You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cisco ha revelado hoy una vulnerabilidad de día cero de alta gravedad que afecta a la última generación de sus teléfonos IP y los expone a ejecución remota de código y ataques de denegación de servicio (DoS).

La compañía advirtió el jueves que su Equipo de respuesta a incidentes de seguridad de productos (PSIRT) está "consciente de que el código de explotación de prueba de concepto está disponible" y que la "vulnerabilidad se ha discutido públicamente".

Sin embargo, el PSIRT de Cisco agregó que aún no tiene conocimiento de ningún intento de explotar esta falla de seguridad en los ataques.

Cisco no ha publicado actualizaciones de seguridad para abordar este error antes de la divulgación y dice que habrá un parche disponible en enero de 2023.

CVE-2022-20968, a medida que se rastrea la falla de seguridad, es causada por una validación de entrada insuficiente de los paquetes recibidos del Protocolo de descubrimiento de Cisco, que los atacantes adyacentes no autenticados pueden explotar para desencadenar un desbordamiento de pila.

Los dispositivos afectados incluyen teléfonos IP de Cisco que ejecutan la versión de firmware 14.2 y anteriores de las series 7800 y 8800.

La vulnerabilidad fue informada a Cisco por Qian Chen del Codesafe Team of Legendsec en QI-ANXIN Group.

Mitigación disponible para algunos dispositivos

Si bien aún no está disponible una actualización de seguridad para abordar CVE-2022-20968 o una solución alternativa, Cisco brinda consejos de mitigación para los administradores que desean proteger los dispositivos vulnerables en su entorno contra posibles ataques.

Esto requiere deshabilitar el Protocolo de descubrimiento de Cisco en los dispositivos IP Phone 7800 y 8800 Series afectados que también admiten el Protocolo de descubrimiento de capa de enlace (LLDP) para el descubrimiento de vecinos.

"Los dispositivos luego usarán LLDP para descubrir datos de configuración como VLAN de voz, negociación de energía, etc.", explicó Cisco en un aviso de seguridad publicado el jueves.

"Este no es un cambio trivial y requerirá diligencia por parte de la empresa para evaluar cualquier impacto potencial en los dispositivos, así como el mejor enfoque para implementar este cambio en su empresa".

Se recomienda a los administradores que deseen implementar esta mitigación que prueben su eficacia y aplicabilidad para su entorno.

Cisco advirtió que "los clientes no deben implementar soluciones alternativas o mitigaciones antes de evaluar primero la aplicabilidad a su propio entorno y cualquier impacto en dicho entorno".

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Policía Federal Australiana (AFP) arrestó a cuatro presuntos miembros de un sindicato de estafas de inversiones financieras que se estima que robó $ 100 millones de víctimas en todo el mundo.

Las cuatro personas arrestadas son ciudadanos chinos que viven en Sydney. La AFP comenzó a investigarlos siguiendo pistas del Servicio Secreto de los Estados Unidos (USSS).

Según el anuncio de la policía, los cuatro hombres tenían vínculos con una estafa en EE. UU. que la policía de EE. UU. ha investigado desde agosto de 2022.

"Un análisis de los informes de las víctimas por parte de la policía ha identificado más de 100 millones de dólares en pérdidas en todo el mundo atribuidas a este sindicato del crimen organizado, y la mayoría de las víctimas se encuentran en los Estados Unidos", se lee en el anuncio.

Los primeros dos arrestos tuvieron lugar el 20 de octubre de 2022 en las residencias de los hombres de 19 años, quienes están acusados de violaciones de la sección 193B (3) de la Ley de Delitos de 1900.

Los otros dos individuos fueron detenidos por agentes de la AFP el 24 de noviembre de 2022 en los aeropuertos de Sydney y Melbourne cuando intentaban huir a Hong Kong con billetes de ida.

Esos dos hombres, de 24 y 27 años, supuestamente tenían un papel más importante en la jerarquía, actuando como "controladores" del sindicato en Australia.

Ahora enfrentan cargos penales relacionados con violaciones de la sección 400.2B(4) del Código Penal, que incurren en una pena máxima de 15 años de prisión.

Los cuatro pandilleros de delitos cibernéticos están programados para comparecer en el Tribunal Local del Centro de Downing en enero de 2023.

Detalles de la operación

AFP dice que el grupo de estafa de inversiones manipuló plataformas de comercio electrónico legítimas en combinación con los "pig butchering" ("matanza de cerdos").

"Luego, las víctimas son dirigidas a aplicaciones de inversión tanto fraudulentas como legítimas que se ocupan de divisas y criptomonedas, que han sido manipuladas maliciosamente para mostrar un retorno de inversión falso positivo". - AFP

La "matanza de cerdos" es una estafa de alto rendimiento que engaña a las personas para que inviertan dinero en portales de inversión falsos que generan ganancias falsas.

Las víctimas quedan atrapadas pensando que están ganando grandes cantidades de dinero, son engañadas para que inviertan aún más y finalmente descubren que no pueden retirar dinero de su saldo virtual.

La red criminal usó sitios de empleo, plataformas de mensajería y sitios de citas para acercarse a las víctimas y ganarse su confianza antes de que fueran conducidos a sitios de inversión falsos.

Los estafadores también usaron plataformas legítimas para crear una falsa sensación de autenticidad para las falsas.

Además, los hombres arrestados incluso registraron empresas en la Comisión Australiana de Valores e Inversiones (ASIC), que otorga licencias a los corredores de divisas que luego proporcionan software a sus clientes.

Esto ayudó aún más a los estafadores en su esfuerzo por convencer a las víctimas de que estaban invirtiendo su dinero en plataformas genuinas y confiables.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

He puesto estas advertencias de fin de soportes de ciertos softwares vitales para Windows 7, con el objetivo de que aquellos usuarios que hagan uso extensivo de esta versión de Microsoft, descarguen y guarden estos productos de sus respectivas plataformas, brindándoles la seguridad de que en un futuro lo tendrán a mano.

Hay que recordar que Windows 7 es un sistema de Microsoft muy maleable para el hacking y para el pentesting en general, de ahí el interés y preferencias de muchos.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft Edge dejará de ser compatible con Windows 7 y Windows 8/8.1 después del lanzamiento de la versión 109 el 12 de enero de 2023.

La decisión de dejar de brindar soporte para Windows 7/8.1 para los usuarios de Edge se alinea casi perfectamente con el final del soporte para Windows 7 Extended Security Update (ESU) y Windows 8/8.1 el 10 de enero de 2023.

"Si bien las versiones 109 y anteriores de Microsoft Edge y Webview2 Runtime seguirán funcionando en estos sistemas operativos, esas versiones no recibirán nuevas funciones, futuras actualizaciones de seguridad ni correcciones de errores", dijo la compañía.

"Microsoft Edge versión 109 también será la última versión admitida para Windows Server 2008 R2, Windows Server 2012 y Windows Server 2012 R2".

Se recomienda a los usuarios que deseen instalar nuevas versiones de Microsoft Edge o Webview2 Runtime (usado para incorporar contenido web en sus aplicaciones nativas) que incluyen las últimas actualizaciones de seguridad publicadas que actualicen a Windows 10 o posterior.

Microsoft también alienta a los desarrolladores a que dejen de brindar soporte para Windows 7 y 8/8.1 para asegurarse de que sus usuarios se actualicen antes del 10 de enero de 2023 a una versión de Windows aún con soporte para seguir recibiendo actualizaciones de seguridad para sus dispositivos.

Windows 7 todavía se ejecuta en más del 10,25 % de todos los sistemas Windows en todo el mundo, mientras que Windows 8.1 solo se ejecuta en el 2,53 %, según Statcounter GlobalStats.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El anuncio se produce después de uno similar realizado por Google en octubre cuando la compañía dijo que Google Chrome probablemente dejará de ser compatible con Windows 7 y 8.1 a partir de febrero de 2023.

"Chrome 109 es la última versión de Chrome que admitirá Windows 7 y Windows 8/8.1. Chrome 110 (programado tentativamente para su lanzamiento el 7 de febrero de 2023) es la primera versión de Chrome que requiere Windows 10 o posterior", dijo un empleado de Google.

Google también aconsejó a sus usuarios que actualicen sus dispositivos a Windows 10 o posterior para actualizar a futuras versiones de Chrome.

Al igual que en el caso de Microsoft Edge, las versiones anteriores de Google Chrome seguirán funcionando, pero ya no recibirán correcciones de errores ni actualizaciones de software, lo que expone a sus usuarios a riesgos de seguridad.

El navegador web Google Chrome actualmente tiene una participación de mercado de más del 65 %, seguido por Safari con alrededor del 18 % y Microsoft Edge con 4.32 (que usa el motor de renderizado Blink de Chrome con mejoras de Microsoft).

Otras empresas ya han eliminado la compatibilidad con Windows 7; NVIDIA, por ejemplo, ya no proporciona controladores para Windows 7 y Windows 8.1 desde el año pasado, a partir de octubre de 2021.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ok.

Me disculpo por la ligereza de la información pues realmente andaba con prisas y compromisos.
Aquí se explica en detalle y se aclara el mal entendido de la forma de pago y cobro:

Fuente:
Yahoo News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Wed, December 7, 2022

Telegram ha facilitado la venta de más de 50 millones de dólares en nombres de usuario en criptosubastas, y ahora quiere subastar números de teléfono falsos para permitir el acceso a la plataforma.

Telegram aún no ha terminado de encontrar nuevas formas de monetizar el acceso a su plataforma. El martes, la aplicación de mensajería cifrada anunció que los usuarios podrán suscribirse a sus servicios sin necesidad de acceder a una tarjeta SIM. ¿Cómo, usted puede pedir? Al comprar un número de teléfono con criptografía, por supuesto.

En una publicación de blog, Telegram dijo que estaba haciendo posible el acceso a la aplicación "usando números anónimos impulsados por blockchain" que ahora estaba subastando por criptografía en la propia plataforma criptográfica Fragment de la compañía. Aunque los usuarios pueden acceder a Telegram con un número de teléfono encriptado, ahora les brinda a los usuarios de la aplicación una forma de hacerlo de manera aún más anónima, siempre que estén dispuestos a abrir sus billeteras criptográficas.

Cabe señalar que el mercado de Fragment no está disponible en los EE. UU. Después de conectarse al servicio con una VPN, mostró que algunos números costaban poco menos de $ 40 con seis días restantes para ofertar, mientras que otros números, como 888-8 -888, estaban vendiendo más de $ 61,850 con dos semanas restantes en el proceso de licitación. La cuestión es que no puede usar esos números para otra cosa que no sea registrarse en Telegram, lo que hace que la idea de una "subasta" sea aún más loca.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Telegram ha estado monetizando agresivamente su plataforma durante el último año para ganar más dinero con sus 700 millones de usuarios activos globales. El martes, el CEO de Telegram, Pavel Durov, dijo en su canal oficial que su empresa tiene más de 1 millón de personas que pagan por Telegram Premium, que se lanzó hace solo cinco meses, aunque los suscriptores premium solo representan "una fracción" de sus ingresos totales.

Fragment también es donde Telegram ha estado vendiendo nombres de usuario populares por un poco más de dinero criptográfico. Parece que Telegram y su nuevo amor expresado por las criptomonedas no encajan bien con los reguladores de EE. UU., como ha sido evidente en el pasado.

En octubre, Telegram comenzó a subastar nombres de usuario populares en la cadena de bloques TON, que originalmente había sido desarrollada por Telegram antes de separarse después de que la Comisión de Bolsa y Valores comenzara a investigar a la empresa por vender valores no registrados.

Pero las cosas no salieron sin problemas. En agosto, Durov les dijo a los usuarios que la compañía había sustraído las direcciones de los usuarios que habían estado "vacías o inactivas durante el último año". El CEO prometió que el "99%" de esas direcciones se volverían a presentar al público, mientras que solo el 1% se subastaría. Antes del lanzamiento de su casa de subastas de nombres de usuario, la compañía supuestamente había comenzado a recuperar algunos nombres populares que ya estaban en uso sin notificar primero a esos usuarios. Como se señaló en una publicación de Molly White de Web3isGoingGreat, el creador de contenido relativamente menor de Twitch, UmbyUmbreon, tuiteó en noviembre que su nombre de usuario @umbyvids y @umbydotdog se iban a subastar sin su consentimiento.

Estos nombres luego se revendieron como costosos NFT en Fragment. Los tipos de nombres más caros como "Facebook" se vendieron por $94,200 mientras que "Amazon" se vendió por $425,000, todo en monedas TON. Actualmente, el nombre de usuario "@coin" cuesta $ 585,900, lo que puede esperar que sea muy útil para cualquiera que intente arrastrar a los usuarios ingenuos de Telegram a cualquier cantidad de criptoaventuras no probadas y potencialmente llenas de estafas.

No está claro si la compañía estaba respondiendo a algunas de las reacciones negativas, pero el mes pasado Telegram anunció que permitiría a sus usuarios incluir sus propios nombres de usuario en Fragment de forma gratuita sin realizar una oferta inicial. Una vez que cualquier persona hace una oferta, comienza una subasta de estilo eBay de 7 días, donde la plataforma cobra una tarifa de los ingresos.

Durov es un millonario nacido en Rusia y autoproclamado libertario, por lo que tiene sentido por qué estaría tan interesado en las criptomonedas. El 30 de noviembre, el CEO afirmó en su página que Fragment ya había vendido $50 millones en nombres de usuario en menos de un mes. Dijo que tiene como objetivo agregar billeteras criptográficas e intercambios criptográficos "descentralizados" en la plataforma Fragment, aparentemente ignorando lo que sucedió la última vez cuando la SEC golpeó a su empresa en la cabeza. A pesar de que el mundo de las criptomonedas se ha visto sacudido por la corrupción detallada por la implosión del intercambio de criptomonedas FTX, Durov exclamó públicamente los méritos de la "descentralización" en las criptomonedas y cómo la tecnología de cadena de bloques "finalmente debería poder cumplir con su misión principal: dar a la devolver el poder al pueblo".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los estafadores han comenzado a abusar del sitio web oficial de la Comisión Europea para anunciar sitios "piratas" dudosos. Estos anuncios vienen en forma de archivos PDF que se cargan a través de portales públicos de la UE.

El abuso es amplio y afecta a una variedad de plataformas. Estos incluyen la iniciativa "Joinup" de la Comisión, que se anuncia a sí misma como la "ventanilla única para soluciones de TIC de gobierno digital interoperables, abiertas y gratuitas".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Otras secciones del sitio oficial de la Unión Europea también se ven afectadas, incluido el Observatorio de Nanomateriales de la Unión Europea (EUON), la Sociedad Europea de Químicos (ECHA) y la Comunidad Europea de profesionales del aprendizaje de adultos (EPALE).

Miles de anuncios de 'piratería'

TorrentFreak ha encontrado miles de archivos PDF fraudulentos en estos sitios que anuncian acceso "gratuito" a copias de películas recientes como Black Adam, Nope, Enola Holmes y Vesper. Los documentos están llenos de palabras clave, incluidos los nombres de sitios piratas populares como 123movies y Fmovies.

A continuación, se muestra un ejemplo, pero hay muchos otros en circulación, todos invitando a las personas a hacer clic en la imagen que tiene un enlace incrustado.

"¿Está buscando descargar o ver el nuevo Nope en línea? No, está disponible para la transmisión gratuita de 123 películas. ¡No, la transmisión completa de películas es gratis aquí! Simplemente haga clic en reproducir a continuación y disfrute de la transmisión de Nope en línea, ¡todo sin necesidad de registro o tarjeta de crédito!"

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los enlaces apuntan a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, que parece un sitio de piratería. Sin embargo, transmitir o descargar cualquier cosa parece imposible. En su lugar, redirige a otras URL fraudulentas que varias compañías de antivirus califican como maliciosas.

No es raro que los estafadores atraigan a las personas con contenido pirateado falso, pero estos anuncios no se ven comúnmente en los sitios web del gobierno.

La Comisión Europea ahora es consciente del problema ya que algunos de los archivos PDF han comenzado a desaparecer. Dicho esto, quedan muchos disponibles al momento

No está claro de inmediato cómo los estafadores cargaron estos archivos PDF. Parece probable que usaran funciones de carga pública, en lugar de piratear los sitios de la Unión Europea.

La iniciativa Joinup de la UE actualmente informa a los visitantes que ya no es posible crear nuevas cuentas. En parte, esto podría ser una medida temporal en respuesta a la reciente afluencia de estafadores.

SEO Gold

Los estafadores han encontrado oro explotando los sitios web de la UE. Estos portales oficiales son vistos como autorizados por motores de búsqueda como Google. Como resultado, los PDF fraudulentos ahora se encuentran entre los mejores resultados para varias consultas relacionadas con la piratería.

Por ejemplo, cuando se busca "ver vesper 2022 en línea gratis", un PDF fraudulento en el sitio web de la European Chemicals Society fue el resultado principal en Google.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se desconoce cuántas personas caen en estos dudosos anuncios. La mayoría de las personas probablemente reconocerán las estafas de inmediato. Por otra parte, solo se requieren unas pocas víctimas para que valga la pena para los estafadores.

Portavoz de la Comisión Europea informa que están al tanto de los problemas

"Hemos identificado el origen del incidente. Las partes interesadas de la plataforma ya han tomado las medidas necesarias, como la eliminación de archivos sospechosos y el bloqueo de nuevos intentos de cargarlos".

"Estamos monitoreando de cerca la situación y continuamos escaneando sitios web en busca de archivos sospechosos. No podemos comentar más sobre las investigaciones en curso".

"En general, debemos enfatizar que nos tomamos la ciberseguridad muy en serio y aplicamos políticas estrictas para proteger nuestras infraestructuras, datos y dispositivos. Investigamos cada incidente".

Se confirmó que el problema aún persiste. Algunos archivos PDF sospechosos continúan llegando hoy. Quizás la Comisión debería considerar un filtro de carga.

Fuente:
TorrentFreak
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Regístrese sin tarjeta SIM

En Telegram, su número de teléfono nunca fue visible para extraños: nuestros usuarios controlan quién puede ver su número y si otros pueden encontrarlos por su número de teléfono.

Hoy comienza una nueva era de privacidad. Puede tener una cuenta de Telegram sin una tarjeta SIM e iniciar sesión utilizando números anónimos basados en blockchain disponibles en la plataforma Fragment

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login (no avala en todas las naciones)

Resumen:

Telegram en su nueva actualización ha presentado una nueva función para permitir que los usuarios se registren sin un número de teléfono.
Pero hay una trampa:

Telegram le venderá el número de teléfono

Fuente:
Telegram Blog
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Algunos usuarios de Twitch han vuelto a demostrar que les sobra el dinero para compartirlo con sus streamers favoritos. Esto ha quedado evidenciado con el último regalo que un seguidor le ha hecho a una de las streamer más grandes de Twitch, Kitlyn Siragusa aunque mayormente conocida como Amouranth.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En las últimas semanas, se conoció que no estaba pasando por el mejor de sus momentos, al afirmar que estaba recibiendo presiones por parte de su marido para crear contenido.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
----------------------------------------------------------------------------------------------------------------------


You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

-----------------------------------------------------------------------------------------------------------------------

Esto provocó que muchos usuarios se preocuparan por su salud e integridad física de una de las creadoras de contenido que difundió la gran cantidad de dinero que consigue en Onlyfans o Twitch.

Un fan envía un paquete de seguridad a Amouranth

Uno de los seguidores de Amouranth debido a la alta preocupación que tiene sobre su seguridad le envió un paquete anónimo.

Lo que contenía era sin duda una gran sorpresa, ya que se encontró un total de 66.000 euros en efectivo y artículos de autodefensa como por ejemplo un taser. Además, se agregaba un teléfono con una tarjeta prepago que se necesitaba activar y una carta.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En la carta se explicaba que le estaba proporcionando todo lo necesario para poder defenderse, y también dinero en efectivo que pudiera maniobrar sin necesidad de tener el control de su esposo.

Pero no se queda aquí, ya que también proporcionaba dos números de teléfono. Uno de ellos es de un servicio de seguridad personal, es decir,

- un guardaespaldas que la protegería en caso de emergencia.

- y el segundo de ellos es del seguidor anónimo que le envió el paquete para que pueda recibir su ayuda en caso necesario.

Al principio, la propia streamer se sorprendió de este paquete que se pensaba que era de una broma de alguno de sus compañeros.

Incluso llegó a afirmar que el dinero era falso, pero al final resultó ser completamente cierto.

Lo mejor de todo es que: el seguidor no espera absolutamente nada de este regalo a cambio

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Con esto, se queda en evidencia el hecho de que hay muchos seguidores fieles que pueden desembolsar una gran cantidad de dinero para poder ayudar a sus streamers favoritos. Pero esto no es el caso de esta chica, sino que también se aplica con otros muchos creadores que reciben grandes sumas de dinero de repente en forma de donación o en forma de suscriptores regalados.

Y esto precisamente es algo de lo que se ha hablado mucho en la comunidad.
El propio Ibai Llanos, entre otros, ya comentaba que no hay que volverse locos dando dinero en Twitch, y únicamente se debe suscribir a un canal si se cuenta con dinero para ello, y que no se va a necesitar. Pero el hecho de poder llegar a tener problemas económicos por realizar una gran donación para que el streamer te lo agradezca en persona no es lo más inteligente.

Fuente:
Genbeta
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

--------------------------------------------------------------

Si ese fan tuviese gato... todo fuera muy distinto

Gato supervisando las finanzas y gastos del mes:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google a finales del pasado mes de octubre, tomó la decisión de dejar de dar soporte a su navegador Chrome en equipos con Windows 7 y Windows 8.1, donde aún mantiene una cierta cuota de mercado (12,7% sumando ambas versiones), obligando de este medio a los usuarios a pasarse a Windows 10, u optar por otro navegador...

...o, sencillamente, optar por seguir usando un Google Chrome sin parches ni actualizaciones, una decisión ciertamente poco recomendable, siendo como es el navegador una puerta de entrada a toda clase de malware.

Hoy otro producto de Google que perderá en unas semanas su soporte para Windows 7 (esta vez, los usuarios de Windows 8.x se salvan): el cliente de escritorio de Google Drive.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"En enero de 2023, Drive para Escritorio dejará de admitir versiones de Windows 7 y macOS anteriores a 10.15.7. Para seguir usando Drive para escritorio:

•   Usuarios de Windows: actualice a Windows 8 o superior para enero de 2023.
•   Usuarios de macOS: actualiza a macOS 10.15.7 o superior antes de enero de 2023".

El 10,5 de los usuarios de Windows aún mantienen en sus equipos Windows 7, según datos de StatCounter

Para asegurarse de que la gran masa de usuarios (que, comprensiblemente, no acostumbra a leerse las notas de versión en las webs de soporte) se entere de este fin de soporte, el programa ha empezado a mostrar notificaciones a todos aquellos que ejecutan su Google Drive de escritorio.

En este caso, los usuarios no contarán con la opción de seguir usando el software 'bajo su cuenta y riesgo' (o sí, pero no se conectará a la nube, por lo que no servirá para nada). Sin embargo, podrán actualizar a cualquier versión más moderna de Windows (incluyendo, por ahora, las 8.x).

...u optar por un servicio de almacenamiento de archivos en la nube distinto de Google Drive (como, por ejemplo, MEGA, cuyo cliente para Windows sigue siendo compatible con la séptima versión del mismo).

Otro competidor de Google Drive como es Microsoft OneDrive, dejó en abandono a los usuarios de Windows 7 (y Windows 8.x) justo un año antes, el 1 de enero de 2022.

Fuente:
Genbeta
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un nuevo ataque de malware afecta a un organismo público en América Latina. En este caso fue el Instituto Nacional de Estadísticas y Censos (INDEC) de Argentina que sufrió una infección con malware que afectó sus servidores y el sistema de validación de usuarios. Así lo aseguró el ente a través de su cuenta oficial de Twitter.

"Nuestro sitio web se encuentra fuera de línea debido a un virus que afectó al servidor de alojamiento y al sistema de validación de usuarios. En resguardo de otros servidores y datos, se desconectó y recobraremos el servicio a la brevedad. Disculpas por las molestias ocasionadas."
— INDEC Argentina (@INDECArgentina) December 5, 2022

Según explicó un vocero del organismo a Infobae, el código malicioso estaba alojado en su sistema de backup y cuando se ejecutó un backup programado el malware se ejecutó y cifró la máquina virtual que se utiliza para autenticar a los usuarios del instituto. Por seguridad y mientras se investiga lo que ocurrió se apagaron los demás servidores. Por otra parte, el vocero aseguró que no hay datos comprometidos.

El ataque se produce días después del incidente que afectó a Arsat

Este incidente que sufrió el INDEC se da a menos de una semana que otro organismo del estado fuera afectado por un ciberataque: la Empresa Argentina de Soluciones Satelitales (ARSAT), otro organismo del estado, que afectó a los sistemas internos, pero que no afectó a ningún de los servicios que ofrece ni a los datos de sus clientes.

Si bien hasta el momento no se compartió información adicional sobre qué tipo de malware se utilizó, cómo fue que intentaron acceder a los sistemas o cual fue el alcance de los incidentes.

Igualmente, ambos incidentes ocurren en un año como el 2022 donde los organismos públicos de América Latina han sido un blanco recurrente de ataques de ransomware y otros tipos de malware. En algunos con consecuencias que afectaron a la población por la interrupción de algunos servicios para la sociedad.

Fuente:
WeLiveSecurity by ESET
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google lanzó una nueva versión para Windows, Mac y Linux de Google Chrome. Esta actualización corrige la novena vulnerabilidad zero-day en el navegador de este año. Google confirmó también en su comunicado que está al tanto de la existencia de un exploit para esta vulnerabilidad que está siendo utilizado activamente por cibercriminales.

En los próximos días y semanas las personas tendrán en sus navegadores la última versión disponible para actualizar, que será la 108.0.5359.94/.95 para Windows y la 108.0.5359.94 para Mac y Linux.

Si bien la compañía no dio más detalles acerca de la explotación, se sabe que esta vulnerabilidad clasificada como CVE-2022-4262 es del tipo "type confusión" y que afecta al motor V8 de JavaScript utilizado en Chrome. El aprovechamiento de este fallo de alta severidad podría permitir a un atacante remoto provocar una corrupción en el heap mediante el envío de un HTML especialmente diseñado.

Se trata de la novena vulnerabilidad zero-day que Google Chrome repara en lo que va de 2022, lo cual demuestra el interés de los cibercriminales por explotar fallos de seguridad en los navegadores.

La Agencia de Ciberseguridad Nacional de Estados Unidos (CISA) añadió este fallo a su catálogo de vulnerabilidades que están siendo explotadas. Además, como parte de su estrategia para reducir la exposición a las amenazas informáticas CISA, dio a las demás agencias un plazo hasta el 26 de diciembre para que instalen este parche que evita la explotación de la vulnerabilidad.

Se recomienda a todas las personas que utilicen Google Chrome que actualicen a la última versión.

Fuente:
WeLiveSecurity by ESET
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Sophos ha lanzado parches de seguridad para abordar siete vulnerabilidades en Sophos Firewall versión 19.5, incluidos algunos errores de ejecución de código arbitrario.

El problema más grave abordado por el proveedor de seguridad es una vulnerabilidad crítica de inyección de código rastreada como CVE-2022-3236.

"Se descubrió una vulnerabilidad de inyección de código que permite la ejecución remota de código en el Portal de usuario y Webadmin".

En septiembre, Sophos advirtió sobre esta vulnerabilidad crítica de seguridad de inyección de código (CVE-2022-3236) que afecta a su producto Firewall y que se está explotando de forma generalizada. Sophos confirmó que esta vulnerabilidad se estaba utilizando para apuntar a un pequeño conjunto de organizaciones específicas, principalmente en la región del sur de Asia.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El proveedor de seguridad también abordó tres vulnerabilidades clasificadas como de gravedad "alta", a continuación, se muestra la lista de estos problemas:

     CVE-2022-3226: Sophos descubrió una vulnerabilidad de inyección de comandos del sistema operativo que permite a los administradores ejecutar código a través de cargas de configuración de VPN SSL durante las pruebas de seguridad internas.

     CVE-2022-3713: Sophos descubrió una vulnerabilidad de inyección de código que permite a los atacantes adyacentes ejecutar código en el controlador Wifi durante las pruebas de seguridad internas. Requiere que los atacantes estén conectados a una interfaz con el servicio Wireless Protection habilitado.

     CVE-2022-3696: un investigador de seguridad externo descubrió y reveló de manera responsable a Sophos una vulnerabilidad de inyección de código posterior a la autenticación que permite a los administradores ejecutar código en Webadmin. Se informó a través del programa de recompensas por errores de Sophos.

La empresa también corrigió dos fallas, clasificadas como de gravedad media, respectivamente, una vulnerabilidad XSS almacenada (CVE-2022-3709) y una falla de inyección de SQL de solo lectura posterior a la autenticación (CVE-2022-3711).

El séptimo problema abordado por la empresa es una vulnerabilidad de inyección SQL de solo lectura posterior a la autenticación, rastreada como CVE-2022-3710, clasificada como de gravedad baja.

Fuente:
SecurityAffairs
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La agencia de ciberseguridad californiana Resecurity ha descubierto un nuevo mercado destinado a cibercriminales en la red Tor. Esta plataforma, llamada InTheBox, ha estado disponible desde principios de mayo de 2020 y permite a sus usuarios generar y utilizar inyecciones web (web injects).

«No hay duda de que InTheBox puede considerarse la mayor y probablemente única plataforma de su categoría capaz de proveer inyecciones web de alta calidad para los tipos de malware móvil más populares.»
Resecurity

Hispasec ha comprobado que actualmente la plataforma de malware como servicio (MaaS) sigue en funcionamiento.

¿Cómo funciona?

Las inyecciones web o web injects son un tipo de ataques MitB (Man in the Browser) en los que se introduce código HTML o JavaScript sobre una página web antes de que el navegador la renderice, aprovechando las vulnerabilidades del propio navegador. Como consecuencia, la víctima no ve lo que la página web tal cual se la devuelve al servidor, sino que su contenido queda maliciosamente alterado.

Este tipo de ataques ya resultó exitoso en PC con malware como SpyEye, Zeus y Gozi. Sin embargo, ahora los actores maliciosos son capaces de integrar sus ataques en dispositivos móviles. Esto les permitiría interceptar credenciales bancarias, direcciones de correo electrónico, contraseñas y otra información identificadora más fácilmente. Por ello, la mayoría de las inyecciones web que pueden comprarse a través de InTheBox están dirigidas a dispositivos Android.

¿Cuánto cuesta?

Los precios de las inyecciones web son a menudo menores que otros troyanos para móviles. Hay más de 400 inyecciones de calidad profesional a la venta a precios de entre 50 y 200 dólares, dependiendo de la popularidad del servicio. Con ellos es posible suplantar a empresas de comercio electrónico, instituciones financieras, agencias de redes sociales y sistemas de pago en al menos 45 países. Esto incluye países como Reino Unido, Estados Unidos, Brasil, Canadá, Colombia, Arabia Saudí, México, Baréin, Singapur y Turquía, así como organizaciones como Amazon, PayPal y Bank of America. También es posible personalizar las inyecciones en respuesta a cambios estructurables de los sitios web o aplicaciones legítimos.

Por otro lado, los recientemente añadidos planes ilimitados («unlim») permiten generar una cantidad ilimitada de inyecciones. Con ello se minimiza la interacción manual entre la plataforma y el usuario y se simplifica la personalización del malware. Los precios se encuentran a partir de 2.475$ y varían según los troyanos soportados.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vía: (traducción al español)
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Policía Nacional Española arrestó con éxito a una banda de intercambio de tarjetas SIM conocida como las "Panteras Negras", realizando 55 arrestos en Barcelona.

Su operación incluía cometer estafas bancarias a través de ataques de intercambio de SIM y otros métodos, como técnicas de ingeniería social y phishing de voz (también conocido como vishing, phishing y desvío de llamadas).

El grupo consiguió acumular un importe total de 250.000€ vaciando las cuentas bancarias de un centenar de víctimas accediendo a sus datos personales tras engañar a las compañías telefónicas.

La policía declaró que el vishing era la técnica más utilizada para obtener tarjetas SIM duplicadas.

"Lo hacían directamente a conocidas empresas telefónicas y de telecomunicaciones de nuestro país, haciéndose pasar por clientes -cuyos datos ya tenían tras haber realizado ataques de phishing a los empleados de las propias operadoras telefónicas", dijo la policía

Haciéndose pasar hábilmente por trabajadores de soporte técnico, los pandilleros obtuvieron acceso directo a las bases de datos que contenían las credenciales de usuario de los empleados de la compañía telefónica. Esto les permitió adquirir los datos personales de los clientes y hacer tarjetas SIM duplicadas.

En su comunicado de prensa, la Policía española agregó que los ciberdelincuentes también utilizaron foros de la dark web para obtener ilegalmente números de identificación y tarjetas de crédito a través de compras de criptomonedas.

Los artículos comprados con las tarjetas clonadas solían ser productos de lujo que se recolectaban en los puntos de entrega al mostrar las tarjetas IG físicas robadas o compradas en el mercado negro para dificultar el seguimiento de la compra hasta ellos. Durante la redada, se incautaron 45 tarjetas SIM, 11 teléfonos móviles y cuatro computadoras portátiles.

El grupo estaba formado por una red de cuatro células diferenciadas pero interconectadas que utilizaban diferentes métodos para realizar estafas. El grupo tenía una dinámica de colaboración interesante que les permitía trabajar sin un líder central, sino que dependían de personas altamente especializadas para tener éxito en sus actividades criminales por separado.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los concursantes piratearon el teléfono inteligente Samsung Galaxy S22 dos veces durante el primer día de la competencia de piratería Pwn2Own Toronto 2022, la décima edición del evento centrado en el consumidor.

El equipo de STAR Labs fue el primero en explotar con éxito un día cero en el dispositivo insignia de Samsung al ejecutar su ataque de validación de entrada incorrecta en su tercer intento, ganando $ 50,000 y 5 puntos Master of Pwn.

Otro concursante, Chim, también hizo una demostración de un exploit exitoso dirigido al Samsung Galaxy S22 y pudo ejecutar un ataque de validación de entrada inapropiado ganando $25,000 (50% del premio por la segunda ronda de apuntar al mismo dispositivo) y 5 puntos Master of Pwn.

"El primer ganador de cada objetivo recibirá el premio en efectivo completo y los dispositivos bajo prueba", explican los organizadores de la competencia.

"Para la segunda ronda y las subsiguientes de cada objetivo, todos los demás ganadores recibirán el 50% del paquete de premios, sin embargo, seguirán ganando los puntos completos de Master of Pwn".

De acuerdo con las bases del concurso, en ambos casos, los dispositivos Galaxy S22 ejecutaron la última versión del sistema operativo Android con todas las actualizaciones disponibles instaladas.

Durante este primer día de la competencia, los concursantes también demostraron con éxito exploits dirigidos a errores de día cero en impresoras y enrutadores de múltiples proveedores, incluidos Canon, Mikrotik, NETGEAR, TP-Link, Lexmark, Synology y HP.

En total, ZDI otorgó $ 400,000 hoy por 26 vulnerabilidades de día cero únicas y demostradas con éxito.

STAR Labs apunta al Samsung Galaxy S22 (ZDI) (vídeo)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Concurso extendido a cuatro días

Durante el evento de piratería Pwn2Own Toronto 2022 organizado por Zero Day Initiative (ZDI) de Trend Micro, los investigadores de seguridad pueden apuntar a teléfonos móviles, centros de automatización del hogar, impresoras, enrutadores inalámbricos, almacenamiento conectado a la red, parlantes inteligentes y otros dispositivos, todos ellos hasta la fecha y en su configuración por defecto.

Pueden ganar las recompensas más altas en la categoría de teléfonos móviles, con premios en efectivo de hasta $200,000 por piratear los teléfonos inteligentes Google Pixel 6 y Apple iPhone 13.

La piratería de dispositivos de Google y Apple también puede proporcionar bonificaciones de $ 50,000 si los exploits se ejecutan con privilegios de nivel de kernel, lo que lleva el premio máximo por un solo desafío a un total de $ 250,000 para una cadena completa de exploits con acceso a nivel de kernel.

El evento centrado en el consumidor de Pwn2Own Toronto se extendió a cuatro días (entre el 6 y el 8 de diciembre) después de que 26 equipos y concursantes se registraron para explotar 66 objetivos en todas las categorías.

Puede encontrar el calendario completo del concurso:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El calendario completo para el primer día de Pwn2Own Toronto 2022 y los resultados de cada desafío se enumeran:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En el segundo día de la competencia, los piratas informáticos de la firma de investigación de vulnerabilidades Interrupt Labs volverán a poner a prueba el Samsung Galaxy S22.

Pwn2Own Toronto 2022 - Clasificación del primer día (ZDI)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Offensive Security ha lanzado Kali Linux 2022.4, la cuarta y última versión de 2022, con nuevas imágenes de Azure y QEMU, seis nuevas herramientas y experiencias de escritorio mejoradas.

Kali Linux es una distribución diseñada para que los hackers éticos realicen pruebas de penetración, auditorías de seguridad e investigaciones de ciberseguridad contra redes.

Con este lanzamiento, el equipo de Kali Linux presenta una variedad de características nuevas, que incluyen:

     La distribución de Kali Linux está de vuelta en Microsoft Azure

     Seis nuevas herramientas de juguetes

     Lanzamiento de Kali NetHunter Pro

     Actualizaciones de escritorio Gnome y KDE Plasma

     Soporte ARM mejorado

Offensive Security decidió lanzar Kali Linux 2022.4 junto con la conferencia de seguridad Black Hat, BSides LV y DefCon como una "agradable sorpresa para que todos disfruten".

Con esta versión, Kali Linux utiliza Linux Kernel 5.18.5. Sin embargo, las versiones de Raspberry Pi utilizan la versión 5.15.

Imágenes de Kali Linux para Azure, QEMU

Kali Linux ahora está disponible en Azure Marketplace, lo que le permite implementar la imagen y realizar pruebas de penetración desde la nube.

En realidad, Kali Linux 2022.3 llegó primero a Azure, y el equipo tuiteó su incorporación el 30 de agosto, después de que 2022.3 ya se lanzara.

El equipo de Kali ahora también ofrece una imagen preconstruida para QEMU

"Ahora estamos incluyendo una imagen QEMU con nuestras imágenes pregeneradas. Esperamos que esto facilite las cosas a las personas que usan Proxmox Virtual Environments (VE), virt-manager o libvirt", anunció el equipo de Kali.

Se agregaron seis nuevas herramientas en Kali Linux 2022.4

Nunca es una nueva versión de Kali Linux sin nuevas herramientas para jugar.

Esta versión agrega seis herramientas nuevas, incluidas las herramientas de retransmisión NTLM de Windows, una herramienta de elevación de privilegios de Windows y un controlador para WiFi Coconut de Hak5.

A continuación, se muestran las seis nuevas herramientas agregadas en Kali 2022.4:

     You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login: un ingeridor basado en Python para BloodHound

     certipy : herramienta para la enumeración y el abuso de los servicios de certificados de Active Directory

     hak5-wifi-coconut : un controlador de espacio de usuario para NIC Wi-Fi USB y Hak5 Wi-Fi Coconut

     ldapdomaindump: volcado de información de Active Directory a través de LDAP

     peass-ng: herramientas de escalada de privilegios para Windows, Linux/Unix* y MacOS.

     rizin-cutter: plataforma de ingeniería inversa impulsada por rizin

Actualizaciones de escritorio GNOME y KDE Plasma

Esta versión trae numerosas actualizaciones de escritorio, incluido GNOME 43 con un nuevo tema GTK3, que se muestra a continuación:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

KDE Plasma también se ha actualizado a la versión 5.26, con ajustes en varios widgets.

Actualizaciones de Kali NetHunter

Kali Nethunter Pro ha sido lanzado oficialmente, con imágenes disponibles para PinePhone y PinePhonePro.

"El lanzamiento de Kali NetHunter Pro es el comienzo de un nuevo capítulo para Kali Linux y NetHunter, una instalación completa de Kali Linux con el entorno de escritorio Phosh, optimizado para dispositivos móviles".

"En primer lugar, ponemos a disposición imágenes de tarjetas SD para PinePhone y PinePhone Pro para arranque dual junto con el sistema operativo principal. Pronto lanzaremos versiones alternativas con Plasma Mobile, así como instaladores para que pueda instalar Kali NetHunter Pro en la memoria flash interna. ", se lee en el anuncio de Kali Linux 2022.4.

Además del lanzamiento oficial de NetHunter Pro, Kali Nethunter también recibió mejoras.

Con este lanzamiento, NetHunter ahora tiene soporte interno para Bluetooth, Wardriving mejorado, soporte de audio para Kex y correcciones para fallas en Android 11 y Android 12.

Download Kali Linux 2022.4
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cuatro hombres sospechosos de piratear redes de EE. UU. para robar datos de empleados para el robo de identidad y la presentación de declaraciones de impuestos de EE. UU. Fraudulentas, fueron arrestados en Londres, Reino Unido, y Malmo, Suecia, a pedido de las autoridades policiales de EE. UU.

Los sospechosos identificados en cuatro acusaciones estadounidenses recientemente reveladas son Akinola Taylor (Nigeria), Olayemi Adafin (Reino Unido), Olakunle Oyebanjo (Nigeria) y Kazeem Olanrewaju Runsewe (Nigeria).

Los cuatro hombres están acusados de fraude electrónico transnacional y robo de identidad por presentar declaraciones de impuestos falsas ante el Servicio de Impuestos Internos (IRS) de los Estados Unidos para robar dinero de la agencia a través de reembolsos de impuestos.

Para ello, Taylor y Runsewe violaron los servidores de empresas estadounidenses y robaron información de identificación personal (PII) de los residentes estadounidenses.

Para obtener acceso a estos servidores, el Departamento de Justicia dice que los sospechosos compraron credenciales robadas de los mercados de delitos cibernéticos, como el mercado xDedic ahora cerrado.

"Uno de los lugares donde Taylor y Runsewe obtuvieron acceso no autorizado a los servidores de las computadoras fue xDedic Marketplace, un sitio web que funcionó durante años y se usó para vender acceso a computadoras comprometidas en todo el mundo e información de identificación personal de los residentes de EE. UU.", decía el anuncio del Departamento de Justicia.

xDedic era un foro de ciberdelincuencia en idioma ucraniano y un mercado de protocolo de escritorio remoto (RDP), que vendía a los piratas informáticos acceso a redes informáticas violadas mediante contraseñas de usuario de fuerza bruta, explotando vulnerabilidades o sobornando a personas internas.

El mercado xDedic operó entre 2014 y 2019 cuando una operación internacional de aplicación de la ley finalmente lo eliminó. La plataforma contaba con un mecanismo de verificación de puerta trasera que garantizaba la validez de las ventas de acceso.

El Departamento de Justicia afirma que Taylor y Runsewe usaron la información adquirida para completar reclamos fraudulentos del Formulario 1040 al IRS, usando PII válida de residente de EE. UU. pero incluyendo cuentas bancarias bajo su control para recibir los fondos.

Adafin y Oyebanjo presuntamente ayudaron a los estafadores en la etapa de lavado de dinero, transfiriendo las ganancias a otros conspiradores y a través de una compleja red de tarjetas de débito y cuentas bancarias, con la esperanza de ocultar el rastro.

Una investigación dirigida por la Unidad de Delitos Cibernéticos del IRS-CI y el FBI descubrió las verdaderas identidades de las cuatro personas, que ahora enfrentarán un proceso de extradición.

Si son condenados por fraude electrónico, los cuatro individuos enfrentan una sentencia máxima de hasta veinte años en una prisión federal, sin considerar sanciones adicionales por robo de identidad y robo de dinero público.

Además, si son declarados culpables, los cuatro hombres deberán decomisar todos los activos vinculados a las ganancias de los delitos identificados.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google lanzó la actualización de seguridad de diciembre del 2022 para Android, que corrige cuatro vulnerabilidades de gravedad crítica, incluida una falla de ejecución remota de código que se puede explotar a través de Bluetooth.

La actualización de este mes aborda 45 vulnerabilidades en los componentes principales de Android con el nivel de parche 2022-12-01 y otras 36 vulnerabilidades que afectan a los componentes de terceros abordadas en el nivel de parche 2022-12-05.

"El más grave de estos problemas es una vulnerabilidad de seguridad crítica en el componente del sistema que podría conducir a la ejecución remota de código a través de Bluetooth sin necesidad de privilegios de ejecución adicionales", menciona el boletín de seguridad.

Las cuatro vulnerabilidades de gravedad crítica abordadas en la actualización de este mes son:

     CVE-2022-20472: falla de ejecución remota de código en Android Framework, que afecta las versiones de Android 10 a 13.
     CVE-2022-20473: falla de ejecución remota de código en Android Framework, que afecta las versiones de Android 10 a 13.
     CVE-2022-20411: falla de ejecución remota de código en el sistema Android, que afecta las versiones de Android 10 a 13.
     CVE-2022-20498: falla de divulgación de información en el sistema Android, que afecta las versiones de Android 10 a 13.

El resto de las vulnerabilidades corregidas involucran elevación de privilegios (EoP), ejecución remota de código, divulgación de información y problemas de denegación de servicio.

Las fallas de EoP de alta gravedad generalmente son explotadas por malware que se infiltra en un dispositivo a través de una vía de privilegios bajos, como la instalación de software malicioso que se hace pasar por una aplicación inocua.

Dicho esto, es crucial aplicar la actualización disponible tan pronto como esté disponible para su dispositivo, incluso si ninguna de las fallas se informa actualmente como explotada activamente.

Si su dispositivo ya no recibe actualizaciones mensuales de seguridad de Android o usa Android 9 o anterior, oficialmente no tiene soporte.

En estos casos, se recomienda actualizar a un dispositivo más nuevo o instalar una ROM personalizada basada en una versión posterior de Android, como LineageOS.

Los propietarios de dispositivos Google Pixel también recibieron una importante actualización de seguridad este mes, que aborda un total de 16 fallas de gravedad crítica en varios componentes.

Estas vulnerabilidades críticas permiten a los atacantes elevar los privilegios o la divulgación de información en los dispositivos de destino.

Se pueden encontrar más detalles sobre la actualización de Pixel de diciembre de 2022 en el boletín de seguridad dedicado para la gama de teléfonos inteligentes de Google:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un actor de amenazas motivado financieramente está pirateando proveedores de servicios de telecomunicaciones y empresas de subcontratación de procesos comerciales, revirtiendo activamente las mitigaciones defensivas aplicadas cuando se detecta la violación.

La campaña fue detectada por Crowdstrike, quien dice que los ataques comenzaron en junio de 2022 y aún continúan, y los investigadores de seguridad pudieron identificar cinco intrusiones distintas.

Los ataques se han atribuido con poca confianza a los piratas informáticos rastreados como 'Araña dispersa' ('Scattered Spider,' ), que demuestran persistencia en mantener el acceso, revertir las mitigaciones, evadir la detección y cambiar a otros objetivos válidos si se frustran.

El objetivo final de la campaña es violar los sistemas de redes de telecomunicaciones, acceder a la información de los suscriptores y realizar operaciones como el intercambio de tarjetas SIM.

Cinco eventos de intrusión atribuidos a Scattered Spider (Crowdstrike)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Detalles de la campaña

Los actores de amenazas obtienen acceso inicial a las redes corporativas utilizando una variedad de tácticas de ingeniería social.

Estas tácticas incluyen llamar a los empleados y hacerse pasar por personal de TI para recopilar credenciales o usar Telegram y mensajes SMS para redirigir a los objetivos a sitios de phishing personalizados que presentan el logotipo de la empresa.

Si MFA protegía las cuentas de destino, los atacantes empleaban tácticas de fatiga de MFA de notificaciones automáticas o se dedicaban a la ingeniería social para obtener los códigos de las víctimas.

En un caso, los adversarios explotaron CVE-2021-35464, una falla en el servidor ForgeRock AM reparada en octubre de 2021, para ejecutar código y elevar sus privilegios en una instancia de AWS.

"Al aprovechar los roles de instancia de AWS para asumir o elevar los privilegios del usuario de Apache Tomcat, el adversario solicitaría y asumiría los permisos de un rol de instancia utilizando un token de AWS comprometido", explica Crowdstrike.

Comando Curl para escalamiento de privilegios en AWS utilizando la herramienta LinPEAS (Crowdstrike)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una vez que los piratas informáticos obtienen acceso a un sistema, intentan agregar sus propios dispositivos a la lista de dispositivos MFA (autenticación multifactor) confiables utilizando la cuenta de usuario comprometida.

Crowdstrike notó que los piratas informáticos usaban las siguientes utilidades y herramientas de administración y monitoreo remoto (RMM) en sus campañas:

     AnyDesk
     BeAnywhere     
     Domotz
     DWservice
     You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
     You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
     Itarian Endpoint Manager
     You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
     Logmein
     ManageEngine
     N-capaz
     Pulseway
     Rport
     rsocx
     ScreenConnect
     SSH RevShell y tunelización RDP a través de SSH
     Teamviewer
     TrendMicro Basecamp
     Sorillus
     ZeroTier

Muchos de los anteriores son software legítimo que se encuentra comúnmente en redes corporativas y, por lo tanto, es poco probable que genere alertas sobre herramientas de seguridad.

En las intrusiones observadas por Crowdstrike, los adversarios fueron implacables en sus intentos de mantener el acceso a una red violada, incluso después de haber sido detectados.

"En múltiples investigaciones, CrowdStrike observó que el adversario se vuelve aún más activo, configurando mecanismos de persistencia adicionales, es decir, acceso VPN y/o múltiples herramientas RMM, si las medidas de mitigación se implementan lentamente", advirtió CrowdStrike.

"Y en múltiples instancias, el adversario revirtió algunas de las medidas de mitigación al volver a habilitar cuentas previamente desactivadas por la organización víctima".

En todas las intrusiones observadas por Crowdstrike, los adversarios utilizaron varias VPN e ISP para acceder al entorno de Google Workspace de la organización víctima.

Para moverse lateralmente, los actores de amenazas extrajeron varios tipos de información de reconocimiento, descargaron listas de usuarios de inquilinos violados, abusaron de WMI y realizaron túneles SSH y replicación de dominios.

Crowdstrike ha compartido una extensa lista de indicadores de compromiso (IoC) para esta actividad en la parte inferior del informe, que es vital que los defensores tengan en cuenta, ya que el actor de amenazas utiliza las mismas herramientas y direcciones IP en diferentes intrusiones.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los hackers están abusando de la utilidad PRoot de Linux de código abierto en los ataques BYOF (Bring Your Own Filesystem) para proporcionar un repositorio consistente de herramientas maliciosas que funcionan en muchas distribuciones de Linux.

Un ataque BYOF (Bring Your Own Filesystem) es cuando los actores de amenazas crean un sistema de archivos malicioso en sus propios dispositivos que contienen un conjunto estándar de herramientas utilizadas para realizar ataques.

Luego, este sistema de archivos se descarga y se monta en máquinas comprometidas, lo que proporciona un conjunto de herramientas preconfigurado que se puede usar para comprometer aún más un sistema Linux.

"Primero, los actores de amenazas crean un sistema de archivos malicioso que se implementará. Este sistema de archivos malicioso incluye todo lo que la operación necesita para tener éxito", explica un nuevo informe de Sysdig.

"Hacer esta preparación en esta etapa temprana permite que todas las herramientas se descarguen, configuren o instalen en el propio sistema del atacante, lejos de las miradas indiscretas de las herramientas de detección".

Sysdig dice que los ataques generalmente conducen a la minería de criptomonedas, aunque son posibles escenarios más dañinos.

El sistema de archivos invitado malicioso (Sysdig)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Como PRoot se compila estáticamente y no requiere ninguna dependencia, los actores de amenazas simplemente descargan el binario precompilado de GitLab y lo ejecutan contra el sistema de archivos descargado y extraído del atacante para montarlo.

En la mayoría de los casos vistos por Sysdig, los atacantes desempaquetaron el sistema de archivos en '/tmp/Proot/' y luego activaron el criptominero XMRig.

"Cualquier dependencia o configuración también se incluye en el sistema de archivos, por lo que el atacante no necesita ejecutar ningún comando de configuración adicional", explica Sysdig.

"El atacante inicia PRoot, apunta al sistema de archivos malicioso desempaquetado y especifica el binario XMRig para ejecutar".

Los investigadores también advierten sobre lo fácil que esta técnica novedosa podría hacer escalar operaciones maliciosas contra puntos finales de Linux de todo tipo.

Abusar de la utilidad PRoot de Linux

PRoot es una utilidad de código abierto que combina los comandos 'chroot', 'mount --bind' y 'binfmt_misc', lo que permite a los usuarios configurar un sistema de archivos raíz aislado dentro de Linux.

De forma predeterminada, los procesos PRoot están confinados dentro del sistema de archivos invitado; sin embargo, la emulación QEMU se puede usar para combinar la ejecución de programas host e invitados.

Lanzamiento de XMRig en el sistema de archivos invitado para minar usando la GPU del host (Sysdig)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Como destaca Sysdig en el informe, los actores de amenazas podrían usar fácilmente PRoot para descargar otras cargas útiles además de XMRig, lo que podría causar daños más graves al sistema violado.

La presencia de "mascan" en el sistema de archivos malicioso implica una postura agresiva por parte de los atacantes, lo que probablemente indica que planean violar otros sistemas desde la máquina comprometida.

Simplificación de ataques

El abuso de PRoot por parte de los piratas informáticos hace que estos ataques posteriores a la explotación sean independientes de la plataforma y la distribución, lo que aumenta las posibilidades de éxito y el sigilo de los actores de amenazas.

Además, los sistemas de archivos PRoot preconfigurados permiten a los atacantes usar un conjunto de herramientas en muchas configuraciones de sistemas operativos sin tener que trasladar su malware a la arquitectura de destino o incluir dependencias y herramientas de compilación.

"Con PRoot, hay poca consideración o preocupación por la arquitectura o distribución del objetivo, ya que la herramienta suaviza los problemas de ataque que a menudo se asocian con la compatibilidad de ejecutables, la configuración del entorno y la ejecución de malware y/o mineros", explica Sysdig.

"Permite a los atacantes acercarse a la filosofía de 'escribir una vez, ejecutar en todas partes', que es un objetivo buscado durante mucho tiempo".

Los ataques respaldados por PRoot hacen que la configuración del entorno sea irrelevante para los piratas informáticos, lo que les permite escalar rápidamente sus operaciones maliciosas.

Además, los programas del sistema de archivos invitado pueden usar el mecanismo incorporado de montaje/enlace para acceder a archivos y directorios desde el sistema anfitrión.

Los ataques vistos por Sysdig utilizan PRoot para implementar un sistema de archivos malicioso en sistemas ya comprometidos que incluyen herramientas de escaneo de red como "masscan" y "nmap", el criptominero XMRig y sus archivos de configuración.

El sistema de archivos contiene todo lo necesario para el ataque, perfectamente empaquetado en un archivo tar comprimido con Gzip con todas las dependencias necesarias, descargado directamente desde servicios de alojamiento en la nube de confianza como DropBox.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login