Mostrar Mensajes

Información del Perfil

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

Páginas 1 ... 46 47 48 49 50 ... 249

#941

Noticias Informáticas / Google Chrome desactiva uBlock Origin para algunos usuarios en Manifest v3

Febrero 22, 2025, 01:21:55 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google continúa con su implementación de la desactivación gradual de uBlock Origin y otras extensiones basadas en Manifest V2 en el navegador web Chrome como parte de sus esfuerzos por impulsar a los usuarios a las extensiones basadas en Manifest V3.

Para aquellos que no lo sepan, Manifest V3 es la última especificación de extensión de Chrome y está diseñada para limitar el acceso de la extensión a las solicitudes de red del usuario, evitar que los desarrolladores utilicen contenido remoto y mejorar el rendimiento general.

Si bien se supone que Manifest V3 beneficia a los usuarios finales, tiene un costo de funcionalidad, ya que impone limitaciones más estrictas a las extensiones del navegador, en particular a los bloqueadores de anuncios y las herramientas centradas en la privacidad.

Debido a esto, algunas extensiones inmensamente populares de Google Chrome, como uBlock Origin, ahora se están desactivando gradualmente de forma automática en los navegadores de los usuarios en todo el mundo.

Hoy mismo, algunos de los dispositivos de BleepingComputer descubrieron que uBlock Origin se desactivó automáticamente, indicando que ya no era compatible. Nuestras únicas opciones eran eliminar la extensión o administrarla.

Mientras que la primera opción elimina la extensión de Chrome, la segunda simplemente te redirecciona a la página de extensiones.

En un hilo de Reddit de ayer, otros usuarios de Google Chrome también señalaron que uBlock Origin y otras extensiones no compatibles ahora se están desactivando automáticamente.

Sin embargo, este no parece ser el caso para todos, ya que algunos dispositivos utilizados por BleepingComputer continúan usando uBlock sin ningún problema.

Google está eliminando gradualmente las extensiones Manifest V2

Google declaró anteriormente que la desactivación de las extensiones Manifest V2 es un proceso de implementación gradual, por lo que las extensiones aún pueden funcionar para algunos usuarios.

Para aquellos que necesitan más tiempo, Google permitirá que las empresas y ciertos usuarios continúen usando las extensiones Manifest V2 hasta junio de 2025 a través de una política de grupo especial. Para todos los demás, la implementación de Manifest V3 ya está en progreso y Chrome seguirá alentando a los usuarios a que abandonen las extensiones más antiguas.

Si te afecta la descontinuación de Manifest V2 de Google, puedes cambiar a extensiones compatibles con Manifest V3, como uBlock Origin Lite (uBOL), que ha creado el desarrollador de uBlock Origin.

Sin embargo, si prefieres el filtrado avanzado de uBlock Origin, es posible que la versión Lite le resulte demasiado limitada.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#942

Noticias Informáticas / Falla de inyección de código de Craft CMS se ha explotado en ataques

Febrero 22, 2025, 01:20:17 AM

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) advierte que una falla de ejecución remota de código de Craft CMS está siendo explotada en ataques.

La falla se conoce como CVE-2025-23209 y es una vulnerabilidad de inyección de código (RCE) de alta gravedad ( puntuación CVSS v3: 8.0 ) que afecta a las versiones 4 y 5 de Craft CMS.

Craft CMS es un sistema de gestión de contenido (CMS) que se utiliza para crear sitios web y experiencias digitales personalizadas.

No hay muchos detalles técnicos disponibles sobre CVE-2025-23209, pero la explotación no es fácil, ya que requiere que la clave de seguridad de la instalación ya se haya visto comprometida.

En Craft CMS, la clave de seguridad es una clave criptográfica que protege los tokens de autenticación de usuario, las cookies de sesión, los valores de la base de datos y los datos confidenciales de la aplicación.

La vulnerabilidad CVE-2025-23209 solo se convierte en un problema si un atacante ya ha obtenido esta clave de seguridad, lo que abre el camino para descifrar datos confidenciales, generar tokens de autenticación falsos o inyectar y ejecutar código malicioso de forma remota.

CISA ha añadido la falla a KEV sin compartir ninguna información sobre el alcance y el origen de los ataques y quiénes son los objetivos.

Las agencias federales tienen hasta el 13 de marzo de 2025 para corregir la falla de Craft CMS.

La falla ha sido corregida en las versiones 5.5.8 y 4.13.8 de Craft, por lo que se recomienda a los usuarios que actualicen a esas versiones o posteriores lo antes posible.

Si sospecha que se ha producido una vulneración, se recomienda que elimine las claves antiguas contenidas en los archivos '.env' y genere otras nuevas mediante el comando php craft setup/security-key. Tenga en cuenta que los cambios de clave hacen que los datos cifrados con una clave anterior sean inaccesibles.

Junto con CVE-2025-23209, CISA también agregó una vulnerabilidad en los firewalls de Palo Alto Networks (CVE-2025-0111) al catálogo de vulnerabilidades explotadas conocidas, y estableció la misma fecha límite para el 13 de marzo.

Se trata de una vulnerabilidad de lectura de archivos que afecta a los firewalls PAN-OS, que el proveedor reveló que es explotada por piratas informáticos como parte de una cadena de explotación con CVE-2025-0108 y CVE-2024-9474.

Para las versiones de PAN-OS que solucionan esta falla, los usuarios afectados pueden consultar el boletín de seguridad de Palo Alto Networks.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#943

Dudas y pedidos generales / Re:Se puede desbloquear apple watch?

Febrero 21, 2025, 04:41:51 AM

Si busca en internet:

"Can you unlock an Apple Watch Series 9 locked by iCloud?"

Parece que sí se puede por los tutoriales que aparecen (en especial en YouTube).

Le recomendaría que fuese a un taller especializado, que tendrán experiencia y este aspecto es vital.

Esto del desbloqueo de dispositivos Apple es un mundo y hay que estar actualizado y saber lo que se hace.

Improvisaciones cuestan más que pagarle a un técnico. >>> Es una opinión avalada por la experiencia.

Suerte.

#944

Noticias Informáticas / Re:Google lanza una nueva arma secreta para quienes buscan empleo

Febrero 21, 2025, 04:32:15 AM

Hola

Es por el momento.
En los próximos meses "deben" diversificar las zonas geográficas.

#945

Noticias Informáticas / Dracula PhaaS puede generar kits de phishing para cualquier marca

Febrero 20, 2025, 03:21:39 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La plataforma de phishing como servicio (PhaaS) Darcula se prepara para lanzar su tercera versión principal, con una de las características destacadas, la capacidad de crear kits de phishing para atacar a cualquier marca.

La próxima versión, actualmente disponible como beta, eliminará las restricciones de alcance de ataque al ofrecer una cantidad finita de kits de phishing y permitir que cualquiera cree el suyo propio.

Además de esta nueva característica, la próxima versión, llamada 'Darcula Suite', también elimina los requisitos de habilidades técnicas, un nuevo panel de administración fácil de usar, filtrado de IP y bots, medición del rendimiento de campañas y robo de tarjetas de crédito/carga de billetera digital automatizada.

Los investigadores de Netcraft probaron una de las últimas versiones beta de Darcula Suite para realizar un análisis práctico y confirmaron que las características anunciadas son legítimas.

Darcula surgió el año pasado como una operación masiva de PhaaS que se basa en 20.000 dominios que suplantan marcas reconocidas para robar credenciales de usuarios de Android e iOS en más de 100 países.

Con una versión mucho más potente en desarrollo, Netcraft advierte que los cibercriminales están moviéndose hacia ella incluso si la versión oficial aún no ha salido.

"Debido a que las imágenes de contenedor utilizadas para ejecutar el panel de administración están disponibles públicamente en registration[.]magic-cat[.]world, Netcraft pudo obtener una estimación aproximada de la cantidad de personas que ya están explorando este conjunto de pruebas", se lee en el informe.

Anunciamos la disponibilidad de la versión de prueba de Darcula 3.0

Phishing DIY

La característica destacada de la próxima Darcula Suite es el generador de kits de phishing DIY que permite a los "clientes" insertar la URL de la marca que quieren suplantar. La plataforma generará automáticamente todas las plantillas necesarias para el ataque.

La plataforma clona el sitio legítimo utilizando la herramienta Puppeteer, copiando el HTML, CSS, imágenes y JavaScript para mantener el diseño original.

"El recuento de extracción de la imagen de API ha aumentado en más del 100% y la imagen web en más del 50% desde el 5 de febrero al 10 de febrero".

El estafador puede elegir qué elementos modificar, como los campos de inicio de sesión, los formularios de pago y las solicitudes de autenticación de dos factores, reemplazarlos con páginas de phishing, usar mensajes de error personalizados o modificar JavaScript para robar datos de entrada.

Darcula Suite ofrece plantillas predefinidas, como páginas de restablecimiento de contraseñas falsas, formularios de pago con tarjeta de crédito y solicitudes de ingreso de códigos de autenticación de dos factores.

Formulario de pago inyectado para phishing de tarjetas de crédito

Una vez configurado, el sitio de phishing se empaqueta en un paquete ".cat-page" que contiene todos los archivos necesarios para el ataque.

Luego, el kit se carga en el panel de administración de Darcula para permitir la implementación, la administración central, el robo de datos en tiempo real y la supervisión del rendimiento.

Además del nuevo sistema DIY, Darcula 3.0 ofrece:

Funciones antidetección con rutas de implementación aleatorias, filtrado de IP, bloqueo de rastreadores y restricciones por tipo de dispositivo.

Un nuevo panel de administración con administración simplificada de campañas de phishing, un panel de rendimiento, registros en tiempo real de credenciales robadas y notificaciones de Telegram para cuando una víctima envía información confidencial.

Una nueva herramienta para convertir los datos de tarjetas de crédito robadas en imágenes de tarjetas virtuales que se pueden agregar a aplicaciones de pago digital.

Netcraft dice que los grupos de Telegram vinculados a Darcula ya están promocionando teléfonos quemadores precargados con múltiples tarjetas robadas para la venta, otra señal de la mayor adopción de la nueva versión de Darcula.

Sistema generador de tarjetas virtuales

La introducción de Darcula 3.0 y sus nuevas y potentes funciones hacen que detectar y detener campañas de phishing sea aún más complicado, mientras que la facilidad de uso de la última versión garantiza que los volúmenes de phishing aumentarán.

Netcraft comenta que, en los últimos 10 meses, detectó y bloqueó casi 100.000 dominios Darcula 2.0, 20.000 sitios de phishing y 31.000 direcciones IP asociadas a la plataforma.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#946

Noticias Informáticas / Microsoft corrige un error de día cero en Power Pages explotado en ataques

Febrero 20, 2025, 03:18:56 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha publicado un boletín de seguridad para una vulnerabilidad de elevación de privilegios de alta gravedad en Power Pages, que los piratas informáticos explotaron como un día cero en ataques.

La falla, identificada como CVE-2025-24989, es un problema de control de acceso inadecuado que afecta a Power Pages, lo que permite a los actores no autorizados elevar sus privilegios en una red y eludir los controles de registro de usuarios.

Microsoft dice que ha abordado el riesgo a nivel de servicio y notificó a los clientes afectados en consecuencia, adjuntando instrucciones sobre cómo detectar un posible compromiso.

"Esta vulnerabilidad ya se ha mitigado en el servicio y todos los clientes afectados han sido notificados. Esta actualización abordó la omisión del control de registro", se lee en el boletín de seguridad de Microsoft.

"Los clientes afectados han recibido instrucciones sobre cómo revisar sus sitios para detectar posibles explotaciones y métodos de limpieza. Si no ha recibido una notificación, esta vulnerabilidad no le afecta".

Microsoft Power Pages es una plataforma de desarrollo web basada en SaaS y de código bajo que permite a los usuarios crear, alojar y administrar sitios web comerciales externos seguros.

Es parte de la plataforma Microsoft Power Platform, que incluye herramientas como Power BI, Power Apps y Power Automate.

Dado que Power Pages es un servicio basado en la nube, se puede suponer que la explotación se produjo de forma remota.

El gigante del software no ha proporcionado detalles sobre cómo se explotó la falla en los ataques.

Además de la falla de Power Pages, Microsoft también solucionó ayer una vulnerabilidad de ejecución de código remoto de Bing, que se rastrea como CVE-2025-21355 pero que no se ha marcado como explotada.

Problema solucionado, pero se requieren comprobaciones

Microsoft ya ha aplicado correcciones al servicio Power Pages y el proveedor ha compartido instrucciones de forma privada directamente con los clientes afectados. Aun así, hay algunos consejos de seguridad genéricos que los usuarios pueden tener en cuenta.

Los administradores deben revisar los registros de actividad para detectar acciones sospechosas, registros de usuarios o cambios no autorizados.

Dado que CVE-2025-24989 es un error de elevación de privilegios, las listas de usuarios también deben examinarse para verificar a los administradores y usuarios con privilegios elevados.

Los cambios recientes en privilegios, roles de seguridad, permisos y controles de acceso a páginas web deben examinarse más a fondo.

Las cuentas no autorizadas o aquellas que muestran actividad no autorizada deben revocarse de inmediato, las credenciales afectadas deben restablecerse y la autenticación multifactor (MFA) debe aplicarse en todas las cuentas.

Si Microsoft no le notificó, es probable que su sistema no se haya visto afectado.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#947

Noticias Informáticas / Microsoft prueba solución para error de Windows 11 que interrumpe conexiones SSH

Febrero 20, 2025, 03:15:47 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft está probando una solución para un problema conocido desde hace mucho tiempo que está interrumpiendo las conexiones SSH en algunos sistemas Windows 11 22H2 y 23H2.

El martes, Microsoft comenzó a distribuir Windows 11 Build 26100.3321 ( KB5052093 ) Insiders en el canal Release Preview en Windows 11 24H2 (Build 26100) con una solución para este error.

Cuando reconoció por primera vez el problema en noviembre, la empresa explicó que afecta a un "número limitado" de dispositivos que ejecutan las ediciones empresariales, de IoT y educativas de Windows 11. Sin embargo, Redmond también está investigando si los clientes particulares que usan las ediciones Home o Pro de Windows 11 están afectados.

"Tras la instalación de la actualización de seguridad de octubre de 2024, algunos clientes informan que el servicio OpenSSH (Open Secure Shell) no se inicia, lo que impide las conexiones SSH", dijo la compañía en los documentos de soporte emitidos para las actualizaciones acumulativas KB5044285 y la versión preliminar KB5044380 del martes de parches de octubre.

"El servicio falla sin un registro detallado y se requiere una intervención manual para ejecutar el proceso sshd.exe".

Hasta que haya una solución disponible para todos, Redmond dice que los usuarios afectados pueden solucionar temporalmente estos problemas de conexión SSH actualizando los permisos de la lista de control de acceso (ACL) en los directorios afectados mediante los siguientes pasos:

Abra PowerShell como administrador.

Actualice los permisos de la carpeta "C:\ProgramData\ssh y C:\ProgramData\ssh\logs" (y repita estos pasos para "C:\ProgramData\ssh\logs") para permitir el control total de SYSTEM y el grupo de administradores, al tiempo que permite el acceso de lectura para los usuarios autenticados. Si es necesario, puede restringir el acceso de lectura a usuarios o grupos específicos modificando la cadena de permisos.

Use el siguiente script de PowerShell para actualizar los permisos:

Código: text

$directoryPath = "C:\ProgramData\ssh" $acl = Get-Acl -Path $directoryPath $sddlString = "O:BAD:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;AU)" $securityDescriptor = New-Object System.Security.AccessControl.RawSecurityDescriptor $sddlString $acl.SetSecurityDescriptorSddlForm($securityDescriptor.GetSddlForm("All")) Set-Acl -Path $directoryPath -AclObject $acl

Repita los pasos anteriores para C:\ProgramData\ssh\logs.

Durante la última semana, Microsoft también comenzó a implementar una actualización de BIOS proporcionada por ASUS que resuelve problemas de pantalla azul de la muerte (BSOD) reconocidos en octubre, y solucionó un problema conocido que causaba errores de "dispositivo de arranque inaccesible" en algunos sistemas Windows Server 2025 que usan iSCSI.

En noticias relacionadas, el proyecto OpenSSH ha publicado actualizaciones de seguridad para dos vulnerabilidades: una falla de tipo "man-in-the-middle" (MitM) ( CVE-2025-26465 ) y un error de denegación de servicio (CVE-2025-26466).

La primera se introdujo hace más de diez años y está afectando a los clientes OpenSSH cuando la opción "VerifyHostKeyDNS" está habilitada. La explotación exitosa permite a los atacantes secuestrar sesiones SSH para robar credenciales, inyectar comandos y exfiltrar datos.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login[/font]

#948

Noticias Informáticas / El malware se esconde en Google Docs

Febrero 19, 2025, 11:22:19 PM

Los piratas informáticos ahora utilizan Google Docs y otras plataformas de confianza para controlar en secreto malware que roba contraseñas, registros de chat y datos confidenciales, sin que los usuarios se den cuenta.

El malware Infostealer es particularmente peligroso, ya que, una vez implementado, se ejecuta discretamente en segundo plano, lo que dificulta especialmente su detección.

Este tipo de software malicioso está diseñado específicamente para extraer información confidencial, como contraseñas, números de tarjetas de crédito, historial de navegación y otra información valiosa de un sistema infectado y transferirla a los ciberdelincuentes.

Los Infostealers generalmente se infiltran en los sistemas a través de correos electrónicos de phishing, archivos adjuntos maliciosos o sitios web comprometidos. A menudo, los Infostealers se disfrazan de programas ilegales, como cracks y keygens.

Página para distribuir Infostealer camuflado en crack. Fuente: ASEC

El ladrón de información LummaC2 ha sido un campeón en este campo. Opera como malware como servicio desde al menos agosto de 2022 y a menudo se ha distribuido para robar datos de los navegadores, incluidas credenciales, cookies, autocompletado y datos de extensiones del navegador.

Recientemente, AhnLab Security Intelligence Center (ASEC) ha identificado que, además de Lumma, el ladrón de información ACRStealer ha experimentado un aumento en su distribución.

Presentado por primera vez a mediados de 2024, ACR Stealer es un ladrón de información que se vende como malware como servicio (MaaS) en foros de ciberdelincuencia de habla rusa. Es capaz de recopilar información del sistema, credenciales almacenadas, cookies del navegador web, billeteras de criptomonedas y archivos de configuración de varios programas.

A diferencia de otros ladrones de información, ACRStealer adopta un enfoque más flexible para utilizar su intermediario. Para evitar ser detectado, en lugar de codificar directamente la dirección de comando y control (C2) real en el malware, la almacena y distribuye utilizando plataformas legítimas.

Se ha detectado que ACRStealer utiliza plataformas como Google Docs. Los atacantes codifican el dominio C2 real en Base64 y el malware lo recupera y decodifica para llevar a cabo acciones maliciosas. Este método se denomina Dead Drop Resolver (DDR).

La lista completa de servicios que ACRStealer ha utilizado como intermediario C2 son los siguientes:

Steam
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Google Docs (Presentación)
Google Docs (Formulario)

Google Docs (Presentación) utilizado como intermediario C2. Fuente: ASEC

El malware roba una amplia gama de información, incluyendo:

Datos del navegador
Archivos de texto
Archivos de texto
Credenciales FTP
Registros de chat
Correos electrónicos
Detalles del programa de acceso remoto
Información de VPN
Gestores de contraseñas
Bases de datos
Datos de extensiones del navegador

Una nueva ola de ataques de robo de información

Los "infostealers" han sido un dolor de cabeza para los especialistas en ciberseguridad durante un tiempo. Según la empresa israelí de ciberseguridad Hudson Rock, cientos de computadoras dentro del Ejército de EE. UU., la Marina y los principales contratistas de defensa, como Lockheed Martin, Boeing y Honeywell, están activamente infectadas con malware de robo de información.

A pesar de invertir miles de millones en redes de inteligencia clasificadas y medidas avanzadas de ciberseguridad, las credenciales militares y los registros del sistema se pueden comprar por tan solo $ 10 por computadora.

Hudson Rock descubrió que 398 empleados de Honeywell, un importante contratista de defensa y aeroespacial de EE. UU., estaban infectados con malware de robo de información. Además, se están filtrando datos de docenas de empleados de Boeing (66), Lockheed Martin (55), Leidos (55) y otros contratistas de defensa.

Una investigación de la Unidad 42 de Palo Alto Networks reveló que los ladrones de información, que suelen venderse como malware como servicio, son la amenaza más utilizada por los usuarios de Mac y MacBook. Solo tres familias de malware predominantes dominan el mercado.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#949

Noticias Informáticas / Google lanza una nueva arma secreta para quienes buscan empleo

Febrero 19, 2025, 11:19:58 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Para algunas personas, conseguir el trabajo que desean puede ser bastante difícil. Incluso si tienen mucha experiencia y las habilidades necesarias, una empresa puede terminar eligiendo a alguien en lugar de a ustedes. Esto podría deberse a su currículum, sus habilidades o a otros factores. Ahora, Google quiere ayudarlos a conseguir su próximo trabajo con su última herramienta de inteligencia artificial.

Hoy, Google anunció que lanzará una nueva herramienta experimental de inteligencia artificial llamada Career Dreamer. Tal como suena su nombre, está diseñada para ayudarle en tu búsqueda de empleo.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según el gigante tecnológico, Career Dreamer funciona utilizando IA para encontrar patrones y conectar los puntos entre tus experiencias únicas, formación académica, habilidades e intereses. Luego puede "dar forma a tu historia profesional", "explorar posibilidades profesionales" y ayudarte a "dar el siguiente paso", como explica Google.

En términos de dar forma a tu historia profesional, puedes crear lo que se llama una "Declaración de identidad profesional". Se trata de un resumen generado que destaca el valor que podrías aportar al lugar de trabajo, que podrías insertar en tu currículum o utilizar como tema de conversación en una entrevista. Para explorar las posibilidades profesionales, Career Dreamer puede presentar trayectorias profesionales que pueden alinearse con tu experiencia. Por último, pero no por ello menos importante, si necesitas ayuda con tu currículum o carta de presentación, la herramienta utiliza Gemini para redactar uno por ti.

Si el último experimento de Google parece que podría ser útil, está disponible para probarlo ahora mismo. Puedes empezar dirigiéndote al sitio web de Career Dreamer.

Career Dreamer website:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
AndroidAuthority
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#950

Noticias Informáticas / Apple lanza el iPhone 16E

Febrero 19, 2025, 11:18:06 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Es oficial: el botón de inicio ha muerto. Apple ha lanzado el iPhone 16E con un diseño actualizado y ha eliminado la clásica interfaz Touch ID del iPhone. En su lugar, el 16E pasa a tener una muesca habilitada para Face ID y añade el último chip A18 y compatibilidad con Apple Intelligence bajo la superficie, con un precio inicial de 599 dólares.

El 16E es una especie de sucesor del iPhone SE basado en el diseño del iPhone 14 de 2022, lo que significa que coloca las cámaras frontales necesarias para Face ID (y selfies) en una muesca que se abre desde la parte superior del teléfono en lugar del diseño Dynamic Island que se encuentra en los últimos teléfonos insignia de la compañía.

Con una pantalla OLED de 6,06 pulgadas, el 16E ahora tiene casi el mismo tamaño que el iPhone 16 estándar de 6,12 pulgadas de Apple, lo que significa que la compañía ya no ofrece un teléfono significativamente más pequeño que su modelo predeterminado, al menos no hasta que llegue el rumoreado iPhone 17 Air. Las medidas del 16E muestran que es aproximadamente 0,1 mm más estrecho y 0,7 mm más corto que el iPhone 16 estándar.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El iPhone 16E incluye el botón de acción personalizable, pero no el nuevo control de cámara que encontrarás en la serie 16. Cambia su puerto Lightning por USB-C, ahora un requisito para que el teléfono se venda en la UE. Lo que no tiene es soporte para accesorios MagSafe o carga inalámbrica rápida, ya que el iPhone 16E solo admite carga inalámbrica Qi de hasta 7,5 W, lo que lo cargará más lentamente que la carga de 25 W disponible en iPhones más caros.

En el interior, hay un chipset A18, el mismo chip que el iPhone 16. Eso hace que el 16E sea lo suficientemente potente como para ejecutar Apple Intelligence, el conjunto de herramientas de IA que incluye resúmenes de notificaciones. Incluso el iPhone 15 que no es Pro no puede hacer eso, por lo que el 16E es uno de los iPhone más capaces que existen. Apple ha confirmado anteriormente que 8 GB de RAM era el mínimo para obtener soporte de Apple Intelligence en la serie iPhone 16, por lo que es probable que el 16E también cuente con al menos esa cantidad de memoria. La versión más barata también se ha elevado a una base de 128 GB de almacenamiento, lo que significa que ya no hay un iPhone de 64 GB.

Solo hay una cámara trasera de 48 megapíxeles; la falta de cámaras adicionales es la mayor desventaja en comparación con los otros teléfonos de la compañía. Con soporte para carga inalámbrica y una clasificación IP resistente al agua, hay poco a lo que renunciar en otros aspectos.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El iPhone 16E es también el primer iPhone que incluye un módem desarrollado por la propia Apple. La empresa lleva años intentando alejarse de los módems desarrollados por Qualcomm, y por fin estamos viendo los frutos de ese esfuerzo. Las grandes preguntas ahora son qué tan bien funciona el nuevo módem y si Apple está lista para lanzar sus propios componentes de conectividad en la línea iPhone 17 a finales de este año.

Fuente:
The Verge
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#951

Noticias Informáticas / BlackLock ransomware: uno de los operadores más prolíficos en el cibercrimen

Febrero 19, 2025, 10:45:46 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El grupo de ransomware BlackLock se ha convertido en uno de los operadores más prolíficos del ecosistema Ransomware as a Service (RaaS), y los expertos advierten que podría acelerar su crecimiento durante este año.

También conocido como El Dorado, BlackLock fue clasificado como el séptimo grupo de ransomware más activo según la cantidad de publicaciones en su sitio de filtración de datos a fines de 2024, lo que marca un crecimiento del 1425% desde el tercer trimestre.

La empresa de seguridad ReliaQuest publicó recientemente una investigación sobre el grupo y su ascenso a la prominencia, detallando sus TTP y por qué la operación ha tenido tanto éxito en los últimos años.

El grupo estuvo entre los tres colectivos más activos en el foro RAMP, cuya comunidad incluyó a BlackLock entre los principales operadores de ransomware en términos de su reputación en el sitio.

Reliaquest señaló que el ascenso de BlackLock ha sido "rápido y estratégico" y predijo que si la actividad del grupo continúa a este ritmo, se convertirá en el grupo de ransomware más activo en 2025.

Se sabe que el grupo utiliza tácticas de doble extorsión mediante las cuales cifran datos y al mismo tiempo roban información confidencial, con la esperanza de ejercer más presión sobre las víctimas con la posible amenaza de exponer la información robada.

Su ransomware está diseñado a medida para atacar entornos Windows, VMWare ESXi y Linux, aunque Reliquest señaló que la variante de Linux es menos madura que su contraparte de Windows.

Por qué BlackLock se destaca del resto

El informe identifica una serie de formas en las que BlackLock se ha distinguido en lo que es un panorama de extorsión digital altamente competitivo, en primer lugar con lo que describe como un sitio de filtraciones inusual que utiliza una combinación de trucos únicos destinados a evitar que los investigadores descarguen datos robados.

El sitio está "repleto" de una serie de características que Reliaquest especula que tienen como objetivo evitar que las organizaciones objetivo evalúen el alcance de sus infracciones.

"Esto, a su vez, aumenta la presión sobre las organizaciones para que paguen rápidamente los rescates, a menudo antes de que puedan evaluar completamente la situación", dijeron los investigadores.

"Estas características también resaltan la sofisticación técnica de BlackLock, lo que refuerza su reputación como una operación pulida y profesional".

El uso de malware personalizado por parte de BlackLock es otro indicador de su sofisticación, añadió Reliaquest, que según afirma es un sello distintivo de grupos de primer nivel como Qlin o Play.

Los grupos competidores como Bl00dy, Dragonforce y RA World dependen de desarrolladores de ransomware desarrollados externamente, como versiones filtradas de Babuk o LockBit, señala el informe, mientras que BlackLock desarrolla su propio malware a medida.

"Si bien los desarrolladores de ransomware filtrados son fáciles de usar, tienen un inconveniente importante: los investigadores de seguridad pueden acceder y analizar el código, encontrar debilidades y desarrollar defensas contra ellas. Por el contrario, el malware personalizado de BlackLock mantiene a los investigadores en la oscuridad, al menos hasta que se filtra su código fuente".

Reliaquest también informó que el grupo ha estado reclutando activamente afiliados conocidos como "traficantes" para apoyar las primeras etapas de sus ataques, mientras que ha sido mucho más discreto cuando buscaba incorporar a desarrolladores de nivel superior.

Los objetivos de BlackLock deben tener cuidado

El informe identificó indicadores potenciales para los próximos objetivos principales de BlackLock, citando la actividad del foro que sugeriría que el grupo planea explotar Microsoft Entra Connect en una próxima campaña.

Se encontró a un usuario conocido por representar a BlackLock compartiendo una investigación de seguridad sobre cómo los atacantes podrían abusar del mecanismo de sincronización de Entra Connect para manipular los atributos de los usuarios y comprometer los entornos locales.

"Para las organizaciones que administran varios dominios bajo un inquilino, esta táctica crea un riesgo significativo de escalada de privilegios y el potencial de una infracción importante. Si bien el blog describe el ataque hipotéticamente, su viabilidad y su impacto potencial lo convierten en una preocupación seria", advirtió Reliaquest.

Como resultado, las organizaciones deberían reevaluar la seguridad de su infraestructura ahora, instó Reliaquest, afirmando que, en particular, deberían tratar de endurecer sus reglas en torno a los atributos sensibles, monitorear y restringir los registros de claves y aplicar políticas de acceso condicional.

Fuente:
IT Pro
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#952

Noticias Informáticas / Variante del keylogger Snake roba datos a través de bots de Telegram

Febrero 19, 2025, 10:30:21 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad de FortiGuard Labs han descubierto una nueva variante del Snake Keylogger, también conocido como 404 Keylogger, que ataca a los usuarios de Windows. Según su investigación, compartida, este malware se denomina AutoIt/Injector.GTY!tr y se ha relacionado con más de 280 millones de intentos de infección bloqueados en todo el mundo, concentrados principalmente en China, Turquía, Indonesia, Taiwán y España.

Los investigadores señalan que esta variante de Snake Keylogger normalmente se propaga a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos. Se dirige a navegadores web populares como Chrome, Edge y Firefox, robando información confidencial como credenciales y datos mediante el registro de pulsaciones de teclas, la captura de credenciales y la supervisión del portapapeles. Los datos robados se filtran luego a su servidor de comando y control (C2) a través de correo electrónico (SMTP) y bots de Telegram.

Según el informe técnico de FortiGuard Labs, el malware emplea AutoIt, un lenguaje de programación que se utiliza con frecuencia para la automatización de Windows, para entregar y ejecutar su carga útil maliciosa. AutoIt puede crear ejecutables independientes que pueden eludir las soluciones antivirus estándar, mientras que el binario compilado por AutoIt agrega una capa de ofuscación, lo que hace que la detección y el análisis sean más desafiantes.

Durante el ataque, el malware coloca una copia de sí mismo como "ageless.exe" en la carpeta %Local_AppData%\supergroup con atributos ocultos y coloca "ageless.vbs" en la carpeta %Startup%. Este script utiliza You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login() para ejecutar "ageless.exe" al iniciar el sistema, lo que garantiza la persistencia. Este método se utiliza comúnmente porque la carpeta de inicio de Windows permite que los scripts se ejecuten sin privilegios administrativos.

Después de ejecutar "ageless.exe", el malware inyecta su carga útil maliciosa en un proceso .NET legítimo, "RegSvcs.exe", mediante el vaciado de procesos, que implica suspender "RegSvcs.exe", desasignar su código original, asignar nueva memoria e inyectar la carga útil maliciosa. Al reanudarse, el proceso ejecuta el código inyectado, lo que permite que el malware se oculte dentro de un proceso confiable, evadiendo la detección.

Snake Keylogger recupera la geolocalización de la víctima mediante sitios web como checkipdyndnsorg y extrae credenciales robadas a través de bots SMTP y Telegram mediante solicitudes HTTP Post. Además, el malware puede detectar el acceso a carpetas que contienen credenciales de inicio de sesión del navegador y otros datos confidenciales. Utiliza módulos para robar datos de los sistemas de autocompletado del navegador, incluidos los detalles de la tarjeta de crédito, y captura las pulsaciones de teclas mediante la API SetWindowsHookEx con el indicador WH_KEYBOARD_LL, lo que le permite registrar la entrada confidencial.

La imagen muestra las diversas técnicas que Snake Keylogger emplea durante el ataque, incluidas la recopilación, el acceso a credenciales, la evasión de defensa, la exfiltración, el movimiento lateral, la escalada de privilegios, el reconocimiento y el desarrollo de recursos, etc., lo que proporciona una descripción general concisa de las diversas capacidades maliciosas de Snake Keylogger.

Snake Keylogger MITRE ATT&CK Matrix – Fuente Fortinet
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se trata de una variante sofisticada y con muchas funciones, que supone una amenaza para los usuarios de Windows en todo el mundo. Las organizaciones y los particulares utilizan una combinación de protección avanzada contra amenazas y medidas de seguridad proactivas para defenderse de esta y otras amenazas emergentes de keyloggers.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#953

Noticias Informáticas / Cierra la startup española de software espía Mollitiam Industries

Febrero 19, 2025, 10:12:08 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mollitiam Industries, una pequeña y poco conocida empresa española de software espía, va a cerrar.

La desaparición de la empresa fue informada por primera vez por el sitio web de noticias sobre inteligencia y vigilancia Intelligence Online, que atribuyó la caída de la empresa a problemas financieros. Los registros comerciales públicos confirman que la empresa se declaró en quiebra el 23 de enero.

A diferencia de Hacking Team, NSO Group y ahora Paragon Solutions, Mollitiam Industries, que tiene su sede en Toledo, una ciudad a las afueras de Madrid, España, ha operado en su mayor parte fuera de la vista del público. En parte, el secreto es simplemente una consecuencia de la naturaleza de la industria del software espía: hay muchos proveedores en todo el mundo y una cantidad significativa de ellos no quieren publicidad.

Otra razón por la que Mollitiam Industries evita la publicidad puede tener menos que ver con la industria del software espía en sí y más con el hecho de que la startup de software espía tenía su sede en España, que no recibe mucha atención de los medios de comunicación internacionales de habla inglesa, y también porque Mollitiam Industries solo se supo que estuvo involucrada en un escándalo en Colombia, otro lugar del que se puede informar poco en el mundo de habla inglesa.

En el momento, el sitio web oficial de Mollitiam Industries todavía está en línea.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La empresa no respondió a una solicitud de comentarios enviada a una dirección de correo electrónico que figura en el sitio. Cuando TechCrunch llamó a un número de teléfono que figuraba en el listado de Google Maps de la empresa, la línea estaba ocupada. Según su cuenta oficial de LinkedIn, Mollitiam Industries tenía entre 11 y 50 empleados.

En 2021, Mollitiam Industries llamó por primera vez la atención de los medios de comunicación de habla inglesa. Wired informó en ese momento que un folleto dejado involuntariamente en línea por un tercero mostraba que la startup había desarrollado productos de software espía llamados Invisible Man y Night Crawler, que estaban diseñados para extraer subrepticiamente datos de los dispositivos de destino, incluidas las aplicaciones de mensajería como Telegram y WhatsApp, activar las cámaras y el micrófono del dispositivo, robar contraseñas y registrar las pulsaciones de teclas.

El año anterior, en 2020, la revista de noticias colombiana Semana informó que sus periodistas y sus oficinas habían estado bajo vigilancia física y digital por parte de la agencia de inteligencia militar del país, cuyos agentes habrían intimidado a los periodistas con amenazas que incluían enviarles lápidas. La campaña de vigilancia e intimidación se produjo después de que la revista publicara investigaciones sobre presuntas irregularidades cometidas por oficiales del ejército en 2019.

"Un coronel de ciberinteligencia me ofreció 50 millones de pesos [alrededor de 15.000 dólares en ese momento] para introducir un malware (virus) en las computadoras de los periodistas de Semana y así poder acceder a la información", dijo una fuente a la revista.

El malware habría sido desarrollado por Mollitiam Industries, según una foto de un contrato entre el Ejército Nacional de Colombia y Mollitiam Industries.

El documento muestra que la agencia militar hizo una oferta de casi 3.000 millones de pesos (unos 900.000 dólares de la época) para adquirir un sistema llamado "Invisible Man". El software supuestamente era capaz de infectar dispositivos macOS y Windows tanto de forma remota, escondiéndose dentro de documentos de Office, como a través de una unidad USB. El malware también podría eludir el software antivirus y permitir a los militares infectar un número "ilimitado" de objetivos activos.

"Esta herramienta permite hacer de todo: entrar en cualquier computador, acceder a las llamadas y conversaciones de WhatsApp y Telegram Web, descargar conversaciones de chat archivadas o eliminadas, fotos y en general lo que esté almacenado en la memoria de la máquina infectada", dijo a Semana una fuente anónima.

Una captura de pantalla del backend del software espía para Android Night Crawler de Mollitiam Industries
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El mismo año del escándalo de Colombia, Mollitiam Industries dio una charla en línea a través de ISS World, una serie de conferencias para empresas que quieren vender productos a las fuerzas del orden y a las agencias de inteligencia.

La empresa escribió en la descripción de la charla que el cifrado de extremo a extremo estaba dificultando la escucha clandestina de las personas a las que se dirige la operación, y se refirió a la necesidad de utilizar malware para comprometer el dispositivo del objetivo con el fin de acceder a sus comunicaciones. Según la descripción, "Mollitiam explicará las raíces de este enfoque a través de demostraciones de software y compartirá características innovadoras como las grabaciones de llamadas VoIP de WhatsApp".

Según Meta, Mollitiam Industries estuvo activa al menos hasta finales de 2023. A principios de 2024, Meta dijo en un informe que había eliminado una red de cuentas falsas en Facebook e Instagram que estaban vinculadas a Mollitiam Industries.

"Mollitiam Industries y sus clientes tenían cuentas falsas que usaban para probar capacidades maliciosas entre sus propias cuentas y extraer información pública. "Al igual que otras empresas de vigilancia a sueldo, utilizaron enlaces de registro de IP destinados a rastrear las direcciones IP de sus objetivos", se lee en el informe. "También participaron en phishing e ingeniería social dirigidos principalmente a personas en España, Colombia y Perú, incluida la oposición política, periodistas, activistas anticorrupción y activistas contra el abuso policial".

España, y en particular Barcelona, se ha convertido recientemente en un semillero de nuevas empresas de software espía, algunas de las cuales fueron fundadas por extranjeros que reclutaron investigadores de seguridad de otros países, incluidos Italia e Israel.

Si bien la empresa ha recibido relativamente poca atención, sus actividades estaban siendo rastreadas por Amnistía Internacional. Jurre van Bergen, un tecnólogo del Laboratorio de Seguridad de Amnistía Internacional, dijo a TechCrunch que él y sus colegas encontraron muestras de Windows de Mollitiam Industries e identificaron un servidor de comando y control que estaba indexado en Censys, un motor de búsqueda en línea para dispositivos conectados a Internet, como "Invisible Man Login", una clara referencia a uno de los productos de las empresas.

"Fue un trabajo extremadamente descuidado por parte de un fabricante de software espía no ponerlo detrás de un cortafuegos", dijo van Bergen a TechCrunch. "Supongo que no me sorprende que, dado su trabajo descuidado, se declararan en quiebra".

Fuente:
TechCrunch
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#954

Noticias Informáticas / Soldado del ejército de US. se declara culpable de hackeos a AT&T y Verizon

Febrero 19, 2025, 10:09:13 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cameron John Wagenius se declaró culpable de piratear AT&T y Verizon y robar una enorme cantidad de registros telefónicos de las empresas, según los registros judiciales presentados el miércoles.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Wagenius, que era un soldado del ejército de Estados Unidos, se declaró culpable de dos cargos de "transferencia ilegal de información confidencial de registros telefónicos" en un foro en línea y a través de una plataforma de comunicaciones en línea. Según un documento presentado por el abogado de Wagenius, enfrenta una multa máxima de $ 250,000 y una pena de prisión de hasta 10 años por cada uno de los dos cargos.

Wagenius fue arrestado y acusado el año pasado. En enero, los fiscales estadounidenses confirmaron que los cargos presentados contra Wagenius estaban relacionados con la acusación de Connor Moucka y John Binns, dos presuntos piratas informáticos a quienes el gobierno estadounidense acusó de varias violaciones de datos contra la empresa de servicios de computación en la nube Snowflake, que estuvieron entre los peores ataques de 2024.

El mes pasado, la fiscal estadounidense Tessa Gorman dijo al tribunal que tanto las infracciones de AT&T como las de Verizon "surgen de la misma intrusión informática y extorsión e incluyen parte de la misma información robada de las víctimas". Añadió que "estos casos se basan en material probatorio y procesos legales superpuestos y posiblemente presentan cuestiones comunes de derecho y de hecho", lo que efectivamente confirmó que Wagenius estuvo involucrado en las infracciones de Snowflake.

Al piratear las instancias de Snowflake, los piratas informáticos robaron grandes cantidades de datos de AT&T, LendingTree, Santander Bank, Ticketmaster y al menos otras 160 empresas.

Fuente:
TechCrunch
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#955

Noticias Informáticas / Microsoft crea un moderno chip de computadora cuántica

Febrero 19, 2025, 09:47:50 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

19 feb (Reuters) - Microsoft presentó el miércoles un nuevo chip que, según dijo, demuestra que la computación cuántica está a "años, no décadas" de distancia, uniéndose a Google e IBM en la predicción de que un cambio fundamental en la tecnología informática está mucho más cerca de lo que se creía recientemente.

La computación cuántica promete realizar cálculos que los sistemas actuales tardarían millones de años y podría desatar descubrimientos en medicina, química y muchos otros campos donde los mares casi infinitos de posibles combinaciones de moléculas confunden a las computadoras clásicas.

Los ordenadores cuánticos también entrañan el peligro de poner patas arriba los sistemas de ciberseguridad actuales, en los que la mayor parte de los cifrados se basan en la suposición de que llevaría demasiado tiempo obtener acceso mediante la fuerza bruta.

El mayor desafío de los ordenadores cuánticos es que un componente fundamental llamado qubit, que es similar a un bit en la informática clásica, es increíblemente rápido pero también extremadamente difícil de controlar y propenso a errores.

Microsoft dijo que el chip Majorana 1 que ha desarrollado es menos propenso a esos errores que sus rivales y proporcionó como prueba un artículo científico que se publicará en la revista académica Nature.

El momento en que llegarán los ordenadores cuánticos útiles se ha convertido en un tema de debate en los escalones superiores de la industria tecnológica. El director ejecutivo de Nvidia Jensen Huang, dijo el mes pasado que la tecnología estaba a dos décadas de superar a los chips de su empresa, los caballos de batalla de la inteligencia artificial, lo que refleja un amplio escepticismo.

Esas declaraciones llevaron a Google, que el año pasado mostró su propio chip cuántico nuevo, a decir que las aplicaciones comerciales de computación cuántica están a solo cinco años de distancia. IBM ha dicho que los ordenadores cuánticos a gran escala estarán en línea en 2033.

El Majorana 1 de Microsoft ha estado en desarrollo durante casi dos décadas y se basa en una partícula subatómica llamada fermión Majorana cuya existencia se teorizó por primera vez en la década de 1930. Esa partícula tiene propiedades que la hacen menos propensa a los errores que plagan a los ordenadores cuánticos, pero ha sido difícil para los físicos encontrarla y controlarla.

Microsoft dijo que creó el chip Majorana 1 con arseniuro de indio y aluminio. El dispositivo utiliza un nanocable superconductor para observar las partículas y puede controlarse con equipos informáticos estándar.

El chip que Microsoft reveló el miércoles tiene muchos menos qubits que los chips rivales de Google e IBM pero Microsoft cree que se necesitarán muchos menos de sus qubits basados en Majorana para fabricar computadoras útiles porque las tasas de error son más bajas.

Microsoft no dio un cronograma para cuándo se ampliaría el chip para crear computadoras cuánticas que puedan superar a las máquinas actuales, pero la compañía dijo en una publicación de blog que ese momento estaba "en años, no décadas" de distancia.

Jason Zander, el vicepresidente ejecutivo de Microsoft que supervisa las apuestas estratégicas a largo plazo de la compañía, describió a Majorana 1 como una estrategia de "alto riesgo, alta recompensa".

El chip fue fabricado en los laboratorios de Microsoft en el estado de Washington y Dinamarca.

"La parte más difícil ha sido resolver la física. No hay un libro de texto para esto, y tuvimos que inventarlo", dijo Zander en una entrevista con Reuters. "Literalmente hemos inventado la capacidad de crear esta cosa, átomo por átomo, capa por capa".

Philip Kim, profesor de física en la Universidad de Harvard que no participó en la investigación de Microsoft, dijo que los fermiones de Majorana han sido un tema candente entre los físicos durante décadas y calificó el trabajo de Microsoft como un "desarrollo emocionante" que puso a la compañía a la vanguardia de la investigación cuántica.

También dijo que el uso de Microsoft de un híbrido entre semiconductores tradicionales y superconductores exóticos parecía ser una buena ruta hacia chips que se pueden ampliar a chips más potentes.

"Aunque todavía no hay una demostración (de esta ampliación), lo que están haciendo es realmente exitoso", dijo Kim.

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#956

Noticias Informáticas / Un ataque de phishing oculta JavaScript mediante un truco invisible de Unicode

Febrero 19, 2025, 09:46:20 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un nuevo método de ofuscación de JavaScript que utiliza caracteres Unicode invisibles para representar valores binarios se está utilizando de forma activa en ataques de phishing dirigidos a afiliados de un comité de acción política (PAC) estadounidense.

Juniper Threat Labs, que detectó el ataque, informa que tuvo lugar a principios de enero de 2025 y presenta indicios de sofisticación, como el uso de:

Información no pública personalizada para identificar a las víctimas,

Verificaciones de puntos de interrupción y tiempos del depurador para evadir la detección,

Enlaces de seguimiento de Postmark envueltos de forma recursiva para ocultar los destinos finales de phishing.

El desarrollador de JavaScript Martin Kleppe reveló por primera vez la técnica de ofuscación en octubre de 2024, y su rápida adopción en ataques reales destaca la rapidez con la que las nuevas investigaciones se convierten en armas.

Cómo hacer que las cargas útiles de JS sean "invisibles"

La nueva técnica de ofuscación aprovecha los caracteres Unicode invisibles, en concreto los de ancho medio de Hangul (U+FFA0) y los de ancho completo de Hangul (U+3164).

Cada carácter ASCII de la carga útil de JavaScript se convierte en una representación binaria de 8 bits, y los valores binarios (unos y ceros) que contiene se sustituyen por caracteres Hangul invisibles.

El código ofuscado se almacena como una propiedad en un objeto de JavaScript y, como los caracteres de relleno de Hangul se representan como espacios en blanco, la carga útil del script parece vacía, como se muestra en el espacio en blanco al final de la imagen siguiente.

Espacio en blanco que oculta código malicioso
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un breve script de arranque recupera la carga oculta mediante una trampa 'get()' de proxy de JavaScript. Cuando se accede a la propiedad oculta, el proxy convierte los caracteres invisibles de relleno Hangul nuevamente en binario y reconstruye el código JavaScript original.

Los analistas de Juniper informan que los atacantes utilizan pasos de ocultación adicionales además de los mencionados anteriormente, como codificar el script con base64 y usar controles antidepuración para evadir el análisis.

Codificación Base64 de una secuencia de caracteres de relleno Hangul
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"Los ataques eran altamente personalizados, incluían información no pública, y el código JavaScript inicial intentaba invocar un punto de interrupción del depurador si se lo estaba analizando, detectaba un retraso y luego abortaba el ataque redirigiendo a un sitio web benigno", explica Juniper.

Los ataques son difíciles de detectar, ya que los espacios en blanco reducen la probabilidad de que incluso los escáneres de seguridad los marquen como maliciosos.

Dado que la carga útil es solo una propiedad de un objeto, se podría inyectar en scripts legítimos sin levantar sospechas; además, todo el proceso de codificación es fácil de implementar y no requiere conocimientos avanzados.

Juniper dice que dos de los dominios utilizados en esta campaña estaban vinculados anteriormente al kit de phishing Tycoon 2FA.

De ser así, es probable que veamos este método de ofuscación invisible adoptado por una gama más amplia de atacantes en el futuro.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#957

Noticias Informáticas / Nuevas fallas de OpenSSH exponen servidores SSH a ataques

Febrero 19, 2025, 09:42:01 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

OpenSSH ha publicado actualizaciones de seguridad que abordan dos vulnerabilidades, una de tipo man-in-the-middle (MitM) y una de denegación de servicio, una de las cuales se introdujo hace más de una década.

Qualys descubrió ambas vulnerabilidades y demostró su explotabilidad a los encargados del mantenimiento de OpenSSH.

OpenSSH (Open Secure Shell) es una implementación gratuita y de código abierto del protocolo SSH (Secure Shell), que proporciona comunicación cifrada para acceso remoto seguro, transferencias de archivos y tunelización en redes no confiables.

Es una de las herramientas más utilizadas en el mundo, con altos niveles de adopción en sistemas basados en Linux y Unix (BSD, macOS) que se encuentran en entornos empresariales, TI, DevOps, computación en la nube y aplicaciones de ciberseguridad.

Las dos vulnerabilidades

La vulnerabilidad MiTM, identificada como CVE-2025-26465, se introdujo en diciembre de 2014 con el lanzamiento de OpenSSH 6.8p1, por lo que el problema permaneció sin detectar durante más de una década.

La falla afecta a los clientes OpenSSH cuando la opción "VerifyHostKeyDNS" está habilitada, lo que permite a los actores de amenazas realizar ataques MitM.

"El ataque contra el cliente OpenSSH ( CVE-2025-26465 ) tiene éxito independientemente de si la opción VerifyHostKeyDNS está configurada en "sí" o "preguntar" (su valor predeterminado es "no"), no requiere interacción del usuario y no depende de la existencia de un registro de recursos SSHFP (una huella digital SSH) en DNS", explica Qualys.

Cuando está habilitada, debido a un manejo inadecuado de errores, un atacante puede engañar al cliente para que acepte la clave de un servidor no autorizado al forzar un error de falta de memoria durante la verificación.

Al interceptar una conexión SSH y presentar una clave SSH grande con extensiones de certificado excesivas, el atacante puede agotar la memoria del cliente, eludir la verificación del host y secuestrar la sesión para robar credenciales, inyectar comandos y exfiltrar datos.

Aunque la opción 'VerifyHostKeyDNS' está deshabilitada de forma predeterminada en OpenSSH, estuvo habilitada de forma predeterminada en FreeBSD desde 2013 hasta 2023, lo que dejó muchos sistemas expuestos a estos ataques.

La segunda vulnerabilidad es CVE-2025-26466, una falla de denegación de servicio previa a la autenticación introducida en OpenSSH 9.5p1, publicada en agosto de 2023.

El problema surge de una asignación de memoria sin restricciones durante el intercambio de claves, lo que lleva a un consumo descontrolado de recursos.

Un atacante puede enviar repetidamente pequeños mensajes de ping de 16 bytes, lo que obliga a OpenSSH a almacenar en búfer respuestas de 256 bytes sin límites inmediatos.

Durante el intercambio de claves, estas respuestas se almacenan indefinidamente, lo que genera un consumo excesivo de memoria y una sobrecarga de la CPU, lo que puede provocar fallos del sistema.

Las repercusiones de la explotación de CVE-2025-26466 pueden no ser tan graves como las del primer fallo, pero el hecho de que se pueda explotar antes de la autenticación mantiene un riesgo muy alto de interrupción.

Actualizaciones de seguridad publicadas

El equipo de OpenSSH publicó la versión 9.9p2, que soluciona ambas vulnerabilidades, por lo que se recomienda a todos que actualicen a esa versión lo antes posible.

Además, se recomienda deshabilitar VerifyHostKeyDNS a menos que sea absolutamente necesario y confiar en la verificación manual de huellas digitales de claves para garantizar conexiones SSH seguras.

Con respecto al problema de DoS, se recomienda a los administradores que apliquen límites estrictos de velocidad de conexión y monitoreen el tráfico SSH para detectar patrones anormales a fin de detener los posibles ataques de manera temprana.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#958

Dudas y pedidos generales / Re:Link de WORM GPT

Febrero 18, 2025, 07:18:24 PM

La respuesta que le brindé en su primer pedido aun es válida:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El contacto, que es por vía Telegram, establece su vía de pago al servicio.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Porque es de pago. Lo tiene bien claro, cierto?

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El contacto directo con el desarrollador es:

@friendWilsonn (Lo pone bien claro en Telegram)

No vuelva a solicitar "nuevamente" esta información que ya se le ha brindado respuesta y aun es válida.

----------------------
----------------------

Sí aun no ha podido dar con WormGPT, otros (porque existen otros) nunca logrará usarlos.

GhostGPT

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Estos servicios "todos" son de pago.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#959

Noticias Informáticas / Nuevo malware de FinalDraft abusa del servicio de correo Outlook

Febrero 18, 2025, 02:20:22 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un nuevo malware llamado FinalDraft ha estado utilizando borradores de correo electrónico de Outlook para la comunicación de comando y control en ataques contra un ministerio en un país sudamericano.

Los ataques fueron descubiertos por Elastic Security Labs y se basan en un conjunto completo de herramientas que incluye un cargador de malware personalizado llamado PathLoader, la puerta trasera FinalDraft y múltiples utilidades de post-explotación.

El abuso de Outlook, en este caso, tiene como objetivo lograr comunicaciones encubiertas, lo que permite a los atacantes realizar exfiltración de datos, proxying, inyección de procesos y movimiento lateral dejando el mínimo posible de rastros.

Cadena de ataque

El ataque comienza cuando el actor de la amenaza compromete el sistema del objetivo con PathLoader, un pequeño archivo ejecutable que ejecuta shellcode, incluido el malware FinalDraft, recuperado de la infraestructura del atacante.

PathLoader incorpora protecciones contra el análisis estático al realizar hash de API y usar cifrado de cadenas.

FinalDraft se utiliza para la exfiltración de datos y la inyección de procesos. Después de cargar la configuración y generar un ID de sesión, el malware establece comunicación a través de la API de Microsoft Graph, enviando y recibiendo comandos a través de borradores de correo electrónico de Outlook.

FinalDraft recupera un token OAuth de Microsoft mediante un token de actualización integrado en su configuración y lo almacena en el Registro de Windows para un acceso persistente.

Token almacenado en el Registro de Windows

Al utilizar borradores de Outlook en lugar de enviar correos electrónicos, evita la detección y se integra al tráfico normal de Microsoft 365.

Los comandos del atacante se ocultan en borradores (r_<session-id>) y las respuestas se almacenan en borradores nuevos (p_<session-id>). Después de la ejecución, los borradores de comandos se eliminan, lo que dificulta el análisis forense y hace que la detección sea más improbable.

FinalDraft admite un total de 37 comandos, de los cuales los más importantes son:

Exfiltración de datos (archivos, credenciales, información del sistema)

Inyección de procesos (ejecución de cargas útiles en procesos legítimos como mspaint.exe)

Ataques Pass-the-Hash (robo de credenciales de autenticación para movimiento lateral)

Proxy de red (creación de túneles de red encubiertos)

Operaciones de archivos (copia, eliminación o sobrescritura de archivos)

Ejecución de PowerShell (sin iniciar powershell.exe)

Elastic Security Labs también observó una variante de Linux de FinalDraft, que aún puede usar Outlook a través de la API REST y la API Graph, así como HTTP/HTTPS, UDP e ICMP inversos, TCP enlazado/inverso e intercambio C2 basado en DNS.

Descripción general operativa del borrador final

Los investigadores presentan la campaña de ataque, denominada REF7707, en un informe independiente que describe varios errores de seguridad operacional que contrastan con el conjunto avanzado de intrusiones utilizado y que llevaron a la exposición del atacante.

REF7707 es una campaña de ciberespionaje centrada en un ministerio de asuntos exteriores de América del Sur, pero el análisis de la infraestructura reveló vínculos con víctimas del sudeste asiático, lo que sugiere una operación más amplia.

La investigación también descubrió otro cargador de malware no documentado previamente utilizado en los ataques, llamado GuidLoader, capaz de descifrar y ejecutar cargas útiles en la memoria

Cronología del malware REF7077

Un análisis posterior mostró que el atacante atacó repetidamente a instituciones de alto valor a través de puntos finales comprometidos en proveedores de infraestructura de telecomunicaciones e Internet en el sudeste asiático.

Además, el sistema de almacenamiento público de una universidad del sudeste asiático se utilizó para alojar cargas útiles de malware, lo que sugiere una vulneración previa o una presencia en la cadena de suministro.

Las reglas de YARA para ayudar a los defensores a detectar Guidloader, PathLoader y FinalDraft están disponibles en la parte inferior de los informes de Elastic.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#960

Noticias Informáticas / Explotan la API de Telegram para difundir backdoor

Febrero 18, 2025, 02:17:04 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad de Netskope han descubierto un nuevo backdoor funcional, pero posiblemente todavía en desarrollo, basado en Golang que utiliza Telegram para comando y control (C2).

Este malware (Trojan.Generic.37477095), aparentemente de origen ruso, se aprovecha de servicios en la nube como Telegram, que son fáciles de usar para los atacantes y difíciles de monitorear para los investigadores. Este método de comunicación C2 evita la necesidad de una infraestructura dedicada para los atacantes. Otras plataformas en la nube como OneDrive, GitHub y Dropbox también podrían usarse de forma indebida de esta manera.

Al ejecutarse, el malware, compilado en Go, inicia una función "installSelf". Esta función verifica si el malware se está ejecutando desde la ubicación y el nombre de archivo designados: "C:\Windows\Temp\svchost.exe". Si no es así, el malware se copia a sí mismo en esa ubicación, crea un nuevo proceso para iniciar la copia y luego finaliza la instancia original. Este proceso, ejecutado en una función de inicialización, garantiza que el malware se ejecute desde la ubicación prevista antes de continuar.

Para la comunicación C2, el backdoor emplea un paquete Go de código abierto para interactuar con Telegram. Establece una instancia de bot utilizando la función BotFather de Telegram y un token específico (8069094157:AAEyzkW_3R3C-tshfLwgdTYHEluwBxQnBuk en la muestra analizada). Luego, el malware monitorea un chat designado de Telegram en busca de nuevos comandos.

El malware admite cuatro comandos, pero solo tres están implementados actualmente. Valida la longitud y el contenido de los mensajes recibidos antes de la ejecución. El comando "/cmd" requiere dos mensajes: el comando en sí, seguido de un comando de PowerShell para ejecutarse.

En la siguiente fase, el malware envía un mensaje en ruso ("Ingrese el comando:") al chat después de recibir el comando inicial y luego espera el comando de PowerShell posterior. Luego, este comando se ejecuta en una ventana oculta de PowerShell.

El comando "/persist" replica la comprobación y el proceso de instalación inicial, reinicia el malware y sale. El comando "/screenshot", aunque no está completamente implementado, aún envía un mensaje de "Captura de pantalla capturada" al canal de Telegram.

El comando "/selfdestruct" elimina el archivo de malware (C:\Windows\Temp\svchost.exe) y finaliza el proceso, notificando al canal de Telegram con un mensaje de "Autodestrucción iniciada". Todos los resultados del comando se transmiten de vuelta al canal de Telegram a través de la función "sendEncrypted".

Esta explotación de aplicaciones en la nube con fines maliciosos resalta los desafíos que enfrentan los defensores.

"Aunque el uso de aplicaciones en la nube como canales C2 no es algo que veamos todos los días, es un método muy eficaz que utilizan los atacantes no solo porque no es necesario implementar toda una infraestructura para ello, lo que facilita la vida de los atacantes, sino también porque es muy difícil, desde la perspectiva del defensor, diferenciar lo que es un usuario normal que utiliza una API y lo que es una comunicación C2", señalaron los investigadores en su publicación técnica del blog.

Para mantenerse protegido, asegúrese de tener instalado en todos sus dispositivos un software antivirus y antimalware actualizado y de buena reputación. Estas soluciones deberían ser capaces de detectar y bloquear archivos maliciosos, incluidos los ejecutables basados en Go.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Páginas 1 ... 46 47 48 49 50 ... 249