Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

Páginas 1 ... 64 65 66 67 68 ... 249

#1301

Noticias Informáticas / Violación de datos en República Dominicana expone información sobre vacunación

Noviembre 16, 2024, 03:55:12 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una filtración de datos ha expuesto los registros de vacunación y la información personal de personas en la República Dominicana. La base de datos comprometida, que ahora circula en la dark web, incluye detalles confidenciales como el estado de vacunación e identificadores personales.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Esta filtración plantea importantes riesgos para la privacidad, incluido el posible robo de identidad y el uso indebido de datos relacionados con la salud.

Fuente:
DailyDarkWeb
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1302

Noticias Informáticas / Los depredadores de DNS roban 70.000 sitios web con un simple hack

Noviembre 16, 2024, 03:53:47 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En menos de medio año, los cibercriminales han secuestrado 70.000 dominios de un estimado de 800.000 que son vulnerables a un simple ataque de Sitting Duck "patos sentados". Los investigadores de seguridad habían advertido que los ataques eran inminentes a menos que los propietarios implementaran una solución simple. Sin embargo, pocos propietarios lo hicieron.

En julio de 2024, los investigadores de Infoblox Threat Intel alertaron sobre la vulnerabilidad de los patos sentados, poco denunciada y fácilmente explotable, que afecta a millones de sitios web.

Desde entonces, al menos 70.000 dominios rastreados por los investigadores han caído en manos de los atacantes.

Entre ellos se encuentran las URL que pertenecen a CBS Interactive, McDonald's Corporation, JM Eagle y Mississippi Baptist Health Systems. Los piratas informáticos incluso secuestraron You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, según un nuevo informe.

"Los dominios víctimas incluyen marcas conocidas, organizaciones sin fines de lucro y entidades gubernamentales", dijo Infoblox Threat Intel.

Todo lo que los atacantes deben hacer es aprovechar las configuraciones incorrectas de la configuración de DNS para un dominio específico. Estos ataques son fáciles de ejecutar y difíciles de detectar. Sin embargo, la vulnerabilidad de configuración, conocida como "delegación lame", no está reconocida como una CVE (vulnerabilidad y exposición común) oficial por las autoridades.

Algunos sitios web secuestrados cambian de manos con frecuencia, ya que los actores de amenazas compiten y roban los mismos dominios entre sí.

¿Cómo funciona?

Como informó anteriormente Cybernews, el ataque Sitting Duck requiere algunas condiciones. En primer lugar, el nombre de dominio debe estar registrado con un proveedor (registrador), pero luego el otro proveedor maneja los servicios DNS reales para ese dominio.

Luego, la delegación tiene que ser "poco confiable" (obsoleta o mal administrada). Esto significa que el servidor DNS no tiene información sobre el sitio web y no puede resolver su dirección.

Fundamentalmente, el proveedor de DNS en sí debe ser "explotable" y permitir a los atacantes "reclamar" los dominios y configurar nuevos registros DNS sin acceder a la cuenta del propietario real.

Parece que los servidores de nombres DNS mal configurados son muy comunes y permiten a los actores maliciosos obtener el control total del dominio al tomar el control de su configuración DNS.

"En general, estimamos que más de 1 millón de dominios registrados son vulnerables a un ataque Sitting Duck en un día determinado. La mayoría de los dominios vulnerables que hemos descubierto tienen servidores de nombres asignados a uno de un pequeño puñado de proveedores de DNS", advierten los investigadores.

Los cibercriminales utilizan dominios secuestrados con buena reputación para crear una infraestructura para otros ciberataques, ya que les permiten evadir la detección. Los visitantes pueden ser redirigidos a un servidor controlado por el atacante, que difunde contenido malicioso.

Los cibercriminales suelen apuntar a servicios gratuitos en línea, como DNS Made Easy, para aparcar temporalmente los nombres de dominio durante 30 a 60 días. Una vez que expira el período gratuito, los dominios se "pierden" y otros atacantes los reclaman.

Y este vector de ataque es totalmente prevenible con configuraciones correctas en el registrador de dominios y los proveedores de DNS.

"Las configuraciones incorrectas de DNS son un descuido que surge de muchos factores. Varias partes pueden desempeñar un papel en la solución de estos problemas: el titular del dominio es dueño de sus configuraciones de dominio, y tanto los registradores como los proveedores de DNS pueden hacer que este tipo de secuestros sean más difíciles de realizar o más fáciles de remediar", dijo Infoblox.

Los investigadores descubrieron dos actores de amenazas principales que explotan esta vulnerabilidad. El primero, llamado Vacant Viper, roba 2.500 dominios cada año y los utiliza para operaciones de spam, entrega de pornografía, centros de comando y control y distribución de malware.

Otro actor de amenazas, Vextrio Viper, ejecuta "el programa de afiliados cibercriminal más grande conocido, que enruta el tráfico web comprometido a más de 65 socios afiliados". Utiliza dominios secuestrados como parte de su sistema de distribución de tráfico masivo.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1303

Noticias Informáticas / NSO Group utilizó otro día cero de WhatsApp después de ser demandado

Noviembre 16, 2024, 02:09:08 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La empresa de vigilancia israelí NSO Group habría utilizado varios exploits de día cero, incluido uno desconocido llamado "Erised", que aprovechó las vulnerabilidades de WhatsApp para implementar el software espía Pegasus en ataques sin necesidad de hacer clic, incluso después de haber sido demandada.

Pegasus es la plataforma de software espía de NSO Group (comercializada como software de vigilancia para gobiernos de todo el mundo), con múltiples componentes de software que brindan a los clientes amplias capacidades de vigilancia sobre los dispositivos comprometidos de las víctimas. Por ejemplo, los clientes de NSO podrían monitorear la actividad de las víctimas y extraer información utilizando el agente Pegasus instalado en los teléfonos móviles de las víctimas.

Según los documentos judiciales presentados el jueves (descubiertos por primera vez por el investigador principal de Citizen Lab, John Scott Railton) como parte de la batalla legal de WhatsApp con el grupo israelí NSO, el fabricante de software espía desarrolló un exploit llamado "Heaven" antes de abril de 2018 que usaba un cliente de WhatsApp personalizado conocido como "WhatsApp Installation Server" (o "WIS") capaz de hacerse pasar por el cliente oficial para implementar el agente de software espía Pegasus en los dispositivos de los objetivos desde un servidor de terceros bajo el control de NSO.

Sin embargo, WhatsApp bloqueó el acceso de NSO a los dispositivos infectados y a sus servidores con actualizaciones de seguridad emitidas en septiembre y diciembre de 2018, lo que impidió que el exploit Heaven funcionara.

En febrero de 2019, el fabricante de software espía supuestamente desarrolló otro exploit conocido como 'Eden' para eludir las protecciones de WhatsApp implementadas en 2018. Como WhatsApp descubrió en mayo de 2019, los clientes de NSO utilizaron Eden en ataques contra aproximadamente 1.400 dispositivos.

"Como cuestión preliminar, NSO admite que desarrolló y vendió el software espía descrito en la denuncia, y que el software espía de NSO, específicamente su vector de instalación sin clic llamado 'Eden', que era parte de una familia de vectores basados en WhatsApp conocidos colectivamente como 'Hummingbird' (colectivamente, los 'Vectores de malware'), fue responsable de los ataques", revelan los documentos judiciales.

Tamir Gazneli, director de investigación y desarrollo de NSO, y los "acusados han admitido que desarrollaron esos exploits extrayendo y descompilando el código de WhatsApp, aplicando ingeniería inversa a WhatsApp" para crear el cliente WIS que podría usarse para "enviar mensajes malformados (que un cliente legítimo de WhatsApp no podría enviar) a través de los servidores de WhatsApp y, de ese modo, hacer que los dispositivos de destino instalen el agente de software espía Pegasus, todo ello en violación de la ley federal y estatal y del lenguaje sencillo de los Términos de servicio de WhatsApp".

Después de detectar los ataques, WhatsApp parcheó las vulnerabilidades de Eden y deshabilitó las cuentas de WhatsApp de NSO. Sin embargo, incluso después de que se bloqueara el exploit de Eden en mayo de 2019, los documentos judiciales dicen que NSO admitió que desarrolló otro vector de instalación (llamado 'Erised') que usaba los servidores de retransmisión de WhatsApp para instalar el software espía Pegasus.

Los usuarios de WhatsApp fueron objeto de ataques incluso después de que se presentara la demanda

Los nuevos documentos judiciales indican que NSO siguió utilizando y poniendo Erised a disposición de los clientes incluso después de que se presentara la demanda en octubre de 2019, hasta que cambios adicionales en WhatsApp bloquearon su acceso en algún momento después de mayo de 2020. Los testigos de NSO supuestamente se negaron a responder si el fabricante de software espía desarrolló más vectores de malware basados en WhatsApp.

También revelaron que el proveedor de software espía reconoció en el tribunal que su software espía Pegasus explotó el servicio de WhatsApp para instalar su agente de software de vigilancia "entre cientos y decenas de miles" de dispositivos objetivo. También admitió haber realizado ingeniería inversa de WhatsApp para desarrollar esa capacidad, instalando "la tecnología" para sus clientes y proporcionándoles las cuentas de WhatsApp que necesitaban usar en los ataques.

El proceso de instalación del software espía supuestamente se inició cuando un cliente de Pegasus ingresó el número de teléfono móvil de un objetivo en un campo de un programa que se ejecutaba en su computadora portátil, lo que desencadenó la implementación de Pegasus en los dispositivos de los objetivos de forma remota.

De esta forma, la participación de sus clientes en la operación fue limitada, ya que solo tuvieron que introducir el número de destino y seleccionar "Instalar". La instalación del software espía y la extracción de datos fueron gestionadas íntegramente por el sistema Pegasus de NSO, sin que fuera necesario que los clientes tuvieran conocimientos técnicos ni realizaran ninguna acción adicional.

Sin embargo, NSO sigue afirmando que no es responsable de las acciones de sus clientes ni tiene acceso a los datos recuperados durante la instalación del software espía Pegasus, lo que limita su papel en las operaciones de vigilancia.

Entre otros objetivos, el software espía Pegasus de NSO se utilizó para piratear los teléfonos de políticos, periodistas y activistas catalanes, funcionarios del gobierno del Reino Unido, diplomáticos finlandeses y empleados del Departamento de Estado de Estados Unidos.

En noviembre de 2021, Estados Unidos sancionó a NSO Group y Candiru por suministrar software utilizado para espiar a funcionarios gubernamentales, periodistas y activistas. A principios de noviembre de 2021, Apple también presentó una demanda contra NSO por piratear los dispositivos iOS de los clientes de Apple y espiarlos utilizando el software espía Pegasus.

Un portavoz de NSO Group no estaba inmediatamente disponible para hacer comentarios cuando fue contactado por BleepingComputer más temprano hoy.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1304

Noticias Informáticas / Botnet explota día cero de GeoVision para instalar el malware Mirai

Noviembre 16, 2024, 02:06:26 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una botnet de malware está explotando una vulnerabilidad de día cero en los dispositivos GeoVision que han llegado al final de su vida útil para comprometerlos y reclutarlos para posibles ataques DDoS o de criptominería.

La falla se conoce como CVE-2024-11120 y fue descubierta por Piort Kijewski de The Shadowserver Foundation. Es un problema de inyección de comandos del sistema operativo de gravedad crítica ( puntuación CVSS v3.1: 9,8 ), que permite a atacantes no autenticados ejecutar comandos arbitrarios del sistema en el dispositivo.

"Los atacantes remotos no autenticados pueden explotar esta vulnerabilidad para inyectar y ejecutar comandos arbitrarios del sistema en el dispositivo", advierte el CERT de Taiwán.

"Además, esta vulnerabilidad ya ha sido explotada por atacantes y hemos recibido informes relacionados".

Según TWCERT, la vulnerabilidad afecta a los siguientes modelos de dispositivos:

GV-VS12: Un servidor de video H.264 de 2 canales que convierte señales de video analógicas en transmisiones digitales para transmisión en red.

GV-VS11: Un servidor de video de un solo canal diseñado para digitalizar video analógico para transmisión en red.

GV-DSP LPR V3: Un sistema basado en Linux dedicado al reconocimiento de matrículas (LPR).

GV-LX4C V2 / GV-LX4C V3: Grabadoras de video digitales compactas (DVR) diseñadas para aplicaciones de vigilancia móvil.

Todos estos modelos han llegado al final de su vida útil y ya no cuentan con soporte del proveedor, por lo que no se esperan actualizaciones de seguridad.

La plataforma de monitoreo de amenazas The Shadowserver Foundation informa que aproximadamente 17,000 dispositivos GeoVision están expuestos en línea y son vulnerables a la falla CVE-2024-11120.

Kijewski dijo a BleepingComputer que la botnet parece ser una variante de Mirai, que generalmente se utiliza como parte de plataformas DDoS o para realizar criptominería.

La mayoría de los dispositivos expuestos (9.100) se encuentran en Estados Unidos, seguidos de Alemania (1.600), Canadá (800), Taiwán (800), Japón (350), España (300) y Francia (250).

Ubicación de los dispositivos GeoVision expuestos
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En general, los signos de que existe una botnet está incluyen dispositivos que se calientan excesivamente, se vuelven lentos o no responden y se modifica su configuración de manera arbitraria.

Si nota alguno de estos síntomas, restablezca el dispositivo, cambie la contraseña de administrador predeterminada por una más segura, desactive los paneles de acceso remoto y coloque el dispositivo detrás de un firewall.

Lo ideal es reemplazar estos dispositivos con modelos con soporte activo, pero si eso es imposible, se los debe aislar en una LAN o subred dedicada y monitorearlos de cerca.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1305

Noticias Informáticas / “Vulnerabilidades” o elección de diseño en el sandbox de ChatGPT

Noviembre 16, 2024, 02:04:17 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La plataforma ChatGPT de OpenAI ofrece un alto grado de acceso al sandbox de LLM, lo que le permite cargar programas y archivos, ejecutar comandos y explorar la estructura de archivos del sandbox.

El sandbox de ChatGPT es un entorno aislado que permite a los usuarios interactuar con él de forma segura mientras se encuentra aislado de otros usuarios y de los servidores host.

Lo hace restringiendo el acceso a archivos y carpetas confidenciales, bloqueando el acceso a Internet e intentando restringir los comandos que se pueden usar para explotar fallas o potencialmente salir del sandbox.

Marco Figueroa, de la red de investigación de día cero de Mozilla, 0DIN, descubrió que es posible obtener un amplio acceso al sandbox, incluida la capacidad de cargar y ejecutar scripts de Python y descargar el libro de estrategias de LLM.

En un informe compartido exclusivamente con BleepingComputer antes de su publicación, Figueroa demuestra cinco fallas, que informó de manera responsable a OpenAI. La empresa de inteligencia artificial solo mostró interés en una de ellas y no proporcionó ningún plan para restringir aún más el acceso.

Explorando el sandbox de ChatGPT

Mientras trabajaba en un proyecto de Python en ChatGPT, Figueroa recibió un error de "directorio no encontrado", lo que lo llevó a descubrir cuánto puede interactuar un usuario de ChatGPT con el sandbox.

Pronto, quedó claro que el entorno permitía un gran acceso al sandbox, lo que le permitía cargar y descargar archivos, enumerar archivos y carpetas, cargar programas y ejecutarlos, ejecutar comandos de Linux y generar archivos almacenados dentro del sandbox.

Mediante el uso de comandos como 'ls' o 'list files', el investigador pudo obtener una lista de todos los directorios del sistema de archivos sandbox subyacente, incluido '/home/sandbox/.openai_internal/', que contenía información de configuración e instalación.

Listado de archivos y carpetas en el sandbox de ChatGPT
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

A continuación, experimentó con tareas de gestión de archivos y descubrió que podía cargar archivos en la carpeta /mnt/data, así como descargar archivos desde cualquier carpeta a la que se pudiera acceder.

Cabe señalar que en los experimentos de BleepingComputer, el sandbox no proporciona acceso a carpetas y archivos confidenciales específicos, como la carpeta /root y varios archivos, como /etc/shadow.

Gran parte de este acceso al sandbox de ChatGPT ya se había revelado en el pasado, y otros investigadores encontraron formas similares de explorarlo.

Sin embargo, el investigador descubrió que también podía cargar scripts de Python personalizados y ejecutarlos dentro del sandbox. Por ejemplo, Figueroa cargó un script simple que muestra el texto "¡Hola, mundo!" y lo ejecutó, con el resultado apareciendo en la pantalla.

Ejecución de código Python en el sandbox. Fuente: Figueroa
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

BleepingComputer también probó esta capacidad cargando un script de Python que buscaba recursivamente todos los archivos de texto en el sandbox.

Por razones legales, el investigador dice que no pudo cargar scripts "maliciosos" que pudieran usarse para intentar escapar del sandbox o realizar un comportamiento más malicioso.

Cabe señalar que, si bien todo lo anterior era posible, todas las acciones estaban confinadas dentro de los límites del sandbox, por lo que el entorno parece estar correctamente aislado, sin permitir un "escape" al sistema host.

Figueroa también descubrió que podía usar la ingeniería rápida para descargar el "libro de jugadas" de ChatGPT, que rige cómo se comporta y responde el chatbot en el modelo general o en los subprogramas creados por el usuario.

El investigador dice que el acceso al libro de jugadas ofrece transparencia y genera confianza con sus usuarios, ya que ilustra cómo se crean las respuestas; también podría usarse para revelar información que podría eludir las barreras de seguridad.

"Si bien la transparencia en las instrucciones es beneficiosa, también podría revelar cómo se estructuran las respuestas de un modelo, lo que potencialmente permitiría a los usuarios aplicar ingeniería inversa a las barreras de seguridad o inyectar mensajes maliciosos", explica Figueroa.

"Los modelos configurados con instrucciones confidenciales o datos sensibles podrían enfrentar riesgos si los usuarios explotan el acceso para recopilar configuraciones o información patentadas", continuó el investigador.

Acceder al manual de estrategias de ChatGPT. Fuente: Figueroa
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¿Vulnerabilidad o elección de diseño?

Si bien Figueroa demuestra que es posible interactuar con el entorno interno de ChatGPT, no surgen preocupaciones directas de seguridad o privacidad de datos a partir de estas interacciones.

El sandbox de OpenAI parece estar adecuadamente protegido y todas las acciones están restringidas al entorno sandbox.

Dicho esto, la posibilidad de interactuar con el sandbox podría ser el resultado de una elección de diseño de OpenAI.

Sin embargo, es poco probable que esto sea intencional, ya que permitir estas interacciones podría crear problemas funcionales para los usuarios, ya que el movimiento de archivos podría dañar el sandbox.

Además, acceder a los detalles de configuración podría permitir a los actores maliciosos comprender mejor cómo funciona la herramienta de IA y cómo eludir las defensas para que genere contenido peligroso.

El "manual de estrategias" incluye las instrucciones principales del modelo y cualquier regla personalizada incorporada en él, incluidos detalles propietarios y pautas relacionadas con la seguridad, lo que potencialmente abre un vector para la ingeniería inversa o ataques dirigidos.

BleepingComputer se comunicó con OpenAI el martes para comentar sobre estos hallazgos, y un portavoz nos dijo que están investigando los problemas.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1306

Noticias Informáticas / Utilizan atributos de archivos extendidos de macOS para ocultar código malicioso

Noviembre 16, 2024, 02:00:35 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los piratas informáticos están utilizando una técnica novedosa que abusa de los atributos extendidos de los archivos de macOS para distribuir un nuevo troyano que los investigadores llaman RustyAttr.

El actor de amenazas oculta código malicioso en metadatos de archivos personalizados y también utiliza documentos PDF señuelo para ayudar a evadir la detección.

La nueva técnica es similar a la forma en que el adware Bundlore ocultó sus cargas útiles en bifurcaciones de recursos en 2020 para ocultar cargas útiles para macOS. Fue descubierto en algunas muestras de malware en circulación por investigadores de la empresa de ciberseguridad Group-IB.

Basándose en su análisis y debido a que no pudieron confirmar ninguna víctima, los investigadores atribuyen las muestras al actor norcoreano de amenazas Lazarus con una confianza moderada. Creen que el atacante puede estar experimentando con una nueva solución de distribución de malware.

El método es poco común y demostró ser eficaz contra la detección, ya que ninguno de los agentes de seguridad de la plataforma Virus Total marcó los archivos maliciosos.

Código oculto en atributos de archivo

Los atributos extendidos (EA) de macOS representan metadatos ocultos generalmente asociados con archivos y directorios, que no son directamente visibles con Finder o la terminal, pero se pueden extraer utilizando el comando 'xattr' para mostrar, editar o eliminar atributos extendidos.

En el caso de los ataques RustyAttr, el nombre del EA es 'test' y contiene un script de shell.

Script de shell dentro de un atributo extendido de macOS. Fuente: Group-IB
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las aplicaciones maliciosas que almacenan el EA se crean utilizando el marco Tauri, que combina un frontend web (HTML, JavaScript) que puede llamar a funciones en un backend de Rust.

Cuando se ejecuta la aplicación, carga una página web que contiene un JavaScript ('preload.js') que obtiene el contenido de la ubicación indicada en el EA de "prueba" y lo envía a la función 'run_command' para que se ejecute el script de shell.

Contenido de preload.js. Fuente: Group-IB
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Para mantener baja la sospecha del usuario durante este proceso, algunas muestras lanzan archivos PDF señuelo o muestran cuadros de diálogo de error.

Decoy PDF oculta actividad maliciosa en segundo plano
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El PDF se obtiene de una instancia de pCloud para compartir archivos públicos que también contiene entradas con nombres relacionados con temas de inversión en criptomonedas, lo que se alinea con los objetivos y metas de Lazarus.

Las pocas muestras de aplicaciones RustyAttr que encontró Group-IB pasaron todas las pruebas de detección de Virus Total y las aplicaciones se firmaron utilizando un certificado filtrado, que Apple revocó desde entonces, pero no fueron certificadas.

Detalles del certificado de la aplicación
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Group-IB no pudo recuperar ni analizar el malware de la siguiente etapa, pero descubrió que el servidor de prueba se conecta a un punto final conocido en la infraestructura de Lazarus para intentar obtenerlo.

Flujo de ejecución
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Experimentos con evasión en macOS

El caso informado por Group-IB es muy similar a otro informe reciente de SentinelLabs, que observó que el actor de amenazas norcoreano BlueNoroff experimentaba con técnicas similares pero distintas para evadir macOS.

BlueNoroff utilizó técnicas de phishing con temática de criptomonedas para atraer a los objetivos a descargar una aplicación maliciosa que estaba firmada y certificada.

Las aplicaciones usaban un archivo "Info.plist" modificado para activar de forma sigilosa una conexión maliciosa al dominio controlado por el atacante desde donde se recupera la carga útil de la segunda etapa.

Se desconoce si las campañas están relacionadas, pero es común que grupos de actividades separados utilicen la misma información sobre cómo violar eficazmente los sistemas macOS sin activar las alarmas.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1307

Noticias Informáticas / Vulnerabilidad crítica en Laravel permite escalar privilegios

Noviembre 16, 2024, 01:57:58 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha identificado una vulnerabilidad de seguridad crítica en Laravel, el popular framework de aplicaciones web conocido por su elegante sintaxis y su completo conjunto de herramientas para crear aplicaciones sólidas.

Identificada como, CVE-2024-52301 (CVSS 8,7), esta vulnerabilidad podría exponer una gran cantidad de aplicaciones basadas en Laravel a acceso no autorizado, manipulación de datos y escalamiento de privilegios.

CVE-2024-52301 gira en torno a una validación de entrada incorrecta, explotando específicamente la configuración del entorno de Laravel. La raíz del problema radica en el manejo que hace Laravel de la directiva Register_argc_argv de PHP, que permite procesar argumentos de línea de comandos en scripts. Si esta directiva está activada, los atacantes pueden manipular el marco a través de URL especialmente diseñadas, cambiando las variables de entorno utilizadas por Laravel al procesar las solicitudes.

Esta validación inadecuada proporciona una vía para que los atacantes eludan la validación de entrada o inyecten datos maliciosos. Dado que Register_argc_argv permite el acceso a argumentos de la línea de comandos, las aplicaciones Laravel con esta configuración habilitada enfrentan un mayor riesgo, ya que actores maliciosos pueden explotar el comportamiento predeterminado de PHP, obteniendo control no autorizado sobre los entornos de las aplicaciones.

Laravel se usa ampliamente para desarrollar aplicaciones web y API, lo que hace que esta vulnerabilidad sea particularmente preocupante debido a su amplio impacto potencial. La falla afecta a múltiples versiones de Laravel, incluyendo:

• Versiones < 6.20.45

• Versiones >= 7.0.0 y < 7.30.7

• Versiones >= 8.0.0 y < 8.83.28

• Versiones >= 9.0.0 y < 9.52.17

• Versiones >= 10.0.0 y < 10.48.23

• Versiones >= 11.0.0 y < 11.31.0

Las organizaciones que dependen de estas versiones de Laravel para aplicaciones públicas corren un riesgo particular, ya que los atacantes podrían aprovechar esta vulnerabilidad para escalar privilegios, acceder a datos confidenciales e incluso inyectar código malicioso.

En respuesta a CVE-2024-52301, Laravel ha emitido parches en todas las versiones afectadas, siendo las versiones actualizadas: 6.20.45, 7.30.7, 8.83.28, 9.52.17, 10.48.23, 11.31.0.

El último parche garantiza que Laravel ignore los valores argv para la detección del entorno en SAPI (interfaces de programación de aplicaciones de servidor) que no sean CLI, cerrando la vulnerabilidad. Para los desarrolladores, este parche es esencial y Laravel recomienda la actualización inmediata a estas versiones parcheadas.

Fuente:
SecurityOnline
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vía (Traducción al español)
Segu-Info
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1308

Noticias Informáticas / Te hackean si te interesas por cierto Gato… y no es broma…

Noviembre 13, 2024, 05:02:24 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según denuncia la compañía de seguridad SOPHOS, una reciente campaña de ciberataques ha comenzado a dirigirse contra usuarios interesados en una pregunta aparentemente inofensiva:

"¿Son legales los gatos bengalíes en Australia?" ('are bengal cats legal in australia?', en el original).

Es esta búsqueda específica la que, al ser introducida en Google, ha llevado a muchos usuarios a caer en manos de ciberestafadores que recurrían a una técnica conocida como "envenenamiento SEO" para manipular los resultados de búsqueda y atraer a los incautos hacia sitios maliciosos...

...donde su información personal puede ser robada y/o se les puede incitar a descargar una variante de malware conocida como Gootloader (usada como intermediario de otros tipos de malware, como ransomware, herramientas de acceso remoto o troyanos bancarios).

¿Qué pasa con los gatos bengalíes?

Lo curioso de este ataque es que está dirigido a una búsqueda en específico:

"¿Son legales los gatos bengalíes en Australia?"

este tipo de gato exótico ha ganado popularidad en los últimos años por su apariencia similar a la de un pequeño leopardo... motivo por el que algunos usuarios parecen pensar que se les puede aplicar la estricta normativa de tenencia de animales exóticos, y por ello buscan aclarar sus dudas en Internet.

PD: Los gatos bengalíes son, como los persas o los siameses, una raza de gato doméstico más.

¿Qué es el envenenamiento SEO y cómo afecta a los usuarios?

El 'envenenamiento SEO' es una técnica de manipulación en la que los ciberdelincuentes optimizan sus sitios web para que aparezcan entre los primeros resultados en los motores de búsqueda para ciertas búsquedas... buscando aprovecharse de la confianza que los usuarios suelen depositar en los resultados que encabezan las listas de Google, lo que incrementa las probabilidades de que hagan clic en enlaces peligrosos.

En el caso del término sobre la legalidad de los gatos bengalíes, los hackers lograron que ciertos enlaces fraudulentos (pero diseñados para parecer fiables) se posicionaran entre los primeros resultados. Al ingresar, los usuarios eran redirigidos a sitios aparentemente legítimos... donde se les invitaba a descargar un archivo ZIP que, en lugar de información sobre la legalidad de los gatos bengalíes, contenía un archivo JavaScript que ejecutaba Gootloader en su PC.

Gootloader es capaz de evadir sistemas de detección al esconderse dentro de archivos legítimos y ofuscar su código, lo que dificulta su identificación

Motivo e impacto de los ataques

El envenenamiento SEO ha demostrado ser una estrategia eficaz y difícil de detectar, que continuará evolucionando en los próximos años. En este caso, la campaña se ha centrado en un tema muy específico y dirigido a un grupo de personas concreto, los amantes de los gatos en Australia, lo cual resulta inusual. Algunos analistas especulan que esta campaña podría estar dirigida únicamente a realizar pruebas de efectividad de las técnicas de SEO malicioso sin atraer demasiada atención.

Fuente:
Sophos News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vía (compendio al español):
Genbeta
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1309

Noticias Informáticas / El malware comienza a ocultarse más profundamente en archivos ZIP

Noviembre 13, 2024, 04:08:16 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de seguridad han descubierto que los actores maliciosos han estado utilizando la concatenación de archivos ZIP para evitar la detección del malware que contienen. Esta técnica implica la combinación de varios archivos ZIP, con el malware almacenado en uno de los archivos internos, lo que dificulta que el software antimalware lo descubra. Además, los investigadores de Perception Point (h/t BleepingComputer) observaron que las diferentes formas en que los tres archivadores de archivos más populares (7zip, WinRAR y Windows File Explorer) manejan los archivos concatenados afectan las tasas de detección en este tipo de ataque.

Los archivos ZIP suelen tener un único directorio central que le indica al software de archivado dónde se encuentra cada archivo individual dentro del archivo y dónde comienzan y terminan sus datos. Sin embargo, los archivos concatenados tienen dos o más directorios centrales, y el archivador de archivos solo abre un directorio central cuando un usuario obtiene una vista previa de su contenido. Por ejemplo, 7zip solo muestra el primer directorio central, mientras que WinRAR mostraría el segundo. Por otro lado, el Explorador de archivos de Windows se niega rotundamente a abrir archivos ZIP concatenados (pero abriría el segundo directorio si el archivo se renombra como un archivo .RAR).

Por lo tanto, si el archivo malicioso se almacena en el segundo directorio, los usuarios que lo descompriman con 7zip no verán el malware en absoluto: solo se verá y descomprimirá el primer directorio benigno. La única indicación de que hay otro archivo en el archivo es la advertencia que aparece en la ventana de extracción: "Hay algunos datos después del final de los datos de carga útil". Pero si usa WinRAR o el Explorador de archivos de Windows (con un archivo .RAR concatenado), podrá ver y descomprimir el archivo de malware.

Tenga en cuenta que es probable que se trate de un comportamiento intencionado en función de los casos de uso populares de algunos programas de archivado. La mayoría de los usuarios expertos en tecnología, incluidos los desarrolladores y los profesionales de la ciberseguridad, prefieren 7zip. Por lo tanto, si abren el archivo sospechoso, que normalmente se envía a través de un correo electrónico de phishing, no verán el programa malicioso, lo que permitirá que el vector de ataque pase desapercibido. Por otro lado, algunos abrirían el archivo directamente en el Explorador de archivos de Windows o en WinRAR. Dado que el archivo se envía a través de un correo electrónico de phishing, los usuarios no expertos en tecnología son los objetivos obvios de este ataque. Cuando abren el archivo infectado, este podría conectarse a Internet para descargar ransomware, troyanos bancarios y otros tipos de malware más avanzado.

Este no es el primer ataque malicioso que se aprovecha de las peculiaridades y características del software de archivo. Por ejemplo, un investigador de seguridad descubrió anteriormente el ataque "Zip Bomb", en el que un único archivo de 46 MB se expandió hasta convertirse en una enorme carpeta de 4,5 PB, lo que potencialmente hizo que el sistema se bloqueara al abrirla. En contexto, esa cantidad de almacenamiento equivale a 4500 millones de fotos de alta calidad de 1 MB cada una o más de 366 años de vídeo de alta definición si una hora consume 1,4 GB. Esto demuestra que, si bien el software de seguridad es una parte importante de la ciberseguridad, saber qué archivos son sospechosos sigue siendo la primera línea de defensa del usuario.

Fuente:
Tom´s Hardware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1310

Noticias Informáticas / Se filtraron 91 millones de registros de números de teléfono y móviles

Noviembre 13, 2024, 04:01:41 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una reciente filtración de datos ha dejado expuesta una enorme base de datos que contiene 91 millones de registros de números de teléfono y móviles.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El conjunto de datos filtrado, ofrecido en un archivo .xlsx de 13,9 GB, incluye información confidencial como nombres, direcciones, números de teléfono, ciudades, códigos postales y países.

Supuestamente obtenidos a través de herramientas de botnet, estos datos se están vendiendo en línea, lo que genera serias preocupaciones sobre la privacidad y la seguridad de los datos debido al amplio alcance de la información comprometida.

Este incidente destaca vulnerabilidades significativas en la protección de datos personales, especialmente con filtraciones a gran escala.

Fuente:
DailyDarkWeb
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1311

Noticias Informáticas / IA muestra a la ciudad del Vaticano más dañada de lo que se pensó anteriormente

Noviembre 13, 2024, 03:58:56 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La IA se ha utilizado para encontrar vulnerabilidades estructurales en la Basílica de San Pedro, en la ciudad del Vaticano, que son invisibles a simple vista.

Se creó un gemelo digital de la famosa Iglesia Católica a través de AI creando un modelo de computadora 3D ultra preciso que simula un objeto en el mundo físico.

El proyecto fue desarrollado por Microsoft y el Vaticano en colaboración con Iconem, una startup francesa especializada en preservación digital.

Se llama La Basilica di San Pietro e involucraba drones, cámaras y láseres que se utilizan para tomar más de 400,000 imágenes detalladas para crear una réplica digital exacta del exterior y el interior durante un período de tres semanas.

El análisis de IA luego identificó grietas y fisuras invisibles para el ojo humano que ayudará con el trabajo de restauración.

También reveló baldosas de mosaico previamente ocultas o perdidas y descubrió un techo adornado.

El vicepresidente y presidente de Microsoft Brad Smith dijo: "Es literalmente uno de los proyectos más avanzados y sofisticados tecnológicamente de su tipo que se haya seguido".

"Todos, realmente todos deberían sentirse bienvenidos en esta gran casa", dijo el Papa Francisco a Smith y miembros de los equipos de desarrollo del proyecto en una audiencia celebrada el lunes.

Una vista de la Basílica de San Pedro durante la vista previa a la prensa de la exposición (imagen: AP)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se espera que la gente pueda explorar la famosa iglesia virtualmente
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Continuó: 'Esta casa de oración por todos los pueblos nos ha sido confiado por aquellos que nos han precedido en la fe y el ministerio apostólico".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"Por lo tanto, es un regalo y una tarea para cuidarlo, tanto en un sentido espiritual como material, incluso a través de las últimas tecnologías".

El proyecto también permite a las personas que nunca pueden visitar al Vaticano en persona experimentar el sitio con el mismo nivel de detalles que los visitantes en persona pueden.

La tecnología gemela digital ya se ha utilizado en otros edificios como la Catedral de Notre Dame en París para ayudar con los esfuerzos de reconstrucción después del incendio en 2019.

Fuente:
msn News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1312

Noticias Informáticas / VMware ofrece Workstation y Fusion de forma gratuita para todos

Noviembre 13, 2024, 02:26:08 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

VMware ha anunciado que sus hipervisores de escritorio VMware Fusion y VMware Workstation ahora son gratuitos para todos, tanto para uso comercial, educativo como personal.

En mayo, la empresa también hizo que VMware Workstation Pro y Fusion Pro fueran gratuitos para uso personal, lo que permite a los estudiantes y usuarios domésticos configurar laboratorios de prueba virtualizados y experimentar con otros sistemas operativos ejecutando máquinas virtuales y clústeres de Kubernetes en dispositivos Windows, Linux y macOS.

A partir de esta semana, las versiones Pro y los dos productos ya no estarán disponibles bajo un modelo de suscripción paga.

"A partir de ahora, VMware Fusion y VMware Workstation dejarán de tener el modelo de suscripción de pago, lo que significa que ahora podrá utilizar estas herramientas sin ningún coste. Las versiones de pago de estas ofertas (Workstation Pro y Fusion Pro) ya no están disponibles para su compra", afirmó el director de marketing de productos de Broadcom, Himanshu Singh.

"Si actualmente tiene un contrato comercial, puede estar tranquilo sabiendo que su acuerdo seguirá vigente hasta el final de su plazo. Seguirá recibiendo el nivel completo de servicio y soporte de nivel empresarial según su contrato".

Si bien las versiones gratuitas incluirán todas las funciones disponibles en los productos de pago, Broadcom ya no proporcionará a los usuarios tickets de soporte para la resolución de problemas.

Broadcom planea seguir desarrollando nuevas funciones y mejoras y garantizar que las actualizaciones se implementen con prontitud.

"Estamos invirtiendo activamente en nuevas funciones, mejoras de usabilidad y otras mejoras valiosas", añadió Singh. "Nuestros equipos de ingeniería están comprometidos a mantener nuestros altos estándares de estabilidad, con actualizaciones oportunas y un rendimiento confiable".

Puede descargar VMware Fusion y VMware Workstation en esta página después de iniciar sesión en su cuenta de Broadcom:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Esto se produce después de que Broadcom anunciara el fin de las licencias perpetuas, la interrupción de la oferta gratuita de vSphere Hypervisor (ESXi) y la desinversión de la división de informática para el usuario final después de adquirir VMware hace un año.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1313

Noticias Informáticas / Microsoft martes de parche: noviembre de 2024 corrige 4 días cero y 91 fallas

Noviembre 13, 2024, 02:24:08 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hoy es el martes de parches de noviembre de 2024 de Microsoft, que incluye actualizaciones de seguridad para 91 fallas, incluidas cuatro de día cero, dos de las cuales se explotan activamente.

Este martes de parches corrigió cuatro vulnerabilidades críticas, que incluyen dos fallas de ejecución de código remoto y dos fallas de elevación de privilegios.

A continuación, se detalla la cantidad de errores en cada categoría de vulnerabilidad:

26 vulnerabilidades de elevación de privilegios

2 vulnerabilidades de omisión de funciones de seguridad

52 vulnerabilidades de ejecución de código remoto

1 vulnerabilidad de divulgación de información

4 vulnerabilidades de denegación de servicio

3 vulnerabilidades de suplantación de identidad

Este recuento no incluye dos fallas de Edge que se solucionaron previamente el 7 de noviembre.

Se revelaron cuatro vulnerabilidades de día cero

El martes de parches de este mes corrige cuatro vulnerabilidades de día cero, dos de las cuales se explotaron activamente en ataques y tres se divulgaron públicamente.

Microsoft clasifica una falla de día cero como una que se divulga públicamente o se explota activamente mientras no hay una solución oficial disponible.

Las dos vulnerabilidades de día cero explotadas activamente en las actualizaciones de hoy son:

CVE-2024-43451: vulnerabilidad de suplantación de divulgación de hash NTLM

Microsoft ha corregido una vulnerabilidad que expone los hashes NTLM a atacantes remotos con una interacción mínima con un archivo malicioso.

"Esta vulnerabilidad revela el hash NTLMv2 de un usuario al atacante, que podría usarlo para autenticarse como el usuario", explicó Microsoft.

"Una interacción mínima con un archivo malicioso por parte de un usuario, como seleccionar (un clic), inspeccionar (clic derecho) o realizar una acción distinta a abrir o ejecutar, podría desencadenar esta vulnerabilidad", continuó Microsoft.

Microsoft dice que Israel Yeshurun de ClearSky Cyber Security descubrió esta vulnerabilidad y que se divulgó públicamente, pero no compartió más detalles.

CVE-2024-49039 - Vulnerabilidad de elevación de privilegios del Programador de tareas de Windows

Se podría ejecutar una aplicación especialmente diseñada que eleve los privilegios al nivel de integridad media.

"En este caso, se podría realizar un ataque exitoso desde un AppContainer con privilegios bajos. El atacante podría elevar sus privilegios y ejecutar código o acceder a recursos con un nivel de integridad más alto que el del entorno de ejecución del AppContainer", explicó Microsoft.

Microsoft afirma que explotar esta vulnerabilidad permitiría a los atacantes ejecutar funciones de RPC que normalmente están restringidas a cuentas privilegiadas.

La falla fue descubierta por Vlad Stolyarov y Bahare Sabouri del Grupo de Análisis de Amenazas de Google.

No se sabe cómo se explotó la falla en los ataques.

Las otras tres vulnerabilidades que se divulgaron públicamente pero no se explotaron en los ataques son:

CVE-2024-49040 - Vulnerabilidad de suplantación de identidad en Microsoft Exchange Server

Microsoft ha corregido una vulnerabilidad en Microsoft Exchange que permite a los actores de amenazas suplantar la dirección de correo electrónico del remitente en los correos electrónicos a los destinatarios locales.

"Microsoft está al tanto de una vulnerabilidad (CVE-2024-49040) que permite a los atacantes ejecutar ataques de suplantación de identidad contra Microsoft Exchange Server", explica un aviso relacionado de Microsoft.

"La vulnerabilidad es causada por la implementación actual de la verificación del encabezado P2 FROM, que ocurre en el transporte".

A partir de las actualizaciones de seguridad de Microsoft Exchange de este mes, Microsoft ahora detecta y marca los correos electrónicos suplantados con una alerta antepuesta al cuerpo del correo electrónico que dice: "Aviso: este correo electrónico parece ser sospechoso. No confíe en la información, los vínculos o los archivos adjuntos de este correo electrónico sin verificar la fuente a través de un método confiable".

Microsoft dice que la falla fue descubierta por Slonser en Solidlab, quien la divulgó públicamente en este artículo.

CVE-2024-49019 - Vulnerabilidad de elevación de privilegios en los servicios de certificados de Active Directory

Microsoft ha corregido una falla que permite a los atacantes obtener privilegios de administrador de dominio mediante el uso indebido de las plantillas de certificado predeterminadas de la versión 1 integradas.

"Compruebe si ha publicado algún certificado creado con una plantilla de certificado de la versión 1 en la que la fuente del nombre del sujeto esté configurada como "Suministrada en la solicitud" y los permisos de inscripción se concedan a un conjunto más amplio de cuentas, como usuarios o equipos del dominio", explica Microsoft.

"Un ejemplo es la plantilla de servidor web integrada, pero no es vulnerable de forma predeterminada debido a sus permisos de inscripción restringidos".

La falla fue descubierta por Lou Scicchitano, Scot Berner y Justin Bollinger de TrustedSec, quienes divulgaron la vulnerabilidad "EKUwu" en octubre.

"Al utilizar plantillas de certificado de la versión 1 predeterminadas incorporadas, un atacante puede crear una CSR para incluir políticas de aplicación que se prefieran a los atributos de uso de clave extendida configurados y especificados en la plantilla", se lee en el informe de TrustedSec.

"El único requisito son los derechos de inscripción, y se puede utilizar para generar autenticación de cliente, agente de solicitud de certificado y certificados de diseño de código utilizando la plantilla WebServer".

Como se explicó anteriormente, CVE-2024-43451 también se divulgó públicamente.

Actualizaciones recientes de otras empresas

Otros proveedores que publicaron actualizaciones o avisos en noviembre de 2024 incluyen:

Adobe publicó actualizaciones de seguridad para numerosas aplicaciones, incluidas Photoshop, Illustrator y Commerce.

Cisco publica actualizaciones de seguridad para varios productos, incluidos Cisco Phones, Nexus Dashboard, Identity Services Engine y más.

Citrix publica actualizaciones de seguridad para vulnerabilidades de NetScaler ADC y NetScaler Gateway. También publicaron una actualización para Citrix Virtual Apps and Desktops informada por Watchtowr.

Dell publica actualizaciones de seguridad para fallas de ejecución de código y omisión de seguridad en SONiC OS.

D-Link publica una actualización de seguridad para una falla crítica de DSL6740C que permite la modificación de contraseñas de cuentas.

Google publicó Chrome 131, que incluye 12 correcciones de seguridad. No hay días cero.

Ivanti publica actualizaciones de seguridad para veinticinco vulnerabilidades en Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) e Ivanti Secure Access Client (ISAC).

SAP publica actualizaciones de seguridad para varios productos como parte del Patch Day de noviembre.

Schneider Electric publica actualizaciones de seguridad para fallas en los productos Modicon M340, Momentum y MC80.

Siemens publicó una actualización de seguridad para una falla crítica 10/10 en TeleControl Server Basic identificada como CVE-2024-44102.

Actualizaciones de seguridad del parche del martes de noviembre de 2024

Para acceder a la descripción completa de cada vulnerabilidad y los sistemas a los que afecta, puedes ver el informe completo a continuación:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1314

Noticias Informáticas / D-Link no solucionará error crítico en 60.000 módems

Noviembre 13, 2024, 02:17:38 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Decenas de miles de enrutadores D-Link que han llegado al final de su vida útil son vulnerables a un problema de seguridad crítico que permite a un atacante remoto no autenticado cambiar la contraseña de cualquier usuario y tomar el control total del dispositivo.

La vulnerabilidad fue descubierta en el módem D-Link DSL6740C por el investigador de seguridad Chaio-Lin Yu (Steven Meow), quien la informó al centro de respuesta y computación de Taiwán (TWCERTCC).

Vale la pena señalar que el dispositivo no estaba disponible en los EE. UU. y llegó a la fase de fin de servicio (EoS) a principios de año.

En un aviso publicado hoy, D-Link anunció que no solucionará el problema y recomienda "retirar y reemplazar los dispositivos D-Link que hayan llegado al final de su vida útil o fin de servicio".

Chaio-Lin Yu informó a TWCERTCC sobre otras dos vulnerabilidades, una inyección de comandos en el sistema operativo y un problema de cruce de ruta:

Los tres problemas se resumen de la siguiente manera:

CVE-2024-11068: Falla que permite a atacantes no autenticados modificar la contraseña de cualquier usuario a través de un acceso privilegiado a la API, lo que les otorga acceso a los servicios web, SSH y Telnet del módem. (Puntuación CVSS v3: 9,8 "crítico").

CVE-2024-11067: Vulnerabilidad de cruce de ruta que permite a atacantes no autenticados leer archivos arbitrarios del sistema, recuperar la dirección MAC del dispositivo e intentar iniciar sesión con las credenciales predeterminadas. (Puntuación CVSS v3: 7,5 "alto")

CVE-2024-11066: Error que permite a atacantes con privilegios de administrador ejecutar comandos arbitrarios en el sistema operativo host a través de una página web específica. (Puntuación CVSS v3: 7,2, "alta")

Una búsqueda rápida en el motor de búsqueda FOFA de dispositivos y software expuestos públicamente muestra que hay cerca de 60 000 módems D-Link DSL6740C accesibles a través de Internet, la mayoría de ellos en Taiwán.

Resultados del escaneo FOFA
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

TWCERTCC ha publicado avisos sobre cuatro vulnerabilidades más de alta gravedad de inyección de comandos del sistema operativo que afectan al mismo dispositivo D-Link. Los errores se identifican como CVE-2024-11062, CVE-2024-11063, CVE-2024-11064 y CVE-2024-11065.

Aunque la cantidad de dispositivos vulnerables expuestos en la web pública es significativa, D-Link ha dejado en claro en el pasado que los dispositivos al final de su vida útil (EoL) no están cubiertos por las actualizaciones, incluso cuando se trata de errores críticos.

Si los usuarios no pueden reemplazar el dispositivo afectado con una variante que el proveedor aún admita, al menos deberían restringir el acceso remoto y establecer contraseñas de acceso seguras.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1315

Noticias Informáticas / Actualización de Samsung provocó problemas de audio en algunos Galaxy

Noviembre 13, 2024, 02:15:02 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Samsung ha confirmado problemas con la función Dolby Atmos, que se supone que mejora la experiencia de audio.

Si te preguntabas por qué el sonido de tu dispositivo Galaxy es de mala calidad cuando usas la función Dolby Atmos, es probable que una actualización sea la culpable.

Los usuarios plantearon el problema con el audio, que parece afectar a algunos de los modelos de la línea Samsung Galaxy S23 y Tab S9, en septiembre en Reddit y las páginas de la comunidad de Samsung.

Se quejaron de que la función Dolby Atmos causaba distorsiones de sonido, incluidas reverberaciones y picos de sonido.

En ese entonces, algunos especularon que el problema podría haber estado relacionado con la actualización Samsung One UI 6.1.1. Sin embargo, la empresa no lo ha confirmado.

Ahora, Samsung ha admitido el problema a su comunidad. Según Sammobile, el problema se originó en la actualización de la biblioteca Dolby Atmos que se instaló junto con Samsung One UI 6.1.1.

La actualización estaba pensada inicialmente para mejorar la función de audio 360, pero afectó a otros aspectos del audio.

Según Samsung, Dolby Atmos ha sido informado sobre el problema y está trabajando en una actualización de la biblioteca, aunque no se ha facilitado una fecha concreta.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1316

Noticias Informáticas / Se observa en estado salvaje una nueva variante de Remcos RAT

Noviembre 12, 2024, 02:15:22 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los laboratorios FortiGuard de Fortinet descubrieron recientemente una campaña de phishing que difundía una nueva variante de Remcos RAT.

Remcos es una herramienta de administración remota (RAT) comercial que se vende en línea para permitir a los compradores controlar de forma remota las computadoras. Los actores de amenazas utilizan Remcos para robar información confidencial y controlar las computadoras de las víctimas para realizar actividades maliciosas.

Los mensajes de phishing contienen un documento de Excel malicioso camuflado en un archivo de pedido para engañar al destinatario y lograr que lo abra. Al abrir el archivo, se explota la vulnerabilidad RCE CVE-2017-0199.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Desde 2017, los actores de amenazas han utilizado documentos de archivo de texto enriquecido (RTF) como arma aprovechando una falla en la interfaz de vinculación e incrustación de objetos (OLE) de Office para distribuir malware como el troyano bancario DRIDEX.

Una vez que se explota la CVE-2017-0199, se descarga un archivo HTA y se ejecuta en el dispositivo del destinatario.

En este ataque, el programa MS Excel accede a una URL abreviada que redirecciona a una dirección IP específica y descarga un archivo HTA (aplicación HTML). Este archivo, ejecutado por la aplicación de Windows mshta.exe a través de los componentes DCOM de Excel, inicia la cadena de ataque.

Los investigadores notaron que el archivo HTA está envuelto en múltiples capas que utilizan diferentes lenguajes de script y métodos de codificación, incluidos JavaScript, VBScript, codificación Base64, codificación URL y PowerShell, en un intento de evadir la detección.

El archivo HTA descargado ejecutado por mshta.exe y ejecuta el código PowerShell para descargar un archivo EXE malicioso, dllhost.exe, en el dispositivo de la víctima. Una vez ejecutado, dllhost.exe extrae los archivos en la carpeta %AppData% y luego ejecuta PowerShell para cargar y ejecutar el código malicioso oculto. Este script de PowerShell lee y ejecuta el contenido de un archivo extraído, Aerognosy.Res, que invoca más comandos. Luego, el código PowerShell ofuscado copia dllhost.exe en %temp%, lo renombra como Vaccinerende.exe, oculta el proceso PowerShell, carga el código malicioso en la memoria y lo ejecuta mediante llamadas API como VirtualAlloc() y CallWindowProcA().

"El código malicioso realiza un vaciado de procesos para colocarse en un proceso Vaccinerende.exe recién creado (copiado de dllhost.exe). Para ello, llama a la API CreateProcessInternalW() con CreatFlags de CREATE_SUSPENDED (0x4), que suspenderá el nuevo proceso después de su creación. A continuación, llama a algunas API relacionadas para transferir todo el código malicioso al nuevo proceso y ejecutarlo", se lee en el análisis publicado por Fortinet.

El código malicioso utiliza el vaciado de procesos para descargar y ejecutar de forma sigilosa el payload final, Remcos RAT, otorgando a los atacantes control remoto sobre el sistema infectado.

El código malicioso mantiene la persistencia añadiendo un nuevo elemento de ejecución automática al registro del sistema.

El código malicioso descarga un archivo Remcos RAT cifrado desde un servidor remoto, utilizando API como InternetOpenA(), InternetOpenUrlA() e InternetReadFile() para facilitar la descarga. Después del descifrado, carga una versión sin archivos de Remcos RAT directamente en la memoria dentro del proceso actual (Vaccinerende.exe). El RAT se activa entonces en un nuevo subproceso llamando a la API no documentada NtCreateThreadEx(), lo que le permite ejecutarse de forma encubierta sin dejar rastro en el disco.

El RAT de Remcos permite a los operadores recopilar múltiples datos de los dispositivos infectados, incluidos los metadatos del sistema, y ejecutar comandos remotos. El malware admite múltiples comandos para llevar a cabo actividades maliciosas, como la recolección de archivos, la gestión de procesos y servicios, la edición del registro, la ejecución de scripts, la captura del portapapeles, la alteración del escritorio, la activación de la cámara y el micrófono, la descarga de más cargas útiles, la grabación de pantalla y la desactivación de la entrada del teclado o el ratón.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El informe de Fortinet también incluye indicadores de compromiso (IoC) para esta campaña.

Fuente:
SecurityAffairs
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1317

Noticias Informáticas / Bitcoin bate récords, se acerca a los 90.000 dólares

Noviembre 12, 2024, 02:02:28 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

-   Bitcoin sube más del 25% desde la victoria de Trump

-   El Congreso y los reguladores son vistos como favorables a las criptomonedas

-   Los mineros vuelan ante la especulación de que Estados Unidos compra reservas de criptomonedas

SINGAPUR, 12 nov (Reuters) - El bitcóin se situó el martes al borde de los 90.000 dólares, en medio de una ola de euforia desde la elección de Donald Trump como presidente de Estados Unidos por las expectativas de que su administración sea amigable con las criptomonedas.

La mayor criptomoneda del mundo se ha convertido en uno de los movimientos más llamativos en la semana desde la elección y tocó los 89.637 dólares en Asia, una ganancia de más del 25% desde el 5 de noviembre.

Está subiendo junto con el fabricante de automóviles Tesla (TSLA.O) de Elon Musk, que ha subido casi un 40% desde que se conocieron los resultados de la votación, ya que los inversores creen que a los amigos e intereses de Trump les irá bien mientras esté en el cargo.

"Obviamente, es una clara operación de Trump, ya que apoya mucho a la industria, y esto solo puede significar una mayor demanda tanto de acciones de criptomonedas como de las propias monedas", dijo Nick Twidale, analista jefe de mercado de ATFX Global en Sídney.

"El hecho de que el bitcoin cotizara cerca de máximos históricos cuando se conoció el resultado de las elecciones significaba que tenía el cielo despejado".
Trump adoptó los activos digitales durante su campaña, prometiendo convertir a Estados Unidos en la "capital criptográfica del planeta" y acumular una reserva nacional de bitcoin.

No está claro cómo o cuándo podría suceder eso, pero la posibilidad impulsó un aumento especulativo en la minería de criptomonedas y el comercio de acciones.

"Creo que aumenta las posibilidades de que otros estados nacionales compren bitcoins en un intento de adelantarse a Estados Unidos", dijo Matthew Dibb, director de inversiones de la gestora de activos de criptomonedas Astronaut Capital.

"Además, creo que sería un catalizador loco para los mineros de bitcoins que cotizan en bolsa en Estados Unidos... dadas las posibilidades de que dichas entidades se nacionalicen".

La empresa de minería de criptomonedas Riot Platforms subió casi un 17% en Wall Street durante la noche y siguió subiendo en las operaciones posteriores al cierre. Otras empresas mineras como MARA Holdings (MARA.O), y CleanSpark (CLSK.O), saltaron casi un 30%.

La empresa de software e inversora en bitcoin MicroStrategy (MSTR.O),anunció que había gastado unos 2.000 millones de dólares en la compra de bitcoin entre el 31 de octubre y el 10 de noviembre. Las acciones subieron un 26% y seguían ganando terreno en las operaciones posteriores al cierre.

La euforia se extendió por todo el panorama de las criptomonedas, con tokens más pequeños como el ether e incluso la antigua moneda de broma dogecoin, que se dispararon.

Los inversores en criptomonedas ven el fin del mayor escrutinio bajo el presidente de la Comisión de Bolsa y Valores de Estados Unidos, Gary Gensler, a quien Trump ha dicho que reemplazará. Trump también presentó un nuevo negocio de criptomonedas, World Liberty Financial, en septiembre.

"Lo que estamos viendo no es solo un hito en el precio; es una señal de que el mercado se está acercando a la idea de que el bitcoin es un activo más estable, incluso políticamente favorecido", dijo Justin D'Anethan, jefe de desarrollo de negocios de Asia-Pacífico en el creador de mercado de activos digitales Keyrock.

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1318

Noticias Informáticas / Hacker afirma banear a miles de jugadores de CoD a través de un exploit

Noviembre 12, 2024, 01:51:15 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los actores maliciosos están utilizando sistemas antitrampas como armas contra sus oponentes. TechCrunch informa que un hacker conocido como Vizor afirma haber explotado una falla en el sistema antitrampas Ricochet de Call of Duty (CoD) para banear a miles de jugadores legítimos.

El sistema antitrampas Ricochet, lanzado en 2021, se ejecuta a nivel de kernel. Un método que utiliza para detectar a los tramposos es escanear la memoria del dispositivo del jugador en busca de cadenas relacionadas con el software de trampas.

Según el hacker, banearon a "miles y miles" de jugadores de CoD simplemente enviando mensajes privados que contenían palabras de activación específicas, como "Trigger Bot". El sistema antitrampas luego marca el comportamiento como trampa, independientemente del contexto.

Vizor le dijo a TechCrunch que incluso usaron la automatización para banear a jugadores aleatorios mientras estaban de vacaciones.

Anteriormente, Activision detectó un aumento extraño en los tramposos de CoD, lo que llevó a baneos de cuentas, e incluso se jactó de ello en X. En una sola semana de agosto, el equipo de Ricochet baneó 65.000 cuentas.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Más tarde, el equipo afirmó haber identificado y desactivado una "solución alternativa a un sistema de detección" que afectaba a un "pequeño número" de jugadores legítimos, minimizando el problema.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Algunos jugadores expresaron su frustración en las respuestas.

"Aun así, sigo baneado, en este punto, me he dado por vencido en CoD. Gasto tanto dinero en mi cuenta. Terminé con CoD, perdí tanto dinero y todas las horas que dediqué a los camuflajes. Me doy por vencido", publicó un usuario.

Vizor detalló el exploit para engañar al desarrollador Zebleer, y lo compartieron en X.

Si bien los anti-trampas modernos y otras soluciones de seguridad escanean firmas para identificar malware u otro software malicioso, requieren la creación de una firma única (hash) para cada versión de la aplicación maliciosa. Sin embargo, Ricochet, según los piratas informáticos, usa cadenas de texto sin formato como firmas, como "Contador de capturas de pantalla", "Bot disparador", "B.u.b.b.l.e. .E.S.P." y otras. El anti-trampas se activa cuando se detectan estas cadenas en la memoria de trabajo.

"Esto puede parecer razonable a primera vista, ya que "Bot disparador" es una ocurrencia común en los menús de trampas. Seguramente, estás usando uno si esta frase se encuentra en tu juego, ¿verdad? Bueno, desafortunadamente para Ricochet, ese no es el caso. Si alguien envía un mensaje en el chat del juego, ese mensaje estará en la memoria de tu juego. Alguien te envía una solicitud de amistad, su nombre estará en la memoria de tu juego", compartió Zebleer una explicación, que atribuyeron a Vizor.

Según los piratas informáticos, durante algún tiempo, ha sido posible banear permanentemente a personas simplemente enviándoles una solicitud de amistad o publicando un mensaje en el chat del juego, como "¡Buen bot de activación, amigo!".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"Incluso escuché de alguien que creó un script de AutoHotkey para enviar spam a los lobbies de Warzone y publicar mensajes en el chat para que cualquiera en el lobbie fuera baneado", dijeron los hackers. "Este es el resultado de un importante descuido del equipo de Ricochet al usar firmas inapropiadas".

Activision no respondió a la solicitud de comentarios de TechCrunch. La iniciativa antitrampas de Ricochet es un enfoque multifacético para combatir las trampas. Incluye herramientas del lado del servidor que monitorean los análisis. El controlador a nivel de kernel de PC monitorea e informa las aplicaciones que intentan interactuar con títulos protegidos.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1319

Noticias Informáticas / Los estafadores roban más de un billón de dólares al año, revela un informe

Noviembre 12, 2024, 01:48:26 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las víctimas de estafas perdieron más de 1,03 billones de dólares el año pasado, una suma que supera el PIB total de la mayoría de los países, incluidos Suiza, Polonia y Taiwán. Una víctima estadounidense promedio sufrió una pérdida de 3.520 dólares.

Los resultados se basan en 58.329 consumidores encuestados por la Global Anti-Scam Alliance (GASA) en colaboración con Feedzai.

El informe Global State of Scams 2024 de GASA revela que casi la mitad del mundo se enfrenta a un intento de estafa al menos una vez a la semana. Brasil, Hong Kong y Corea del Sur son las regiones más afectadas, donde los ciudadanos se enfrentan a la exposición a estafas casi a diario.

Más de dos tercios (70%) de las víctimas de estafas no informaron sus pérdidas a las autoridades.

"Los estafadores se han llevado más de 1,03 billones de dólares a nivel mundial solo el año pasado, una cifra que rivaliza con el PIB de algunas naciones", dijo GASA.

Según el Fondo Monetario Internacional (FMI), solo 19 países tienen un PIB nominal superior a 1 billón de dólares.

Brasil, Hong Kong y Corea del Sur son las regiones más afectadas, donde los ciudadanos se enfrentan a estafas casi a diario.

El costo financiero de las estafas es asombroso, equivalente al 3-4% del PIB en los países en desarrollo más afectados, como Pakistán, Kenia o Sudáfrica. Sin embargo, para los países desarrollados, como Italia, los Países Bajos y Francia, las pérdidas fueron más cercanas al 0,2% del PIB.

Los consumidores de Estados Unidos, Dinamarca y Suiza informaron las mayores pérdidas por víctima, con una pérdida promedio de 3.520 dólares en los estadounidenses. Solo el 4% de las víctimas de estafas pudieron recuperar sus pérdidas.

Las redes sociales y la inteligencia artificial impulsan nuevas estafas, ya que los estafadores utilizan cada vez más la inteligencia artificial generativa para producir imágenes, guiones, videos y voces realistas en segundos.

Las llamadas telefónicas y los mensajes de texto siguen siendo los principales métodos de contacto inicial. Los estafadores también suelen acercarse a las víctimas por WhatsApp, Instagram y Gmail.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"Más allá de las pérdidas financieras, las estafas infligen una gran angustia emocional a las víctimas. Los sentimientos de vulnerabilidad, miedo y pérdida de confianza son comunes", dijo GASA. "La carga emocional de las estafas es un recordatorio crucial de que la prevención del fraude va más allá de las métricas financieras; también se trata de proteger el bienestar mental de las personas".

A pesar de las elevadas pérdidas, el 67% de las personas confía en su capacidad para detectar estafas.

"Los consumidores se están volviendo más inteligentes a la hora de detectar las estafas", dijo Nuno Sebastião, cofundador, presidente y director ejecutivo de Feedzai. "Esta sólida muestra de confianza es un testimonio de los esfuerzos de los bancos y otros por educar a los consumidores sobre las señales de alerta que deben tener en cuenta para detectar una estafa".

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#1320

Noticias Informáticas / Por primera vez, Telegram entrega datos de usuarios a autoridades holandesas

Noviembre 12, 2024, 01:45:50 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El muro de silencio de Telegram se resquebraja: la Fiscalía holandesa ha obtenido por primera vez datos sobre sospechosos de delitos, según informa la emisora nacional NOS.

En las últimas semanas, Telegram ha publicado datos de veinte casos penales relacionados con tráfico de armas, tráfico de drogas y contenido ilegal que involucra a menores. La plataforma también ayudó a eliminar contenido inapropiado.

Anteriormente, Telegram apenas respondía a ninguna solicitud judicial para eliminar contenido ilegal. Debido a la falta de cooperación, las autoridades iniciaron investigaciones y el director ejecutivo de Telegram, Pavel Durov, fue arrestado en Francia. Más tarde pagó una fianza de 5 millones de euros y fue liberado.

Ahora, la Fiscalía holandesa está "muy satisfecha" de que la plataforma de mensajería Telegram esté cooperando, informa NOS.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"Sin embargo, debemos determinar si esto representa un avance genuino o si se trata de incidentes aislados", dijo el portavoz del servicio.

Las autoridades holandesas se han ganado una sólida reputación en materia de investigación de delitos cibernéticos tras el desmantelamiento de mercados de la dark web como Hansa y AlphaBay, o redes de comunicación cifradas como EncroChat o Sky ECC.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Páginas 1 ... 64 65 66 67 68 ... 249