Mostrar Mensajes

Información del Perfil

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

Páginas 1 ... 63 64 65 66 67 ... 249

#1281

Noticias Informáticas / Google está trabajando en un nuevo y misterioso filtro de aplicaciones

Noviembre 23, 2024, 12:09:05 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las buenas tiendas de aplicaciones se basan en el descubrimiento, ¿no? Se supone que deben exponerte a lanzamientos nuevos e interesantes, tanto para intentar conectarte con aplicaciones que se alineen con tus preferencias existentes como para presentarte otras nuevas que quizás no hayas considerado antes. Pero esto también tiene su lado negativo, y a veces una tienda de aplicaciones querrá ocultarte intencionalmente una aplicación, tal vez una que no sea compatible con ninguno de tus dispositivos, por ejemplo. Hoy estamos investigando una nueva opción curiosa que se está desarrollando para la forma en que Google Play Store filtra las aplicaciones.

El verano pasado, Play Store les dio a los usuarios algunas herramientas nuevas y excelentes para controlar el tipo de aplicaciones que el servicio destaca para ellos, con el debut de los filtros de intereses. Pero al echar un vistazo al código de la nueva versión 43.7.19-31 de la aplicación, logramos descubrir que se está trabajando en una opción de filtro independiente que parece estar basada en el comportamiento de la aplicación. Cuando la activamos, debajo de los controles para administrar los filtros de intereses en la configuración de Play Store, obtenemos un nuevo interruptor que nos permite "filtrar aplicaciones que se vinculan a aplicaciones externas".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¿A qué se dirige exactamente? Bueno, esa es una muy buena pregunta. El enlace "Más información" de Google aún no se ha conectado a una nueva página de soporte, por lo que no tenemos ninguna información oficial sobre por qué está haciendo lo que va a hacer.

¿Podría tratarse de Android App Links, que permite a los desarrolladores crear enlaces que apunten a contenido dentro de otras aplicaciones? ¿Qué tal algún tipo de reacción a los temores de que Play Store se vea obligada a ofrecer tiendas de aplicaciones alternativas? Probablemente no sea, ya que cualquier tribunal vería a través de este filtro un intento de eludir la orden.

Parece que podría estar relacionado con la seguridad (no quieres que una aplicación te redirija a otra aplicación de una manera de la que no eres consciente), pero si ese es realmente el caso, ¿por qué Google no refinaría sus reglas sobre el comportamiento aceptable de las aplicaciones? Si realmente existe un problema de seguridad, podría ser un poco irresponsable abordarlo solo de una manera que parece opcional como esta. ¿Y qué se entiende por "externo" aquí? ¿Podría ser esta una herramienta para equipos de desarrollo que esté conectada con el soporte de Play Store para compartir aplicaciones internas?

En definitiva, no estamos muy seguros de qué pensar sobre esta opción de filtro en desarrollo en este momento, y es posible que tengamos que esperar a verla en acción antes de tener una mejor idea de a qué se dirige y por qué.

Fuente:
AndroidAuthority
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1282

Noticias Informáticas / 7-Zip afectado por una vulnerabilidad peligrosa

Noviembre 22, 2024, 10:33:55 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El popular programa de compresión de archivos 7-Zip se ve afectado actualmente por una vulnerabilidad de alta gravedad que permite a los atacantes ejecutar código en las máquinas de la víctima, según ha revelado la Zero Day Initiative (ZDI) de Trend Micro.

La falla tiene una puntuación de gravedad de 7,8 sobre 10 y afecta a todas las versiones de 7-Zip anteriores a la 24.07. Se lanzó el 19 de junio de 2024 y la versión actual es la 24.08.

La aplicación y las actualizaciones posteriores deben instalarse manualmente, ya que el programa no tiene actualizaciones automáticas. Por lo tanto, es probable que muchos sistemas sigan siendo vulnerables.

Es bastante fácil para los atacantes explotar la falla. Según el aviso de ZDI, los actores maliciosos podrían explotar varios vectores de ataque debido a una falla específica dentro de la implementación de la descompresión Zstandard.

"El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar un desbordamiento de enteros antes de escribir en la memoria. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual", se lee en el aviso.

Esto significa que los archivos podrían usarse para actividades maliciosas. Sin embargo, es probable que se requiera la interacción de la víctima para al menos abrir el archivo.

El investigador de seguridad de Trend Micro, Nicholas Zubrisky, informó por primera vez sobre la falla el 12 de junio de 2024.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1283

Noticias Informáticas / Malware omite a Microsoft Defender y 2FA para robar $ 24k en Crypto

Noviembre 22, 2024, 10:32:22 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de seguridad cibernética de Safety Detectives revelaron que Microsoft Defender, el antivirus de Windows predeterminado, fue engañado por malware, lo que permitió el robo de criptomoneda de un usuario que no es deligente. El problema se descubrió durante el análisis de una aplicación de juego NFT aparentemente inofensiva, que en realidad fue diseñada para robar la criptomoneda.

La aplicación también comprometió el dispositivo pasando por alto la autenticación de dos factores de Google y robó más de $ 24,000 en criptomonedas. Según los investigadores, el malware, una vez instalado, opera silenciosamente en segundo plano, recopilando información confidencial e incluso puede secuestrar la cuenta de Google del usuario, que está protegida por la autenticación de dos factores (2FA). Logra esto instalando una extensión de Chrome maliciosa disfrazada de Google Keep, sin pasar por las medidas de seguridad de 2FA.

Durante la investigación, el equipo de Safety Detectives probó a Microsoft Defender contra la aplicación con malware, utilizando Wireshark para monitorear el tráfico de red y detectar la ubicación del malware.

Sorprendentemente, Microsoft Defender no pudo detener el virus durante su instalación y ejecución, lo que permite que el malware obtenga acceso a las operaciones del sistema, descargue archivos sospechosos, recopile información confidencial e incluso determine la ubicación del usuario.

El malware se programó para cerrar si el usuario estaba en Rusia, Ucrania o Bielorrusia, probablemente debido a su origen. La extensión falsa de Chrome permitió que el malware accediera a todos los sitios web visitados, robar datos de inicio de sesión y monitorear cualquier cosa copiada del navegador. El virus recolectó todo lo necesario para controlar de forma remota el sistema, y Microsoft Defender no envió una alerta.

Bitdefender y Malwarebytes al rescate

Para evaluar la efectividad de otras soluciones antivirus, el equipo también probó Malwarebytes y Bitdefender. Si bien ninguno de los antivirus pudo evitar la instalación inicial, intervinieron en etapas posteriores del ataque. Bitdefender bloqueó el intento del malware de acceder a información crítica, mientras que MalwareBytes evitó la instalación por completo.

"Si bien MalwareBytes detuvo la violación más rápido que Bitdefender, ninguno es inherentemente mejor en el manejo de este malware específico, ya que ambos pudieron evitar un compromiso crítico. Bitdefender puede incluso tener el beneficio de tener menos falsos positivos", explicaron en la publicación del blog.

Podría ser que en los últimos años, Microsoft Exchange Server ha sido blanco de una serie de vulnerabilidades de día cero, algunas de las cuales podrían haber afectado la capacidad de Microsoft Defender para proteger los sistemas. O los ataques de la cadena de suministro, como el hack de SolarWinds, pueden comprometer las actualizaciones y herramientas de software, lo que puede afectar la integridad de las soluciones de seguridad como Microsoft Defender.

Sin embargo, la investigación enfatiza la importancia de invertir en un software antivirus más fuerte y ejerciendo precaución al descargar e instalar aplicaciones, especialmente de fuentes no verificadas. Mantenerse informado sobre las amenazas cibernéticas y tomar medidas proactivas puede reducir significativamente el riesgo de ataques maliciosos.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1284

Noticias Informáticas / Hackers rusos vulneran un wifi en un "ataque al vecino más cercano"

Noviembre 22, 2024, 10:30:02 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los piratas informáticos estatales rusos APT28 (Fancy Bear/Forest Blizzard/Sofacy) atacaron a una empresa estadounidense a través de su red WiFi empresarial mientras se encontraban a miles de kilómetros de distancia, aprovechando una técnica novedosa llamada "ataque al vecino más cercano".

El actor de amenazas se dirigió al objetivo después de comprometer primero a una organización en un edificio cercano dentro del alcance de la red WiFi.

El ataque se descubrió el 4 de febrero de 2022, cuando la empresa de ciberseguridad Volexity detectó un servidor comprometido en el sitio de un cliente en Washington, DC, que estaba realizando un trabajo relacionado con Ucrania.

APT28 es parte de la unidad militar rusa 26165 en la Dirección General de Inteligencia (GRU) y ha estado realizando operaciones cibernéticas desde al menos 2004.

Los piratas informáticos, a los que Volexity rastrea como GruesomeLarch, obtuvieron primero las credenciales de la red WiFi empresarial del objetivo a través de ataques de rociado de contraseñas dirigidos al servicio público de la víctima.

Sin embargo, la presencia de protección de autenticación multifactor (MFA) impidió el uso de las credenciales en la web pública. Aunque conectarse a través de la red WiFi empresarial no requería MFA, estar "a miles de kilómetros de distancia y a un océano de distancia de la víctima" era un problema.

Entonces, los piratas informáticos se volvieron creativos y comenzaron a buscar organizaciones en edificios cercanos que pudieran servir como pivote hacia la red inalámbrica objetivo.

La idea era comprometer otra organización y buscar en su red dispositivos domésticos duales, que tienen una conexión tanto cableada como inalámbrica. Un dispositivo de este tipo (por ejemplo, una computadora portátil o un enrutador) permitiría a los piratas informáticos utilizar su adaptador inalámbrico y conectarse a la red WiFi de la empresa objetivo.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Volexity descubrió que APT28 comprometió a varias organizaciones como parte de este ataque, conectando en cadena sus conexiones utilizando credenciales de acceso válidas. Finalmente, encontraron un dispositivo dentro del rango adecuado que podía conectarse a tres puntos de acceso inalámbricos cerca de las ventanas de la sala de conferencias de una víctima.

Mediante una conexión de escritorio remoto (RDP) desde una cuenta sin privilegios, el actor de amenazas pudo moverse lateralmente en la red objetivo en busca de sistemas de interés y exfiltrar datos.

Los piratas informáticos ejecutaron servtask.bat para volcar los subárboles del registro de Windows (SAM, Seguridad y Sistema), comprimiéndolos en un archivo ZIP para exfiltrarlos.

Los atacantes generalmente confiaron en herramientas nativas de Windows para mantener su huella al mínimo mientras recopilaban los datos.

"Volexity determinó además que GruesomeLarch estaba apuntando activamente a la Organización A para recopilar datos de personas con experiencia y proyectos que involucraban activamente a Ucrania" - Volexity

Las múltiples complejidades en la investigación impidieron que Volexity atribuyera este ataque a ningún actor de amenazas conocido. Pero un informe de Microsoft de abril de este año lo dejó claro, ya que incluía indicadores de compromiso (IoC) que se superponían con las observaciones de Volexity y apuntaban al grupo de amenazas ruso.

Según los detalles del informe de Microsoft, es muy probable que APT28 haya podido escalar privilegios antes de ejecutar cargas útiles críticas explotando como día cero la vulnerabilidad CVE-2022-38028 en el servicio Windows Print Spooler dentro de la red de la víctima.

El "ataque de vecino cercano" de APT28 muestra que una operación de acceso cercano, que normalmente requiere proximidad al objetivo (por ejemplo, un estacionamiento), también se puede realizar desde lejos y elimina el riesgo de ser identificado o atrapado físicamente.

Si bien los dispositivos con conexión a Internet se han beneficiado de una seguridad mejorada en los últimos años, al agregar MFA y otros tipos de protecciones, las redes corporativas WiFi deben tratarse con el mismo cuidado que cualquier otro servicio de acceso remoto.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1285

Noticias Informáticas / Cierran PopeyeTools, mercado para venta de tarjetas de crédito robadas y Tools

Noviembre 21, 2024, 04:29:01 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Departamento de Justicia de Estados Unidos (DoJ) ha incautado y cerrado PopeyeTools, un conocido mercado en línea que facilitaba una amplia gama de actividades ilegales, y ha arrestado a tres presuntos administradores del sitio web.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

PopeyeTools estuvo en funcionamiento al menos desde 2016 y funcionó como un centro para los cibercriminales, ofreciendo datos financieros robados, herramientas para llevar a cabo fraudes e incluso tutoriales sobre cómo cometer estos delitos.

Los tres hombres acusados, Abdul Ghaffar (Pakistán), Abdul Sami (Pakistán) y Javed Mirza (Afganistán), enfrentan hasta 10 años de prisión cada uno por los cargos de fraude con dispositivos de acceso que se les imputan. Esta medida es parte del enfoque de "todas las herramientas" del departamento para combatir el cibercrimen.

La investigación estuvo a cargo del FBI (Oficina Federal de Investigaciones). Las acciones del Departamento de Justicia, según su comunicado de prensa, incluyeron tomar el control del sitio web PopeyeTools, presentar cargos penales contra los presuntos administradores y obtener autorización judicial para incautar 283.000 dólares en criptomonedas de una cuenta controlada por Sami.

PopeyeTools, que se jacta del lema "Creemos en la calidad, no en la cantidad", construyó su reputación al ofrecer supuestamente información validada de tarjetas de crédito robadas y otras herramientas que facilitaban transacciones fraudulentas. Esta "calidad" tenía un precio: los conjuntos individuales de datos de tarjetas de pago robadas e información personal se vendían por alrededor de 30 dólares cada uno.

Su sección Live Fullz ofrecía datos de tarjetas de pago no autorizados y PII, mientras que otras secciones incluían registros bancarios nuevos, pistas, páginas fraudulentas y guías. Para atraer a los miembros, PopeyeTools prometía reembolsar o reemplazar las tarjetas de crédito no válidas y los clientes podían comprobar la validez de los números de cuenta bancaria, tarjeta de crédito o tarjeta de débito ofrecidos a través del sitio web.

El sitio web atendía a una gran audiencia, según el comunicado de prensa del Departamento de Justicia, vendiendo información robada a al menos 227.000 personas y generando más de 1,7 millones de dólares en ingresos. PopeyeTools incluso ofrecía asistencia al cliente, incluidos servicios para verificar la validez de los datos financieros robados antes de la compra.

El desmantelamiento de plataformas como PopeyeTools es sin duda un golpe significativo a las actividades delictivas cibernéticas, lo que demuestra el compromiso del Departamento de Justicia de interrumpir las operaciones delictivas y proteger al público del fraude financiero.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1286

Noticias Informáticas / El sabotaje a cable submarino tuvo “poco o ningún impacto observable" en Internet

Noviembre 21, 2024, 04:02:31 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cloudflare, el coloso de la conectividad en la nube, considera que los recientes daños a los cables submarinos de Internet en el mar Báltico han tenido "poco o ningún impacto observable". A pesar de las supuestas maniobras de corte de cables por parte de lo que se consideran entidades chinas o rusas, la infraestructura de Internet europea ha demostrado ser resistente debido a una redundancia significativa, según las observaciones anteriores y posteriores a los daños.

Es fácil decir "Esto está bien", pero Cloudflare ha respaldado sus afirmaciones con una serie de gráficos que representan el volumen del tráfico de Internet y las métricas de calidad que abarcan los eventos de sabotaje de los cables. Tanto el BCS East-West Interlink, que conecta Lituania y Suecia, como el cable C-Lion1, entre Finlandia y Alemania, han sufrido daños en diversos grados en los últimos días.

La buena noticia para los europeos es que las características clave de rendimiento de la calidad de Internet en Suecia, Lituania, Finlandia y Alemania (como el ancho de banda disponible/utilizado y la latencia) parecen no sufrir efectos adversos.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El lunes, un cable submarino clave que conecta Alemania con Finlandia, el C-Lion1, fue cortado en lo que Alemania ha descrito como un acto de sabotaje. Este cable, enterrado a casi un metro bajo el lecho marino y esencial para las telecomunicaciones, ahora yace dañado en el fondo del Mar Báltico.

El ministro de Defensa alemán, Boris Pistorius, señaló que es improbable que el daño sea accidental y sugirió que se trata de una acción híbrida con intenciones maliciosas.

El corte de C-Lion1 ocurre poco después de un incidente similar el domingo, donde un cable entre Lituania y la isla Gotland de Suecia también sufrió daños. Estos eventos recuerdan el misterioso sabotaje del gasoducto Nord Stream en 2022, aumentando las preocupaciones sobre la seguridad en el Báltico.

El corte de los cables el domingo y el lunes se ajusta al patrón de ataques que se han vinculado a Rusia. Además, no es ningún secreto que Rusia ha mostrado en los últimos meses un mayor interés por los cables submarinos, patrullando cerca de infraestructuras marítimas críticas a menudo lejos de sus costas.

Finlandia y Suecia, ahora miembros de la OTAN, han intensificado sus preparativos frente a posibles crisis. Finlandia publicó recientemente una guía en línea para que sus ciudadanos sepan cómo actuar en emergencias, mientras Suecia distribuye un manual titulado "En caso de crisis o guerra", que detalla las responsabilidades de los ciudadanos en caso de un conflicto.

Guerra híbrida

La guerra híbrida es un concepto militar y político que hace referencia a un tipo de conflicto que combina elementos de guerra convencional, guerra irregular, ciberataques, propaganda, y otras tácticas no tradicionales. En este tipo de guerra, los actores involucrados (estados, grupos insurgentes, organizaciones terroristas, etc.) emplean una mezcla de estrategias y medios con el objetivo de desestabilizar o afectar a un adversario, sin recurrir necesariamente a la confrontación militar directa.

Funcionarios de seguridad y expertos europeos llevan meses advirtiendo que Rusia estaba librando una guerra híbrida contra Occidente, acusaciones motivadas por una serie de ataques incendiarios, hackeo y explosiones aparentemente aleatorios ocurridos en múltiples ciudades europeas en los últimos meses.

Entre ellos se incluyen los ataques incendiarios contra un garaje de autobuses en la capital checa de Praga, el Museo de la Ocupación en Riga, Letonia, un almacén de una empresa ucraniana en Londres y un centro comercial en Varsovia, Polonia. También se ha informado de múltiples ataques de hackeo e incidentes de espionaje en diferentes países europeos. Al mismo tiempo, la Unión Europea ha acusado a Rusia y Belarús de militarizar la inmigración empujando a sus fronteras a los solicitantes de asilo de terceros países.

Fuente:
Tom´s Hardware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1287

Noticias Informáticas / O Android o Chrome, le reclama a Google el Departamento de Justicia de US

Noviembre 21, 2024, 04:00:29 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Departamento de Justicia de Estados Unidos (DOJ) y un grupo de estados han pedido oficialmente a un tribunal federal que obligue a Google a vender su popular navegador Chrome. Esto probablemente cambiaría Internet tal como lo conocemos.

La solicitud es natural después de que el juez Amit Mehta del Tribunal de Distrito de Estados Unidos para el Distrito de Columbia determinara en agosto que Google había mantenido ilegalmente un monopolio en las búsquedas en línea.

En octubre, el DOJ ya indicó que estaba considerando una posible división de Google como remedio antimonopolio.

Ahora, tanto la agencia como un grupo de estados de EE. UU. que presentaron el caso antimonopolio original en 2020 han redoblado su solicitud para obligar a Google a vender el navegador Chrome. Si el juez está de acuerdo, esto significará enormes problemas para el gigante tecnológico.

Chrome es el navegador web más popular del mundo con un estimado del 67% del mercado global. Incluso si, según Bloomberg, Chrome pudiera venderse por hasta 20 mil millones de dólares, seguramente sería menos de lo que el navegador le aporta a Google cada año.

Además, el gobierno estadounidense también quiere que Google elija entre vender Android (su sistema operativo para teléfonos inteligentes) o prohibirle a la empresa hacer obligatorios sus servicios en los teléfonos que usan Android para funcionar.

Por último, los demandantes también quieren que el juez impida a Google firmar acuerdos de pago con Apple y otros para ser el motor de búsqueda predeterminado en los teléfonos inteligentes y en los navegadores.

Algunos expertos legales incluso dicen que este último punto es clave y que la amenaza de dividir a Google podría ser una herramienta para presionar al gigante tecnológico para que elimine ciertos acuerdos exclusivos como el acuerdo con Apple.

El juez Mehta señaló esta misma idea en agosto cuando mencionó el "poder del valor predeterminado".

"El campo de juego no está nivelado debido a la conducta de Google, y la calidad de Google refleja las ganancias mal habidas de una ventaja adquirida ilegalmente. El remedio debe cerrar esta brecha y privar a Google de estas ventajas", dice el expediente.

Ken Walker, presidente de asuntos globales de Google, calificó la propuesta del gobierno de "extrema" en una publicación de blog.

Google tiene que presentar sus propias sugerencias para arreglar el monopolio de las búsquedas antes del 20 de diciembre, y ambas partes pueden actualizar sus solicitudes antes de la primavera, cuando se espera que Mehta escuche los argumentos. Se espera que su fallo se conozca a finales del verano.

Todas las miradas del mundo tecnológico están centradas en el caso. Si el juez adopta las propuestas, también marcarán la pauta para otros casos antimonopolio contra gigantes tecnológicos como Amazon, Apple y Meta.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1288

Noticias Informáticas / Ubuntu Linux afectado por una falla 'needrestart' que otorga permisos root

Noviembre 20, 2024, 11:52:45 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se han descubierto cinco vulnerabilidades de escalada de privilegios locales (LPE) en la utilidad needrestart utilizada por Ubuntu Linux, que se introdujo hace más de 10 años en la versión 21.04.

Las fallas fueron descubiertas por Qualys y se identifican como CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224 y CVE-2024-11003. Se introdujeron en la versión 0.8 de needrestart, publicada en abril de 2014, y se solucionaron ayer, en la versión 3.8.

Needrestart es una utilidad que se utiliza habitualmente en Linux, incluido Ubuntu Server, para identificar servicios que requieren un reinicio después de las actualizaciones de paquetes, lo que garantiza que esos servicios ejecuten las versiones más actualizadas de las bibliotecas compartidas.

Resumen de las fallas de LPE

Las cinco fallas que Qualys descubrió permiten a los atacantes con acceso local a un sistema Linux vulnerable escalar sus privilegios a root sin interacción del usuario.

La información completa sobre las fallas se puso a disposición en un archivo de texto separado, pero se puede encontrar un resumen a continuación:

CVE-2024-48990: Needrestart ejecuta el intérprete de Python con una variable de entorno PYTHONPATH extraída de los procesos en ejecución. Si un atacante local controla esta variable, puede ejecutar código arbitrario como root durante la inicialización de Python al plantar una biblioteca compartida maliciosa.

CVE-2024-48992: El intérprete de Ruby utilizado por needrestart es vulnerable al procesar una variable de entorno RUBYLIB controlada por el atacante. Esto permite a los atacantes locales ejecutar código Ruby arbitrario como root al inyectar bibliotecas maliciosas en el proceso.

CVE-2024-48991: Una condición de carrera en needrestart permite a un atacante local reemplazar el binario del intérprete de Python que se está validando con un ejecutable malicioso. Si programan el reemplazo con cuidado, pueden engañar a needrestart para que ejecute su código como root.

CVE-2024-10224: El módulo ScanDeps de Perl, utilizado por needrestart, maneja incorrectamente los nombres de archivo proporcionados por el atacante. Un atacante puede crear nombres de archivo que se parezcan a comandos de shell (por ejemplo, command|) para ejecutar comandos arbitrarios como root cuando se abre el archivo.

CVE-2024-11003: La dependencia de Needrestart del módulo ScanDeps de Perl lo expone a vulnerabilidades en el propio ScanDeps, donde el uso inseguro de las funciones eval() puede provocar la ejecución de código arbitrario al procesar la entrada controlada por el atacante.

Es importante señalar que, para explotar estas fallas, un atacante tendría que tener acceso local al sistema operativo a través de malware o una cuenta comprometida, lo que mitiga un poco el riesgo.

Sin embargo, los atacantes explotaron vulnerabilidades de elevación de privilegios similares en Linux en el pasado para obtener acceso root, incluyendo los Loony Tunables y uno que explotaba un error de nf_tables, por lo que esta nueva falla no debería descartarse solo porque requiere acceso local.

Con el uso generalizado de needrestart y el largo tiempo que ha sido vulnerable, las fallas anteriores podrían crear oportunidades para la elevación de privilegios en sistemas críticos.

Además de actualizar a la versión 3.8 o posterior, que incluye parches para todas las vulnerabilidades identificadas, se recomienda modificar el archivo needrestart.conf para deshabilitar la función de escaneo de intérpretes, que evita que se exploten las vulnerabilidades.

Código: text

# Deshabilitar los escáneres de intérpretes.
$nrconf{interpscan} = 0;

Esto debería evitar que needrestart ejecute intérpretes con variables de entorno potencialmente controladas por el atacante.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1289

Noticias Informáticas / Nuevo ataque Ghost Tap abusa de los pagos móviles NFC para robar dinero

Noviembre 20, 2024, 11:49:33 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los cibercriminales han ideado un nuevo método para retirar dinero de los datos de tarjetas de crédito robadas vinculadas a sistemas de pago móviles como Apple Pay y Google Pay, denominado "Ghost Tap", que transmite datos de tarjetas NFC a mulas de dinero en todo el mundo.

La táctica se basa en los métodos implementados anteriormente por malware móvil como NGate, documentado por ESET en agosto, que implicaba la transmisión de señales de comunicación de campo cercano (NFC) desde tarjetas de pago.

Ghost Tap es más ofuscado y más difícil de detectar, no requiere la tarjeta o el dispositivo de la víctima, no necesita un intercambio continuo de la víctima e implica mulas de dinero en múltiples ubicaciones remotas que interactúan con terminales de punto de venta (PoS).

La empresa de seguridad móvil Threat Fabric descubrió Ghost Tap, que advierte sobre la creciente adopción y el potencial de la nueva táctica, y le dijo a BleepingComputer que recientemente ha visto un aumento en el uso de esta táctica.

Actores de amenazas buscan mulas de dinero en foro de cibercrimen
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Descripción general de Ghost Tap y comparación con NGate

El primer paso del ataque es robar los datos de las tarjetas de pago e interceptar las contraseñas de un solo uso (OTP) necesarias para la inscripción en la billetera virtual de Apple Pay y Google Pay.

El robo de los datos de las tarjetas de pago se puede lograr mediante malware bancario que muestra superposiciones que imitan las aplicaciones de pago digital o mediante páginas de phishing y keylogging. Las OTP se pueden robar mediante ingeniería social o mediante malware que monitorea los mensajes de texto.

En los ataques anteriores basados en NGate, era necesario engañar a la víctima para que escaneara su tarjeta utilizando el sistema NFC de su dispositivo mediante malware especializado que la guiaba a través de este proceso.

La herramienta NFCGate todavía se utiliza para transmitir información de tarjetas de pago. Sin embargo, se coloca un servidor de retransmisión en el medio, que envía los detalles a una extensa red de mulas de dinero mientras oculta sus ubicaciones reales.

Luego, las mulas realizan compras minoristas a gran escala y en múltiples ubicaciones utilizando el chip NFC de su dispositivo, lo que dificulta mapear la red de fraude o rastrear al atacante principal.

En los ataques a NGate, los actores de amenazas se limitaron a pequeños pagos sin contacto y retiros en cajeros automáticos que ponían en riesgo su anonimato e incluso condujeron a arrestos en algunos casos.

Con la nueva operación Ghost Taps, los actores de amenazas ya no realizan retiros en cajeros automáticos. En su lugar, solo realizan retiros de efectivo en puntos de venta y los distribuyen entre una amplia red de mulas en todo el mundo.

Esto ofusca el rastro hacia los principales operadores de la actividad maliciosa, lo que solo pone en riesgo a las mulas.

Descripción general de la táctica Ghost Tap
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Protección contra el Ghost Tap

Threat Fabric advierte que la nueva táctica es difícil de detectar y detener para las instituciones financieras, ya que las transacciones parecen legítimas y abarcan múltiples ubicaciones.

Si bien los mecanismos antifraude de muchos bancos detectan compras desde ubicaciones inusuales, como cuando se viaja a otro país, los investigadores dicen que los numerosos pagos pequeños pueden pasar por alto estas detecciones.

"La nueva táctica para los retiros de efectivo plantea un desafío para las organizaciones financieras: la capacidad de los cibercriminales para escalar las compras fraudulentas fuera de línea, realizando múltiples pagos pequeños en diferentes lugares, podría no activar los mecanismos antifraude y podría permitir a los cibercriminales comprar con éxito bienes que luego pueden revenderse (como tarjetas de regalo)", explica ThreatFabric.

Incluso aunque todas estas pequeñas transacciones parezcan provenir de un solo dispositivo (vinculado a la misma cuenta de Apple Pay/Google Pay), la cantidad total perdida puede ser significativa si el ataque se aplica a gran escala.

Para evadir el seguimiento, las mulas ponen sus dispositivos en "modo avión", lo que aún permite que el sistema NFC funcione como de costumbre.

La única forma de protegerse contra Ghost Tap es que los bancos señalen las transacciones realizadas con la misma tarjeta, pero en lugares a los que no sea físicamente posible llegar en el lapso de tiempo entre los cargos. Por ejemplo, realizar una transacción fraudulenta en Nueva York y, diez minutos después, realizar otra en Chipre.

Desde la perspectiva del consumidor, controlar las transacciones fraudulentas e informarlas al banco de inmediato es crucial para bloquear la tarjeta y minimizar las pérdidas.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1290

Noticias Informáticas / Bitcoin sube a un máximo histórico cercano a los 95.000 dólares

Noviembre 20, 2024, 11:47:37 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

LONDRES/SINGAPUR/NUEVA YORK, 20 nov (Reuters) - El bitcóin subió a un nuevo máximo histórico cerca de los 95.000 dólares después de que un informe de que la empresa de redes sociales de Donald Trump estaba en conversaciones para comprar la firma de comercio de criptomonedas Bakkt, que impulsó las expectativas de un régimen favorable a las criptomonedas bajo su administración entrante.

El bitcóin, la criptomoneda más grande y más conocida del mundo, ha más que duplicado su valor este año. Su último valor era de 93.709 dólares, un alza del 1,6%, después de alcanzar un máximo histórico de 94.982,37 dólares.

El Financial Times dijo que Trump Media and Technology Group, que opera Truth Social, está cerca de una adquisición de Bakkt en acciones, que cuenta con el respaldo de Intercontinental Exchange, propietario de la Bolsa de Nueva York

El bitcoin se ha disparado más del 40% desde las elecciones presidenciales estadounidenses del 5 de noviembre, ya que los operadores apuestan a que el compromiso declarado de Trump de apoyar las criptomonedas conduciría a un entorno regulatorio menos restrictivo, lo que impulsaría al sector en general.

"El ascenso de Bitcoin en los últimos 15 años se debe a una innovación que no se puede recrear: el dinero electrónico descentralizado", escribió Nikhil Bhatia, fundador de The Bitcoin Layer, un proveedor de investigación que analiza Bitcoin a través de una lente macroeconómica global, en comentarios enviados por correo electrónico.

"El término 'oro digital' describe mejor este activo digital que tiene una función de suministro limitada algorítmicamente. Si Bitcoin alcanzara el tamaño de mercado del oro (17 billones de dólares), implicaría un precio de alrededor de 800.000 dólares por 1 BTC", dijo Bhatia, quien también es profesor adjunto de finanzas en la Escuela de Negocios Marshall de la USC.

A principios de esta semana, el Wall Street Journal informó que Trump se estaba reuniendo en privado con el director ejecutivo de la plataforma de intercambio de criptomonedas Coinbase, Brian Armstrong, lo que ayudó a mejorar el sentimiento.

OPERACIONES DE OPCIONES

También el fuerte debut el martes de las operaciones de opciones para el ETF de bitcoin spot de BlackRock, en el Nasdaq, con una relación alcista de compra a venta de 4,4:1, según QCP Capital. Acumuló casi 1.900 millones de dólares en exposición nocional con 354.000 contratos negociados, según James Seyffart, analista de investigación de ETF de Bloomberg.

"Esperamos que estas opciones sean populares y, a su vez, puedan influir positivamente en los volúmenes de negociación de estos ETP (productos negociados en bolsa) como subyacentes", dijo Kenneth Worthington, analista de J.P. Morgan.
El creciente entusiasmo ha llevado el valor del mercado mundial de criptomonedas por encima de los 3 billones de dólares a un máximo histórico, según el agregador de datos y análisis CoinGecko.

Los productos cotizados en bolsa de bitcoins al contado en Estados Unidos han atraído alrededor de 4.200 millones de dólares en entradas desde la victoria electoral de Trump, aproximadamente el 15% de las entradas totales desde que se lanzaron los productos en las bolsas de valores estadounidenses en enero.

Chris Weston, jefe de investigación del corredor en línea australiano Pepperstone, dijo que existe una verdadera presión de compra subyacente para bitcoins y que "otro impulso al alza debería generar una nueva persecución por parte de aquellos a quienes les gusta comprar lo que es fuerte".

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1291

Noticias Informáticas / Los ladrones han encontrado una nueva forma de robar productos de Apple

Noviembre 20, 2024, 11:45:06 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha informado de que la nueva "tendencia" de robo comenzó en los EE. UU., donde los ladrones usaban datos de seguimiento filtrados para entrar y robar artículos que habían quedado desatendidos después de que un repartidor dejara el paquete.

El objetivo principal son los envíos de iPhone, generalmente los que se envían desde AT&T, una empresa de telefonía móvil, a través de FedEx.

Uno de los principales factores del plan es la información relacionada con el envío que los ladrones podrían haber adquirido a través de una filtración o al obtenerla del mercado negro.

Se informó de que en 2024, 58 millones de personas en los EE. UU. se vieron afectadas por "piratas de porche". Los ladrones robaron bienes por valor de 12 mil millones de dólares, principalmente productos de Apple.

La forma en que funciona el plan es que después de que un paquete se entrega en el hogar de una persona, debido a que los ladrones ven lo que sucede en tiempo real, pueden recuperar rápidamente el paquete antes de que el propietario real lo recoja.

Según CNET, este tipo de robo se está extendiendo por todo Estados Unidos, con casos reportados en Nueva York, Massachusetts, Florida, Texas, Virginia, Georgia y Pensilvania.

Se han realizado algunos arrestos, en los que se ha atrapado a adolescentes y adultos jóvenes. Sin embargo, no todos los casos han tenido éxito a la hora de identificar a los ladrones.

Una de las principales preguntas es cómo son capaces de obtener la información de seguimiento. Si bien se ha especulado con que dicha información ha estado disponible debido a una filtración, ninguna empresa de transporte ha informado aún sobre una posible violación de datos.

Algunas empresas de envío, como FedEx, no exigen a los usuarios que proporcionen una confirmación de firma, por lo que a menudo dejan los artículos entregados sin supervisión y facilitan que los ladrones roben paquetes en el momento "adecuado".

Para evitar estas situaciones, se recomienda a las personas que soliciten una confirmación de firma para los artículos de alto valor, que tengan una caja de entrega cerrada o que utilicen servicios de entrega en el garaje. Un timbre con video, que podría notificar cualquier movimiento en tiempo real, también ayuda.

La situación del robo de teléfonos ha iniciado un debate en línea, y muchos coinciden en que el problema podría estar relacionado con AT&T y su seguridad interna.

"Supongo que es un empleado actual o anterior que todavía tiene acceso a la red. O alguien que puede iniciar sesión como empleado por nombrar un motivo. Supongo que AT&T es como muchas empresas que ven la buena seguridad informática simplemente como un gasto y no como un activo necesario", escribió un usuario de Reddit.

"Definitivamente es un fraude interno. Alguien 'de adentro' tiene acceso al seguimiento y se lo pasa a los ladrones para obtener una parte", señaló otro.

Algunos usuarios también se preguntaron por qué alguien se arriesgaría a robar un teléfono que se puede rastrear o bloquear fácilmente: "¿Por qué robarías un iPhone? A estas alturas, todos estos dispositivos se pueden bloquear de forma remota, ¿no?".

Si bien los nuevos teléfonos inteligentes vienen con funciones de seguridad mejoradas, las tendencias en cuanto al robo de dispositivos no han cambiado mucho. Los teléfonos siguen siendo robados con regularidad para obtener datos y piezas valiosas.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1292

Noticias Informáticas / Se filtró en Internet la versión crackeada de Hackus Mail Checker 2.2.0

Noviembre 20, 2024, 11:42:54 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La versión crackeada de Hackus Mail Checker 2.2.0, una herramienta de validación de credenciales, se ha filtrado y se está compartiendo en línea.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El software, publicado por un individuo identificado como "VortexVot", se utiliza normalmente para verificar las credenciales de inicio de sesión de correo electrónico, pero su disponibilidad en forma crackeada plantea importantes preocupaciones sobre su uso indebido. Los actores de amenazas podrían explotar la herramienta para validar credenciales robadas, lo que permitiría otros delitos cibernéticos como el secuestro de cuentas y el robo de identidad.

Este incidente pone de relieve los riesgos actuales que plantean estas herramientas cuando se utilizan como armas para actividades ilícitas.

Fuente:
DailyDarkWeb
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1293

Noticias Informáticas / Apple corrige dos vulnerabilidades de día cero utilizadas en ataques a Macs

Noviembre 20, 2024, 11:41:24 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apple lanzó actualizaciones de seguridad de emergencia para corregir dos vulnerabilidades de día cero que fueron explotadas en ataques a sistemas Mac basados en Intel.

"Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado", dijo la compañía en un aviso emitido el martes.

Los dos errores se encontraron en los componentes macOS Sequoia JavaScriptCore (CVE-2024-44308) y WebKit (CVE-2024-44309) de macOS.

La falla CVE-2024-44308 de JavaScriptCore permite a los atacantes ejecutar código remoto a través de contenido web creado con fines malintencionados. La otra falla, CVE-2024-44309, permite ataques de secuencias de comandos entre sitios (CSS).

La compañía dice que solucionó las fallas de seguridad en macOS Sequoia 15.1.1.

Como los mismos componentes se encuentran en otros sistemas operativos de Apple, también se corrigió en iOS 17.7.2 y iPadOS 17.7.2, iOS 18.1.1 y iPadOS 18.1.1, y visionOS 2.1.1.

Si bien Apple dice que ambas fallas fueron descubiertas por Clément Lecigne y Benoît Sevens del Grupo de Análisis de Amenazas de Google, la compañía no ha brindado más detalles sobre cómo se explotaron.

BleepingComputer se comunicó con Google para saber cómo se explotaron las fallas, pero le dijeron que no tenían nada más que compartir en este momento.

Con estas dos vulnerabilidades, Apple ha solucionado seis vulnerabilidades de día cero en lo que va de 2024: la primera en enero, dos en marzo y la cuarta en mayo.

Esta cifra es significativamente mejor que la del año pasado, cuando Apple corrigió un total de 20 fallas de día cero explotadas en la red, entre ellas:

dos días cero (CVE-2023-42916 y CVE-2023-42917) en noviembre

dos días cero (CVE-2023-42824 y CVE-2023-5217) en octubre

cinco días cero (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 y CVE-2023-41993) en septiembre

dos días cero (CVE-2023-37450 y CVE-2023-38606) en julio

tres días cero (CVE-2023-32434, CVE-2023-32435 y CVE-2023-32439) en junio

tres ataques de día cero más (CVE-2023-32409, CVE-2023-28204 y CVE-2023-32373) en mayo

dos ataques de día cero (CVE-2023-28206 y CVE-2023-28205) en abril

y otro ataque de día cero para WebKit (CVE-2023-23529) en febrero

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1294

Noticias Informáticas / Oracle advierte sobre falla de divulgación de archivos de Agile PLM

Noviembre 20, 2024, 11:38:11 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Oracle ha corregido una falla de divulgación de archivos no autenticados en Oracle Agile Product Lifecycle Management (PLM) identificada como CVE-2024-21287, que se explotaba activamente como un día cero para descargar archivos.

Oracle Agile PLM es una plataforma de software que permite a las empresas gestionar datos de productos, procesos y colaboración entre equipos globales.

Ayer, Oracle instó a los clientes de Agile PLM a instalar la última versión para corregir la falla CVE-2024-21287.

"Esta vulnerabilidad se puede explotar de forma remota sin autenticación, es decir, se puede explotar a través de una red sin necesidad de un nombre de usuario y una contraseña. Si se explota con éxito, esta vulnerabilidad puede dar lugar a la divulgación de archivos", advirtió Oracle.

"Oracle recomienda encarecidamente que los clientes apliquen las actualizaciones proporcionadas por esta alerta de seguridad lo antes posible".

Si bien Oracle afirmó que la falla fue revelada por Joel Snape y Lutz Wolf de CrowdStrike, el aviso no indicó que se haya explotado activamente.

Sin embargo, una publicación posterior en el blog del vicepresidente de garantía de seguridad de Oracle, Eric Maurice, confirmó que se había explotado en ataques.

"Esta vulnerabilidad afecta a Oracle Agile Product Lifecycle Management (PLM). CrowdStrike informó que se estaba explotando activamente "en la naturaleza", se lee en la publicación de Maurice.

"Esta vulnerabilidad ha recibido una puntuación base CVSS de 7,5. Si se explota con éxito, un atacante no autenticado podría descargar, desde el sistema atacado, archivos accesibles con los privilegios utilizados por la aplicación PLM".

No está claro cómo se está explotando actualmente la falla y si los ataques se han atribuido a un actor de amenazas en particular.

BleepingComputer se puso en contacto con CrowdStrike y Oracle para obtener más información, pero aún no ha recibido respuesta.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1295

Noticias Informáticas / Ford investiga una supuesta infracción tras la filtración de datos de clientes

Noviembre 20, 2024, 11:36:15 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ford está investigando acusaciones de que sufrió una violación de datos después de que un actor de amenazas afirmara haber filtrado 44.000 registros de clientes en un foro de piratería.

La filtración fue anunciada el domingo por el actor de amenazas 'EnergyWeaponUser', que también implica al hacker 'IntelBroker', que supuestamente participó en la violación de noviembre de 2024.

Los actores de amenazas filtraron en BreachForums 44.000 registros de clientes de Ford que contenían información de los clientes, incluidos nombres completos, ubicaciones físicas, detalles de compra, información del concesionario y marcas de tiempo de los registros.

Los registros expuestos no son extremadamente confidenciales, pero aun así contienen información de identificación personal que podría potenciar los ataques de phishing e ingeniería social dirigidos a las personas expuestas.

Los actores de amenazas no intentaron vender el conjunto de datos, sino que lo ofrecieron a los miembros registrados del foro de hackers por ocho créditos, equivalentes a un poco más de 2 dólares.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

BleepingComputer se puso en contacto con Ford para validar las afirmaciones, y un portavoz de la empresa nos dijo que están investigando las acusaciones.

"Ford está al tanto y está investigando activamente las acusaciones de que ha habido una violación de los datos de Ford. Nuestra investigación está activa y en curso", dijo Ford a BleepingComputer.

La participación de IntelBroker en la violación le da cierta credibilidad a las acusaciones del actor de amenazas en función de su historial reciente.

El hacker ha logrado recientemente violaciones confirmadas en el portal DevHub de Cisco, Nokia (a través de un tercero), el portal web EPE de Europol y T-Mobile (a través de un proveedor).

Las ubicaciones mencionadas en las muestras de datos filtradas por los actores de amenazas son de todo el mundo, incluido Estados Unidos.

Para mitigar los riesgos que surgen de esta posible exposición de datos, trate las comunicaciones no solicitadas con cautela y rechace las solicitudes de revelar más información bajo cualquier pretexto.

Actualización 20/11: Ford envió a BleepingComputer una declaración adicional basada en nuevos hallazgos de su investigación en curso.

La investigación de Ford ha determinado que no se produjo ninguna violación de los sistemas de Ford ni de los datos de los clientes. El asunto involucraba a un proveedor externo y a un pequeño grupo de direcciones comerciales de concesionarios disponibles públicamente. Entendemos que el asunto ya se ha resuelto. - Un portavoz de Ford

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1296

Noticias Informáticas / T-Mobile confirma que fue hackeado en reciente ola de violaciones de seguridad

Noviembre 20, 2024, 11:34:36 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

T-Mobile confirma que fue víctima de un ataque informático en el marco de una ola de infracciones de telecomunicaciones recientemente denunciadas, llevadas a cabo por actores de amenazas chinos para obtener acceso a comunicaciones privadas, registros de llamadas y solicitudes de información de las fuerzas del orden.

"T-Mobile está siguiendo de cerca este ataque a nivel de toda la industria y, en este momento, los sistemas y datos de T-Mobile no se han visto afectados de manera significativa y no tenemos evidencia de impactos en la información de los clientes", dijo T-Mobile al Wall Street Journal, que fue el primero en informar sobre la infracción.

"Seguiremos de cerca esta situación, trabajando con colegas de la industria y las autoridades pertinentes".

T-Mobile compartió una declaración similar con BleepingComputer, en la que afirma que no ha encontrado evidencia de que se haya accedido o exfiltrado ningún dato de los clientes.

"Debido a nuestros controles de seguridad, la estructura de la red y la diligente supervisión y respuesta, no hemos visto impactos significativos en los sistemas o datos de T-Mobile", dijo T-Mobile a BleepingComputer después de la publicación de esta historia.

"No tenemos evidencia de acceso o exfiltración de ningún cliente u otra información sensible como otras compañías pueden haber experimentado".

El mes pasado, The Wall Street Journal informó que los actores de amenazas patrocinados por el estado chino conocidos como Salt Typhoon habían violado varias empresas de telecomunicaciones estadounidenses, incluidas AT&T, Verizon y Lumen.

Salt Typhoon (también conocido como Earth Estries, FamousSparrow, Ghost Emperor y UNC2286) es un sofisticado grupo de piratería patrocinado por el estado chino activo desde al menos 2019 y generalmente se enfoca en violar entidades gubernamentales y empresas de telecomunicaciones en el sudeste asiático.

El WSJ informa que la campaña de piratería permitió a los actores de la amenaza atacar las líneas de teléfonos celulares de altos funcionarios de seguridad nacional y política de Estados Unidos en todo el gobierno de Estados Unidos para robar registros de llamadas, mensajes de texto y algo de audio.

En una declaración conjunta del FBI y la CISA a principios de esta semana, el gobierno de Estados Unidos confirmó que los actores de la amenaza robaron datos de llamadas, comunicaciones de personas seleccionadas e información sobre solicitudes de aplicación de la ley enviadas a empresas de telecomunicaciones.

"Específicamente, hemos identificado que los actores afiliados a la República Popular China han comprometido las redes de múltiples empresas de telecomunicaciones para permitir el robo de datos de registros de llamadas de clientes, el compromiso de las comunicaciones privadas de un número limitado de personas que están principalmente involucradas en actividades gubernamentales o políticas, y la copia de cierta información que estaba sujeta a solicitudes de aplicación de la ley de Estados Unidos de conformidad con órdenes judiciales", se lee en la declaración conjunta.

"Esperamos que nuestra comprensión de estos compromisos aumente a medida que continúe la investigación".

Según se informa, estos ataques se llevaron a cabo a través de vulnerabilidades en los enrutadores Cisco responsables de enrutar el tráfico de Internet. Sin embargo, Cisco declaró anteriormente que no había indicios de que su equipo hubiera sido vulnerado durante estos ataques.

Esta vulneración es la novena que sufre T-Mobile desde 2019, y los otros incidentes fueron:

En 2019, T-Mobile expuso la información de las cuentas de un número no revelado de clientes de prepago.

En marzo de 2020, los empleados de T-Mobile se vieron afectados por una vulneración de datos que expuso su información personal y financiera.

En diciembre de 2020, los actores de amenazas accedieron a información de red de propiedad exclusiva de los clientes (números de teléfono, registros de llamadas).

En febrero de 2021, atacantes desconocidos accedieron a una aplicación interna de T-Mobile sin autorización.

En agosto de 2021, los piratas informáticos se abrieron paso a la fuerza a través de la red del operador tras una vulneración de un entorno de pruebas de T-Mobile.

En abril de 2022, la banda de extorsionadores Lapsus$ vulneró la red de T-Mobile utilizando credenciales robadas.

En enero de 2023, T-Mobile confirmó que los atacantes robaron la información personal de 37 millones de clientes al abusar de una interfaz de programación de aplicaciones (API) vulnerable en noviembre de 2022.

En mayo de 2023, T-Mobile reveló una vulneración que afectó solo a 836 clientes, pero que expuso información confidencial.

Actualización 16/11/24: Se agregó una declaración de T-Mobile.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1297

Noticias Informáticas / Falsos generadores de imágenes y videos con IA infectan con infostealers

Noviembre 20, 2024, 11:32:02 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los generadores de imágenes y videos falsos de IA infectan Windows y macOS con el malware de robo de información Lumma Stealer y AMOS, que se utiliza para robar credenciales y billeteras de criptomonedas de los dispositivos infectados.

Lumma Stealer es un malware para Windows y AMOS es para macOS, pero ambos roban billeteras de criptomonedas y cookies, credenciales, contraseñas, tarjetas de crédito e historial de navegación de Google Chrome, Microsoft Edge, Mozilla Firefox y otros navegadores Chromium.

Estos datos se recopilan en un archivo y se envían de vuelta al atacante, donde puede usar la información en otros ataques o venderla en mercados de delitos cibernéticos.

Los generadores de imágenes falsas de IA impulsan a Lumma Stealer

Durante el último mes, los actores de amenazas han creado sitios web falsos que se hacen pasar por un editor de imágenes y videos de IA llamado EditPro.

Como descubrió el investigador de ciberseguridad g0njxa, los sitios se promocionan a través de resultados de búsqueda y anuncios en X que comparten videos políticos deepfake, como el presidente Biden y Trump disfrutando de un helado juntos.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Al hacer clic en las imágenes, se accede a sitios web falsos de la aplicación EditProAI. Editproai[.]pro se creó para difundir malware de Windows y editproai[.]org para difundir malware de macOS.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los sitios tienen un aspecto profesional e incluso contienen el omnipresente banner de cookies, lo que les da un aspecto y una sensación de legitimidad.

Sin embargo, al hacer clic en los enlaces "Obtener ahora", se descargará un archivo ejecutable que simula ser la aplicación EditProAI. Para los usuarios de Windows, el archivo se llama "Edit-ProAI-Setup-newest_release.exe" [VirusTotal] y para macOS, se llama "EditProAi_v.4.36.dmg" [VirusTotal].

El malware de Windows está firmado por lo que parece ser un certificado de firma de código robado de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, un desarrollador de utilidades de software gratuito.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

G0njxa dice que el malware utiliza un panel en "proai[.]club/panelgood/" para enviar datos robados, que luego pueden ser recuperados más tarde por los actores de amenazas.

Un informe de AnyRun muestra la ejecución de la variante de Windows, con el servicio sandbox detectando el malware como Lumma Stealer.

Si ha descargado este programa en el pasado, debe considerar que todas sus contraseñas guardadas, billeteras de criptomonedas y autenticaciones están comprometidas y restablecerlas de inmediato con contraseñas únicas en cada sitio que visite.

También debe habilitar la autenticación multifactor en todos los sitios sensibles, como intercambios de criptomonedas, banca en línea, servicios de correo electrónico y servicios financieros.

El malware infostealer ha experimentado un crecimiento masivo en los últimos años, con actores de amenazas que realizan operaciones globales masivas para robar las credenciales y tokens de autenticación de las personas.

Otras campañas que recientemente han impulsado a los ladrones de información incluyen el uso de vulnerabilidades de día cero, correcciones falsas a problemas de GitHub e incluso respuestas falsas en StackOverflow.

Las credenciales robadas se utilizan luego para violar redes corporativas, realizar campañas de robo de datos como las que vimos con las violaciones masivas de cuentas de SnowFlake y causar caos al corromper la información de enrutamiento de la red.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1298

Noticias Informáticas / Se esperan ejercicios para “apagar el Internet internacional” en Rusia

Noviembre 16, 2024, 04:45:36 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según los canales especializados de Telegram, en diciembre de 2024 se esperan ejercicios para "apagar el Internet internacional" en algunas regiones de la Federación de Rusia. Roskomnadzor informó a los bancos del Banco Central de la Federación de Rusia sobre este evento.

En la noche del 4 al 5 de julio de 2023, Roskomnadzor, el Centro Principal de Radiofrecuencia (GRChTs, parte de RKN), el Centro de Monitoreo y Control de la Red Pública de Comunicaciones (CMU SSOP), los operadores de telecomunicaciones y los propietarios de recursos de Internet en la Federación de Rusia probaron el funcionamiento autónomo de Runet utilizando TSPU (medios técnicos para contrarrestar amenazas) durante los ejercicios. Un representante de RKN explicó a los medios que los ejercicios fueron un éxito. En 2020, el organismo supervisor afirmó que no se podía aislar a Runet.

Dos fuentes del mercado de telecomunicaciones confirmaron a los medios que durante los ejercicios, "se apagó Internet internacional".

Un representante de Roskomnadzor recordó a los medios que, según la ley sobre la estabilidad de Runet, los ejercicios deben realizarse al menos una vez al año.

"Los ejercicios fueron un éxito", dijo el representante de RKN a los medios.

Cuando se le preguntó qué objetivos perseguían los organizadores de los ejercicios al desconectar el segmento internacional de Internet, la agencia no respondió.

Uno de los interlocutores del mercado de las telecomunicaciones recordó que el objetivo declarado de la ley "Sobre la RuNet soberana" era mantener la funcionalidad del segmento ruso de la red cuando se desconectara del exterior. En su opinión, "durante los ejercicios se pudo comprobar si la RuNet realmente sigue funcionando cuando se desconecta".

Fuente:
Habr
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1299

Noticias Informáticas / Wi-Fi 8 no mejorará las velocidades de transferencia

Noviembre 16, 2024, 04:24:27 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

PC World, citando un informe técnico de MediaTek, informa que en lugar de aumentar la velocidad de transferencia física de datos más allá de los 23 Gbps que ofrece Wi-Fi 7, la próxima generación de Wi-Fi 8 (basada en la especificación 802.11bn de Ultra Alta Confiabilidad (UHR) de IEEE) se centrará en mejorar la confiabilidad de la conexión y la experiencia del usuario en lugar de en el rendimiento teórico.

Tradicionalmente, las nuevas iteraciones de Wi-Fi (según lo especificado por los estándares IEEE 802.11) se han centrado en maximizar las velocidades de transferencia de datos aumentando el ancho de banda del canal y la cantidad de canales e introduciendo nuevos métodos de modulación. Con Wi-Fi 7, la velocidad física máxima es de 23 Gbps, aunque nadie espera alcanzar velocidades tan altas. Además, la confiabilidad de las conexiones Wi-Fi de alta velocidad deja mucho que desear. Con ese fin, la próxima generación de Wi-Fi 8 no aumentará la velocidad teórica, sino que introducirá nuevas funciones diseñadas para mejorar el rendimiento en el mundo real y aumentar la confiabilidad de la conexión.

En un nivel alto, Wi-Fi 8 (802.11bn) se parece a Wi-Fi 7 (802.11be): utiliza bandas de 2, 4, 5 y 6 GHz, la misma modulación (4096 QAM), ocho flujos espaciales, MU-MIMO, OFDMA múltiple y un ancho de banda de canal máximo de 320 MHz.

Sin embargo, según el documento de MediaTek, la nueva especificación introduce varias características clave diseñadas para mejorar el rendimiento y las velocidades de conexión en el mundo real: reutilización espacial coordinada (Co-SR), formación de haces coordinada (Co-BF), operación de subcanal dinámico (DSO) y esquema de codificación de modulación (MCS) mejorado. Recuerde que estamos hablando del estándar tal como lo ve MediaTek. Algunas características podrían ser obligatorias, mientras que otras podrían terminar siendo opcionales.

La función Coordinated Spatial Reuse (Co-SR) aborda la variación de la intensidad de la señal entre dispositivos cercanos y puntos de acceso distantes en escenarios de oficinas de alta densidad. La capacidad permite que los puntos de acceso ajusten y coordinen sus niveles de potencia de forma dinámica según la distancia entre los dispositivos y otros puntos de acceso para mantener la intensidad de señal adecuada. Según las pruebas preliminares de MediaTek, esto puede mejorar la eficiencia general del sistema entre un 15 % y un 25 %.

De manera similar, la tecnología Coordinated Beamforming (Co-BF) de Wi-Fi 8 mejora la tecnología de formación de haces anterior al coordinar la dirección de la señal entre múltiples puntos de acceso. Esta tecnología permite que el sistema evite enviar señales a áreas y dispositivos que no son necesarios, lo que reduce la interferencia y concentra la señal hacia los dispositivos activos. En las pruebas de MediaTek, Co-BF ha mejorado el rendimiento entre un 20 % y un 50 % en configuraciones que involucran redes en malla compartidas en espacios públicos y algunos hogares.

La capacidad de operación de subcanal dinámico (DSO) permite que la red asigne subcanales según los requisitos y capacidades del dispositivo, lo que aumenta la eficiencia y aumenta el rendimiento hasta en un 80 % (para dispositivos avanzados) y al mismo tiempo evita cuellos de botella.

Wi-Fi 8 también incorporará velocidades de datos refinadas con niveles adicionales en la tabla de búsqueda del Esquema de codificación de modulación (MCS), lo que permitirá que los dispositivos realicen transiciones más suaves en la calidad de la conexión a medida que se desplazan por diferentes áreas. Al agregar gradaciones más finas, como una tasa de codificación 16-QAM, el MCS de Wi-Fi 8 promete reducir las caídas repentinas en las velocidades de datos, mejorando la estabilidad general de la transmisión y mejorando el ancho de banda entre un 5% y un 30%, según el escenario exacto.

Se proyecta que el estándar final de Wi-Fi 8 se complete en 2028, y se anticipa que los productos iniciales basados en el borrador de la especificación estarán disponibles a principios de 2028, a la espera de las aprobaciones regulatorias.

Fuente:
Tom´s Hardware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1300

Noticias Informáticas / Sitio web oficial del Gobierno de México es tomado por banda de RansomHub

Noviembre 16, 2024, 03:58:06 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El gobierno de México se ha convertido en la última víctima de un aparente ataque de ransomware, ya que la banda de cibercriminales RansomHub afirma haber violado el sitio web federal oficial del país.

La dirección del sitio web You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login del gobierno mexicano fue publicada en el blog de filtraciones oscuras del grupo de ransomware a primera hora de la mañana del viernes.

El cártel vinculado a Rusia afirma haber exfiltrado 313 gigabytes de información de los servidores del sitio web.

"You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login es la plataforma que promueve la innovación en el gobierno, impulsa la eficiencia y transforma los procesos para brindar información, procedimientos y una plataforma para la participación pública", publicó RansomHub en su sitio.

La banda ha establecido un plazo de diez días para que el gobierno de México pague una demanda de rescate no revelada antes de publicar los supuestos archivos robados, que según los delincuentes incluyen "contratos, seguros, finanzas, archivos confidenciales"

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El grupo también ha publicado un caché de más de 50 archivos de muestra que parecen ser de una base de datos de empleados federales.

La muestra de la base de datos contiene información personal de cada empleado, incluido el nombre completo del empleado, el cargo, una foto de rostro en color, en qué edificio gubernamental trabaja el empleado, su dirección de correo electrónico, la extensión de su número de teléfono y algún tipo de número de referencia de identificación.

También hay varias muestras de documentos gubernamentales firmados de 2023, uno dirigido al Director de Tecnologías de la Información y Comunicaciones del gobierno mexicano, Mario Gavina Morales, y algún tipo de contrato de transporte por un valor de unos 100.000 dólares.

El Palacio Nacional sirve como sede de las oficinas del presidente de México y del Tesoro Federal, y figura como la dirección de trabajo de muchos empleados en las muestras, aunque no está claro dónde se encuentran las redes de TI y otras agencias federales.

¿Quién es RansomHub?

RansomHub es un actor relativamente nuevo en el ecosistema del ransomware, ya que registró su primera víctima el 26 de febrero de 2024.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el FBI publicaron un aviso conjunto sobre la banda RansomHub el 30 de agosto, provocado por su ascenso acelerado como uno de los grupos de ransomware más activos en lo que va de año.

Los investigadores de inteligencia de amenazas de Searchlight Cyber dicen que RansomHub ahora está "en el tercer puesto entre los grupos de ransomware más prolíficos del primer semestre de 2024" y que el rápido ascenso de la banda sugiere "posibles conexiones con actores establecidos como BlackCat", según el informe de ransomware recién publicado por la empresa.

Un nuevo informe de principios de noviembre mostró que RansomHub se cobró casi una quinta parte de todas las víctimas de ransomware en septiembre de 2024, incluidas Kawasaki Motors Europe y Planned Parenthood of Montana, una organización multicéntrica.

Según el aviso de CISA, que proporciona una lista completa de los IOC conocidos, incluidas direcciones IP, herramientas, URL conocidas, direcciones de correo electrónico y más, se dice que los ciberdelincuentes han atacado al menos a 210 víctimas desde febrero, casi a un ritmo de una víctima por día.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las víctimas de RansomHub incluyen varias organizaciones, desde infraestructuras críticas hasta corporaciones privadas en los EE. UU., incluida la empresa de servicios petrolíferos Halliburton, supuestamente atacada por la banda a principios de agosto, así como la cadena de farmacias estadounidense Rite Aid en julio.

Conocido por operar un modelo de ransomware como servicio (RaaS) y usar tácticas de doble extorsión, el grupo se convirtió en un actor principal después de la violación masiva de Change Healthcare de UnitedHealth llevada a cabo por la banda de ransomware ALPHV/BlackCat.

RansomHub, que se cree que era uno de los principales afiliados conectados a ALPHV/BlackCat en ese momento, afirmó haber publicado una serie de archivos que supuestamente formaban parte de lo que se obtuvo durante el ataque a Change Healthcare.

"Se ha visto a sus representantes reclutando afiliados en foros de la dark web, ofreciendo una tarifa fija del 10 por ciento y la opción de cobrar los pagos del rescate directamente de las víctimas antes de pagar al grupo principal", dijeron los investigadores de SearchLight Cyber.

"Su modelo "amigable con los afiliados" también podría verse como una respuesta directa al retiro de BlackCat", señalaron los investigadores.

El grupo ruso ALPHV/BlackCat perpetró su "estafa de salida" en marzo al "tomar todo el pago del rescate [de 22 millones de dólares] de Change Healthcare sin compensar adecuadamente a la filial [de RansomHub] responsable del ataque", explicaron los investigadores.

Además, el informe técnico de Searchlight Cyber muestra que "la mayoría de las víctimas de RansomHub se encuentran en Estados Unidos", lo que respalda aún más esta conclusión.

Se ha demostrado que la configuración del grupo se parece mucho a la de una configuración tradicional de ransomware ruso, ya que la banda evita objetivos en Rusia, países de la CEI, Cuba, Corea del Norte y China, algo típico de las bandas respaldadas por el Kremlin.

Entre las víctimas de la violación de RansomHub en la primera mitad de 2024 se incluyen el fabricante de portátiles para juegos Clevo, la destacada casa de subastas Christie's y Frontier, el cuarto proveedor de Internet de alta velocidad más grande de EE. UU. que cubre 25 estados.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Páginas 1 ... 63 64 65 66 67 ... 249