de su propio demonio.

La herramienta es ampliamente utilizada por sistemas de respaldo como Rclone, DeltaCopy, ChronoSync, repositorios públicos de distribución de archivos y operaciones de administración de servidores y de la nube.

Los fallos de Rsync fueron descubiertos por Google Cloud e investigadores de seguridad independientes y pueden combinarse para crear poderosas cadenas de explotación que conducen a la vulneración remota del sistema.

"En el CVE más severo, un atacante solo requiere acceso de lectura anónimo a un servidor rsync, como un espejo público, para ejecutar código arbitrario en la máquina en la que se ejecuta el servidor", se lee en el boletín publicado en Openwall.

Los seis fallos se resumen a continuación:

Desbordamiento del búfer de montón ( CVE-2024-12084 ): vulnerabilidad que surge del manejo inadecuado de las longitudes de las sumas de comprobación en el demonio Rsync, lo que provoca escrituras fuera de los límites en el búfer. Afecta a las versiones 3.2.7 a < 3.4.0 y puede permitir la ejecución de código arbitrario. La mitigación implica la compilación con indicadores específicos para deshabilitar la compatibilidad con los resúmenes SHA256 y SHA512. ( Puntuación CVSS: 9,8 )

Fuga de información a través de una pila no inicializada ( CVE-2024-12085 ): falla que permite la fuga de datos de la pila no inicializada al comparar las sumas de comprobación de archivos. Los atacantes pueden manipular las longitudes de las sumas de comprobación para explotar esta vulnerabilidad. Afecta a todas las versiones anteriores a la 3.4.0, y se puede mitigar compilando con el indicador -ftrivial-auto-var-init=zero para inicializar el contenido de la pila. (Puntuación CVSS: 7,5 )

Fugas de archivos de cliente arbitrarios en servidores ( CVE-2024-12086 ) : vulnerabilidad que permite a un servidor malintencionado enumerar y reconstruir archivos de cliente arbitrarios byte a byte utilizando valores de suma de comprobación manipulados durante la transferencia de archivos. Todas las versiones anteriores a la 3.4.0 se ven afectadas. (Puntuación CVSS: 6,1 )

Recorrido de ruta mediante la opción --inc-recursive ( CVE-2024-12087 ) : problema que se origina en una verificación inadecuada de enlaces simbólicos al utilizar la opción --inc-recursive. Los servidores malintencionados pueden escribir archivos fuera de los directorios previstos en el cliente. Todas las versiones anteriores a la 3.4.0 son vulnerables. (Puntuación CVSS: 6,5 )

Omisión de la opción --safe-links ( CVE-2024-12088 ): falla que ocurre cuando Rsync no verifica correctamente los destinos de los enlaces simbólicos que contienen otros enlaces. Esto da como resultado un recorrido de ruta y escrituras de archivos arbitrarios fuera de los directorios designados. Todas las versiones anteriores a la 3.4.0 se ven afectadas. (Puntuación CVSS: 6,5 )

Condición de carrera de vínculo simbólico ( CVE-2024-12747 ) : vulnerabilidad que surge de una condición de carrera en el manejo de vínculos simbólicos. Su explotación puede permitir a los atacantes acceder a archivos confidenciales y escalar privilegios. Todas las versiones anteriores a la 3.4.0 se ven afectadas. (Puntuación CVSS: 5,6 )
 
El Centro de Coordinación CERT (CERT/CC) emitió un boletín de advertencia sobre las fallas de Rsync, señalando a Red Hat, Arch, Gentoo, Ubuntu NixOS, AlmaLinux OS Foundation y el Centro de Datos Triton como afectados.

Sin embargo, muchos otros proyectos y proveedores potencialmente afectados aún no han respondido.

"Cuando se combinan, las dos primeras vulnerabilidades (desbordamiento del búfer de pila y fuga de información) permiten que un cliente ejecute código arbitrario en un dispositivo que tiene un servidor Rsync en ejecución", advirtió CERT/CC.

"El cliente solo requiere acceso de lectura anónimo al servidor, como espejos públicos. Además, los atacantes pueden tomar el control de un servidor malicioso y leer/escribir archivos arbitrarios de cualquier cliente conectado. Se pueden extraer datos confidenciales, como claves SSH, y se puede ejecutar código malicioso sobrescribiendo archivos como ~/.bashrc o ~/.popt".

En su propio boletín sobre CVE-2024-12084, RedHat señaló que no existen mitigaciones prácticas y que la falla se puede explotar en la configuración predeterminada de Rsync.

"Tenga en cuenta que la configuración predeterminada de rsyncd permite la sincronización anónima de archivos, que corre el riesgo de sufrir esta vulnerabilidad", explica RedHat.

"De lo contrario, un atacante necesitará credenciales válidas para los servidores que requieren autenticación".

Se recomienda a todos los usuarios que actualicen a la versión 3.4.0 lo antes posible.

Fuente:
BleepìngComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#1098
Noticias Informáticas / Error de BitLocker en Windows genera advertencias en dispositivos con TPM
Enero 16, 2025, 01:01:03 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft está investigando un error que activa alertas de seguridad en sistemas con un procesador Trusted Platform Module (TPM) después de habilitar BitLocker.

BitLocker es una función de seguridad de Windows que encripta las unidades de almacenamiento para evitar el robo o la exposición de datos. Según Redmond, "ofrece la máxima protección" cuando se utiliza con un TPM "para garantizar que un dispositivo no haya sido manipulado mientras el sistema está fuera de línea".

Los TPM son procesadores de seguridad dedicados que brindan funciones de seguridad basadas en hardware y actúan como componentes de hardware confiables para almacenar datos confidenciales, como claves de cifrado y otras credenciales de seguridad.

En un aviso publicado el martes, la empresa afirma que este problema conocido también afecta a los dispositivos no administrados, conocidos como BYOD (abreviatura de Bring Your Own Device). Por lo general, se trata de dispositivos de propiedad personal que se utilizan en entornos empresariales y que se pueden integrar o proteger mediante medidas proporcionadas por el equipo de TI o seguridad de cada organización.

En los PC con Windows 10 y 11 afectados, los usuarios verán una alerta que dice :

"Para su seguridad, algunas configuraciones son administradas por su administrador"

en el panel de control de BitLocker y en otros lugares de Windows.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft dice que actualmente está trabajando en una solución y brindará más detalles sobre el problema cuando tenga más información.

En abril de 2024, Microsoft solucionó otro problema que provocaba errores de cifrado de unidad BitLocker incorrectos en algunos entornos administrados de Windows. La empresa etiquetó este problema en octubre de 2023 como un problema de notificación que no afectaba al cifrado de la unidad.

Meses después, en agosto, Redmond abordó otro error que provocaba que algunos dispositivos Windows se iniciaran en modo de recuperación de BitLocker después de instalar las actualizaciones de seguridad de Windows.

El mismo mes, deshabilitó una solución para una vulnerabilidad de omisión de la función de seguridad de BitLocker ( CVE-2024-38058 ) debido a problemas de incompatibilidad de firmware que provocaban que los dispositivos Windows parcheados ingresaran al modo de recuperación de BitLocker.

Microsoft anunció en junio de 2021 que TPM 2.0 es un requisito obligatorio para instalar o actualizar a Windows 11, y dijo que haría que los sistemas fueran más resistentes a la manipulación y a los ciberataques sofisticados. Sin embargo, esto no ha impedido que los usuarios de Windows creen varias herramientas, scripts y técnicas para evitarlo.

Más de tres años después, en diciembre de 2024, Redmond dejó muy claro que la compatibilidad con TPM 2.0 es un requisito "no negociable", ya que los clientes no podrán actualizar a Windows 11 sin él.

Los datos globales de Statcounter muestran actualmente que más del 62 % de todos los sistemas Windows en todo el mundo todavía ejecutan Windows 10, mientras que menos del 34 % ejecutan Windows 11 tres años después de su lanzamiento en octubre de 2021.

Fuente:
BleepìngComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#1099
Noticias Informáticas / Malware WP3.XYZ afecta a más de 5000 sitios de WordPress
Enero 16, 2025, 12:59:11 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva campaña de malware ha comprometido más de 5000 sitios de WordPress para crear cuentas de administrador, instalar un complemento malicioso y robar datos.

Los investigadores de la empresa de seguridad de scripts web c/side descubrieron durante una intervención de respuesta a incidentes para uno de sus clientes que la actividad maliciosa utiliza el dominio wp3[.]xyz para exfiltrar datos, pero aún no han determinado el vector de infección inicial.

Después de comprometer un objetivo, un script malicioso cargado desde el dominio wp3[.]xyz crea la cuenta de administrador falsa wpx_admin con credenciales disponibles en el código.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El script luego procede a instalar un complemento malicioso (plugin.php) descargado del mismo dominio y lo activa en el sitio web comprometido.

Según c/cide, el propósito del complemento es recopilar datos confidenciales, como credenciales de administrador y registros, y enviarlos al servidor del atacante de una manera ofuscada que los hace aparecer como una solicitud de imagen.

El ataque también implica varios pasos de verificación, como registrar el estado de la operación después de la creación de la cuenta de administrador no autorizada y verificar la instalación del complemento malicioso.

Bloqueando los ataques

c/side recomienda que los propietarios de sitios web bloqueen el dominio 'wp3[.]xyz' mediante cortafuegos y herramientas de seguridad.

Además, los administradores deben revisar otras cuentas privilegiadas y la lista de complementos instalados para identificar actividades no autorizadas y eliminarlas lo antes posible.

Por último, se recomienda que las protecciones CSRF en los sitios de WordPress se fortalezcan mediante la generación de tokens únicos, la validación del lado del servidor y la regeneración periódica. Los tokens deben tener un tiempo de expiración corto para limitar su período de validez.

La implementación de la autenticación multifactor también agrega protección a las cuentas con credenciales que ya se han visto comprometidas.

Fuente:
BleepìngComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#1100
Noticias Informáticas / Tecnología de refrigeración compacta de última generación
Enero 16, 2025, 12:57:33 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los científicos de materiales de la UCLA han desarrollado una tecnología de refrigeración compacta que puede bombear calor de forma continua mediante capas de películas delgadas flexibles. El diseño se basa en el efecto electrocalórico, en el que un campo eléctrico provoca un cambio temporal en la temperatura de un material.

En experimentos de laboratorio, los investigadores descubrieron que el prototipo podía reducir la temperatura ambiente de su entorno inmediato en 16 grados Fahrenheit de forma continua y hasta 25 grados en la fuente de calor después de unos 30 segundos.

Detallado en un artículo publicado en la revista Science, el enfoque podría incorporarse a la tecnología de refrigeración portátil o a los dispositivos de refrigeración portátiles.

"Nuestro objetivo a largo plazo es desarrollar esta tecnología para accesorios de refrigeración portátiles que sean cómodos, asequibles, fiables y energéticamente eficientes, especialmente para personas que trabajan en entornos muy calurosos durante muchas horas", dijo el investigador principal Qibing Pei, profesor de ciencia e ingeniería de materiales en la Escuela de Ingeniería Samueli de la UCLA. "A medida que las temperaturas medias siguen aumentando debido al cambio climático, hacer frente al calor se está convirtiendo en un problema de salud crítico. Necesitamos una variedad de soluciones al problema y esta podría ser la base para una de ellas".

Las películas de polímero del dispositivo se expanden y contraen como un acordeón para bombear el calor lejos de una fuente, enfriándola unos 16 grados Fahrenheit. Crédito: Laboratorio de Investigación de Materiales Blandos de la UCLA

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cuando se activa el campo eléctrico del dispositivo, las capas apiladas se comprimen entre sí en pares. Cuando se corta la electricidad, los pares apilados se separan para luego presionarse contra las otras capas vecinas. A medida que este proceso alterno se repite, la acción en cascada autorregenerativa, similar a un acordeón, bombea continuamente calor, capa por capa.

"Las películas de polímero utilizan un circuito para transportar cargas entre pares de capas apiladas, lo que hace que el dispositivo de enfriamiento flexible sea más eficiente que los acondicionadores de aire", dijo Hanxiang Wu, uno de los coautores principales del estudio y un investigador postdoctoral que trabaja en el laboratorio de Pei.

La tecnología de enfriamiento tradicional se basa en el aire acondicionado y la refrigeración, que requieren compresión de vapor que no solo consume una gran cantidad de energía, sino que también utiliza dióxido de carbono como refrigerante. El nuevo dispositivo es un diseño más simple que no requiere refrigerantes o líquidos que generen gases de efecto invernadero. Funciona únicamente con electricidad, que puede ser sostenible cuando se genera a través de fuentes de energía renovables como paneles solares.

"Este dispositivo de refrigeración integra materiales avanzados con una elegante arquitectura mecánica para ofrecer una refrigeración energéticamente eficiente al incorporar funcionalidad directamente en su estructura, reduciendo la complejidad, el uso de energía y las demandas computacionales", dijo el coautor principal del estudio, Wenzhong Yan, un investigador postdoctoral en ingeniería mecánica.

Pei tiene un puesto docente conjunto en el Departamento de Ingeniería Mecánica y Aeroespacial y dirige el Laboratorio de Investigación de Materiales Blandos en la UCLA. Él y su equipo han estado investigando tecnologías de refrigeración electrocalórica diseñadas para reducir las temperaturas lo suficiente para aplicaciones del mundo real.

"Dado que podemos utilizar películas delgadas y flexibles, la refrigeración electrocalórica sería la más ideal para los wearables de próxima generación que pueden mantenernos frescos en condiciones extenuantes", dijo Pei. "También podría usarse para enfriar dispositivos electrónicos con componentes flexibles".

Sumanjeet Kaur, científica de materiales del Laboratorio Nacional Lawrence Berkeley y líder de su Grupo de Energía Térmica, es otra autora del estudio y coinventora de la solicitud de patente que la UCLA ha presentado para esta invención. "No se puede exagerar el potencial de la refrigeración portátil eficiente para impulsar el ahorro de energía y mitigar el cambio climático", dijo Kaur.

Además de Wu y Yan, Yuan Zhu, estudiante de posgrado de UCLA Samueli y miembro del grupo de investigación de Pei, es otro coautor principal. Otros autores son los estudiantes de posgrado en ciencias de los materiales Siyu Zhang, William Budiman, Kede Liu, Jianghan Wu y el ex investigador postdoctoral en ciencias de los materiales Yuan Meng, todos ellos miembros del grupo de investigación de Pei; el estudiante de posgrado en bioingeniería Xun Zhao; y Ankur Mehta, profesor asociado de ingeniería eléctrica e informática de la UCLA.

Fuente:
msn News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Páginas 1 ... 53 54 55 56 57 ... 249