You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Administración del Ciberespacio de China solicita a los proveedores y distribuidores de aplicaciones promover 'valores socialistas'.

China se prepara para controlar aún más el uso de las redes sociales por parte de sus ciudadanos mediante una nueva ley, según informa South China Morning Post.

La Administración China del Ciberespacio (CAC, por sus siglas en inglés), que el medio hongkonés describe como "el perro guardián de internet en China", elaboró un proyecto de ley que exige que todos los servicios de redes sociales y plataformas de video revisen los comentarios de los usuarios antes de publicarlos.

La nueva normativa exige a los administradores de las plataformas emplear un grupo de moderadores de contenido que "sea proporcional a la magnitud del servicio" que ofrecen y mejorar la calidad profesional del personal responsable de revisar los contenidos.

El proyecto de ley chino también especifica el castigo para las infracciones:

- Aquellos operadores que no cumplan con la regulación enfrentan advertencias, multas y la suspensión de la posibilidad de hacer de comentarios o incluso de todo el servicio.

La nueva ley implicaría el endurecimiento de las reglas implementadas en 2017, que ordenaba a las compañías revisar los comentarios de los usuarios solo para los contenidos noticiosos.

La regulación previa solo estipulaba que "las autoridades relevantes tomarían acción sobre los proveedores de servicios que violaran las reglas, de acuerdo a las leyes y las regulaciones relevantes"
.
En línea con las reglas ya existentes, el proyecto de ley estipula que los usuarios deben registrarse con sus verdaderos nombres antes de dejar comentarios. Por otra parte, se mantiene la prohibición de comentar a través de bots o con la propia identidad para "difundir información que altere el orden normal y desvíe la opinión pública". Tampoco se altera la regulación que dice que quienes incurran en violaciones serias de las reglas entrarán en una "lista negra"y no podrán acceder al servicio ni abrir nuevas cuentas.

Las autoridades chinas han solicitado que el público envíe sus opiniones sobre el proyecto de ley hasta el 1 de julio.

Muchas personas ya han reaccionado de manera negativa a la nueva regulación propuesta. En Weibo ꟷel Twitter chinoꟷ, un usuario defendió que "el registro del nombre real es suficiente y no es necesario restringir demasiado (la libertad de) expresión".
"¿Cómo va a hablar la gente si no hay ningún canal?", cuestionó otro usuario.

Según la nota de South China Morning Post, CAC solicitó esta semana a los proveedores y distribuidores de aplicaciones promover "valores socialistas" y adherirse a "la dirección correcta de las políticas, las opiniones públicas y los valores".

Ya en mayo, varias redes sociales, que incluyen Weibo, Quora,  Zhihu y Douyin, la versión china de TikTok, empezaron a mostrar la ubicación  del usuario, a partir de una función que estos no pueden deshabilitar.

El nuevo proyecto de ley es parte del creciente enfoque de mano dura del régimen chino en el ámbito virtual, para controlar tanto la información que consumen sus ciudadanos como la que difunden o las opiniones que comparten.

Fuente:
South China Morning Post
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hola DoSser

Sobre cómo funciona, el propio script lo declara.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Este fue creado para el WifiSlax en el Foro Seguridad Wireless que es donde radicaban sus creadores. Desconozco si pensaron en el Kali Linux. Le sugiero que se de una vuelta por allá a consultar si están activos o dejaron indicaciones.

Por otro lado, estoy muy seguro que para Kali Linux debe haber un equivalente cuyo nombre desconozco, pues es un método muy sencillo y básico pero popular por lo que brinda: detección de intrusos y protección de redes. Una consulta inteligente en el buscador del GitHub le brindará resultados.

Pienso que estaría muy modificado por lo del envenenamiento ARP que es algo a día de hoy fácilmente detectable y bloqueable por cualquier Sistema de Seguridad Integral que proteja el aspecto de redes.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Sin mencionar que el servidor web si no está actualizado nunca le abriría al usuario pues al no poseer validez de certificados y demás, los navegadores modernos lo bloquean como intento de phishing.

Comentario:

Hay cosas que tuvieron su momento. Fueron... pero ya no son.

Similar intercambiaba con un usuario aquí en el Foro, que no le funcionaba el ethercap en su red de laboratorio. Y se lo hacía notar, que la seguridad básica de redes (presente en SO, Routers, etc.) bloqueaba en la actualidad a este tipo de manipulaciones y alteración del tráfico en una red.

No obstante, es un Portal Cautivo con todas las de la ley en metodología: secuestra el tráfico y redirige hacia un servidor web donde puede o no continuar según reglas preestablecidas.

Puedo confirmarle que hay sistemas de protección de redes profesionales (casi siempre se consideran en el mercado como Firewalls Profesionales) que, entre sus muchas opciones, realizan la del Cazador Cazado.

Le menciono al Kerio Control por experiencia, que cierra la red, y se le notifica a dicho intruso (o no, según la opción que se desee), a través de la redirección hacia una web a modo de Portal Cautivo, de que ha sido detectado y bloqueado. Le sigue un detallado log para el admin que sabe dónde encontrar físicamente el acceso (IP, Mac, dispositivo, SO, terminal física de acceso, etc.). Estamos hablando de redes de índole empresarial o similar en complejidad.

Esto es lo más parecido y actual que he visto a lo que busca. Pero, le reitero, en el GitHub debe haber "un protector de intrusos en redes" (esa es la categoría de ese script) que realice esa función para el Kali Linux o para Linux en general.

Si le agrega una buena tarjeta gráfica le ayudará muchísimo con lo de la edición de vídeos.

En mi opinión, cualquier sistema que desee.
Un Win 7 irá ligero, pero puede ponerle Win 10. Si las memorias son rápidas y tiene de igual un disco duro a la altura, hasta Win 11 (y ver cómo se comporta). Win 11 va bien no con potencia de CPU sino con rapidez de memoria y disco duro (M2).
Cualquier Linux funcionará de maravilla en especial Ubuntu.

Importante en su caso:
La edición de vídeo demanda recursos por lo que, entre más ligero sea el SO más dispondrá para los programas de edición.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Había leído de este "truco", pero nunca lo había puesto en práctica, hasta ayer en la noche en un hotel de 25 pisos.
Resulta que puede usar un elevador sin que este se detenga en otros pisos, incluso si es solicitado. Así llegará rápido a su destino en exclusiva.

- Pulse y sostenga (no lo suelte) el botón de cerrar la puerta. La puerta se cerrará.

- Acto seguido, seleccione (pulse y no lo suelte) el piso al que desea ir. Mantendrá ambos botones sostenidos de manera simultánea, "hasta que el elevador comience a moverse". Puede soltarlos una vez que comience el movimiento.

El elevador irá sin escalas hasta el piso que seleccionó.

Este "hack" es usado por la policía y los bomberos para ir con rapidez al piso donde se reclamen. Por ende y "en teoría", es un sistema que está presente en todos los elevadores modernos de índole pública.
Recordar que hay elevadores residenciales que son administrados (configurados) por los conserjes y no pudiera avalar.

Suerte.

Gracias por la explicación de los precios.

Me llama la atención que es Ud. un raro caso de coleccionista, pues los hay que ni Dios si baja del cielo toca sus bienes. Vienen a ser poseídos por los objetos que coleccionan.

Al fin y al cabo, es para disfrutar los dispositivos y pasarla bien. Ese será un recuerdo invaluable en su niña:

"Mi papá coleccionaba máquinas de juegos y me dejaba divertirme con ellas."

Eso habla muy bien de lo que valora en la vida y del tipo de ser humano que es.

Me ha gustado mucho leer sobre su pasión y colección.

No soy del gremio de coleccionistas, pero he escuchado de eventos de gamers (coleccionistas) que pagan muy bien estos dispositivos. En especial en USA.

¿En cuánto están valorados sus dispositivos, si no es indiscresión? (mercado referente -  USA  / precio – Dólares)

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Londres (CNN Business) El bitcoin sigue cayendo esta semana para cotizar justo por encima de los 20.000 dólares el miércoles, ya que la venta masiva de criptomonedas muestra pocas señales de disminuir.

La criptomoneda más valiosa del mundo ha caído alrededor de un 15% desde el lunes y casi un tercio desde el viernes, según datos de Coinbase. La moneda ha perdido alrededor del 70% de su valor desde su máximo histórico en noviembre del año pasado, cuando cotizaba alrededor de $69,000.

"Un movimiento por debajo de $ 20,000 sería un golpe psicológico masivo y podría hacer que Bitcoin caiga aún más en picada", dijo Craig Erlam, analista senior de mercado de Oanda, una firma de cambio de divisas, en una nota el martes.

Ether, la segunda moneda digital más valiosa, cayó un 12% el jueves. Ahora ha perdido el 78% de su valor desde su pico de noviembre.

A medida que los principales bancos centrales del mundo aumentan las tasas de interés para controlar la inflación, los comerciantes se han deshecho de sus inversiones más riesgosas, que incluyen criptoactivos volátiles.
La industria asediada se prepara para más dolor.

Coinbase dijo el martes que despediría a unos 1000 miembros de su personal, lo que representa el 18% de su fuerza laboral, citando temores de una recesión económica inminente y un "criptoinvierno".

Las acciones de la compañía han recibido un fuerte golpe desde su oferta pública inicial en abril del año pasado. Una vez con un valor de casi $ 100 mil millones, ahora está valorado en menos de $ 12 mil millones.
Celsius Network, uno de los prestamistas de criptomonedas más grandes del mundo, anunció el lunes que las "condiciones extremas del mercado" lo habían obligado a detener temporalmente todos los retiros, intercambios de criptomonedas y transferencias entre cuentas.

La compañía comunicó a sus 1,7 millones de clientes que ha tomado la decisión de "estabilizar la liquidez y las operaciones mientras tomamos medidas para preservar y proteger los activos". Dijo que "tomaría tiempo" antes de que a los clientes se les permitiera retirar depósitos nuevamente.

Binance, el intercambio de criptomonedas más grande del mundo, suspendió los retiros en su red de bitcoins durante unas horas el lunes después de que algunas transacciones se "atascaron" y causaron un retraso.

Fuente:
CNN Business
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un placer el conocerle formalmente.
Y si ya lleva un tiempo en Underc0de... pues es de la familia.

Si es músico serán bienvenidos sus tips.
No se quiere presumir pero, mi gato está dando sus pasos en el negocio de la música.



Ya se verá a dónde llega.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de la Universidad de Texas, la Universidad de Illinois Urbana-Champaign y la Universidad de Washington, idearon una nueva técnica de ataque de canal lateral denominada Hertzbleed que podría permitir a los atacantes remotos robar claves de cifrado de los modernos chips Intel y AMD.

"Hertzbleed es una nueva familia de ataques de canal lateral: canales laterales de frecuencia. En el peor de los casos, estos ataques pueden permitir que un atacante extraiga claves criptográficas de servidores remotos que antes se creía que eran seguros".

Los expertos presentarán sus hallazgos en el You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login Simposio de Seguridad de USENIX que tendrá lugar en Boston del 10 al 12 de agosto de 2022.

El principio detrás del ataque Hertzbleed es que, bajo ciertas circunstancias, la escala de frecuencia dinámica de los procesadores x86 modernos depende de los datos que se procesan.

"Primero, Hertzbleed muestra que en las CPU x86 modernas, los ataques de canal lateral de energía se pueden convertir (¡incluso en remotos!) en ataques de sincronización, eliminando la necesidad de cualquier interfaz de medición de energía. La causa es que, bajo ciertas circunstancias, los ajustes periódicos de frecuencia de la CPU dependen del consumo actual de energía de la CPU, y estos ajustes se traducen directamente en diferencias de tiempo de ejecución (como 1 hercio = 1 ciclo por segundo)". continúa la publicación.

"En segundo lugar, Hertzbleed muestra que, incluso cuando se implementa correctamente como tiempo constante, el código criptográfico aún puede filtrarse a través del análisis de tiempo remoto. El resultado es que las pautas actuales de la industria sobre cómo escribir código en tiempo constante (como el de Intel) son insuficientes para garantizar la ejecución en tiempo constante en los procesadores modernos".

El problema tiene seguimiento CVE-2022-23823 en AMD y CVE-2022-24436 en Intel, en este momento no hay solución para el problema.

Los expertos señalaron que Hertzbleed no es un error, la causa del problema es el escalado dinámico de frecuencia, que es una función implementada en los procesadores modernos para reducir el consumo de energía (durante cargas bajas de CPU).

Los expertos compartieron sus hallazgos, junto con el código de prueba de concepto, con Intel, Cloudflare y Microsoft en el tercer trimestre de 2021 y con AMD en el primer trimestre de 2022.

En este momento, Intel y AMD no planean lanzar un microcódigo para mitigar el ataque de Hertzbleed.

Intel brindó orientación para mitigar el ataque mediante el fortalecimiento de sus bibliotecas y aplicaciones.

¿Hay una solución?

"Técnicamente, sí. Sin embargo, tiene un impacto significativo en el rendimiento de todo el sistema". concluyen los expertos.

"En la mayoría de los casos, una solución independiente de la carga de trabajo para mitigar Hertzbleed es deshabilitar el aumento de frecuencia. Intel llama a esta función "Turbo Boost" y AMD la llama "Turbo Core" o "Precision Boost". La desactivación del aumento de frecuencia se puede realizar a través del BIOS o en tiempo de ejecución a través del controlador de escala de frecuencia. En nuestros experimentos, cuando se deshabilitó el aumento de frecuencia, la frecuencia se mantuvo fija en la frecuencia base durante la ejecución de la carga de trabajo, evitando fugas a través de Hertzbleed. Sin embargo, esta no es una estrategia de mitigación recomendada, ya que afectará significativamente el rendimiento".

Fuente:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Vía:
SecurityAffairs
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El equipo de Cybernews descubrió una base de datos abierta que contenía registros de conexión de 18,5 GB generados por la aplicación BeanVPN.

El conjunto de datos contenía más de 25 millones de registros, incluido el dispositivo de usuario y las identificaciones de Play Service, las direcciones de protocolo de Internet (IP) y las marcas de tiempo de conexión, entre otra información de diagnóstico.

"La información que se encuentra en esta base de datos podría usarse para eliminar el anonimato de los usuarios de BeanVPN y encontrar su ubicación aproximada utilizando bases de datos de geo-IP. La identificación del servicio de reproducción también podría usarse para averiguar la dirección de correo electrónico del usuario con la que inició sesión en su dispositivo", dijo Aras Nazarovas, investigador de seguridad de Cybernews.

La instancia de ElasticSearch que nuestro equipo descubrió durante una revisión de rutina ahora está cerrada. Cybernews se comunicó repetidamente con la empresa desarrolladora de BeanVPN, IMSOFT, para obtener un comentario, pero no había recibido una respuesta al momento de escribir este artículo.

Parece que IMSOFT violó su propia política de privacidad que dice que recopilan "solo los datos mínimos necesarios para operar un servicio VPN a escala mundial".

"No recopilamos registros de su actividad, incluido el registro del historial de navegación, el destino del tráfico, el contenido de datos o las consultas de DNS. Tampoco almacenamos registros de conexión, es decir, no registramos registros de su dirección IP, su dirección IP de VPN saliente, conexión marca de tiempo o duración de la sesión. Diseñamos nuestros sistemas para que no tengan datos confidenciales sobre usted; incluso cuando estamos obligados, no podemos proporcionar datos que no poseemos ", dice su política de privacidad.

Además, enfatizó que la compañía se compromete a proteger la información de los usuarios con "la mejor seguridad física, técnica y de procedimientos de su clase" para proteger sus oficinas e instalaciones de almacenamiento de información. Sin embargo, la información disponible públicamente sugiere que la única oficina de la empresa se encuentra en un edificio de apartamentos en Bucarest, Rumania.


La aplicación BeanVPN se descargó más de 50 000 veces desde Google Play Store y no está disponible en App Store. El sitio web You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login se utiliza para promocionar la otra aplicación de la empresa: Telefly MTProto Proxy Servers for Telegram.

Miles de bases de datos abiertas

En su política de privacidad, IMSOFT dice que "ninguna medida de seguridad de datos en el mundo puede ofrecer una protección del 100 %". Y eso es en parte cierto, ya que esta no es la primera fuga de datos de VPN que hemos presenciado.

En marzo de 2021, el equipo de Cybernews descubrió las tres bases de datos que contenían los datos de 21 millones de personas, filtradas por SuperVPN, GeckoVPN y ChatVPN. La información a la venta en el dark market incluía direcciones de correo electrónico y contraseñas (hash para los dos primeros servicios y en texto sin formato para ChatVPN), los nombres completos de los usuarios e información sobre el país y los pagos.

Tampoco es la primera vez que nos encontramos con una instancia abierta de Elasticsearch. Este es un motor de búsqueda popular preferido por las empresas que manejan grandes volúmenes de datos constantemente actualizados.

Recientemente, el equipo de Cybernews encontró un conjunto de datos que se cree que pertenece a las fuerzas del orden del Reino Unido con información sobre millones de vehículos accesibles al público, mientras que los buscadores de empleo en Italia y Europa del Este estaban en riesgo porque los motores de búsqueda de empleo dejaron las instancias de ElasticSearch abiertas al público.

Los investigadores de Secureworks encontraron recientemente más de 1200 conjuntos de datos de Elasticsearch que fueron borrados por actores de amenazas que también dejaron una nota de rescate para los propietarios de la base de datos. Han identificado más de 450 demandas de rescate individuales, por un total de más de $280,000.

Una actividad similar no es exclusiva de Elasticsearch. En 2020, un actor de amenazas reemplazó más de 1000 archivos de bases de datos no seguros en Elasticsearch, MongoDB y otras plataformas con la palabra "miau".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El año pasado, los investigadores de Cybernews descubrieron que más de 29 000 bases de datos de Elasticsearch, Apache Hadoop y MongoDB en todo el mundo aún eran de acceso público, lo que dejaba cerca de 19 000 terabytes de datos expuestos a cualquier persona, incluidos los actores de amenazas.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¿Alguien pudiera brindarme un link de referencia (código de invitación) para abrir cuenta?

En realidad, estamos dando vueltas un amigo miembro del staff del Foro y un servidor con ese asunto.
A él le urge por la necesidad de los servicios de email. Y tal vez yo abra cuenta de paso.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Metasploit 6.2.0 se lanzó con 138 nuevos módulos, 148 nuevas mejoras/características y 156 correcciones de errores desde que se lanzó la versión 6.1.0 en agosto de 2021.

Metasploit es un marco de prueba de penetración que incluye 864 cargas útiles y 2227 explotaciones que se pueden usar para detectar vulnerabilidades y probar las defensas de una red.

El marco se usa comúnmente como parte de los compromisos de prueba de penetración y por parte de los actores de amenazas que lo usan para violar las redes.

Debido a su facilidad de uso y las muchas cargas útiles, Metasploit se ha convertido en una de las herramientas más populares que utilizan los profesionales de la ciberseguridad en la actualidad.

Nuevas funciones en Metasploit 6.2.0

La semana pasada, Rapid7 lanzó Metasploit 6.2.0, que incluye cientos de correcciones de errores y mejoras. Sin embargo, se destacan seis características nuevas que mejoran los módulos de explotación existentes, agregan soporte de protocolo y proporcionan mecanismos de depuración adicionales.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las nuevas características destacadas de Metasploit 6.2.0 se resumen a continuación:

Plugin de captura: si bien Metasploit siempre ha incluido módulos para robar credenciales en una red, se ha introducido un nuevo complemento de 'Captura' que ofrece un enfoque más optimizado.

Cuando se inicie, el complemento (plugin) iniciará automáticamente 13 servicios diferentes, con cuatro adicionales ejecutándose en modo SSL, para capturar credenciales en la red.

Nuevo plugin de captura de Metasploit

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Compatibilidad con el servidor SMB v3: Metasploit ha ampliado su compatibilidad con SMB v3 para que los usuarios puedan iniciar rápidamente un servidor SMB v3 que comparte una carpeta de solo lectura. Los pentesters pueden usar este recurso compartido remoto para alojar cargas útiles o archivos DLL que se copiarán a los objetivos o se ejecutarán de forma remota.

Además, todos los módulos existentes ahora son compatibles con SMB v3 con esta versión.

Soporte de retransmisión SMB mejorado: el módulo smb_relay se ha actualizado para admitir la retransmisión en las versiones 2 y 3 de SMB. El módulo también se puede configurar para apuntar a múltiples dispositivos en una sesión, con el módulo ciclando inteligentemente entre objetivos.

Compatibilidad mejorada con servicios dinámicos/NATed: Metasploit ha agregado funciones a las bibliotecas que brindan servicios de escucha (como HTTP, FTP, LDAP, etc.) para permitirles vincularse a una dirección IP explícita y una combinación de puerto que es independiente de lo que suele ser el Opción SRVHOST Esto es particularmente útil para los módulos que pueden usarse en escenarios donde el objetivo necesita conectarse a Metasploit a través de una configuración NAT o de reenvío de puerto.

Depuración de sesiones de Meterpreter: ahora puede depurar sesiones de Meterpreter registrando solicitudes y respuestas de red entre msfconsole y Meterpreter (paquetes TLV) o generando una compilación de depuración personalizada de Meterpreter.

Mejoras en las sugerencias de exploits locales: el módulo local_exploit_suggester se ha actualizado con correcciones de errores y una interfaz de usuario mejorada.

Este módulo lanzará múltiples módulos de Metasploit para intentar obtener una escalada de privilegios locales en el host de destino.

Módulos más utilizados

Rapid7 también ha enumerado los nuevos módulos Metasploit que comúnmente se usan con éxito en los compromisos:

    RCE de inyección JNDI no autenticado de VMware vCenter Server (a través de Log4Shell): este módulo explota la vulnerabilidad de Log4Shell (CVE-2021-44228) en objetivos de Windows y Linux. Log4Shell ha estado bajo una importante explotación en estado salvaje por parte de grupos de piratería patrocinados por el estado y actores de ransomware desde que se reveló en diciembre de 2021.

    F5 BIG-IP iControl RCE a través de la omisión de autenticación REST: este módulo explota CVE-2022-1388, que permite a atacantes remotos no autenticados ejecutar comandos en dispositivos vulnerables. Esta vulnerabilidad se ha explotado en la naturaleza para implementar shells web y obtener acceso inicial a las redes.

    VMware Workspace ONE Access CVE-2022-22954: este módulo explota una vulnerabilidad crítica de omisión de autenticación en VMware Workspace one que ha estado bajo explotación activa por parte de los actores de amenazas para implementar mineros y violar redes.

    Inyección de comando no autenticado de Zyxel Firewall ZTP: esta vulnerabilidad de ejecución remota de código no autenticado fue descubierta por el investigador de Rapid7 Jake Baines, quien también alertó a la comunidad de seguridad cibernética que estaba siendo explotada activamente por los actores de amenazas.

    Windows CVE-2022-21999 SpoolFool Privesc: aprovecha una vulnerabilidad de elevación de privilegios de la cola de impresión de Windows rastreada como CVE-2022-21999 que se corrigió como parte del martes de parches de febrero de 2022.

    Escalada de privilegios locales de Dirty Pipe a través de CVE-2022-0847: finalmente, tenemos la vulnerabilidad de elevación de privilegios de Linux DirtyPipe que permite a los usuarios con privilegios más bajos obtener fácilmente acceso de root en un servidor.

Para obtener un resumen semanal de los nuevos exploits agregados a Metasploit y cómo se utilizan, puede leer el blog de Rapid7:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

WASHINGTON, 13 jun (Reuters) - Bitcoin cayó hasta un 14% el lunes después de que la importante empresa estadounidense de préstamo de criptomonedas Celsius Network congeló los retiros y transferencias citando condiciones de mercado "extremas", en la última señal de la recesión del mercado financiero que afecta a la criptosfera.

El movimiento Celsius desencadenó una caída en las criptomonedas, cuyo valor cayó por debajo de $ 1 billón el lunes por primera vez desde enero de 2021, lo que generó preocupaciones de que la caída podría extenderse a otros activos o afectar a otras compañías.

"Casi todo puede ser sistémico en cripto... porque todo el espacio está sobreapalancado", dijo Cory Klippsten, director ejecutivo de Swan Bitcoin, una plataforma de ahorro de bitcoin. "Todo es un castillo de naipes".

El CEO de Celsius, Alex Mashinsky, y Celsius no respondieron a las solicitudes de comentarios de Reuters.

Celsius, con sede en Nueva Jersey, que tiene alrededor de $ 11,8 mil millones en activos, ofrece productos que generan intereses a los clientes que depositan criptomonedas con su plataforma. Luego presta criptomonedas para obtener un rendimiento.

Bitcoin cae una vez más

Después del anuncio de Celsius, bitcoin tocó un mínimo de 18 meses de $22,725, antes de rebotar ligeramente a alrededor de $23,265. El éter de token número 2 cayó hasta un 18% a $ 1,176, su nivel más bajo desde enero de 2021.

Las empresas expuestas a las criptomonedas han advertido previamente que las caídas en los precios de los tokens podrían tener efectos dominó, incluso al desencadenar llamadas de margen.

Los criptomercados se han desplomado en las últimas semanas debido a que el aumento de las tasas de interés y el aumento de la inflación llevaron a los inversores a deshacerse de los activos de mayor riesgo en los mercados financieros.

Los mercados extendieron una venta masiva el lunes después de los datos de inflación de EE. UU. del viernes, que mostraron el mayor aumento de precios desde 1981, lo que llevó a los inversores a aumentar sus apuestas sobre las subidas de tipos de la Reserva Federal.

Ese fue probablemente el factor clave de la caída en picado del mercado de criptomonedas, escribió Jay Hatfield, director de inversiones de Infrastructure Capital Management, en una nota el lunes.

Los inversores en criptomonedas también se han visto sacudidos por el colapso de los tokens terraUSD y luna en mayo, al que siguió poco después Tether, la moneda estable más grande del mundo, que rompió brevemente su paridad 1:1 con el dólar.

En una publicación de blog el lunes, Tether dijo que, si bien ha invertido en Celsius, su actividad de préstamo con la plataforma criptográfica "siempre ha estado sobregarantizada" y no tiene impacto en las reservas de Tether. El token se negoció por última vez a $ 1.

También el lunes, BlockFi, otra plataforma de préstamos criptográficos, dijo que estaba reduciendo su personal en aproximadamente un 20% debido al "cambio dramático en las condiciones macroeconómicas". BlockFi dijo que no tiene exposición a Celsius.

Bitcoin, que aumentó en 2020 y 2021, ha bajado alrededor de un 50% en lo que va del año. Ethereum ha bajado más del 67% este año.

Cripto Préstamos

Celsius dice en su sitio web que los clientes que transfieren su criptografía a su plataforma pueden obtener un rendimiento anual de hasta el 18,6%. El sitio web insta a los clientes a "Ganar mucho. Pedir prestado poco".

En una publicación de blog el domingo por la noche, la compañía dijo que había congelado los retiros, así como las transferencias entre cuentas, "para estabilizar la liquidez y las operaciones mientras tomamos medidas para preservar y proteger los activos".

"Estamos tomando esta acción hoy para poner a Celsius en una mejor posición para cumplir, con el tiempo, sus obligaciones de retiro", dijo la compañía.

El token de Celsius ha caído alrededor de un 97 % en los últimos 12 meses, de $7 a alrededor de 20 centavos, según los datos de CoinGecko.

'Área Gris'

Los productos de préstamos criptográficos han ganado popularidad y muchas empresas han lanzado ofertas en el último año.

Eso ha generado preocupaciones entre los reguladores que están preocupados por la protección de los inversores y los riesgos sistémicos de los productos de préstamo no regulados.

Celsius y las criptoempresas que ofrecen servicios similares operan en un "área gris" regulatoria, dijo Matthew Nyman del bufete de abogados CMS.

Celsius recaudó $ 750 millones en fondos el año pasado de inversionistas, incluido el segundo fondo de pensiones más grande de Canadá, Caisse de Dépôt et Placement du Québec. Celsius estaba valorado en ese momento en $ 3.25 mil millones.

Al 17 de mayo, Celsius tenía $11,800 millones en activos, dijo su sitio web, más de la mitad menos que en octubre, y había procesado un total de $8,200 millones en préstamos.

Mashinsky, el CEO, fue citado en octubre del año pasado diciendo que Celsius tenía más de $25 mil millones en activos.

El criptoprestamista rival, Nexo, dijo el lunes que había ofrecido comprar los activos pendientes de Celsius.

"Nos comunicamos con Celsius el domingo por la mañana para discutir la adquisición de su cartera de préstamos garantizados. Hasta ahora, Celsius ha optado por no comprometerse", dijo el cofundador de Nexo, Antoni Trenchev.

Celsius no respondió a una solicitud de comentarios sobre la oferta de Nexo.

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Sabido es que en internet si hay algo que es garantizado son las estafas o "scams" en su denominación anglosajona. Siempre llevan una traición a la confianza a través del engaño de lo aparente. Y si existe las promesas de ganar dinero de manera rápida y fácil... de seguro es un scam. Por ello siempre tienen éxito: la necesidad y afición de las personas al dinero fácil.

Mencionarlas todas es imposible, algunas son de ingenio de última ocurrencia. Muchas en su complejidad necesitan apartados exclusivos en explicación.

Con esa finalidad se hace esta enumeración e invitándole a que, si conoce algún scam de turno no mencionado, sea bienvenido a declarar.

Anuncios ─ Ver sitios de publicidad paga

money.xyz
money.club
money.icu

Es una estafa garantizada cualquier servicio que exponga como medio de ganacias: "Visualización de Sitios de Publicidad Paga" ("Viewing Payed Advertising Sites" ) en su título y requiera que resuelva captchas.

Hay algunos sitios legítimos de resolución de captchas que le pagan una cantidad "miserable" de dinero, pero... en su gran mayoría son estafas, por no decir todos pues hay que valorar lo que realmente es el dinero "real".

Todos estos sitios tienen el mismo diseño de página y una URL similar (que termina en: ".xyz", ".club", ".icu") para que  pueda reconocerlos fácilmente. Recién se han actualizado y evolucionado en apariencia si se busca en internet.

Una vez que se registra, tiene que resolver captchas y referir cierta cantidad de personas (estafa piramidal) para poder retirarse y cobrar. Por supuesto, nunca va a retirarse cobrando. El final del túnel es que le bloquean la cuenta: debe realizar un depósito en efectivo, o referir otra cantidad absurda de personas.

Es un scam "muy viejo" pero que opera con el desespero económico de muchos. De él hay mucho en internet escrito.
Y los datos del usuario (segmentados en naciones y relevancia como: email, nombre, etc. son vendidos a compañías de publicidad. El dinero es el usuario.

Ejemplos Web de estos sitios:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Depósitos Dobles, Duplicación de Bitcoins

NitrogenSports
1xBit
Métodos de Duplicación de Bitcoin

Este método de scam se refiere a cualquier extensión que provenga de una fuente "no oficial" y "no verificada" que afirme ser un sitio de juegos de azar, un sitio de apuestas deportivas, que prometa duplicar su depósito tan pronto como instale su extensión en el navegador.

"Revisé el código fuente de la extensión y, una vez instalada, la extensión abrirá una nueva pestaña en su navegador, lo redirigirá a la página de caja del sitio (donde deposita los fondos) y luego cambiará el depósito y su dirección al estafador" de OmegaStarScream.

Ejemplos (por lo general aparecen en idioma inglés):

1.   ⚡DOBLE SUS BITCOINS ⚡INSTANTÁNEO ⚡ 100% FUNCIONANDO
(⚡DOUBLE YOUR BITCOINS ⚡INSTANT ⚡ 100% WORKING))
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

2.   ¡Gane hasta 5 BTC por convertirse en Beta Tester del complemento entrante de 1xBit!
(Earn up to 5 BTC for becoming a Beta Tester of 1xBit's incoming addon!) 
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

3.   Duplica tus Bitcoins con 1xBit exploit [hasta 5 BTC]
Double your Bitcoins with 1xBit exploit [up to 5 BTC]
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

4.   ¡Conviértase en Beta Tester de la extensión de 1xBit y gane hasta 5 BTC!
(Become a Beta Tester of 1xBit's incoming addon and earn up to 5 BTC!)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

TELEGRAM

Faucets Bots
Bots de Monederos Criptográficos

Es estafa cualquier bot de Telegram que se anuncie como un "Bot Faucet", o un "Bot de Billetera Criptográfica", que promete hacerle ganar criptomonedas u otras monedas con solo hacer clic en un botón.
Es un scam piramidal: el bot muestra anuncios y tan pronto como vea suficientes, debes recomendar a 10 personas y luego comprar una suscripción.
Cuantas más personas prueben el bot, más personas serán referidas, mayor será la posibilidad de que alguien compre una suscripción y más dinero será estafado.

Ejemplos:

1.   Piloto Automático (AutoPilot) - Telegram BTC Faucet - Script para la web de Telegram
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

2.   Bots Faucet de Telegram conocidos que funcionan///AFK Pasivo///¡Más de $350 al día! BITCOIN/ ETHEREUM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

3.   Gana BITCOIN por Faucet de Telegram [Funcionando]
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

4.   Nuevo Bot Faucet de Telegram
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

5.   AutoPilot para ganar BTC
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Scripts y Extensiones

Amazon exploit
GameMoney exploit
Chaturbate exploit
Giftcard exploit
Timezone exploit

Cualquier exploit que requiera que se instale una extensión con Tampermonkey, o que se coloque un código en la consola del navegador.
La gente ha estado enviando spam con esta estafa durante más de un año, utilizando innumerables cuentas para publicar hilos y comentarios falsos para atraer a más personas.
Todo lo que hacen estas extensiones y scripts es cambiar la dirección de Bitcoin de su pago para enviar dinero directamente a la dirección del estafador.
Hay muchos videos falsos, pruebas, comentarios de cuentas múltiples y robadas, para estafar la mayor cantidad de dinero posible.
Cualquier hazaña o truco que funcione para obtener algo gratis nunca sería pública, por razones obvias.

Ejemplos:

1.   Nuevo Método VIP – Cómo hacer 300 al día – AutoPilot
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

2.   Obtenga Tarjetas de Regalo de Amazon – 100 Gratis [Funcionando] Repetible
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

3.   Cómo obtener créditos gratis en Charturbate (se puede canjear por Bitcoin)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

4.   [Exploit] Doble su Bitcoin con Crypto 1xBit Exploit – ¡Enorme!
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

5.   La forma más fácil para el método de las Tarjetas de Regalo (Amazon, Steam y más)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Scripts de Juegos

Scripts CatchaBTC
Scripts de juegos de Bitcoin

La estafa no está en el script en sí, sino en el sitio; sitios de apuestas falsos y desconocidos como CatchaBTC.
Cualquiera puede comprar un dominio barato y alojar un sitio de juegos de apuestas.
Si quiere apostar su dinero, consulte sitios que tienen millones de resultados de Google y son muy conocidos entre los jugadores.
Los sitios de apuestas harán cualquier cosa para convencerlo de que haga un depósito. Dinero que nunca volverá a ver.

Ejemplos:

1.   Empiece a ganar $ 30 al mes – Fácil – Pruebe – Con Script – Gane más con Depósito
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

2.   [Smart] Único método para retirar Bitcoin Instantáneo – Paypal, ¡10-100 $ Diarios!
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

3.   20 USD (0.004) BTC cada 24h en tu Bitcoin!!
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

4.    [Funcionando] Script cómo ganar 60 000 Satoshi cada 3 horas
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Sitios de Granjas

Golden Farm
Golden Mines,
Golden Tea

El sitio demanda que le haga un depósito inicial a modo de crédito de garantía para adquirir monedas en su sitio que, con posterioridad va a gastar para obtener artículos virtuales como pájaros, minas, plantas de té o cualquier otra cosa que no tenga ningún valor en la vida real; cada artículo comprado generará una cantidad específica de dinero virtual. El problema comienza cuando las personas anuncian este juego como una máquina milagrosa de hacer dinero, mientras que, si lee los Términos de Servicio, descubrirá que pueden retirarle del 30 % al 80 % del dinero que depositó, así que al final del día no va a obtener ningún beneficio por ser virtual y el dinero real suyo "se va volando" a otras manos.

Ejemplos:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Condiciones de Servicio
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Este es solo otro juego que los ingenuos y crédulos anuncian como una máquina de hacer dinero fácil y, una vez más, el leer los Términos y Condiciones sería suficiente para comprender que los créditos y saldos en el sitio web están destinados a ser utilizados en funciones internas del propio sitio web. Ninguno de los créditos, saldos u otras recompensas en el sitio tienen o están respaldados en garantías con un valor monetario real. En tanto los saldos de los usuarios (lo único realmente real) pueden ser modificados o anulados por el sitio web en cualquier momento y sin previo aviso.

Ejemplos:

1.   Términos y Condiciones
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

2.   BTC Gratis en AutoPilot
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
3.   Ganar Dinero Rápido (Sin Inversión) (10 min de trabajo diario) (Fácil 300 en una semana)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

4.   ¡Script AutoPilot de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login que nunca se bloquea!
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

5.   Gana $100 al día con una pestaña abierta en Chrome [AutoPilot]
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
Post realizado por el Hacker
"thelast1"
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
"SCAMS LIST ─ DON'T LOSE YOUR MONEY ON THESE SCAM SCRIPTS"
para el Foro CrackingPro

Corroboración, Corrección, y Traducción para Underc0de.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores descubrieron un malware de Linux de alto sigilo, denominado Symbiote, que podría usarse como backdoors (puerta trasera) para sistemas infectados.

La investigación conjunta realizada por las empresas de seguridad Intezer y BlackBerry descubrió una nueva amenaza para Linux denominada Symbiote.

El nombre proviene del concepto de simbionte, que es un organismo que vive en simbiosis con otro organismo, exactamente como lo hace este implante con los sistemas infectados. Por esta razón, los investigadores de seguridad definieron esta amenaza como casi imposible de detectar.

A diferencia de otras amenazas de Linux, Symbiote necesita infectar otros procesos en ejecución para causar daños en las máquinas comprometidas. Es una biblioteca de objetos compartidos (SO) que se carga en todos los procesos en ejecución mediante LD_PRELOAD y, como un parásito, infecta la máquina.

Una vez que el malware ha infectado todos los procesos en ejecución, proporciona al actor de amenazas la capacidad de rootkit y admite capacidades de robo de datos

El malware se detectó por primera vez en noviembre de 2021, los expertos creen que fue diseñado para apuntar al sector financiero en América Latina, como Banco do Brasil y Caixa.

"Una vez que el malware ha infectado una máquina, se oculta a sí mismo y a cualquier otro malware utilizado por el actor de amenazas, lo que hace que las infecciones sean muy difíciles de detectar. Es posible que la realización de análisis forenses en vivo en una máquina infectada no revele nada, ya que el malware oculta todos los archivos, procesos y artefactos de la red. Además de la capacidad de rootkit, el malware proporciona una puerta trasera para que el actor de amenazas inicie sesión como cualquier usuario en la máquina con una contraseña codificada y ejecute comandos con los privilegios más altos".

"Dado que es extremadamente evasivo, es probable que una infección de Symbiote "vuele por debajo del radar". "En nuestra investigación, no hemos encontrado suficiente evidencia para determinar si Symbiote se está utilizando en ataques muy específicos o amplios".

Los expertos informaron que una característica técnica interesante implementada por Symbiote es la funcionalidad de enganche del filtro de paquetes de Berkeley (BPF), es el primer malware de Linux que utiliza esta característica para ocultar el tráfico de red malicioso.

"Cuando un administrador inicia cualquier herramienta de captura de paquetes en la máquina infectada, el código de bytes BPF se inyecta en el kernel que define qué paquetes deben capturarse. En este proceso, Symbiote agrega primero su código de bytes para que pueda filtrar el tráfico de red que no quiere que vea el software de captura de paquetes".

El enlazador puede cargar Symbiote a través de la directiva LD_PRELOAD antes que cualquier otro objeto compartido, lo que permite "secuestrar las importaciones" de los otros archivos de la biblioteca cargados para la aplicación.

Symbiote oculta su presencia conectando las funciones libc y libpcap.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"Symbiote es un malware que es altamente evasivo. Su objetivo principal es capturar credenciales y facilitar el acceso por la puerta trasera a las máquinas infectadas. Dado que el malware funciona como un rootkit a nivel de usuario, detectar una infección puede ser difícil". concluye el informe.

"La telemetría de la red se puede usar para detectar solicitudes de DNS anómalas, y las herramientas de seguridad como el antivirus y la detección y respuesta de puntos finales (EDR) deben vincularse estáticamente para garantizar que no estén "infectados" por rootkits de usuario".

Fuente:
Intezer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

BlackBerry
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vía:
SecurityAffairs
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
¿La web You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login comparte muestras con las compañias de AV?

Sí
Es común la retroalimentación y convenios entre estos tipos de sitios y las compañías de AV.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hay un truco que permite a los atacantes secuestrar la cuenta de WhatsApp de la víctima y obtener acceso a los mensajes personales y la lista de contactos.

El método se basa en el servicio automatizado de los operadores móviles para desviar las llamadas a un número de teléfono diferente y en la opción de WhatsApp para enviar un código de verificación de contraseña de un solo uso (OTP) a través de una llamada de voz.

El truco del código MMI

Rahul Sasi, el fundador y CEO de la empresa de protección de riesgos digitales CloudSEK, publicó algunos detalles sobre el método diciendo que se usa para hackear la cuenta de WhatsApp.

Se probó y descubrió que el método funciona, aunque con algunas advertencias que un atacante suficientemente hábil podría superar.

El atacante tarda solo unos minutos en apoderarse de la cuenta de WhatsApp de una víctima, pero necesita saber el número de teléfono del objetivo y estar preparado para hacer algo de ingeniería social.

Sasi dice que un atacante primero debe convencer a la víctima de que haga una llamada a un número que comience con un código de interfaz hombre-máquina (MMI) que el operador de telefonía móvil configuró para habilitar el desvío de llamadas.

Dependiendo del operador, un código MMI diferente puede desviar todas las llamadas a un terminal a un número diferente o solo cuando la línea está ocupada o no hay recepción.

Estos códigos comienzan con una estrella (*) o un símbolo de almohadilla (#). Se encuentran fácilmente y, según la investigación que hicimos, todos los principales operadores de redes móviles los admiten.

"Primero, recibe una llamada del atacante que le convencerá de hacer una llamada al siguiente número **67* o *405*. En unos minutos, su WhatsApp se desconectaría y los atacantes obtendrían el control total de su cuenta" - Rahul Sasi

El investigador explica que el número de 10 dígitos pertenece al atacante y el código MMI delante de él le dice al operador de telefonía móvil que reenvíe todas las llamadas al número de teléfono especificado después cuando la línea de la víctima está ocupada.

Una vez que engañó a la víctima para que desviara las llamadas a su número, el atacante inicia el proceso de registro de WhatsApp en su dispositivo, eligiendo la opción de recibir la OTP a través de una llamada de voz.

Opciones de WhatsApp para recibir contraseñas de un solo uso:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Después de obtener el código OTP, el atacante puede registrar la cuenta de WhatsApp de la víctima en su dispositivo y habilitar la autenticación de dos factores (2FA), lo que evita que los propietarios legítimos recuperen el acceso.

Algunas advertencias

Aunque el método parece simple, hacer que funcione requiere un poco más de esfuerzo.

En primer lugar, el atacante debe asegurarse de que utiliza un código MMI que reenvía todas las llamadas, independientemente del estado del dispositivo de la víctima (incondicionalmente). Por ejemplo, si el MMI solo reenvía llamadas cuando una línea está ocupada, la llamada en espera puede hacer que falle el secuestro.

Durante la prueba, se notó que el dispositivo de destino también recibió mensajes de texto que informaban que WhatsApp se estaba registrando en otro dispositivo.

Los usuarios pueden pasar por alto esta advertencia si el atacante también recurre a la ingeniería social e involucra al objetivo en una llamada telefónica el tiempo suficiente para recibir el código OTP de WhatsApp por voz.

Si el desvío de llamadas ya se activó en el dispositivo de la víctima, el atacante debe usar un número de teléfono diferente al que usó para la redirección, un pequeño inconveniente que podría requerir más ingeniería social.

La pista más clara de actividad sospechosa para el usuario objetivo ocurre después de que los operadores móviles activan el desvío de llamadas para su dispositivo, ya que la activación viene con una advertencia superpuesta en la pantalla que no desaparece hasta que el usuario la confirma.

Los operadores de telefonía móvil advierten a los usuarios cuando se activa el desvío de llamadas:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Incluso con esta advertencia altamente visible, los actores de amenazas aún tienen buenas posibilidades de éxito porque la mayoría de los usuarios no están familiarizados con los códigos MMI o la configuración del teléfono móvil que desactiva el desvío de llamadas.

A pesar de estos obstáculos, los actores maliciosos con buenas habilidades de ingeniería social pueden idear un escenario que les permita mantener a la víctima ocupada en el teléfono hasta que obtengan el código OTP para registrar la cuenta de WhatsApp de la víctima en su dispositivo.

Se probó este método utilizando los servicios móviles de Verizon y Vodafone y concluyó que un atacante con un escenario plausible probablemente secuestraría las cuentas de WhatsApp.

La publicación de Sasi se refiere a los operadores de telefonía móvil Airtel y Jio, cada uno con más de 400 millones de clientes a diciembre de 2020, según datos públicos.

Protegerse contra este tipo de ataques es tan fácil como activar la protección de autenticación de dos factores en WhatsApp. Esta característica evita que los actores maliciosos obtengan el control de la cuenta al solicitar un PIN cada vez que registra un teléfono con la aplicación de mensajería.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El FBI cerró un sitio web ciberdelincuente por vender acceso a la asombrosa cantidad de siete mil millones de registros de datos robados, anunció el Departamento de Justicia.

La Oficina tomó la decisión de cerrar You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, junto con los dominios afiliados You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, luego de que una investigación internacional descubriera que estaban comerciando con credenciales personales robadas y facilitando ataques cibernéticos.

"Hoy, el FBI y el Departamento detuvieron dos amenazas preocupantemente comunes: sitios web que trafican con información personal robada y sitios que atacan e interrumpen negocios legítimos en Internet", dijo el fiscal federal Matthew Graves del Distrito de Columbia.

"El delito cibernético a menudo cruza las fronteras nacionales", agregó, al tiempo que elogió a la policía de Bélgica y los Países Bajos por su ayuda para derribar los sitios.
Usando sólidas relaciones de trabajo con nuestros socios internacionales encargados de hacer cumplir la ley, abordaremos delitos como estos que amenazan la privacidad, la seguridad y el comercio en todo el mundo".

WeLeakInfo proporcionó a los clientes un motor de búsqueda que les permitía explorar su cantidad de datos obtenidos de forma ilícita, obtenidos en más de 10 000 infracciones e incluidos nombres, direcciones de correo electrónico, contraseñas y números de teléfono. Los ciberdelincuentes pagaron por este servicio a través de una suscripción, que va desde un día de duración hasta una membresía de por vida.

El nombre de dominio incautado se indexó a Tonga y se cree que fue una solución adoptada por los actores de amenazas responsables del sitio original, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, cerrado por el FBI y el Departamento de Justicia en 2020.

Los sitios web IpStress y OvhBooter también fueron incautados, luego de que se descubriera que sus nombres de dominio hacían referencia a "stressor" y "booter" o ataques distribuidos de denegación de servicio (DDos) ofrecidos a un precio a los clientes, lo que permite que múltiples dispositivos de Internet inunden un sitio objetivo. con el tráfico y forzarlo a cerrar. A menudo utilizada por hacktivistas, esta táctica también puede ser empleada por ciberdelincuentes que buscan extorsionar a las víctimas.

Los tres sitios web están ahora bajo la custodia del FBI, y los visitantes no encontrarán nada más que una notificación que les informa que han sido confiscados de conformidad con una orden de incautación emitida por el Distrito de Columbia.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de Check Point han descubierto una nueva versión de la botnet XLoader, que implementa mejoras significativas, como una nueva técnica para ocultar la infraestructura de Comando y Control.

XLoader se ha observado desde 2020, y es una variedad de malware muy barata que se basa en el popular malware Formbook Windows.

Los expertos de Check Point ahora afirman que es significativamente más difícil determinar los servidores C2 reales entre miles de dominios legítimos utilizados por los operadores como cortina de humo.

Los investigadores señalaron que todas las muestras de XLoader tienen 64 dominios y un URI en sus configuraciones. XLoader y Formbook comparten la misma estructura de configuración, los 64 dominios de la configuración del malware son en realidad señuelos, utilizados como una estrategia diversa.

A partir de la versión 4.1 de Formbook y las primeras versiones de XLoader (hasta la 2.5), los desarrolladores ocultaron un nombre de dominio para el servidor de C&C real entre los 64 señuelos, mientras que el URI que siempre se pensó que era una dirección del servidor de C&C se convirtió en otro señuelo. y se utiliza para un sitio web legítimo. El código malicioso analizado por los investigadores elige aleatoriamente 16 dominios señuelo, dos de los cuales se reemplazan con la dirección del servidor C&C falso y una dirección del servidor C&C real. Para dificultar el análisis, se accede al servidor C2 real solo después de un largo retraso.

En las últimas versiones analizadas por Check Point, el malware primero selecciona 16 dominios señuelo de la configuración, luego los primeros ocho dominios se sobrescriben con nuevos valores aleatorios antes de cada ciclo de comunicación mientras toma medidas para omitir el dominio real.

Lo que cambió en las versiones más nuevas de XLoader es que después de la selección de 16 dominios señuelo de la configuración, los primeros ocho dominios se sobrescriben con nuevos valores aleatorios antes de que se seleccionaran inmediatamente después del lanzamiento.

Los expertos también notaron que XLoader 2.5 reemplaza tres dominios en la lista creada con 2 señuelos y el dominio real del servidor C&C.

"En julio de 2021, describimos el método para descubrir servidores C&C reales entre los miles de servidores legítimos abusados por XLoader v.2.3. El XLoader v.2.5 actualizado introdujo cambios significativos en este algoritmo utilizando el poder de la Ley de los Grandes Números de la teoría de la probabilidad".

Check Point concluye.

"Estas modificaciones logran dos objetivos a la vez: cada nodo en la red de bots mantiene una tasa de retroceso constante mientras engaña a los scripts automatizados y evita el descubrimiento de los servidores reales de C&C. Este último de hecho se volvió más difícil, pero... no imposible".

Fuente:
SecurityAffairs
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login