Mostrar Mensajes

Información del Perfil

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

Páginas 1 ... 17 18 19 20 21 ... 249

#361

Noticias Informáticas / Disponible Ubuntu 25.10, novedades y descarga

Octubre 13, 2025, 11:57:05 PM

Cumpliendo con el calendario marcado, ya está aquí Ubuntu 25.10, una nueva versión del «Linux para seres humanos» sin grandes novedades en su haber de cara al usuario, pero con alguna que otra determinante a nivel de sistema. En todo caso, se trata de un lanzamiento interesante para quienes gustan de estar siempre a la última en el ecosistema de Canonical.

Ubuntu 25.10 con nombre en clave 'Questing Quokka' es una de las denominadas como versiones «intermedias» y llega con apenas nueve meses de soporte por delante. Y no llega sola, claro: a la propia Ubuntu le siguen Kubuntu, Xubuntu, Lubuntu y el resto de sabores oficiales de la distribución, aunque sobra decir que en esta familia, solo hay una número uno.

Ubuntu 25.10, novedades

Comenzando con las novedades de carácter general, Ubuntu 25.10 llega con el kernel Linux 6.17, systemd 257, Mesa 25.2 y otros componentes -de los que se nutrirá la próxima actualización de Ubuntu 24.04. LTS. Ademkás, hay otros cambios internos destacados, como el reemplazo de initramfs-tools por Dracut (un generador de imágenes de arranque más moderno y flexible) en nuevas instalaciones o la adopción de Chrony con soporte NTS (un sistema de sincronización de hora más preciso y protegido contra suplantaciones) para una sincronización horaria más segura.

Ubuntu 25.10 incluye también los primeros paquetes reescritos en Rust, como son sudo y coreutils, así como una mejora del instalador con el cifrado de disco con TPM o la integración de Ubuntu Insights, «una solución transparente, fácil de usar, abierta e independiente de la plataforma para informar del hardware y otras métricas recopiladas» que toma el relevo al tradicional Ubuntu Report para la línea de comandos en Ubuntu Pro.

Pero si hay un cambio en Ubuntu 25.10 del que se darán cuenta los usuarios conforme inicien sesión, ese es GNOME 49, nueva versión del escritorio con novedades llamativas a nivel de interfaz y personalización, pero también en las aplicaciones que acompañan al entorno, con Loupe y Ptyxis, los relevos de dos clásicos como Eye of GNOME y GNOME Terminal como el nuevo visor de imágenes y cliente de terminal, respectivamente, como los más destacados.

Por último, cabe destacar que Ubuntu 25.10 asume la adopción de Wayland de manera definitiva: se mantiene el soporte para ejecutar aplicaciones X11 con Xwayland, pero la posibilidad de iniciar sesión se ha terminado: a partir de este lanzamiento, Ubuntu funciona únicamente con Wayland. Y si, por cualquier motivo, esto no funciona para ti, piensa en dar el salto no a otra distribución, no es necesario llegar a tanto, sino a otro entorno de escritorio.

Toda la información en el anuncio oficial y las notas de lanzamiento.

Descargas Ubuntu 25.10

Ubuntu 25.10
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Kubuntu 25.10
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Xubuntu 25.10
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ubuntu MATE 25.10
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ubuntu Budgie 25.10
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Lubuntu 25.10
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ubuntu Unity 25.10
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ubuntu Cinnamon 25.10
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ubuntu Studio 25.10
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Edubuntu 25.10
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
MuyLinux
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#362

Dudas y pedidos generales / Re:WPS Modem Movistar

Octubre 13, 2025, 12:20:21 AM

Hola

Sí avala, pero hay que tener en cuenta que ha sido mejorado.

Puede intentar este tipo de ataque dirigido a un cliente Android (lo sabrá identificar por su MAC; de igual forma si la MAC de los clientes cambian con frecuencia y su segundo número es 2, 6, A, E; ej: 92:E3:96:29:F8:00).

Este tipo de ataque es un Rogue AP o Evil-Twin que es muy idéntico al que se le realiza al WPA2. Engañar al cliente para que este otorgue la clave de acceso.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hay otras vías: por ejemplo, hay ciertos router que si tienen habilitado el WPS (depende del modelo), pudiera ser que la clave por defecto también sea dicho numeración de 8 dígitos (el WPS mejorado ya es de 12 si mal no recuerdo) y que el cliente no lo haya cambiado, permitiendo un ataque con diccionario.

No es cuestión de la distro que está usando (WifiSlax), es cuestión del script y de que el tan manido WPS que tan vulnerable era, ha sido notablemente mejorado.

#363

Noticias Informáticas / Shuyal Stealer ataca 17 navegadores web

Octubre 08, 2025, 11:13:07 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad del Equipo de Inteligencia de Amenazas Lat61 de Point Wild han descubierto un nuevo ladrón de información (stealer) llamado Shuyal Stealer, una cepa de malware diseñada para robar credenciales de inicio de sesión no de uno ni dos, sino de 17 navegadores web diferentes.

Cómo Shuyal Stealer perfila y explota los sistemas

Shuyal Stealer también es capaz de perfilar a fondo las máquinas objetivo, recopilando información sobre discos, dispositivos de entrada y configuraciones de pantalla mediante comandos de Instrumental de Administración de Windows. Este tipo de mapeo de dispositivos proporciona a los atacantes una imagen clara del sistema de la víctima, que puede utilizarse para el robo de identidad selectivo u otros ataques posteriores.

El malware también captura datos contextuales que muchos ladrones de información ignoran. Toma capturas de pantalla, registra el contenido del portapapeles y extrae tokens de autenticación de Discord. Estas capacidades permiten a los atacantes obtener información real sobre lo que la víctima está haciendo en su dispositivo, lo que puede convertir un simple robo de contraseña en un robo completo de la cuenta y obtener más información sobre las actividades en línea de la víctima que cualquier otro malware.

Métodos de exfiltración y persistencia de datos

Según la publicación del blog Lat61, el malware comprime los archivos recopilados con PowerShell y los envía a través de un bot de Telegram codificado. Los investigadores encontraron un token de bot específico y un ID de chat utilizados para enviar el archivo directamente a la cuenta del atacante. Una vez completada la transferencia, Shuyal elimina el archivo y borra los rastros para complicar el trabajo forense.

Shuyal copia silenciosamente su ejecutable en la carpeta de inicio de Windows mediante la API CopyFileA. También cierra los procesos del Administrador de tareas y modifica el registro para desactivarlo por completo, impidiendo que los usuarios lo detecten o lo detengan.

Flujo de la cadena de infección

Robo de datos y ataques a navegadores

Al analizar cómo roba datos, los investigadores de Point Wild destacaron la eficiencia de Shuyal. Busca específicamente el archivo "Datos de inicio de sesión" en los directorios del navegador, ejecutando una consulta SQL para extraer URL, nombres de usuario y contraseñas cifradas.

Cada sesión o token robado se guarda localmente y luego se comprime para su exfiltración. Archivos como tokens.txt, clipboard.txt y ss.png documentan diferentes partes de la vida digital de la víctima, desde contraseñas guardadas hasta texto copiado y ventanas activas. El malware mantiene un registro en formato history.txt de los navegadores y aplicaciones que analizó.

A continuación, se muestra la lista de navegadores afectados:

Tor
Edge
Epic
Brave
Opera
Vivaldi
CocCoc
Maxthon
Chromium
Waterfox
Comodo
Slimjet
Yandex
Falkon
Chrome
Opera GX
360 Browser

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Autoeliminación, análisis experto y mitigación

Tras finalizar la exfiltración, Shuyal ejecuta una rutina de autoeliminación. Ejecuta un script por lotes llamado util.bat que elimina el archivo comprimido y los archivos relacionados, lo que dificulta la respuesta y la atribución de incidentes.

El Dr. Zulfikar Ramzan, director de tecnología de Point Wild y jefe del equipo de inteligencia de amenazas de Lat61, resumió la amenaza como un potente ladrón de información que ataca a numerosos navegadores, desactiva el Administrador de tareas y envía silenciosamente los datos recopilados a través de Telegram, eliminando posteriormente sus rastros.

"Shuyal es un ladrón de información extraordinario, diseñado para ser amplio y discreto. Robó credenciales de los navegadores, desactivó el Administrador de tareas de Windows y exfiltró datos silenciosamente a través de Telegram. Es un robo masivo y luego desaparece", afirmó.

A diferencia de otros ladrones de información, Shuyal Stealer representa un riesgo tanto para la privacidad como para la seguridad, ya que roba credenciales y datos contextuales que permiten a los atacantes convertir los secretos robados en robos de cuentas. Su combinación de creación de perfiles del sistema, amplia cobertura de navegadores y proceso de limpieza lo sitúa entre los ladrones de información más potentes de la actualidad.

Si sospecha que está infectado, Point Wild recomienda reiniciar en modo seguro con funciones de red y analizar el sistema con un antivirus fiable. El malware se detecta como Trojan.W64.100925.Shuyal.YR.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#364

Noticias Informáticas / La IA podría destruir 100 millones de empleos, advierte Bernie Sanders

Octubre 08, 2025, 01:44:00 PM

La inteligencia artificial (IA) debe beneficiar a todos, no solo a unos pocos, advirtió el senador Bernie Sanders. Cree que, si no se toman medidas, podrían perderse decenas de millones de empleos en Estados Unidos durante la próxima década.

La automatización eliminará la mayoría de los empleos en restaurantes de comida rápida y atención al cliente, y se prevé que el 89% y el 83% de los trabajadores sean reemplazados, respectivamente, por mano de obra artificial en la próxima década, según un nuevo informe publicado por el senador Sanders (demócrata por Vermont).

Es probable que la IA reemplace al 65% de los asistentes de profesor, al 59% de los cajeros, al 53% del personal de servicio y al 47% de los camioneros, así como al 40% del personal de enfermería, según el informe de Sanders, miembro de alto rango del Comité Senatorial de Salud, Educación, Trabajo y Pensiones.

Los datos citados en el informe se basan, irónicamente, en cálculos proporcionados por ChatGPT, lo que subraya el punto de que las profesiones de cuello blanco tampoco son inmunes a la IA, ya que se espera que el 65% de los contadores, el 54% de los desarrolladores de software y el 47% de los gerentes generales sean reemplazados.

"La mano de obra artificial no solo podría dejar a millones de personas sin trabajo, sino que también podría reemplazar nuevos empleos que podrían haberse creado. A un trabajador de fábrica que pierde su trabajo no se le puede decir que aprenda a programar si la mano de obra artificial también se encarga de la programación", afirma el informe.

Grandes corporaciones como Amazon, Walmart y United HealthCare Group ya han despedido a decenas de miles de trabajadores en su impulso hacia la automatización, y no planean detenerse ahí, mientras que empresas como Salesforce son abiertas sobre su objetivo de reducir costos mediante la adopción de la "mano de obra digital".

"La revolución agrícola se desarrolló durante miles de años. La revolución industrial duró más de un siglo. La mano de obra artificial podría transformar la economía en menos de una década", señala el informe.

A medida que millones de personas pierden sus empleos, quienes los conservan se verán obligados a aceptar salarios más bajos, ya que las corporaciones se sentirán envalentonadas para aprovecharse de los trabajadores, advierte.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#365

Noticias Informáticas / Codex, la IA de OpenAI que programa sola

Octubre 08, 2025, 01:42:21 PM

OpenAI anunció que Codex ya está disponible. El agente de IA que programa software sale de su fase de pruebas y llega con nuevas funciones.

A unos meses de debutar en una fase de pruebas, OpenAI lanzó Codex, su IA que programa por sí sola. El agente basado en GPT-5 que escribe código con estilo humano y ejecuta tareas de desarrollo de software de forma autónoma ya está disponible para todos. La compañía aprovechó el inicio de su conferencia DevDay 2025 para anunciar que Codex puede usarse por cualquier desarrollador.

De acuerdo con una publicación en la web de OpenAI, Codex ha salido de su fase de vista previa y ahora está disponible para equipos de desarrollo. El anuncio llega acompañado de tres nuevas funciones para el agente de IA.

La primera de ellas es una integración con Slack, que permite mencionarlo en los canales o hilos para delegar tareas sin salir de la aplicación. En esta función, Codex recopila el contexto de la conversación, elige el entorno adecuado y responde con un enlace a la tarea completada. El usuario puede aprobar y fusionar los cambios, realizar ajustes o enviar la tarea al ordenador para trabajar de forma local.

Por otro lado, OpenAI permitirá integrar el agente en tus propios flujos de trabajo o apps a través del Codex SDK. Los desarrolladores solo necesitarán configurarlo con pocas líneas de código para aprovechar todas sus funciones a través de TypeScript.

Como parte de este lanzamiento, la compañía también liberó herramientas para administradores que incluyen nuevos controles de entorno, paneles de análisis y configuración segura para gestionar entornos en la nube de Codex.

Todos los ingenieros de OpenAI ya usan Codex

Junto con el anuncio, OpenAI confirmó que la adopción de su agente de desarrollo se ha incrementado de forma notable. Según la empresa, el uso de Codex creció más de 10 veces desde principios de agosto y ya es utilizado por desarrolladores y compañías de todo el mundo, incluida la suya:

"Dentro de OpenAI, se ha convertido en parte integral de cómo construimos: casi todos los ingenieros usan Codex hoy, frente a poco más de la mitad en julio", dijo OpenAI. "Fusionan un 70% más de solicitudes de incorporación de cambios cada semana, y Codex revisa automáticamente casi todas las relaciones públicas para detectar problemas críticos antes de que lleguen a producción".

Codex estará disponible a partir de hoy. Las integraciones con Slack y el SDK se ofrecerán a los usuarios de los planes Plus, Pro, Business, Edu y Enterprise. Por otro lado, las herramientas de administración solo aplicarán para las cuentas Business, Edu y Enterprise. OpenAI también reveló que, a partir del 20 de octubre, las tareas en la nube contarán para el uso de Codex según el plan.

Fuente:
OpenAI,
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vía:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hipertextual
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#366

Noticias Informáticas / XWorm 6.0 regresa con más complementos y capacidades mejoradas

Octubre 08, 2025, 01:40:18 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad han analizado la evolución del malware XWorm, convirtiéndolo en una herramienta versátil que permite una amplia gama de acciones maliciosas en hosts comprometidos.

"El diseño modular de XWorm se basa en un cliente principal y una serie de componentes especializados conocidos como plugins", explicaron los investigadores de Trellix Niranjan Hegde y Sijo Jacob en un análisis publicado la semana pasada. "Estos plugins son esencialmente cargas útiles adicionales diseñadas para realizar acciones dañinas específicas una vez que el malware principal está activo".

XWorm, observado por primera vez en 2022 y vinculado a un actor de amenazas llamado EvilCoder, es una especie de navaja suiza de malware que puede facilitar el robo de datos, el registro de pulsaciones de teclas, la captura de pantalla, la persistencia e incluso operaciones de ransomware. Se propaga principalmente a través de correos electrónicos de phishing y sitios web falsos que anuncian instaladores maliciosos de ScreenConnect.

Algunas de las otras herramientas anunciadas por el desarrollador incluyen un generador de malware basado en .NET, un troyano de acceso remoto llamado XBinder y un programa que puede eludir las restricciones del Control de Cuentas de Usuario (UAC) en sistemas Windows. En los últimos años, el desarrollo de XWorm ha sido liderado por una persona en línea llamada XCoder.

En un informe publicado el mes pasado, Trellix detalló cómo las cadenas de infección de XWorm se desplazaban mediante archivos de acceso directo de Windows (LNK) distribuidos mediante correos electrónicos de phishing para ejecutar comandos de PowerShell que descargaban un archivo TXT inofensivo y un ejecutable engañoso que se hacía pasar por Discord, y que finalmente ejecutaba el malware.

XWorm incorpora diversos mecanismos antianálisis y antievasión para detectar indicios de un entorno virtualizado y, de ser así, detener inmediatamente su ejecución. La modularidad del malware permite ejecutar diversos comandos desde un servidor externo para realizar acciones como apagar o reiniciar el sistema, descargar archivos, abrir URL e iniciar ataques DDoS.

«Esta rápida evolución de XWorm en el panorama de amenazas, y su prevalencia actual, resalta la importancia crucial de contar con medidas de seguridad robustas para combatir las amenazas en constante evolución», señaló la compañía.

Las operaciones de XWorm también han experimentado varios contratiempos durante el último año, siendo el más importante la decisión de XCoder de eliminar su cuenta de Telegram abruptamente en la segunda mitad de 2024, dejando el futuro de la herramienta en el limbo. Sin embargo, desde entonces, se ha observado que los cibercriminales distribuyen una versión pirateada de XWorm 5.6 que contenía malware para infectar a otros cibercriminales que podrían descargarla.

Esto incluyó intentos de un actor de amenazas desconocido para engañar a script kiddies para que descargaran una versión troyanizada del generador de RAT XWorm a través de repositorios de GitHub, servicios de intercambio de archivos, canales de Telegram y vídeos de YouTube, comprometiendo así más de 18.459 dispositivos en todo el mundo.

Estos esfuerzos también se han visto complementados por atacantes que distribuyen versiones modificadas de XWorm —una de las cuales es una variante china con nombre en código XSPY—, así como por el descubrimiento de una vulnerabilidad de ejecución remota de código (RCE) en el malware que permite a los atacantes con la clave de cifrado de comando y control (C2) ejecutar código arbitrario.

Si bien el aparente abandono de XWorm por parte de XCoder planteó la posibilidad de que el proyecto se cerrara definitivamente, Trellix afirmó haber detectado a un actor de amenazas llamado XCoderTools que ofrecía XWorm 6.0 en foros de ciberdelincuencia el 4 de junio de 2025 por 500 dólares con acceso de por vida, describiéndolo como una versión "completamente recodificada" con una corrección para la falla de RCE mencionada anteriormente. Actualmente se desconoce si la última versión es obra del mismo desarrollador o de alguien más que se aprovecha de la reputación del malware.

Las campañas que distribuyen XWorm 6.0 han utilizado archivos JavaScript maliciosos en correos electrónicos de phishing que, al abrirse, muestran un documento PDF falso, mientras que, en segundo plano, se ejecuta código de PowerShell para inyectar el malware en un proceso legítimo de Windows como RegSvcs.exe sin llamar la atención.

XWorm V6.0 está diseñado para conectarse a su servidor C2 en 94.159.113[.]64, puerto 4411, y admite el comando "plugin" para ejecutar más de 35 cargas útiles de DLL en la memoria del host infectado y realizar diversas tareas.

"Cuando el servidor C2 envía el comando 'plugin', incluye el hash SHA-256 del archivo DLL del plugin y los argumentos para su invocación", explicó Trellix. "El cliente utiliza el hash para comprobar si el plugin se ha recibido previamente. Si no se encuentra la clave, el cliente envía el comando 'sendplugin' al servidor C2, junto con el hash".

"El servidor C2 responde entonces con el comando 'savePlugin' junto con una cadena codificada en base64 que contiene el plugin y el hash SHA-256. Tras recibir y decodificar el plugin, el cliente lo carga en la memoria".

A continuación, se enumeran algunos de los complementos compatibles con XWorm 6.x (6.0, 6.4 y 6.5):

RemoteDesktop.dll: para crear una sesión remota e interactuar con el equipo de la víctima.

WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll y SystemCheck.Merged.dll: para robar datos de la víctima, como claves de producto de Windows, contraseñas de Wi-Fi y credenciales almacenadas de navegadores web (eludiendo el cifrado de Chrome) y otras aplicaciones como FileZilla, Discord, Telegram y MetaMask.

FileManager.dll: para facilitar al operador el acceso al sistema de archivos y la manipulación de sus funciones.

Shell.dll: para ejecutar comandos del sistema enviados por el operador en un proceso oculto cmd.exe.

Informations.dll: para recopilar información del sistema sobre el equipo de la víctima. Webcam.dll: graba a la víctima y verifica la autenticidad del equipo infectado.

TCPConnections.dll, ActiveWindows.dll y StartupManager.dll: envían una lista de conexiones TCP activas, ventanas activas y programas de inicio, respectivamente, al servidor C2.

Ransomware.dll: cifra y descifra archivos y extorsiona a los usuarios con un rescate en criptomonedas (su código se solapa con el del ransomware NoCry).

Rootkit.dll: instala un rootkit r77 modificado.

ResetSurvival.dll: sobrevive al restablecimiento del dispositivo mediante modificaciones del Registro de Windows.

Las infecciones de XWorm 6.0, además de instalar complementos personalizados, también han servido como conducto para otras familias de malware como DarkCloud Stealer, Hworm (un RAT basado en VBS), Snake KeyLogger, Coin Miner, Pure Malware, ShadowSniff Stealer (un RAT de código abierto para Rust), Phantom Stealer, Phemedrone Stealer y Remcos RAT.

Una investigación más profunda del archivo DLL reveló varios compiladores de XWorm V6.0 en VirusTotal que, a su vez, están infectados con malware XWorm, lo que sugiere que un operador de RAT de XWorm ha sido comprometido por malware XWorm", declaró Trellix.

El inesperado regreso de XWorm V6, equipado con una versátil gama de complementos para todo, desde keylogging y robo de credenciales hasta ransomware, sirve como un poderoso recordatorio de que ninguna amenaza de malware desaparece por completo.

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#367

Noticias Informáticas / Troyano bancario se hace pasar por una IPTV

Octubre 08, 2025, 01:37:44 PM

España vuelve a situarse en el punto de mira del cibercrimen: en los últimos días, los expertos en ciberseguridad han lanzado una alerta sobre Klopatra, un nuevo y sofisticado troyano bancario para Android que se disfraza de aplicación de televisión por internet (IPTV) o, incluso, de red privada virtual (VPN), con el fin de robar dinero directamente de las cuentas bancarias de sus víctimas.

¿Su principal objetivo? Los usuarios españoles que buscan por Internet aplicaciones para ver fútbol gratis.

Un troyano disfrazado de entretenimiento

Según el equipo de Inteligencia de Amenazas de Cleafy, la empresa que ha identificado la amenaza, Klopatra es un troyano de acceso remoto (RAT) que empezó a circular a finales de agosto: El malware se distribuye bajo la apariencia de Mobdro, una conocida aplicación de streaming de contenidos con copyright que ya fue cerrada por las autoridades españolas en 2021. Los atacantes la promocionan aprovechando el atractivo de ofrecer canales deportivos 'gratuitos'.

Una vez que la víctima instala la aplicación, esta solicita permisos de accesibilidad, una función legítima pensada para ayudar a personas con discapacidad. Pero al otorgarlos, el usuario entrega al troyano el control total del dispositivo. Desde ese momento, Klopatra puede grabar la pantalla, registrar pulsaciones de teclado, acceder a las aplicaciones instaladas e incluso desbloquear el móvil sin intervención del usuario.

El ataque: cuando duermes, Klopatra trabaja

El comportamiento del malware ha sorprendido a los investigadores por su nivel de planificación y sigilo: Klopatra espera a que el móvil esté inactivo, normalmente durante la noche, cuando detecta que la pantalla está apagada. En ese momento, el atacante accede al dispositivo de forma remota, introduce el PIN o patrón de desbloqueo, reduce el brillo de la pantalla y entra en la aplicación bancaria de la víctima. Una vez dentro, realiza transferencias sucesivas hasta vaciar por completo la cuenta.

El proceso puede completarse en cuestión de minutos, sin que el propietario del teléfono llegue a percibir actividad extraña. Por la mañana, la víctima simplemente descubre que su saldo ha desaparecido.

•   España e Italia, los principales objetivos: Las investigaciones de Cleafy revelan que España e Italia son los países más afectados. Ambos comparten un elemento común: la popularidad de las IPTV con contenido no autorizado y el fútbol como principal reclamo. Los ciberdelincuentes se aprovechan de este fenómeno para atraer a los usuarios que buscan alternativas gratuitas a los servicios de televisión de pago.

•   Desde Turquía con amor. Cleafy ha identificado dos campañas activas y al menos 3.000 dispositivos comprometidos, de los cuales cerca de 1.000 pertenecen a usuarios españoles. Los servidores de mando y control (C2) utilizados por el malware apuntan a un grupo criminal de habla turca, que opera de forma profesional y organizada.

Un malware muy sofisticado

Klopatra no es un troyano más. Utiliza técnicas avanzadas de evasión y ocultamiento que dificultan su detección incluso por los antivirus más potentes. Entre ellas destaca el uso de Virbox, una herramienta comercial de protección de software que encripta y oculta el código malicioso, impidiendo que los sistemas de análisis lo identifiquen.

Además, recurre a bibliotecas nativas de Android en lugar del habitual código Java, lo que complica el trabajo de los analistas y refuerza su persistencia dentro del dispositivo. En palabras de los expertos, Klopatra representa un salto cualitativo en la profesionalización del cibercrimen móvil. Ya no se trata de simples estafas, sino de operaciones estructuradas, con infraestructura propia y una clara intención de monetizar las infecciones a gran escala.

Cómo protegerte

La principal puerta de entrada del malware es la instalación de aplicaciones fuera de la Play Store, algo habitual entre quienes buscan ver fútbol o series sin pagar. Los especialistas recomiendan seguir unas pautas básicas para evitar caer en la trampa:

•   No instales apps desde fuentes desconocidas. Descarga solo desde tiendas oficiales como Google Play o la App Store.

•   Desconfía de las ofertas demasiado buenas. Si una app promete acceso gratuito a contenidos de pago, probablemente sea un fraude.

•   Revisa los permisos antes de aceptar. Un servicio de televisión no necesita acceso a tus servicios de accesibilidad o tus SMS bancarios.

•   Mantén el sistema operativo actualizado. Las actualizaciones pueden corregir vulnerabilidades que los atacantes podrían explotar.

•   Activa las alertas bancarias por SMS o correo para detectar transferencias no autorizadas en tiempo real.

Fuente:
Genbeta
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#368

Noticias Informáticas / Microsoft elimina más omisiones de cuentas Microsoft en Windows 11 [nuevamente]

Octubre 07, 2025, 11:41:36 PM

Microsoft está eliminando más métodos que ayudan a los usuarios a crear cuentas locales de Windows y a evitar el requisito de la cuenta Microsoft al instalar Windows 11.

El cambio se introdujo en la compilación 26220.6772 ( KB5065797 ) de Windows 11 Insider Preview para Insiders en el Canal de Desarrollo, lo que indica que probablemente se incluirá en futuras compilaciones de producción.

La compañía afirmó que esta decisión se tomó porque omitir la configuración de la cuenta Microsoft al instalar Windows 11 provocaría que los dispositivos no se configuraran completamente.

"Estamos eliminando los mecanismos conocidos para crear una cuenta local en la experiencia de configuración de Windows (OOBE)", declaró Amanda Langowski de Microsoft el lunes.

"Si bien estos mecanismos se usaban a menudo para evitar la configuración de la cuenta Microsoft, también omiten inadvertidamente pantallas de configuración críticas, lo que podría provocar que los usuarios salgan de la OOBE con un dispositivo que no está completamente configurado para su uso".

Una vez que este cambio entre en vigor, "los usuarios deberán completar la OOBE con internet y una cuenta Microsoft" para que su PC se configure correctamente.

Esto se produce después de que Microsoft también eliminara el script "BypassNRO.cmd" de Windows 11 a principios de este año, cuando Redmond afirmó que el cambio se debía a la necesidad de "mejorar la seguridad y la experiencia del usuario de Windows 11".

Si bien la compañía eliminó BypassNRO, no eliminó el valor de registro BypassNRO, que, según se informa, seguía funcionando como una opción para configurar una cuenta local y omitir la conexión de red.

Esto significa que, en teoría, aún podría omitir el requisito de la cuenta Microsoft introduciendo manualmente los siguientes comandos con Regedit, que se puede ejecutar desde el símbolo del sistema (Mayús+F10) que se abre en la pantalla "Conectémonos a una red" durante el proceso de instalación de Windows:

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE /v BypassNRO /t REG_DWORD /d 1 /f
shutdown /r /t 0

Sin embargo, incluso si sigue funcionando, Microsoft podría eliminarla en una futura versión para mejorar la seguridad y garantizar que los equipos estén completamente configurados.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#369

Noticias Informáticas / ICE compró vehículos equipados con torres celulares falsas para espiar teléfonos

Octubre 07, 2025, 11:37:47 PM

El Servicio de Inmigración y Control de Aduanas de Estados Unidos (ICE) pagó 825.000 dólares a principios de este año a una empresa que fabrica vehículos equipados con diversas tecnologías para la aplicación de la ley, incluidas torres de telefonía móvil falsas conocidas como "simuladores de sitios celulares", que pueden utilizarse para espiar teléfonos cercanos.

Según registros públicos, la adjudicación, fechada el 8 de mayo, proporciona vehículos de simulación de estaciones base (CSS) para apoyar el programa de Operaciones Técnicas de Seguridad Nacional y constituye una modificación para vehículos CSS adicionales.

El contrato se firmó con TechOps Specialty Vehicles (TOSV), una empresa con sede en Maryland. TOSV también firmó un contrato similar con el ICE en septiembre de 2024 por 818.000 dólares, lo que demuestra que la relación entre la agencia y la empresa es anterior a la administración Trump.

El presidente de TOSV, Jon Brianas, declaró en un correo electrónico que no podía proporcionar detalles sobre los contratos de ICE ni los vehículos, alegando "secretos comerciales". Sin embargo, Brianas confirmó que la empresa proporciona simuladores de estaciones base, aunque no los fabrica.

"No fabricamos componentes eléctricos, de comunicaciones ni tecnológicos; integramos ese producto en el diseño general del vehículo", afirmó Brianas, quien se negó a revelar de dónde obtiene TOSV sus simuladores de estaciones base.

Este es el último contrato federal que revela algunas de las tecnologías que impulsan la ofensiva contra las deportaciones de la administración Trump.

A principios de septiembre, Forbes encontró una orden de registro recientemente desclasificada que demostraba que el ICE utilizó un simulador de estación celular para rastrear a una persona que presuntamente formaba parte de una banda criminal en Estados Unidos y a quien se le había ordenado abandonar el país en 2023. En el artículo, Forbes informó que también encontró un contrato para "vehículos simuladores de estación celular", pero no mencionó el nombre de la empresa que proporciona las camionetas a la agencia.

Los simuladores de estación celular también se conocen como "stingrays" porque algunos de los primeros modelos de estos dispositivos, fabricados por el contratista de defensa Harris (ahora L3Harris), se denominaban así. Desde entonces, "stingrays" se ha convertido en un término genérico para este tipo de tecnología, también conocida como captadores IMSI. (IMSI significa Identidad Internacional de Suscriptor Móvil, un número único que identifica a cada usuario de teléfono celular en el mundo).

Como su nombre indica, los simuladores de estaciones base pueden simular una torre de telefonía móvil, engañando a todos los teléfonos cercanos para que se conecten al dispositivo, lo que permite a las fuerzas del orden identificar mejor la ubicación real de esos teléfonos y sus propietarios.

Algunos simuladores de estaciones base también pueden interceptar llamadas regulares, mensajes de texto y tráfico de internet.

Las autoridades pueden obtener datos de las torres de telefonía móvil tradicionales para determinar la ubicación actual o pasada de un sospechoso, pero esta ubicación no suele ser muy precisa.

Dispositivos similares a Stingray han sido utilizados por las fuerzas del orden durante más de una década y han generado controversia durante mucho tiempo, ya que las autoridades no siempre obtienen una orden judicial para su uso, y los críticos afirman que estos dispositivos tienden a atrapar a personas inocentes por defecto. Estos dispositivos también están rodeados de secretismo, ya que las agencias del orden que los utilizan están sujetas a estrictos acuerdos de confidencialidad que les impiden revelar su funcionamiento.

El ICE tiene un largo historial de uso de simuladores de estaciones base. En 2020, documentos obtenidos por la Unión Americana de Libertades Civiles (ACLU) mostraron que el ICE los utilizó al menos 466 veces entre 2017 y 2019. La agencia utilizó estas herramientas más de 1885 veces entre 2013 y 2017, según documentos obtenidos por BuzzFeed News en ese momento.

ICE reconoció la solicitud de comentarios, pero no respondió a una serie de preguntas, que incluían: para qué utiliza ICE estos vehículos, si se han desplegado recientemente y dónde, y si la agencia siempre obtiene una orden judicial cuando utiliza simuladores de sitios celulares.

Desde furgonetas de vigilancia hasta bibliotecas móviles

Con sede a las afueras de Washington D.C., TOSV vende una amplia gama de vehículos personalizables a las fuerzas del orden, como furgonetas para equipos de respuesta armada SWAT, escuadrones antibombas y los denominados "laboratorios móviles" y vehículos de "vigilancia encubierta":

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Entre estos vehículos para las fuerzas policiales, TOSV enumera varios "proyectos", incluyendo uno descrito como Laboratorios Forenses Móviles del DHS, en referencia al Departamento de Seguridad Nacional.

Según su sitio web, estas furgonetas forenses móviles están "equipadas para el análisis y la documentación forense in situ", cuentan con "compartimentos seguros para la preservación de pruebas y herramientas de investigación" y permiten "actualizar los expedientes de los casos y registrar las pruebas sin problemas".

Otro proyecto es la Furgoneta de Comando Móvil del DHS, que, según TOSV, es "configurable para la vigilancia avanzada y la coordinación de misiones".

No está claro si estas camionetas son los mismos vehículos que incluyen simuladores de estaciones base, ya que no se menciona la herramienta de vigilancia telefónica en ninguna parte del sitio web de TOSV.

El ICE tiene otros contratos con TOSV para laboratorios forenses móviles, que no especifican qué tecnologías se encuentran en las camionetas.

Según su sitio web, TOSV también vende los llamados "bibliobuses", que parecen bibliotecas sobre ruedas, así como vehículos médicos y de bomberos.

Fuente:
msnNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#370

Noticias Informáticas / Nuevo Bug Bounty de IA de Google paga hasta 30.000 dólares por fallos

Octubre 07, 2025, 11:32:20 PM

Esta semana, Google lanzó un Programa de Recompensas por Vulnerabilidades de IA, dedicado a investigadores de seguridad que encuentren e informen sobre fallos en los sistemas de IA de la compañía.

El nuevo programa de recompensas por errores se centra en los problemas más impactantes en los productos de IA más destacados, como la Búsqueda de Google (en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login), las aplicaciones de Gemini (web, Android e iOS) y las aplicaciones principales de Google Workspace (p. ej., Gmail, Drive, Meet, Calendario, entre otras).

Otros productos incluidos en el programa incluyen funciones de IA en productos de IA de Google de alta sensibilidad, como AI Studio y Jules, así como aplicaciones no esenciales de Google Workspace y otras integraciones de IA en productos de Google.

Las recompensas por vulnerabilidades pueden alcanzar hasta 30.000 dólares para informes de calidad individuales con multiplicadores de bonificación por novedad, mientras que un informe estándar de fallos de seguridad que detalla errores de seguridad que podrían desencadenar acciones fraudulentas en un producto estrella ofrece una recompensa máxima de hasta 20.000 dólares.

Los investigadores también pueden obtener un premio de $15,000 por errores de exfiltración de datos confidenciales y hasta $5,000 por problemas de habilitación de phishing y robo de modelos.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"En octubre de 2023, se anunció los criterios de recompensa de Google para reportar errores en productos de IA, ampliando los Programa de Recompensas por Vulnerabilidades de Abuso (VRP), para fomentar el descubrimiento y reporte por parte de terceros de problemas y vulnerabilidades específicas de nuestros sistemas de IA.

Al celebrar el segundo año de recompensas por errores de IA en Google, nos entusiasma compartir lo aprendido y anunciar el lanzamiento de nuestro nuevo Programa de Recompensas por Vulnerabilidades de IA."
Google

En marzo, la compañía también anunció que había otorgado casi 12 millones de dólares en recompensas por errores a 660 investigadores que descubrieron y reportaron errores de seguridad a través del Programa de Recompensas por Vulnerabilidades (VRP) en 2024.

Google ha otorgado 65 millones de dólares en recompensas por errores desde que se lanzó su primer programa de recompensas por vulnerabilidades en 2010, y la recompensa más alta, otorgada el año pasado, superó los 110.000 dólares.

Un año antes, en 2023, el gigante de las búsquedas también pagó 10 millones de dólares a 632 investigadores por informar responsablemente sobre fallas de seguridad en sus productos y servicios.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#371

Noticias Informáticas / 'SHIELD' proporciona a los drones defensa en tiempo real contra ciberataques

Octubre 07, 2025, 11:30:45 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un dron controlado por hackers puede pasar de ser una herramienta de vuelo eficiente a una máquina peligrosa. Una vez bajo control no autorizado, puede volar de forma impredecible, reducir la velocidad, invertir la dirección o estrellarse.

Cuando esto sucede, pierde por completo su misión, ya sea entregar un paquete, inspeccionar un puente o inspeccionar tierras de cultivo. Con la expansión del uso de drones en todos los sectores, el riesgo de este tipo de ataques es cada vez más difícil de ignorar.

Para abordar este problema, investigadores de la Universidad Internacional de Florida (FIU) han desarrollado SHIELD, un nuevo sistema que permite a los drones detectar y recuperarse de ciberataques mientras están en vuelo.

Esta tecnología añade una capa de seguridad crucial en un momento en que los reguladores y las empresas se preparan para desplegar más drones.

A diferencia de los métodos de defensa existentes, que se basan principalmente en sensores, SHIELD monitoriza todo el sistema de control de un dron.

Busca indicios de actividad maliciosa no solo en el software, sino también en el hardware subyacente.

Al detectar algo inusual, identifica el tipo de ataque y activa un plan de respuesta diseñado para restablecer el funcionamiento normal.

"Sin mecanismos de recuperación robustos, un dron no puede completar su misión ante ataques, porque incluso si es posible detectar los ataques, la misión a menudo se cancela como medida de seguridad", dijo Mohammad Ashiqur Rahman, investigador principal y profesor asociado de la Escuela de Computación y Ciencias de la Información de la Fundación Knight de FIU.

Añadió: "Lo importante de nuestro framework es que ayuda a que el sistema se recupere, para que la misión pueda completarse".

Por qué las defensas con sensores son insuficientes

Las defensas tradicionales contra drones se centran en sensores de navegación que previenen colisiones y guían las rutas de vuelo. Sin embargo, estos sensores pueden manipularse. En un ataque común, conocido como suplantación de GPS, los hackers transmiten datos de ubicación falsos que engañan al dron para que se desvíe de su ruta.

Las intrusiones más avanzadas evaden completamente los sensores y atacan los sistemas internos del dron mediante malware.

"Por eso, un sistema de detección y recuperación que solo considera los sensores pierde de vista el panorama general", afirmó Muneeba Asif, candidata a doctorado en el grupo de investigación de Rahman y autora del estudio. "Será invisible a otros ataques que ocurren en todo el sistema y a diferentes niveles".

SHIELD profundiza en el análisis rastreando los componentes físicos del dron. Las fluctuaciones en el nivel de batería o un procesador sobrecargado pueden indicar que se está produciendo un ataque. Al observar estas señales en tiempo real, el sistema puede detectar los ataques antes de que causen daños.

El equipo utilizó modelos de aprendizaje automático para entrenar a SHIELD a reconocer diferentes patrones de ataque. En las pruebas, el sistema detectó ciberataques en un promedio de 0,21 segundos y comenzó la recuperación en 0,36 segundos.

Los investigadores compararon su enfoque con el de los médicos que diagnostican a sus pacientes. Al igual que los datos de los sensores, un solo síntoma no siempre indica el problema, pero la evidencia física más profunda sí lo suele indicar.

De igual manera, cada ataque deja una huella distintiva que requiere su propio plan de tratamiento.

Asegurando el futuro de la aviación

La necesidad de esta tecnología está creciendo rápidamente. La Administración Federal de Aviación (FAA) ha propuesto expandir el uso de drones en diversas industrias, desde el reparto hasta la agricultura y la respuesta ante desastres.

Dado que se espera que más drones operen en entornos sensibles, las brechas de seguridad podrían tener consecuencias más amplias.

Icono de llamada a la acción

"Los drones confiables y seguros son la clave para impulsar futuros avances", afirmó Rahman. "Esperamos que este trabajo contribuya al avance de la industria".

Al dotar a los drones de la capacidad de detectar, reaccionar y recuperarse en pleno vuelo, el sistema SHIELD de FIU podría marcar un gran paso hacia cielos más seguros.

El equipo presentó sus hallazgos en la Conferencia Internacional IEEE/IFIP sobre Sistemas y Redes Confiables, un evento líder en el campo de la investigación en ciberseguridad.

Fuente:
msnNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#372

Noticias Informáticas / Concurso de hacking Zeroday Cloud ofrece 4,5 millones de dólares en recompensas

Octubre 07, 2025, 11:28:24 PM

Una nueva competencia de hacking llamada Zeroday Cloud, centrada en herramientas de código abierto en la nube e IA, anunció un premio total de 4,5 millones de dólares en recompensas por errores para investigadores que presenten exploits para diversos objetivos.

El concurso, lanzado por la división de investigación de la empresa de seguridad en la nube Wiz, en colaboración con Google Cloud, AWS y Microsoft, está programado para el 10 y 11 de diciembre en la conferencia Black Hat Europe en Londres, Reino Unido.

Zeroday Cloud ofrece seis categorías distintas en las que los investigadores pueden participar, con recompensas por errores de entre 10 000 y 300 000 $:

IA: Ollama (25 000 $), Vllm (25 000 $), Nvidia Container Toolkit (40 000 $).

Kubernetes y nativo de la nube: Servidor API de Kubernetes (80 000 $), Servidor Kubelet (40 000 $), Grafana (10 000 $ RCE de autenticación, 40 000 $ RCE de preautorización), Prometheus (40 000 $), Fluent Bit (10 000 $).

Contenedores y virtualización: Docker (40 000 $ imagen proporcionada por el usuario, 60 000 $ imagen arbitraria), Containerd (40 000 $ imagen proporcionada por el usuario, 60 000 $ imagen arbitraria), Kernel de Linux (30 000 $ escape de contenedor en Ubuntu).

Servidores web: Nginx (300 000 $), Apache Tomcat (100 000 $), Envoy (50 000 $), Caddy (50 000 $).

Bases de datos: Redis (25 000 $). RCE de autenticación, RCE de preautorización de $100,000), PostgreSQL ($20,000 RCE de autenticación, $100,000 RCE de preautorización), MariaDB ($20,000 RCE de autenticación, $100,000 RCE de preautorización).

DevOps y automatización: Apache Airflow ($40,000), Jenkins ($40,000), GitLab CE ($40,000).

Las bases del concurso establecen que los exploits presentados deben comprometer completamente el objetivo. Wiz explica que esto implica "una vulnerabilidad de escape de contenedor/máquina virtual (VM) completa para la categoría de virtualización y una vulnerabilidad de ejecución remota de código (RCE) sin clics para los demás objetivos".

Los organizadores también proporcionan las condiciones para cada objetivo, así como las instrucciones y los recursos técnicos (contenedor Docker con el objetivo configurado por defecto) que los investigadores de seguridad pueden utilizar para probar sus exploits.

Los investigadores que se registren a través de la plataforma HackerOne y completen su verificación de identidad y formularios de impuestos antes del 20 de noviembre podrán enviar exploits para tantos objetivos como deseen, pero el límite es de una sola participación por objetivo.

Quienes presenten exploits aprobados serán invitados a demostrarlos en vivo durante el evento, ya sea individualmente o en equipos de hasta cinco miembros.

Las personas residentes en países embargados o sancionados, como Rusia, China, Irán, Corea del Norte, Cuba, Sudán, Siria, Libia, Líbano y las regiones de Crimea y Donetsk, tienen prohibido participar en el concurso Zeroday Cloud.

Las bases completas del concurso de hacking You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login están disponibles aquí:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Sin embargo, el anuncio del evento no tuvo buena acogida entre los organizadores de los concursos de hacking Pwn2Own, que se han celebrado con gran éxito durante varios años.

En una publicación pública, Trend Micro denunció a Wiz por copiar las bases de Pwn2Own Ireland. Juan Pablo Castro, Director de Estrategia y Tecnología de Ciberseguridad de Trend Micro, afirmó que el resultado de Gemini al comparar las reglas de ambos eventos era una copia literal.

Wiz respondió con una declaración discreta, admitiendo que el reglamento Pwn2Own era "un marco confiable y maduro en el que nos inspiramos".

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#373

Dudas y pedidos generales / Re:wps modem movistar

Octubre 06, 2025, 01:00:23 AM

El que tenga WPS activo no significa que sea válido para ese tipo de ataque.

Hay routers que traen protección contra ataques WPS y bloquean.

Es una de las últimas implementaciones de ese tipo de seguridad que anclan al cliente por varias vías y lo identifican; de igual forma detectan fácilmente los estados de fuerza bruta para asociación.

#374

Noticias Informáticas / Violación de datos de Discord

Octubre 05, 2025, 04:51:02 PM

Discord, la popular plataforma de comunicación conocida por impulsar millones de servidores de juegos y comunidades, ha confirmado un incidente de seguridad que involucra a una de sus empresas externas de atención al cliente, lo que ha provocado la exposición de información personal de un número limitado de usuarios.

Discord publicó una actualización oficial el 3 de octubre de 2025, explicando que un atacante comprometió con éxito los sistemas de un proveedor externo de atención al cliente (aparentemente Zendesk), obteniendo acceso no autorizado a la cola de tickets del agente de soporte, donde se almacenaban datos confidenciales de los clientes. La empresa enfatizó que sus propios sistemas principales no fueron vulnerados directamente. Los investigadores descubrieron que el objetivo principal del atacante era intentar exigir un rescate económico a Discord.

¿Qué información fue robada?

Los datos expuestos pertenecen únicamente a los usuarios que contactaron recientemente con los equipos de Atención al Cliente o Confianza y Seguridad de Discord. Esta información altamente sensible incluye:

Nombres, nombres de usuario de Discord, direcciones de correo electrónico y otros datos de contacto.

Los mensajes intercambiados con los agentes de atención al cliente.

Datos de facturación limitados, específicamente el método de pago y los últimos cuatro dígitos de una tarjeta de crédito.

Quizás el detalle más alarmante es que el atacante también obtuvo acceso a una pequeña cantidad de imágenes de documentos de identidad emitidos por el gobierno, como licencias de conducir o pasaportes, enviados por los usuarios para solicitudes de verificación de edad. La exposición de estos documentos de alto riesgo aumenta significativamente el riesgo de robo de identidad para las personas afectadas.

Discord ha enviado correos electrónicos a los usuarios afectados desde la dirección oficial ([email protected]). El volumen de notificaciones ha generado preocupación en la comunidad, ya que usuarios preocupados en Reddit ahora preguntan si el correo electrónico que recibieron sobre la afectación de sus datos es real, lo que pone de relieve el riesgo de intentos de phishing oportunistas.

Notificación por correo electrónico de Discord

La empresa actúa con rapidez

Tras descubrir la filtración, Discord revocó inmediatamente el acceso de la empresa de soporte a su sistema de tickets. La empresa ha iniciado una investigación interna, ha contratado a una firma líder en informática forense para que ayude con la remediación y está cooperando con las autoridades. Discord también confirmó que ha notificado a las autoridades de protección de datos pertinentes.

Si bien Discord fue claro sobre los datos robados, la empresa ocultó detalles cruciales sobre el alcance del ataque, el nombre del proveedor, el número de usuarios afectados y la duración de la filtración.

No obstante, Discord ha asegurado a los usuarios que no se accedió a números completos de tarjetas de crédito, contraseñas ni mensajes privados generales en la plataforma. La empresa recomienda a todos los usuarios afectados que tengan cuidado con cualquier correo electrónico o comunicación sospechosos, dada la naturaleza sensible de los datos expuestos.

¿Quién está detrás de la filtración de datos de Discord?

Aunque al momento de escribir este artículo, aún se desconoce quién está detrás de la filtración de datos de Discord. Sin embargo, "Scattered Lapsus$ Hunters", una coalición que combina las tácticas y la imagen de marca de Scattered Spider, Lapsu$ y ShinyHunters, asume la responsabilidad del ciberataque.

El grupo ha compartido capturas de pantalla en Telegram que parecen mostrar acceso a las herramientas internas de Discord, incluyendo paneles de privacidad de datos y recursos administrativos, junto con mensajes burlones dirigidos a la empresa.

En sus publicaciones, los hackers desestimaron las medidas de seguridad de Discord, como la desactivación de los inicios de sesión de Okta y Kolide, alegando que estas medidas no evitarían futuras intrusiones. También revelaron detalles como el supuesto nombre de la red interna "SLHM" y amenazaron con publicar más material robado en su "Sitio de Fuga de Datos" (DLS). Los atacantes se burlaron aún más de Discord alardeando de sus ganancias financieras y sugiriendo que tenían muchos más datos de los que ya se habían filtrado.

¿Qué es un Sitio de Fuga de Datos (DLS)?

DLS (Sitio de Fuga de Datos), según informa You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, es la plataforma pública creada por Scattered LAPSUS$ Hunters para mostrar los supuestos datos robados, mil millones de registros reclamados en el caso de la brecha de Salesforce.

El sitio enumera docenas de importantes organizaciones presuntamente afectadas y ofrece documentación y archivos a la venta, presentando la brecha como una amenaza y una plataforma de negociación. Al hacerlo, DLS actúa no solo como un archivo de filtraciones, sino como una herramienta de presión, obligando a las empresas atacadas a estar en el foco de atención y aumentando la visibilidad en torno a las demandas de los atacantes.

El sitio de filtraciones lanzado por Scattered LAPSUS$ Hunters

Discord y la ciberseguridad

Aunque se trata de una filtración de datos de terceros, vuelve a poner a Discord en apuros. La plataforma ya había sido atacada en julio de 2025 por actores de amenazas que se hicieron pasar por ella para distribuir el ransomware Epsilon Red, seguido de un ataque de malware en agosto de 2025 que aprovechó la Red de Entrega de Contenido (CDN) de Discord.

Esta última filtración también forma parte de un patrón que muestra la continua lucha de Discord por proteger su plataforma de las crecientes amenazas de ciberseguridad, ya sea que exploten a proveedores externos o utilicen indebidamente funciones clave para estafas y distribución de malware.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#375

Noticias Informáticas / Estudio muestra que varias app VPN gratuitas para iOS y Android filtran datos

Octubre 05, 2025, 04:47:39 PM

Millones de personas que dependen de aplicaciones gratuitas de redes privadas virtuales (VPN) móviles para su privacidad en línea podrían estar poniendo sus datos en mayor riesgo, según un nuevo estudio de Zimperium zLabs. En un estudio de casi 800 aplicaciones VPN gratuitas para Android e iOS, los investigadores descubrieron que muchas no solo no protegen a los usuarios, sino que los exponen a graves amenazas de seguridad y privacidad.

Fallas críticas descubiertas

El equipo de zLabs descubrió que una parte considerable de estas aplicaciones presentan comportamientos peligrosos. Algunas filtran datos personales, mientras que muchas otras no ofrecen privacidad alguna. Los investigadores señalaron que una de las principales preocupaciones es el uso de software extremadamente antiguo y vulnerable por parte de los desarrolladores.

Por ejemplo, el análisis reveló que tres aplicaciones VPN aún utilizan una parte obsoleta de la biblioteca OpenSSL, lo que las expone al infame fallo Heartbleed ( CVE-2014-0160 ). Esta falla, descubierta en 2014, podría permitir que un atacante remoto acceda a información confidencial como claves secretas, nombres de usuario y contraseñas.

Aproximadamente el 1% de las aplicaciones eran vulnerables a ataques Man-in-the-Middle (MitM), lo que permitía a los atacantes interceptar y leer todo el tráfico de los usuarios. El lanzamiento de una aplicación con una falla de hace una década, con una solución conocida, pone de manifiesto una grave falta de diligencia en materia de seguridad.

Exceso de permisos y vigilancia

Un análisis más profundo reveló que muchas aplicaciones también solicitan acceso innecesario y potente, una práctica conocida como abuso de permisos. Por ejemplo, que una aplicación VPN de iOS solicite acceso a la ubicación "siempre activo" (LOCATION_ALWAYS) no tiene sentido, ya que la función principal de una VPN es proteger el tráfico, no rastrear la ubicación física las 24 horas del día, los 7 días de la semana.

De forma similar, algunas aplicaciones de Android solicitaban la capacidad de leer todos los registros del sistema (READ_LOGS), lo que les permitía crear un perfil completo del comportamiento del usuario, funcionando así como un "keylogger sofisticado".

Algunas aplicaciones solicitaban permisos como acceso a micrófonos, registros del sistema o capturas de pantalla de la interfaz de usuario, lo que otorgaba al proveedor de la aplicación un vector de vigilancia mucho más allá de su función declarada.

Prácticas de privacidad poco transparentes

Según la publicación del blog de Zimperium zLabs, los investigadores detectaron una falta de transparencia generalizada entre las aplicaciones inspeccionadas, lo que dificultaba la capacidad de los usuarios para dar su consentimiento informado sobre los datos recopilados. Incluso en la App Store de Apple, un 25 % de las aplicaciones VPN de iOS carecían de un manifiesto de privacidad válido, un requisito fundamental para informar a los usuarios sobre cómo se gestionarán sus datos.

Además, más del 6% de estas aplicaciones iOS solicitaron permisos privados, que son permisos potentes que podrían permitir un acceso profundo al sistema operativo y que nunca deberían estar disponibles para desarrolladores externos.

Para las empresas que permiten a sus empleados usar sus dispositivos personales para trabajar (políticas BYOD o Bring Your Own Device), estas VPN inseguras pueden convertirse en el punto más débil, poniendo en riesgo innecesario los datos confidenciales de la empresa. En definitiva, cuando se trata de VPN móviles gratuitas, lo que se supone que protege la privacidad puede ser, en realidad, el mayor riesgo para los datos.

"Las organizaciones necesitan una respuesta multicapa. La visibilidad y la gestión de los endpoints son fundamentales. Algunas organizaciones evaluarán el riesgo y lo abordarán mediante la lista de aplicaciones permitidas, mientras que otras podrían preferir un enfoque más permisivo. Sin embargo, lo que se está convirtiendo rápidamente en un requisito es la seguridad de los datos a nivel de contenido web", afirmó Brandon Tarbet, director de TI y Seguridad de Menlo Security.

"Esta necesidad se ve subrayada por la forma en que los proveedores de VPN personales posicionan y comercializan las supuestas ventajas de seguridad de sus productos", advirtió Tarbet. Existe una necesidad real de protección de datos a nivel de contenido, y un mercado que desea poder confiar en su conexión a sitios web y servicios. La clave está en cambiar de una mentalidad de seguridad perimetral (como con las VPN) a una protección a nivel de contenido que funcione incluso cuando la visibilidad tradicional se ve comprometida, instó.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#376

Noticias Informáticas / Bitcoin alcanza máximo histórico por encima de los 125.000 dólares

Octubre 05, 2025, 04:44:23 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

5 oct (Reuters) - Bitcoin, la criptomoneda más grande del mundo por valor de mercado, alcanzó un máximo histórico el domingo y subía casi un 2,7%, hasta los 125.245,57 dólares a las 05:12 GMT.

El récord anterior de Bitcoin era de 124.480 dólares, alcanzado a mediados de agosto, impulsado por regulaciones más flexibles de la administración del presidente estadounidense Donald Trump y la fuerte demanda de inversores institucionales.

La criptomoneda había subido el viernes por octava sesión consecutiva, impulsada por las recientes ganancias en las acciones estadounidenses y las entradas en los fondos cotizados en bolsa de bitcoin.

En contraste, el dólar estadounidense retrocedió el viernes, registrando pérdidas de varias semanas frente a las principales monedas, ya que la incertidumbre en torno al cierre del gobierno estadounidense nubló las perspectivas y retrasó la publicación de datos clave, como las nóminas, críticas para evaluar la dirección de la economía.

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#377

Noticias Informáticas / Las mujeres “WireSexuales” eligen novios que son IA

Octubre 03, 2025, 03:26:12 PM

El creciente pesimismo sobre las citas en línea está provocando que algunas mujeres recurran a chatbots de inteligencia artificial (IA) para encontrar compañía romántica.

Aproximadamente uno de cada tres hombres jóvenes (31%) y una de cada cuatro mujeres jóvenes (23%) afirman haber chateado con una pareja romántica de IA, según una encuesta de 2025.

Si bien el interés de las mujeres en el romance con IA ha recibido menos atención, el subreddit /MyBoyfriendIsAI, con más de 20 000 miembros, arroja luz sobre la realidad de estar en una relación con un chatbot.

Los miembros del subreddit comparten fotos de parejas generadas por IA y hablan de momentos compartidos con sus novios chatbot, que pueden incluir desde cocinar juntos hasta participar en juegos de rol eróticos.

Otros hacen confesiones emotivas sobre cómo los compañeros de IA les ayudaron a superar momentos difíciles o les permitieron ver los principales defectos de sus relaciones anteriores con hombres de la vida real.

La ruptura es otro tema común. A veces, las relaciones terminan al darse cuenta de que la pareja es solo un simple código, y otras veces por la pérdida del historial del chatbot o una actualización del programa que provoca cambios en el tono de la pareja.

Algunas mujeres se autodenominan "wiresexuales", pero expertos informan que el término aún no está ampliamente reconocido.

¿Por qué algunas mujeres prefieren novios con IA?

La Dra. Kate Devlin, profesora de IA y sociedad en el King's College de Londres, afirma que el número de mujeres que deciden entablar relaciones románticas con compañeros de IA está aumentando.

Esto no debería sorprender, dado el lenguaje abusivo y despectivo que las mujeres enfrentan por parte de los hombres en línea y en las citas en línea, mientras que un compañero de IA puede ser amable, cariñoso y respetuoso.

Según una encuesta de 2025, el 54 % de las mujeres son pesimistas sobre encontrar una pareja con la que sean felices. Ahora incluso existe un término para la frustración colectiva que sienten las mujeres con las citas heterosexuales modernas: "heterofatalismo".

A las mujeres se les suele enseñar a priorizar las relaciones y a gestionar el panorama emocional de las relaciones. Cuando este esfuerzo se vuelve tedioso o no es correspondido en la vida real, la previsibilidad y la fiabilidad de una pareja IA se vuelven atractivas.

Anat Joseph

Anat Joseph, trabajadora social clínica y psicoanalista colegiada, afirma que muchas mujeres describen sentirse agotadas por las decepciones relacionales en el mundo real, a menudo debido a un desequilibrio emocional, necesidades insatisfechas o miedo al rechazo y la traición.

"A las mujeres se les suele enseñar a priorizar las relaciones y a gestionar el panorama emocional de las relaciones. Cuando este esfuerzo se vuelve tedioso o no es correspondido en la vida real, la previsibilidad y la fiabilidad de una pareja IA se vuelven atractivas", declara Joseph.

Esta previsibilidad resulta tranquilizadora para las mujeres con antecedentes de relaciones inseguras o controladoras, según Arkadiy Volkov, psicoterapeuta colegiado y fundador de Feel Your Way Therapy en Toronto. Con las parejas IA no existe amenaza de coerción ni abuso.

Como era de esperar, más de uno de cada cinco jóvenes adultos que utilizaron sistemas de IA para estimular a sus parejas románticas afirmaron preferir la comunicación con IA a interactuar con personas reales.

Sin embargo, un análisis realizado por investigadores del MIT sugiere que la compañía con IA para los miembros de la comunidad /MyBoyfriendIsAI a menudo surge de forma involuntaria mediante el uso funcional, en lugar de una búsqueda deliberada.

Independientemente de cómo comiencen las relaciones, los usuarios afirman que los novios con IA ayudan a reducir la soledad y brindan apoyo siempre disponible.

Wiresexuality y la cuestión de la identidad queer

Algunos usuarios de Reddit se preguntan si los wiresexuales y los digisexuales forman parte de la comunidad LGBT+, sugiriendo que la identidad podría considerarse queer.

El término "digisexual" se acuñó en 2017 para describir a las personas cuya identidad sexual principal se basa en el uso de la tecnología.

Si bien la primera ola de digisexualidad se refería a la conexión con parejas humanas a través de la tecnología, la segunda ola no requiere la participación humana.

Hasta ahora, los usuarios de robots sexuales han sido considerados ejemplos primarios de digisexuales, y no está claro cómo las mujeres en relaciones con chatbots de IA encajan en esta definición.

Expertos advierten sobre riesgos para la privacidad de datos

Star Kashman, abogada especializada en tecnología y socia fundadora de Cyber Law Firm, afirma que los chatbots de IA responden a las intenciones de sus programadores, como la recopilación de datos, el uso adictivo y la dependencia de la plataforma.

"Si a esto le sumamos la falta de una ley federal de privacidad de datos en EE. UU., el hecho de que estas conversaciones puedan ser almacenadas, citadas judicialmente o incluso denunciadas a la policía, y la ausencia de empatía y sentimientos humanos reales, tenemos algo que puede ser, y es, profundamente aislante y perjudicial, especialmente para usuarios jóvenes o vulnerables", afirma Kashman.

Devlin advierte sobre el riesgo de piratería y filtración de datos. Por ejemplo, el sitio web de novias con IA, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, sufrió una filtración de datos en 2024, que expuso 1,9 millones de direcciones de correo electrónico junto con indicaciones para generar imágenes basadas en IA, muchas de las cuales eran altamente sexuales.

Si bien algunos pueden preferir las parejas con IA a las relaciones humanas, estas tampoco son perfectas. Un análisis de 30.000 conversaciones con chatbots identificó patrones de reflejo emocional y sincronía.

En algunos casos, estas dinámicas se asemejaban a patrones de relaciones tóxicas, como la manipulación emocional y la autolesión.

Dra. Kate Devlin

Devlin afirma que las mujeres con novios de IA pueden enfrentarse a una mercantilización emocional. Por ejemplo, Replika, la popular aplicación de acompañamiento de IA, empezó a cobrar por "selfies" de alta resolución de sus parejas de IA.

"¿Qué impide a una empresa decir: "Tu compañero de IA te querrá aún más si pagas esta cuota mensual" o "Puedes hablarle sucio a tu IA si actualizas tu plan"?", pregunta.

Cuando una chica paga el plan plus por su sueño erótico preferido:

Especialistas en salud mental declaran que, el romance con IA puede limitar la disposición o la capacidad de los usuarios para cultivar relaciones humanas.

Volkov dice: "Esto puede hacer que las relaciones humanas se sientan cada vez más aterradoras, porque nuestro sistema nervioso se acostumbra a la 'pareja perfecta' que nunca nos desafía".

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#378

Noticias Informáticas / Mouse se pueden usar como micrófono para espiar a los usuarios gracias a la IA

Octubre 03, 2025, 03:23:10 PM

Un grupo de investigadores de la Universidad de California, Irvine, ha desarrollado una forma de utilizar los sensores de ratones ópticos de alta calidad para capturar vibraciones sutiles y convertirlas en datos audibles. Según el resumen de Mic-E-Mouse, la alta tasa de sondeo y la sensibilidad de los ratones ópticos de alto rendimiento captan las vibraciones acústicas de la superficie donde se encuentran. Al procesar los datos sin procesar mediante técnicas de procesamiento de señales y aprendizaje automático, el equipo pudo escuchar lo que el usuario decía a través de su escritorio.

Los sensores de ratón con 20 000 DPI o más son vulnerables a este ataque. Y dado que los mejores ratones para juegos se vuelven cada vez más asequibles, incluso los periféricos relativamente asequibles están en riesgo.

Tenga en cuenta que esta vulnerabilidad no implica necesariamente un virus complejo instalado a través de una puerta trasera; puede ser tan simple como un software libre infectado que requiere datos del ratón de alta frecuencia, como aplicaciones creativas o videojuegos. Esto significa que no es inusual que el software recopile estos datos. Desde allí, los datos sin procesar recopilados pueden extraerse del ordenador objetivo y procesarse externamente. «Con solo un ratón vulnerable y el ordenador de la víctima ejecutando software comprometido o incluso benigno (en el caso de una superficie de ataque web), demostramos que es posible recopilar datos de paquetes del ratón y extraer formas de onda de audio», afirman los investigadores.

Fuente:
Tom´s Hardware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#379

Noticias Informáticas / Snakestealer: el infostealer que lidera el robo de contraseñas en 2025

Octubre 02, 2025, 07:21:58 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

SnakeStealer es el infostealer más detectado en 2025. Este malware roba contraseñas y datos sensibles, según la telemetría de ESET.

Los infostealers son amenazas que continuamente vemos en los principales titulares acerca de incidentes de seguridad en todo el mundo. Es que este tipo de código malicioso que busca robar información de manera silenciosa se volvió una herramienta altamente utilizada por los ciberatacantes en un mundo digital que le da un alto valor a la información.

Desde el laboratorio de ESET se ha cubierto múltiples campañas que tienen como payload (carga útil) final un infostealer. AsyncRAT es el más frecuente, pero también se utilizan familias como HoudRAT, Agent Tesla, LummaStealer o FormBook. Sin embargo, y según el ESET Threat Report H12025, las detecciones de una familia en particular han venido creciendo durante esta primera mitad de año, destronando a otras: SnakeStealer.

Origenes y evolución

Esta familia, detectada como MSIL/Spy.Agent.AES por los productos de seguridad de ESET, hizo sus primeras apariciones en 2019. En ese entonces, y según una de las primeras investigaciones registradas de la amenaza, sus desarrolladores la promocionaban como 404 Keylogger. Más adelante, adoptaría el nombre de SnakeStealer.

Uno de los primeros anuncios de Snakestealer, en hackforums

En sus primeras versiones utilizaba la plataforma Discord para alojar el stealer, que se descargaba luego de que la víctima interactuase con un archivo adjunto a un correo de phishing. Si bien el alojar malware en servidores asociados con servicios legítimos es una técnica que ya existía, la popularización de esta plataforma entre los ciberatacantes se daría en los años siguientes.

Durante 2020 y 2021 este código malicioso vio su pico en cuanto a campañas desplegadas asociadas a él, pero sin ningún tipo de preferencia aparente con respecto a su geografía: El malware fue descubierto en distintos países del mundo, sin reportes de campañas completas en Latinoamérica.

Hashes relacionadas con SnakeStealer, reportados por año

Con el correr de los años, la forma en la que el payload llegaba a la víctima se fue diversificando, aunque el primer contacto se sigue dando mayormente mediante un adjunto vía phishing: desde el mismo payload comprimido con contraseña, pasando por archivos de tipo menos usuales (como RTF o ISO) como downloaders, o incluso empaquetado con otras amenazas. Existen algunos casos reportados de SnakeStealer camuflado bajo cracks o aplicaciones falsas en la web, aunque parecen ser ocasiones esporádicas.

Malware "as a Service" como modelo de negocio

Un factor en común en todos los años de vida de SnakeStealer es su modelo de negocio, basado en lo que se conoce como "malware-as-a-service" (MaaS) en el que los atacantes alquilan o venden el acceso a malware listo para usar, similar a un software comercial, pero en el mercado negro. Esto facilita que incluso personas con pocos conocimientos técnicos puedan lanzar campañas maliciosas aprovechando la infraestructura y soporte de desarrolladores especializados.

SnakeStealer volvió a ganar popularidad en el ambiente cibercriminal, y no por casualidad: tras la caída de Agent Tesla, otro infostealer popular, sus propios operadores recomendaron a SnakeStealer como reemplazo en los canales de Telegram donde lo ofrecían como MaaS. Esa "bendición" parece haber funcionado como un empujón clave, y coincidió con el momento en que Agent Tesla dejó de recibir actualizaciones. Esto podría explicar por qué SnakeStealer pasó tan rápido a ocupar el primer puesto en las detecciones de infostealers, siendo responsable de 1/5 de las mismas a nivel mundial, según la telemetría de ESET.

Características principales

SnakeStealer no es un infostealer que se destaque por sus características únicas o novedosas. Como tantos otros, se trata de un malware modular, en donde sus funcionalidades son activadas o desactivadas al momento de la generación del archivo malicioso por parte del atacante.

Entre las capacidades más utilizadas por SnakeStealer encontramos:

•   Funcionalidades evasivas, como matar procesos asociados con herramientas de seguridad, de análisis de malware o debuggers en el equipo víctima, así como verificaciones de hardware para descartar el uso de una máquina virtual.

•   Persistencia mediante la modificación de registros de arranque de Windows.

•   Robo de credenciales almacenadas en navegadores, bases de datos, clientes de correo o chat (como Discord) y de redes WiFi.

•   Captura del portapapeles y keylogging.

•   Toma de capturas de pantalla.

En cuanto a los mecanismos de exfiltración, el malware ofrece al atacante una variedad de métodos: La carga a un servidor usando el protocolo FTP, la publicación a un canal de Telegram mediante HTTP, o el envío de la información comprimida en un adjunto mediante correo electrónico.

Fuente:
WeLiveSecurity by ESET
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#380

Noticias Informáticas / ZIP maliciosos utilizan accesos directos de Windows para descargar malware

Octubre 02, 2025, 06:58:00 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La firma de investigación de ciberseguridad Blackpoint Cyber ha detectado una nueva ola de ataques de phishing que explotan la confianza de los usuarios en documentos confidenciales. Esta investigación, compartida, revela una campaña que utiliza archivos de phishing con temática de identidad.

Estos incluyen documentos certificados falsos, escaneos de pasaportes y archivos de pago para distribuir código malicioso. Al aprovechar temas de archivos familiares, los atacantes aumentan sus posibilidades de éxito y obtienen acceso inicial a los sistemas de las víctimas.

En un caso examinado para esta investigación, se envió un mensaje de phishing personalizado como archivo ZIP, dirigido específicamente a un empleado o gerente con archivos que simulaban flujos de trabajo ejecutivos rutinarios, como la verificación de identidad y la aprobación de pagos.

Cómo un simple clic puede convertirse en una pesadilla de seguridad

El ataque comienza cuando la víctima recibe lo que parece un archivo ZIP normal, pero importante. Dentro, los documentos son en realidad archivos maliciosos de acceso directo de Windows (conocidos como archivos .lnk). Cuando un usuario desprevenido hace clic en uno de estos accesos directos, este activa silenciosamente un programa oculto en segundo plano, llamado PowerShell.

El equipo del Centro de Operaciones de Seguridad (SOC) de Blackpoint observó que este script descargaba instantáneamente una carga útil camuflada desde una dirección web remota (hp05.com/gwt/). Para evitar sospechas, este archivo descargado tiene un nombre ingenioso que imita una presentación de PowerPoint; sin embargo, se guarda en el ordenador del usuario como un archivo DLL dañino, que los investigadores han identificado como "mal etiquetado deliberadamente".

'Living off the land'

Una vez que el archivo está en el ordenador del usuario, el atacante utiliza una función habitual de Windows, un programa llamado rundll32.exe, para ejecutar el malware. Para su información, el sistema operativo suele utilizar esta herramienta para tareas legítimas, pero en este caso, según la investigación de Blackpoint Cyber, los atacantes "utilizan un binario firmado de Windows para ejecutar código atacante en el contexto del usuario".

Esta táctica se denomina 'living off the land' (utilizando herramientas integradas del sistema) y, en este caso, se utiliza para simular la actividad maliciosa como operaciones normales de Windows, lo que le permite eludir numerosas herramientas de seguridad.

Explicación de la cadena de muerte (Fuente: Blackpoint Cyber)

El paso final establece una conexión para los atacantes con una dirección (faw3.com), que actúa como sistema de comando y control (C2). Esto permite a los atacantes controlar remotamente el equipo infectado, espiar los archivos del usuario y posteriormente distribuir programas más dañinos.

La característica más interesante del dropper es su sigilosa comprobación de antivirus (AV). Comprueba literalmente programas de seguridad populares como AVG, Avast y Bitdefender (buscando procesos como avgui o bdagent). Esto le permite seleccionar el archivo malicioso correcto (BD3V.ppt si hay antivirus, o NORVM.ppt si no), lo que le proporciona el plan de evasión perfecto contra productos de seguridad comunes.

En pocas palabras

El uso de un archivo de acceso directo de Windows para propagar malware no es nuevo, ya que los atacantes llevan años abusando de esta función para engañar a los usuarios y que ejecuten código malicioso. Lo que hace que esta última campaña sea notable es cómo se empaquetan y distribuyen estos accesos directos.

En lugar de archivos ejecutables obvios, el malware se oculta en archivos ZIP camuflados en documentos confidenciales. Este enfoque de ingeniería social en varias etapas, con una técnica ya conocida, hace que el ataque sea mucho más convincente, mientras que funciones adicionales como la detección antivirus y el uso de herramientas integradas de Windows le permiten eludir los controles de seguridad comunes.

Para protegerse, evite ejecutar archivos de acceso directo de forma casual. Se insta a las organizaciones a implementar políticas que prohíban la ejecución de archivos de acceso directo y a supervisar el funcionamiento de programas como PowerShell y rundll32.exe.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Páginas 1 ... 17 18 19 20 21 ... 249