Me acordé de Ud. dado una referencia.

Dele una oportunidad al siguiente:

Herramienta para enviar SMS anónimamente

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Le reitero, el detalle está en la compañía telefónica y en la seguridad que tenga (sobre todo firewall).

La anterior sugerencia es muy funcional, excelente se puede decir.

Suerte.

Sí hay antivirus para móviles. Todas las compañías de seguridad ofrecen la versión para móviles:

Ej:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Y si le pone una de las claves que puse en el VIP y la renueva mensualmente (como lo estoy actualizando) ya tiene un antivirus premium de excelente calidad.

Hola

Lamento la demora en contestarle, pero he estado un tanto complicado

Respondiendo a sus dos interrogantes, incluyendo la que me envió por privado.

Antes que nada, no soy spammer, ni he usado esos servicios (tal vez en alguna vendetta de índole grave... quién se acuerda...). Aunque sí los he presenciado y de ahí los comentarios que he realizado, sobre todo en marketing empresarial (publicidad). Hay servicios activos muy buenos para ello (de pago).

Esas páginas no "pudieran estar funcionales" "gratuitas" porque esto de spammear o derribar emails es muy cambiante (y costoso). Requiere una inversión y hay que renovarla constantemente (certificado emisor, servidor, etc.) al ser fácil el bloqueo de una fuente o servicio bomber. Y los mejores resultados son de pago. Estamos hablando de un servicio ya montado.

Antes había que buscarlos y contratarlos en la deep web; ya no (me refiero a fines dañinos).

En ciertos Foros (puede verlos en los perfiles de usuarios en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, por ejemplo) fácilmente puede contratar estos servicios con sin fin de variables. E incluso es fácil encontrarlos en Telegram.

En resumen "y en base a mi experiencia" (le reitero: no me dedico a ello): las gratuidades, a mucho dejaron de brindar resultados notorios. Puede por su cuenta incordiar un tanto. Aquí en el Foro se ven los Spammer con sus tonterías, pero deben trabajar a mano, (nada automatizado y masivo), y son fácilmente detectables y bloqueados.

Hasta ahora otros la están buscando también...y no está en el radar abiertamente, o mejor dicho, no responden al contacto que se puso:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft anunció hoy que los administradores de TI ahora pueden configurar cualquier sistema de Windows que aún reciba actualizaciones de seguridad para bloquear automáticamente los ataques de fuerza bruta dirigidos a cuentas de administradores locales ( admin brute-force attacks ) a través de una política de grupo.

Esto se produce después de que David Weston, vicepresidente de seguridad  empresarial y del sistema operativo de Microsoft, dijera en julio que la misma política de grupo de Windows ahora está habilitada de forma predeterminada en las últimas versiones de Windows 11.

Como resultado, los sistemas Windows 11 en los que la política está activada bloquean automáticamente las cuentas de usuario (incluidas las cuentas de administrador) durante 10 minutos después de 10 intentos fallidos de inicio de sesión en 10 minutos.

"Las compilaciones de Win11 ahora tienen una política de bloqueo de cuenta POR DEFECTO para mitigar RDP y otros vectores de contraseñas de fuerza bruta", tuiteó el 21 de julio.

"Esta técnica se usa muy comúnmente en ransomware operado por humanos y otros ataques. ¡Este control hará que la fuerza bruta sea mucho más difícil, lo cual es increíble!"

Hoy, casi tres meses después del anuncio de Weston, Microsoft reveló que la misma política de bloqueo de cuentas ahora está disponible en cualquier sistema Windows donde estén instaladas las actualizaciones acumulativas de octubre de 2022.

"En un esfuerzo por evitar más ataques/intentos de fuerza bruta, estamos implementando bloqueos de cuentas para las cuentas de administrador", dijo Microsoft hoy.

"A partir de las actualizaciones acumulativas de Windows del 11 de octubre de 2022 o posteriores, habrá una política local disponible para habilitar los bloqueos de cuentas de administradores locales".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los administradores que deseen activar esta defensa adicional contra ataques de fuerza bruta pueden encontrar la política "Permitir bloqueo de cuenta de administrador" en Política de equipo local\Configuración de equipo\Configuración de Windows\Configuración de seguridad\Políticas de cuenta\Políticas de bloqueo de cuenta.

Esta política de grupo estará habilitada de forma predeterminada en todas las máquinas nuevas que ejecutan Windows 11 22H2 o en aquellas en las que se instalaron las actualizaciones acumulativas de Windows de octubre de 2022 antes de la configuración inicial cuando la base de datos del Administrador de cuentas de seguridad (SAM) que almacena las contraseñas de los usuarios se instancia por primera vez en la nueva maquina

Microsoft también anunció hoy que ahora requiere que las cuentas de administrador local usen contraseñas complejas que "deben tener al menos tres de los cuatro tipos de caracteres básicos (minúsculas, mayúsculas, números y símbolos)".

Esta decisión se tomó como una defensa adicional contra los ataques de fuerza bruta que son triviales de lograr utilizando sistemas con CPU y GPU modernas si las contraseñas no son lo suficientemente largas o complejas.

Redmond está reduciendo lentamente la superficie de ataque de la que abusan los operadores de ransomware para violar los sistemas de Windows, como lo demuestran sus decisiones recientes de bloquear automáticamente las macros de Office en los documentos descargados y aplicar la autenticación multifactor (MFA) en Azure AD.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mullvad VPN descubrió que Android filtra tráfico cada vez que el dispositivo se conecta a una red WiFi, incluso si las funciones "Bloquear conexiones sin VPN" o "VPN siempre activa" están habilitadas.

Los datos que se filtran fuera de los túneles VPN incluyen direcciones IP de origen, búsquedas de DNS, tráfico HTTPS y probablemente también tráfico NTP.

Este comportamiento está integrado en el sistema operativo Android y es una opción de diseño. Sin embargo, los usuarios de Android probablemente no sabían esto hasta ahora debido a la descripción inexacta de las funciones de "Bloqueo de VPN" en la documentación de Android.

Mullvad descubrió el problema durante una auditoría de seguridad que aún no se ha publicado, y ayer emitió una advertencia para crear conciencia sobre el asunto y ejercer presión adicional sobre Google.

VPN en Android

Las VPN (redes privadas virtuales) son conexiones de red protegidas que cifran el tráfico de Internet en redes públicas. Cuando esté conectado a una VPN, todas sus conexiones a Internet utilizarán la dirección IP de su servicio VPN en lugar de su dirección IP pública.

Esto permite a los usuarios eludir la censura y la limitación, y mantener la privacidad y el anonimato mientras navegan por la web, ya que los hosts remotos nunca verán su dirección IP real.

Android ofrece una configuración en "Red e Internet" para bloquear las conexiones de red a menos que estés usando una VPN. Esta función está diseñada para evitar filtraciones accidentales de la dirección IP real del usuario si la conexión VPN se interrumpe o se cae repentinamente.

Desafortunadamente, esta función se ve socavada por la necesidad de adaptarse a casos especiales, como la identificación de portales cautivos (como el WiFi del hotel) que deben verificarse antes de que el usuario pueda iniciar sesión o cuando se usan funciones de túnel dividido.

Esta es la razón por la que Android está configurado para filtrar algunos datos al conectarse a una nueva red WiFi, independientemente de si habilitó la configuración "Bloquear conexiones sin VPN".

Mullvad informó el problema a Google y solicitó la adición de una opción para deshabilitar las comprobaciones de conectividad.

"Esta es una solicitud de función para agregar la opción de deshabilitar las comprobaciones de conectividad mientras "Bloquear conexiones sin VPN" (a partir de ahora, bloqueo) está habilitado para una aplicación VPN", explica Mullvad en una solicitud de función en el Rastreador de problemas de Google.

"Esta opción debe agregarse ya que el comportamiento actual de bloqueo de VPN es filtrar el tráfico de verificación de conectividad que no se espera y podría afectar la privacidad del usuario".

Desafortunadamente, un ingeniero de Google respondió que esta es una funcionalidad pensada para Android y que no se arreglaría por las siguientes razones:

    Muchas VPN en realidad dependen de los resultados de estas comprobaciones de conectividad para funcionar,
    Los cheques no son las únicas ni las más riesgosas exenciones de las conexiones VPN,
    El impacto en la privacidad es mínimo, si no insignificante, porque la información filtrada ya está disponible desde la conexión L2.

Mullvad respondió a estos puntos y destacó los importantes beneficios de agregar la opción, incluso si no se abordarán todos los problemas y el caso permanece abierto.

Implicaciones potenciales

El tráfico que se filtra fuera de la conexión VPN contiene metadatos que podrían usarse para derivar información confidencial de anonimización, como ubicaciones de puntos de acceso WiFi.

"El tráfico de verificación de conexión puede ser observado y analizado por la parte que controla el servidor de verificación de conectividad y cualquier entidad que observe el tráfico de red", explica Mullvad en la publicación del blog.

"Incluso si el contenido del mensaje no revela nada más que "algún dispositivo Android conectado", los metadatos (que incluyen la IP de origen) se pueden usar para obtener más información, especialmente si se combinan con datos como las ubicaciones de los puntos de acceso WiFi. "

Si bien esto no es fácil para los actores de amenazas poco sofisticados, las personas que usan VPN para protegerse de los atacantes persistentes aún considerarían que el riesgo es significativo.

Además, Mullvad explica que incluso si las filtraciones no se solucionan, Google debería al menos actualizar la documentación para indicar correctamente que las 'Comprobaciones de conectividad' no estarían protegidas por la función "Bloquear conexiones sin VPN".

Mullvad todavía está debatiendo la importancia de la fuga de datos con Google, llamándolos a introducir la capacidad de deshabilitar las comprobaciones de conectividad y minimizar los puntos de responsabilidad.

En particular, GrapheneOS, un sistema operativo centrado en la seguridad y la privacidad basado en Android que puede ejecutarse en una cantidad limitada de modelos de teléfonos inteligentes, brinda esta opción con la funcionalidad prevista.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

VMware informó hoy a los clientes que vCenter Server 8.0 (la última versión) todavía está esperando un parche para abordar una vulnerabilidad de escalada de privilegios de alta gravedad revelada en noviembre de 2021.

Esta falla de seguridad (CVE-2021-22048) fue encontrada por Yaron Zinar y Sagi Sheinfeld de CrowdStrike en el mecanismo IWA (Integrated Windows Authentication) de vCenter Server, y también afecta las implementaciones de la plataforma de nube híbrida Cloud Foundation de VMware.

Los atacantes con acceso no administrativo pueden explotarlo para elevar los privilegios a un grupo con más privilegios en servidores sin parches.

VMware dice que esta falla solo puede ser explotada por atacantes que usan una red vectorial adyacente al servidor de destino como parte de ataques de alta complejidad que requieren pocos privilegios y ninguna interacción del usuario (sin embargo, la entrada CVE-2021-22048 de NIST NVD dice que es explotable de forma remota en bajo -ataques de complejidad).

A pesar de esto, VMware ha evaluado la gravedad del error como importante, lo que significa que "la explotación da como resultado el compromiso total de la confidencialidad y/o la integridad de los datos del usuario y/o los recursos de procesamiento a través de la asistencia del usuario o por parte de atacantes autenticados".

Aunque la empresa lanzó actualizaciones de seguridad en julio de 2022 que solo solucionaban la falla de los servidores que ejecutaban la última versión disponible en ese momento (vCenter Server 7.0 Update 3f), retractó los parches 11 días después porque no remediaron la vulnerabilidad y causaron que Secure El servicio de token (vmware-stsd) se bloquea durante la aplicación de parches.

"VMware ha determinado que las actualizaciones de vCenter 7.0u3f mencionadas anteriormente en la matriz de respuesta no solucionan CVE-2021-22048 e introducen un problema funcional", dice VMware en el aviso.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Solución alternativa hasta que se publique un parche

Aunque hay parches pendientes para todos los productos afectados, VMware proporciona una solución alternativa que permite a los administradores eliminar el vector de ataque.

Para bloquear los intentos de ataque, VMware aconseja a los administradores que cambien a Active Directory a través de la autenticación LDAP O a la federación de proveedores de identidad para AD FS (solo vSphere 7.0) desde la autenticación integrada de Windows (IWA) afectada.

"La autenticación de Active Directory sobre LDAP no se ve afectada por esta vulnerabilidad. Sin embargo, VMware recomienda enfáticamente que los clientes planeen cambiar a otro método de autenticación", explica la compañía.

"Active Directory sobre LDAP no comprende las confianzas de dominio, por lo que los clientes que cambien a este método deberán configurar una fuente de identidad única para cada uno de sus dominios de confianza. La Federación de proveedores de identidad para AD FS no tiene esta restricción".

VMware también proporciona instrucciones detalladas sobre cómo cambiar a Active Directory a través de LDAP (aquí y aquí) y cambiar a Identity Provider Federation para AD FS.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Le ha dado una mirada en el GitHub?

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Algunos son muy recientes.
No obstante el detalle no está en el script bombardero sino en la compañía telefónica.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Meta advierte a los usuarios de Facebook sobre cientos de aplicaciones en las tiendas de aplicaciones de Apple y Google que fueron diseñadas específicamente para robar las credenciales de inicio de sesión de la aplicación de la red social.

La compañía dice que identificó más de 400 aplicaciones maliciosas disfrazadas de juegos, editores de fotos y otras utilidades y que está notificando a los usuarios que "sin saberlo pueden haber comprometido sus cuentas al descargar estas aplicaciones y compartir sus credenciales".

Según Bloomberg, un millón de usuarios se vieron potencialmente afectados. En su publicación, Meta dice que las aplicaciones engañaron a las personas para que las descargaran con reseñas falsas y promesas de funcionalidad útil (ambas tácticas comunes para otras aplicaciones fraudulentas que intentan tomar su dinero en lugar de su información de inicio de sesión).

Pero al abrir algunas de las aplicaciones, se pedía a los usuarios que iniciaran sesión en Facebook antes de que pudieran hacer algo; si lo hacían, los desarrolladores podían robar sus credenciales.

Meta dice que informó las aplicaciones a Google y Apple y las eliminó, pero aún así no se ve muy bien que hayan llegado a las tiendas en primer lugar. Eso es especialmente cierto para Apple; durante años, la compañía ha argumentado en contra de descargar aplicaciones para el iPhone, diciendo que la capacidad de instalar aplicaciones que no están en la App Store es "el mejor amigo de un ciberdelincuente".

Argumenta que su proceso de revisión de aplicaciones, que teóricamente examina las aplicaciones antes de que estén disponibles en la App Store, lo ha ayudado a construir un "ecosistema confiable para millones de aplicaciones". A pesar de esto, la compañía ha luchado por controlar las aplicaciones fraudulentas en su plataforma, y algunas supuestamente recaudaron millones de dólares.

Para ser justos, el informe de Facebook indica que el problema es significativamente peor en Play Store: de las 402 aplicaciones maliciosas en su lista, 355 eran para Android y 47 para iOS. Curiosamente, los de Android abarcaban una amplia gama de géneros, desde juegos, VPN, editores de fotos y aplicaciones de horóscopo, cada uno para iPhone estaba relacionado con la administración de páginas comerciales o anuncios. (Esto no significaba necesariamente que no sospecharan razonablemente; es difícil entender cómo "Very Business Manager" superó el proceso de revisión de la aplicación de Apple).

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ni Apple ni Google respondieron de inmediato a la solicitud de comentarios de The Verge. Cuando se trata de aplicaciones que intentan robar su información de inicio de sesión, la publicación de Meta detalla algunas buenas señales de advertencia a tener en cuenta: si la aplicación no hace lo que dice que hace, bloquea todas las funciones detrás de un inicio de sesión o tiene un montón de (potencialmente enterrado) críticas negativas, probablemente sea mejor darle un pase y encontrar otra aplicación de mayor reputación.

Fuente:
The Verge
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los usuarios de Linux informaron haber visto extraños destellos blancos y parpadeos rápidos en las pantallas de sus computadoras portátiles Intel después de actualizar a la versión 5.19.12 del kernel de Linux, lo que genera advertencias de que el error puede dañar las pantallas.

La versión 5.19.12 del kernel de Linux no es experimental ni beta, sino una versión puntual de la rama estable que salió el 28 de septiembre de 2022.

Además de ser una molestia visual, el parpadeo inesperado de la pantalla impide que los usuarios hagan nada en sus sistemas, y el ingeniero del kernel de Intel Linux, Ville Syrjäl, advierte que también podría dañar la pantalla.

Después de analizar los registros de Linux de los usuarios afectados por el problema, Syrjäl respondió a la lista de correo del kernel diciendo que el problema radica en retrasos falsos en la secuencia de alimentación del panel, que pueden dañar los paneles.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Syrjä recomendó la reversión inmediata del kernel de Linux a una versión anterior para evitar causar daños al hardware en las máquinas de las personas y publicar una recomendación de que "nadie que use computadoras portátiles con GPU Intel ejecute 5.19.2".

Desafortunadamente, esta comprensión se produjo después de que muchos usuarios ya se habían actualizado a la versión con errores de Linux, arriesgándose a dañar sus sistemas y viéndose obligados a aplicar versiones anteriores del kernel.

La comunidad de usuarios más importante afectada por el problema fue la de las computadoras portátiles Framework, que informaron problemas con Arch y Fedora luego de una actualización al kernel de Linux 5.19.2.

Greg Kroah-Hartman, el principal mantenedor de la rama estable, lanzó la versión 5.19.13 del kernel el martes, resolviendo el problema y brindando a las distribuciones de Linux un trampolín seguro para rebotar.

"Este lanzamiento es para resolver una regresión en algunos sistemas de gráficos Intel que tenían problemas con 5.19.12. Si no tiene este problema con 5.19.12, no hay necesidad de actualizar", se lee en el anuncio de lanzamiento.

La popular distribución basada en Arch, Majaro, ya ha anunciado que pasarán de 5.19.7 directamente a 5.19.13, evitando introducir riesgos a los usuarios de portátiles con GPU Intel.

Sin embargo, dada la demora en impulsar las actualizaciones del kernel de Linux en muchas otras distribuciones, la versión con errores podría aterrizar en algunas de ellas más adelante.

Se recomienda a los usuarios que verifiquen los números de versión del kernel antes de actualizar y eviten Linux 5.19.12 si están usando una computadora portátil Intel.

Se recomienda a aquellos que ya se vieron afectados por el error que no dejen sus pantallas funcionando en modo intermitente por mucho tiempo, ya que esto aumenta las posibilidades de causar daños irreversibles a la pantalla.

Por lo general, los cargadores de arranque permiten a los usuarios elegir entre las últimas tres versiones del kernel, por lo que no debería ser demasiado difícil volver a una versión que no presente problemas.

Si no ve la opción en Grub, mantenga presionado el botón "Shift" en su teclado mientras arranca.

Mientras tanto, el lanzamiento de la versión principal 6.0 fue anunciado por Linus Torvalds el domingo, brindando soporte para Arc GPU, AMD RDNA 3 e Intel "Raptor Lake", cambios en el programador que aumentan el rendimiento para los chips Intel Xeon y AMD EPYC, ajustes de energía y más.

El próximo hito será la versión 6.1, que probablemente será la primera en admitir Rust, un lenguaje de programación seguro para la memoria de alto rendimiento que brinda velocidad y flexibilidad sin procesar.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Bill Gates predice que esta tecnología reemplazará a los teléfonos inteligentes.

El magnate del software, inversor y filántropo Bill Gates se ha convertido en una especie de gurú de las nuevas realidades que vive la humanidad y ahora el cofundador de Microsoft ha vaticinado un nuevo tipo de tecnología que, entre otras cosas, sustituiría a los smartphones.



No es la primera vez que Gates se atreve a hacer predicciones, como lo demostró cuando habló de una nueva pandemia que atacará a la humanidad, ahora el autor y conferencista han hablado de un tatuaje electrónico.



Fuente:
CBC News: The National
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Observación:

El VIP no debe ser repetitivo.
Al menos debe existir un margen de tiempo establecido en que un usuario obtenga tal estatus de manera reiterada.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de los servicios de ciberseguridad, Cluster25, DuskRise y Cyfirma, analizaron el nuevo malware Erbium y descubrieron que sirve como un potente ladrón de información (InfoStealer) y está disponible como malware como servicio (malware-as-a-service)en la dark web.

Brevemente, los investigadores de DuskRise detectaron el malware por primera vez en julio de 2022, cuando un vendedor ruso anunció el nuevo malware como "uno de los mejores".

Inicialmente a la venta por entre 9 y 150 dólares, el malware aumentó gradualmente su precio dada la gran demanda.

Los actores de amenazas venden el malware por suscripciones semanales y anuales, y administran las ventas a través de un bot de Telegram.

Con respecto a las funcionalidades, los investigadores encontraron que el malware Erbium utiliza lo siguiente:

Enumeración de unidades, archivos y carpetas
Recopilación de información del sistema, incluidos los identificadores de dispositivos y la geolocalización
Comunicación de red Robo de detalles de usuario, como credenciales de inicio de sesión de varias aplicaciones populares de correo electrónico o mensajería y navegadores web,
y detalles de la billetera criptográfica
Tomar capturas de pantalla Recopilar la lista de aplicaciones instaladas
Cargar otras bibliotecas y archivos DLL en la memoria
Recopilar datos 2FA y leer administradores de contraseñas

El malware también se comunica con la CDN de Discord para cargar otro malware en el dispositivo de destino.

Un análisis más detallado del malware reveló que Erbium está escrito en Microsoft Visual C++.

Al llegar al dispositivo de destino, el ejecutable del malware suelta el archivo DLL de robo de información en la ubicación temporal, que luego se carga en la memoria. Luego, la DLL se conecta con la CDN (o el panel del pirata informático) para obtener más instrucciones.

Si bien el malware ha estado en libertad durante varios meses, los investigadores observaron un gran aumento en su distribución en septiembre de 2022.

Los actores de amenazas aparentemente se dirigen a los jugadores mientras distribuyen Erbium haciéndose pasar por trucos y cracks de juegos falsos.

Fuente:
Latest Hacking News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de seguridad han descubiero una nueva campaña maliciosa perteneciente al grupo de hackers conocido como «Whitchetty» que usa esteganografía para esconder un backdoor en el logo de Windows.

Se cree que Witchetty es cercano al grupo de atacantes apoyado por China llamado APT10 (conocido como 'Cicada'). También se considera que forman parte de los operativos de TA410, previamente vinculados a un ataque contra las empresas energéticas estadounidenses.

Symantec reporta que el grupo de atacantes está articulando una nueva campaña de ciberespionaje lanzada en febrero del 2022 que tenía como objetivo dos gobiernos en Oriente Medio y una bolsa de valores en África y que todavía está en curso.

Usando el logo de Windows como tapadera

En esta campaña, los criminales actualizaron un toolkit customizado para emplear diferentes vulnerabilidades y usaron esteganografía para ocultar al antivirus payloads maliciosos.

La esteganografía es el acto de esconder información en otros archivos aparentemente normales como pueden ser archivos de audio, video o imágenes como en este caso. El uso más habitual es ocultar información secreta, en el caso del malware se emplea para evitar la detección. Por ejemplo, un atacante podría crear una imagen que se puede visualizar correctamente pero a la vez ocultar código malicioso que se puede extraer de la misma.

En la muestra descubierta por Symantec, Witchetty utiliza esteganografía para esconder una backdoor encriptada con XOR en una antigua imagen bitmap del logo de Windows.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El archivo se encuentra alojado en un servicio de cloud de confianza en vez de en el servidor de command and control (C2) del atacante, así las posibilidades de provocar alertas de seguridad cuando se descargue el archivo se minimizan.

«Esconder el payload de esta manera permitía a los atacantes hostearlo gratuitamente en un servicio de confianza»

«Es mucho menos probable que salten las alarmas por descargas de sitios habituales como GitHub en comparación a servidores de command-and-control (C2) controlados por los atacantes.»

Reporte de Symantec

La ofensiva comienza con los atacantes consiguiendo acceso a la red interna a través de las vulnerabilidades de Microsoft Exchange ProxyShell (CVE-2021-34473, CVE-2021-34523, y CVE-2021-31207) y ProxyLogon (CVE-2021-26855 y CVE-2021-27065) para subir webshells a servidores vulnerables.

Después, los atacantes descargan el backdoor oculto en la imagen, que les permite realizar lo siguiente:

•   Realizar acciones sobre ficheros y directorios.

•   Empezar, listar o terminar procesos.

•   Modificar el registro de Windows.

•   Descargar payloads adicionales

•   Un toolkit customizado

•   Witchetty también incluía un proxy customizado para convertir el ordenador infectado en «un servidor al que el C2 se conecta como cliente, en vez de al revés».

Otras herramientas incluían un escáner de puertos y utilidades personalizadas de persistencia que se añadían al registro como un supuesto componente de NVIDIA.
Junto con estas herramientas customizadas, Witchetty usa aplicaciones estandarizadas como Mimikatz para descargar las credenciales de LSASS y abusa de «lolbins» en el host, como CMD, WMIC y PowerShell.

TA410 y Witchetty siguen representando un peligro para organizaciones gubernamentales en Asia, África y el resto del mundo. La mejor forma de prevenir sus ataques es ir aplicando los parches de seguridad conforme van saliendo.

En esta campaña, los actores maliciosos se apoyan en las vulnerabilidades más recientes de este último año para acceder a la red interna, aprovechándose de sistemas públicos pobremente administrados.

Fuente:
Symantec
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vía:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El teletrabajo tiene numerosos aspectos positivos tanto para el empleado como para el empleador, ya sea la conciliación familiar y también el ahorro energético para las empresas. El problema llega cuando algunos empresarios no se fían demasiado de sus empleados, y quieren saber en todo momento si están trabajando o están fuera del ordenador.

Esto es algo que hemos visto como por ejemplo con el rastreo por el estado de la aplicación Teams, e incluso también el control a través de la monitorización del ordenador. Una de las medidas más comunes que se pueden imponer es la de obligar a conectar la webcam del ordenador para monitorizar que el teletrabajdor está sentado delante del PC durante toda la jornada. Esta práctica ahora se ha categorizado como ilegal por parte del Tribunal de Derechos Humanos.

La obligación de conectar tu webcam trabajando es inhumano

Esta nueva sentencia llega tras la denuncia de un teleoperador cuya empresa le exigía tener la cámara encendida durante las 9 horas de su jornada laboral. Tras declarar este que esto se podía categorizar como una invasión de su privacidad y la incomodidad que generaba, la empresa lo despidió.

El empleado afirmaba que ya se estaban realizando tareas de monitorización por compartir la pantalla del portátil y el control de las apps que se usaban. Pero la empresa quería ir un paso más allá con este empleado de Bélgica.

De esta manera el empleado quiso recurrir al tribunal de Derechos Humanos sobre esta medida, fallando que el seguimiento por cámara durante 8 horas al día es desproporcionado y no está permitido en los Paises Bajos. Pero van un paso más allá dando amparo a todos los teletrabajadores afirmando que esta práctica va en contra de los derechos humanos del empleado citando la Convención para la Protección de los Derechos Humanos y las Libertades Fundamentales.

Con este precedente, en cualquier tipo de empleo indiferentemente del país donde se vaya a desarrollar es ilegal que un empresario quiera controlarte a través de la cámara. Pero por desgracia, la amenaza con el despido hace que muchos teletrabajadores tengan que pasar por el aro, como se ha reportado en numerosos casos.

Fuente:
Genbeta
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad de Kaspersky han descubierto múltiples infecciones a través de un instalador de navegador TOR malicioso. La campaña se llama OnionPoison y el instalador se distribuye a través de un video de YouTube en chino sobre la dark web.

El canal cuenta con más de 180 000 suscriptores, mientras que el recuento de vistas del video ha superado las 64 000. Es un descubrimiento dañino para los usuarios del navegador TOR, ya que es un navegador basado en el anonimato, que sirve como puerta de entrada a la Dark Web.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La conexión TOR-China

Vale la pena señalar que el navegador Tor está prohibido en China, por lo que los residentes chinos a menudo recurren a formas innovadoras de descargarlo. Acceden principalmente a sitios web de terceros con este fin. Por lo tanto, es más probable que sean engañados para que descarguen el instalador malicioso. Lo que es peor, los usuarios más afectados también se encuentran en China.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"La Casa del Dragón" y "El Señor de los Anillos: Los Anillos del Poder" son dos series de televisión completamente diferentes. Sin embargo, sus estrenos casi simultáneos han tentado a la gente a hacer comparaciones. Si bien no podemos decir qué serie es mejor, los números de descarga muestran que los piratas de torrents claramente favorecen la precuela de Game of Thrones.

Con el lanzamiento de "House of the Dragon" de HBO y "The Lord of the Rings: The Rings of Power" de Amazon, dos importantes series de fantasía se estrenaron el mes pasado.

El primero fue un éxito instantáneo en los sitios piratas donde, en el verdadero espíritu de Game of Thrones, se filtró antes del estreno oficial.

Si bien ambas series son difíciles de comparar, los medios las han enfrentado entre sí para ver cuál funciona mejor. ¿"The Rings of Power" eclipsa a "House of the Dragon" o viceversa?

En términos de calificaciones de los usuarios, la precuela de Game of Thrones gana por goleada, pero las estadísticas oficiales de los espectadores son más difíciles de obtener. Según Variety, los Dragones ahora tienen un promedio de 29 millones de espectadores por episodio. Amazon no ha publicado muchos datos sobre su producción de mil millones de dólares, pero dijo anteriormente que el estreno de Rings atrajo a una audiencia de 25 millones.

El Dragón aplasta a los Anillos en los sitios piratas

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Para agregar nuestro granito de arena a esta batalla, decidimos echar un vistazo a cómo les está yendo a ambas series en los sitios piratas. Con la ayuda de IKnow, analizamos una gran muestra de millones de transferencias globales de BitTorrent durante las últimas dos semanas (del 7 al 21 de septiembre), lo que resultó en un claro ganador.

"House of the Dragon" se lleva la corona con más de 1,4 millones de descargas estimadas en los días pico. Durante las dos semanas que recopilamos datos de muestra, el programa acumuló más de 9 millones de descargas estimadas.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El gráfico anterior muestra que "The Rings of Power" ni siquiera se acerca con un máximo de aproximadamente 650k descargas estimadas. Por lo general, supera a la precuela de GOT por un pequeño margen, poco después del lanzamiento de un nuevo episodio. Durante las dos semanas, esto resultó en 5 millones de descargas.

Para dar una indicación de cuán popular es "House of the Dragon", en el día de su lanzamiento, el programa es válido para más del 10 % de todas las descargas de películas y programas de televisión. Ese es un porcentaje que no hemos visto por un tiempo.

Rusia en la cima

En cuanto a los países donde se descarga más "House of the Dragon", Rusia está claramente a la cabeza. Esto tiene sentido ya que las descargas de torrents son tradicionalmente populares allí. Además, como resultado de las sanciones por la invasión de Ucrania, no hay opciones legales para ver la serie.

Brasil es el segundo en la lista de países, mientras que Estados Unidos ocupa el tercer puesto. El top ten lo completan India, Reino Unido, Sudáfrica, China, Filipinas, Australia y Francia.

Los datos compartidos aquí cubren una gran parte de las descargas de torrents públicas estimadas. Sin embargo, esto solo representa una pequeña parte de toda la actividad de piratería, ya que las "vistas" en sitios de transmisión no autorizados no se pueden medir tan fácilmente.

Dicho esto, creemos que las descargas de torrents son un buen indicador del interés general entre los piratas.

¿La mayoría de los piratas?

La conclusión general de que los piratas prefieren los Dragones a los Anillos también está corroborada por la empresa de seguimiento de la piratería MUSO. La compañía le dijo a Adweek que hay mucho más interés en la precuela de Game of Thrones en los sitios de torrents.

La popularidad por sí sola no dice mucho sobre cuánto le gustan a la gente los programas. Amazon Prime tiende a ser más barato en muchos países y también está más disponible, por lo que eso también podría desempeñar un papel importante.

A este ritmo, no sería una sorpresa ver que "House of The Dragon" continúa donde lo dejó Game of Thrones. Es decir, la serie de televisión va camino de convertirse en el programa de televisión más pirateado de 2022.

Fuente:
TorrentFreak
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El grupo de piratas informáticos prorruso Killnet dirigió una secuencia de ataques distribuidos de denegación de servicio (DDoS) contra los sitios web de varios de los principales aeropuertos estadounidenses.

"Invitamos a todos a cometer DDoS en la infraestructura de red civil de los Estados Unidos de América", declaró el lunes el colectivo de hackers en su canal de Telegram.

El llamado a atacar la infraestructura civil de los EE. UU. fue seguido por una lista de 46 sitios web, en su mayoría aeropuertos de los Estados Unidos.

Al momento de escribir este artículo, los sitios web de Los Ángeles International (LAX), Chicago's O'Hare (ORD) y Atlanta's Hartsfield-Jackson International (ATL) eran inaccesibles.

ATL es el aeropuerto más transitado de los Estados Unidos, mientras que ORD ocupa el cuarto lugar, seguido por LAX en el quinto lugar.

Si bien muchos otros sitios web supuestamente atacados por Killnet todavía estaban accesibles, los piratas informáticos brillaban de alegría burlándose del "mal tiempo para volar en los EE. UU.".

No está claro si los aeropuertos de EE. UU. sufrieron retrasos en los vuelos o experimentaron complicaciones reales debido a los ataques. Si se confirma, afectar los horarios de vuelo de EE. UU. en los principales aeropuertos de EE. UU., marcaría una escalada significativa del grupo de piratas informáticos notablemente prorruso.

Si bien Killnet ha sido una molestia para varios gobiernos pro-ucranianos, el grupo de ataques DDoS se enfoca en afectar raramente a sus objetivos durante períodos prolongados de tiempo, lo que permite declaraciones llamativas en los canales de Telegram pro-rusos pero poco daño.

Llamas de la guerra cibernética

Los grupos hacktivistas competidores han lanzado numerosos ataques desde que Rusia invadió Ucrania el 24 de febrero, con Anonymous, IT Army, Hacker Forces, OneFist y muchos otros dirigidos a empresas y negocios estatales de Rusia.

Mientras tanto, grupos pro-rusos han llevado a cabo ataques DDoS contra países que apoyan a Ucrania, y los sitios web gubernamentales en Finlandia, Italia, Rumania, Alemania, Noruega y Lituania, así como sitios web en Chequia, Letonia y otros lugares, han sido atacados cibernéticamente. fuego.

Según las Naciones Unidas, la invasión rusa de Ucrania ha creado la "crisis de refugiados de más rápido crecimiento en Europa desde la Segunda Guerra Mundial". Más de 12 millones de personas han sido desplazadas debido al conflicto en una nación de 44 millones de habitantes en tiempos de paz.

Los testimonios de testigos recogidos en ciudades ucranianas ocupadas por las fuerzas rusas apuntan a graves violaciones de derechos humanos y ataques letales dirigidos contra civiles. Los informes de "violaciones y abusos graves y sistemáticos de los derechos humanos" llevaron a que Rusia fuera suspendida del Consejo de Derechos Humanos de la ONU en abril.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Doom original, lanzado al mercado en 1993, no solo es un videojuego legendario, sino que también es uno de los títulos más modificados y porteados de la historia. A eso contribuyó mucho en su momento la publicación bajo la licencia GPLv2 del código fuente del motor para Linux en 1999, que ha permitido llevarlo no solo a cualquier plataforma, sino también su ejecución en cajeros automáticos, en la Touch Bar de un MacBook Pro 2016 e incluso directamente en BIOS.

En resumidas cuentas, el motor de Doom ha demostrado no tener límites a nivel de portabilidad, así que no debería sorprender tanto el logro del youtuber Samperson, quien ha conseguido ejecutar el mítico videojuego sobre el Bloc de notas de Windows.

En el vídeo que Samperson ha publicado para mostrar a Doom ejecutado del Bloc de notas de Windows, se puede comprobar que al juego todavía le falta en materia de refresco para ser jugable. Por otro lado, el hecho de que todo esté dibujado con caracteres sobre el archiconocido editor de texto hace que los elementos sean algo difíciles de distinguir, pero aun así no deja de ser algo curioso.



Samperson se describe a sí mismo como un desarrollador de videojuegos y un creador de experimentos. Aparte de ejecutar Doom sobre el Bloc de notas de Windows, también está trabajando, según sus propias palabras, en resucitar ilegalmente el Kinect de Xbox, el fallido periférico para las consolas de Microsoft. Si Kinect está totalmente difunto, Microsoft podría tener un gesto para entregar el poder a los usuarios sobre el periférico, pero posiblemente la compañía prefiera guardarse las cartas por temas de patentes y cosas por el estilo.

Samperson ha dicho que está puliendo NotepadDOOM (así ha bautizado a su implementación de Doom sobre el Bloc de notas) para que sea algo distribuible, cosa que podría ocurrir mañana mismo si vemos la fecha del tuit con el que anunció eso. Su invento no va a revolucionar el mundo del gaming, pero es otra muestra de que el motor del Doom original no conoce de límites.

Fuente:
Muy Computer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un mercado de carding en la dark web llamado 'BidenCash' ha lanzado un volcado masivo de 1,221,551 tarjetas de crédito para promocionar su mercado, lo que permite que cualquier persona las descargue de forma gratuita para realizar fraudes financieros.

Carding es el tráfico y uso de tarjetas de crédito robadas a través de malware de punto de venta, ataques de magecart en sitios web o malware de robo de información.

BidenCash es un mercado de tarjetas robadas lanzado en junio de 2022, que filtró unos miles de tarjetas como movimiento promocional.

Ahora, los operadores del mercado decidieron promocionar el sitio con un volcado mucho más masivo de la misma manera que lo hizo la plataforma similar 'All World Cards' en agosto de 2021.

Los actores de la amenaza anunciaron ayer el volcado de la tarjeta de crédito en las nuevas URL que BidenCash lanzó a fines del mes pasado en respuesta a los ataques DDoS (denegación de servicio distribuido), por lo que podría ser una forma de promover los nuevos dominios de la tienda.


You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Para garantizar un mayor alcance, los delincuentes distribuyen la colección a través de un dominio en la clearnet y en otros foros de hacking y carding.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El archivo que circula libremente contiene una combinación de tarjetas "nuevas" que vencen entre 2023 y 2026 de todo el mundo, pero la mayoría de las entradas parecen ser de los Estados Unidos.

El volcado de 1,2 millones de tarjetas de crédito incluye la tarjeta de crédito y la información personal asociada:

     Número de tarjeta
     Fecha de caducidad
     número CVV
     Nombre del titular
     Nombre del banco
     Tipo de tarjeta, estado y clase
     Dirección, estado y código postal del titular
     Dirección de correo electrónico
     Número de Seguro Social
     Número de teléfono

No todos los detalles anteriores están disponibles para los 1,2 millones de registros, pero la mayoría de las entradas contienen más del 70 % de los tipos de datos.

La oferta de "evento especial" fue detectada por primera vez el viernes por investigadores de seguridad italianos en D3Lab, que monitorea los sitios de tarjetas en la dark web.

Los analistas afirman que estas tarjetas provienen principalmente de web skimmers, que son scripts maliciosos inyectados en las páginas de pago de sitios de comercio electrónico pirateados que roban la información de la tarjeta de crédito y del cliente enviada.

Autenticidad

Las publicaciones de la dark web y las ofertas de este tamaño suelen ser estafas, por lo que el volcado masivo de tarjetas podría ser fácilmente datos falsos o datos reciclados de volcados antiguos reempaquetados con un nuevo nombre.

Se ha discutido la autenticidad con analistas de D3Lab, quienes confirmaron que los datos son reales con varios bancos italianos, por lo que las entradas filtradas corresponden a tarjetas y titulares de tarjetas reales.

Sin embargo, muchas de las entradas se reciclaron de colecciones anteriores, como la que 'All World Cards' regaló el año pasado.

De los datos que D3Labs ha examinado hasta el momento, aproximadamente el 30 % parece ser nuevo, por lo que si esto se aplica aproximadamente a todo el vertedero, al menos 350 000 tarjetas aún serían válidas.

De las tarjetas italianas, aproximadamente el 50% ya ha sido bloqueada debido a que los bancos emisores detectaron actividad fraudulenta, lo que significa que las entradas realmente utilizables en la colección filtrada pueden ser tan bajas como el 10%.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login