Freecycle, un foro en línea dedicado a intercambiar artículos usados en lugar de tirarlos a la basura, confirmó una violación masiva de datos que afectó a más de 7 millones de usuarios.

La organización sin fines de lucro dice que descubrió la violación el miércoles, semanas después de que un actor de amenazas pusiera a la venta los datos robados en un foro de piratería el 30 de mayo, advirtiendo a las personas afectadas que cambiaran las contraseñas de inmediato.

La información robada incluye nombres de usuario, ID de usuario, direcciones de correo electrónico y contraseñas con hash MD5, sin otra información expuesta, según Freecycle.

A partir de capturas de pantalla compartidas por el actor de amenazas que está vendiendo la información robada, las credenciales del fundador y director ejecutivo de Freecycle, Deron Beal, fueron robadas en el incidente, lo que le dio al actor de amenazas acceso completo a la información de los miembros y las publicaciones en el foro.

"El 30 de agosto nos dimos cuenta de una violación de datos en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Como resultado, estamos aconsejando a todos los miembros que cambien sus contraseñas lo antes posible", advirtió Beal en una notificación agregada a la página de inicio.

"Pedimos disculpas por las molestias y le pedimos que vea este espacio para más antecedentes pendientes".


También se aconsejó a aquellos que usaban las mismas credenciales en otros servicios en línea que las cambiaran para evitar violaciones de cuentas.

Para restablecer tu contraseña de Freecycle, puedes usar uno de estos dos métodos:

• Desde la configuración de su perfil y desplazándose hacia abajo hasta la sección Restablecimiento de contraseña
• Desde la página de restablecimiento de contraseña por correo electrónico

Los usuarios deben ser conscientes de los retrasos (hasta una hora) que afectan el proceso de restablecimiento de contraseña por correo electrónico porque el "sistema de correo electrónico de Freecycle está muy ocupado en este momento".

Después de enterarse de la violación de datos, Freecycle dijo que también informó el incidente a las autoridades correspondientes.

"Si bien la mayoría de los proveedores de correo electrónico hacen un buen trabajo filtrando el spam, puede notar que recibe más spam de lo habitual", se advirtió a los usuarios.

"Como siempre, manténgase atento a los correos electrónicos de phishing, evite hacer clic en los enlaces de los correos electrónicos y no descargue archivos adjuntos a menos que los esté esperando".

Freecycle cuenta con una base de usuarios que comprende casi 11 millones de miembros de más de 5,300 ciudades locales en todo el mundo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una vulnerabilidad de día cero de Atlas VPN que afecta al cliente Linux filtra la dirección IP real de un usuario simplemente visitando un sitio web.

Atlas VPN es un producto VPN que ofrece una solución rentable basada en WireGuard y es compatible con los principales sistemas operativos.

En un exploit de prueba de concepto compartido en Reddit, un investigador describe cómo el cliente Linux de Atlas VPN, específicamente la última versión, 1.0.3, tiene un punto final API que escucha en localhost (127.0.0.1) a través del puerto 8076.

Esta API ofrece una interfaz de línea de comandos (CLI) para realizar diversas acciones, como desconectar una sesión VPN mediante la URL You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Sin embargo, esta API no realiza ninguna autenticación, lo que permite a cualquiera emitir comandos a la CLI, incluso a un sitio web que está visitando.

La API VPN de Atlas conduce a un exploit de día cero

Un usuario de Reddit llamado 'Educational-Map-8145' publicó un exploit PoC en Reddit que abusa de la API de Atlas VPN Linux para revelar las direcciones IP reales de un usuario.

Esta PoC crea un formulario oculto que JavaScript envía automáticamente para conectarse a la URL del punto de enlace de la You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cuando se accede a este punto de enlace de API, finaliza automáticamente cualquier sesión activa de Atlas VPN que oculte la dirección IP de un usuario.

Una vez que se desconecta la conexión VPN, la PoC se conectará a la URL para registrar la dirección IP real del You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Esta es una violación grave de la privacidad para cualquier usuario de VPN, ya que expone su ubicación física aproximada y su dirección IP real, lo que les permite ser rastreados y anular una de las razones principales para usar un proveedor de VPN.

El ingeniero de ciberseguridad de Amazon, Chris Partridge, probó y confirmó el exploit, creando el siguiente video para demostrar que se puede aprovechar para revelar una dirección IP.

Partridge explicó además que la PoC evita las protecciones CORS (Cross-Origin Resource Sharing) existentes en los navegadores web porque las solicitudes se envían a la API de Atlas VPN como envíos de formularios.

"Las presentaciones de formularios están exentas de CORS por razones de legado / compatibilidad, se consideran una 'solicitud simple' por la especificación de CORS", dijo Partridge a BleepingComputer.

Normalmente, CORS bloquearía las solicitudes realizadas por scripts en páginas web a dominios diferentes al dominio de origen. En el caso de este exploit, serían las solicitudes realizadas por cualquier sitio web al localhost de un visitante en "You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login".

Sin embargo, Partridge explicó a BleepingComputer que el uso de un formulario para "omitir" CORS no permitiría que un sitio web vea ninguna respuesta del envío del formulario.

Sin embargo, en este caso, la respuesta no es necesaria, ya que el envío del formulario simplemente se utiliza para acceder a la URL para desconectar la conexión VPN de Atlas en Linux.

"Se supone que los formularios ya deberían protegerse contra el CSRF. Lo cual, como podemos ver hoy, no es una buena suposición y ha llevado a algunas consecuencias no deseadas", advirtió Partridge.

Solución próximamente en el próximo parche

El usuario de Reddit afirma que se puso en contacto con Atlas VPN sobre el problema, pero fue ignorado, y dado que la compañía no tenía un programa de recompensas de errores, la divulgación pública era la única opción lógica que quedaba.

Atlas VPN finalmente respondió al problema cuatro días después de la divulgación, disculpándose con el reportero y prometiendo lanzar una solución para su cliente Linux lo antes posible. Además, los usuarios de Linux serán notificados cuando la actualización esté disponible.

En respuesta a nuestra solicitud de comentarios, un portavoz de Atlas VPN ha enviado lo siguiente:

"Somos conscientes de la vulnerabilidad de seguridad que afecta a nuestro cliente Linux. Nos tomamos muy en serio la seguridad y la privacidad del usuario. Por lo tanto, estamos trabajando activamente para solucionarlo lo antes posible. Una vez resuelto, nuestros usuarios recibirán un mensaje para actualizar su aplicación Linux a la última versión.

La vulnerabilidad afecta al cliente Linux VPN Atlas versión 1.0.3. Como afirmó el investigador, debido a la vulnerabilidad, la aplicación y, por lo tanto, el tráfico cifrado entre un usuario y la puerta de enlace VPN pueden ser desconectados por un actor malicioso. Esto podría conducir a la divulgación de la dirección IP del usuario.

Apreciamos enormemente el papel vital de los investigadores de ciberseguridad en la identificación y el tratamiento de fallas de seguridad en los sistemas, lo que ayuda a protegerse contra posibles ataques cibernéticos, y les agradecemos por llamar nuestra atención sobre esta vulnerabilidad. Implementaremos más controles de seguridad en el proceso de desarrollo para evitar tales vulnerabilidades en el futuro. Si alguien se encuentra con cualquier otra amenaza potencial relacionada con nuestro servicio, póngase en contacto con nosotros a través de security@Atlas You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login." - Atlas VPN.

Dada la naturaleza crítica de esta vulnerabilidad de día cero, que sigue siendo explotable hasta que se lance un parche, se recomienda encarecidamente a los usuarios de clientes Linux que tomen precauciones inmediatas, incluida la consideración de una solución VPN alternativa.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una versión actualizada de un cargador de malware conocido como BLISTER se está utilizando como parte de las cadenas de infección SocGholish para distribuir un marco de comando y control (C2) de código abierto llamado Mythic.

"La nueva actualización de BLISTER incluye una función de clave que permite una orientación precisa de las redes de las víctimas y reduce la exposición dentro de los entornos de VM / sandbox", dijeron los investigadores de Elastic Security Labs Salim Bitam y Daniel Stepanic en un informe técnico publicado a fines del mes pasado.

BLISTER fue descubierto por primera vez por la compañía en diciembre de 2021 actuando como un conducto para distribuir cargas útiles de Cobalt Strike y BitRAT en sistemas comprometidos.

El uso del malware junto con SocGholish (también conocido como FakeUpdates), un malware de descarga basado en JavaScript, para entregar Mythic fue revelado previamente por Palo Alto Networks Unit 42 en julio de 2023.

En estos ataques, BLISTER está incrustado dentro de una biblioteca legítima de VLC Media Player en un intento de sortear el software de seguridad e infiltrarse en los entornos de las víctimas.

Tanto SocGholish como BLISTER se han utilizado en tándem como parte de varias campañas, y este último se ha utilizado como cargador de segunda etapa para distribuir Cobalt Strike y LockBit ransomware, como lo demostraron Red Canary y Trend Micro a principios de 2022.

Un análisis más detallado del malware muestra que se está manteniendo activamente, con los autores de malware incorporando una serie de técnicas para volar bajo el radar y complicar el análisis.

"BLISTER es un cargador que continúa bajo el radar, siendo utilizado activamente para cargar una variedad de malware, incluidos clipbankers, ladrones de información, troyanos, ransomware y shellcode", señaló Elastic en abril de 2023.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las industrias bancarias y logísticas están bajo el ataque de una variante reelaborada de un malware llamado Chaes.

"Ha sufrido revisiones importantes: desde ser reescrito completamente en Python, lo que resultó en tasas de detección más bajas por parte de los sistemas de defensa tradicionales, hasta un rediseño integral y un protocolo de comunicación mejorado", dijo Morphisec en un nuevo artículo técnico detallado compartido con The Hacker News.

Chaes, que surgió por primera vez en 2020, es conocido por apuntar a clientes de comercio electrónico en América Latina, particularmente Brasil, para robar información financiera confidencial.

Un análisis posterior de Avast a principios de 2022 encontró que los actores de amenazas detrás de la operación, que se hacen llamar Lucifer, habían violado más de 800 sitios web de WordPress para entregar Chaes a los usuarios de Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre y Mercado Pago.

Se detectaron más actualizaciones en diciembre de 2022, cuando la empresa brasileña de ciberseguridad Tempest Security Intelligence descubrió el uso del malware de Instrumental de administración de Windows (WMI) en su cadena de infección para facilitar la recopilación de metadatos del sistema, como BIOS, procesador, tamaño de disco e información de memoria.

La última iteración del malware, denominada Chae$ 4 en referencia a los mensajes de registro de depuración presentes en el código fuente, incluye "transformaciones y mejoras significativas", incluido un catálogo ampliado de servicios destinados al robo de credenciales, así como funcionalidades de clipper.

A pesar de los cambios en la arquitectura de malware, el mecanismo de entrega general se ha mantenido igual en los ataques que se identificaron en enero de 2023.


Las víctimas potenciales que llegan a uno de los sitios web comprometidos son recibidas por un mensaje emergente que les pide que descarguen un instalador para Java Runtime o una solución antivirus, lo que desencadena el despliegue de un archivo MSI malicioso que, a su vez, lanza un módulo orquestador primario conocido como ChaesCore.

El componente es responsable de establecer un canal de comunicación con el servidor de comando y control (C2) desde donde obtiene módulos adicionales que admiten la actividad posterior al compromiso y el robo de datos.

• Init, que recopila amplia información sobre el sistema
• En línea, que actúa como una baliza para transmitir un mensaje al atacante de que el malware se está ejecutando en la máquina
• Chronod, que roba las credenciales de inicio de sesión ingresadas en los navegadores web e intercepta las transferencias de pago BTC, ETH y PIX
• Appita, un módulo con características similares a las de Chronod pero diseñado específicamente para apuntar a la aplicación de escritorio del Itaú Unibanco ("itauaplicativo.exe")
• Chrautos, una versión actualizada de Chronod y Appita que se enfoca en recopilar datos de Mercado Libre, Mercado Pago y WhatsApp
• Stealer, una variante mejorada de Chrolog que saquea datos de tarjetas de crédito, cookies, autocompletar y otra información almacenada en navegadores web, y
• File Uploader, que carga datos relacionados con la extensión de Chrome de MetaMask

La persistencia en el host se logra mediante una tarea programada, mientras que las comunicaciones C2 implican el uso de WebSockets, con el implante ejecutándose en un bucle infinito para esperar más instrucciones del servidor remoto.

La focalización de las transferencias de criptomonedas y los pagos instantáneos a través de la plataforma PIX de Brasil es una adición notable que subraya las motivaciones financieras de los actores de amenazas.

"El módulo Chronod introduce otro componente utilizado en el marco, un componente llamado Module Packer", explicó Morphisec. "Este componente proporciona al módulo sus propios mecanismos de persistencia y migración, que funcionan de manera muy similar a los de ChaesCore".

Este método implica alterar todos los archivos de acceso directo (LNK) asociados con los navegadores web (por ejemplo, Google Chrome, Microsoft Edge, Brave y Avast Secure Browser) para ejecutar el módulo Chronod en lugar del navegador real.

"El malware utiliza el protocolo DevTools de Google para conectarse a la instancia actual del navegador", dijo la compañía. "Este protocolo permite la comunicación directa con la funcionalidad del navegador interno a través de WebSockets".

"La amplia gama de capacidades expuestas por este protocolo permite al atacante ejecutar scripts, interceptar solicitudes de red, leer cuerpos POST antes de ser cifrados y mucho más".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva operación motivada financieramente está aprovechando un bot malicioso de Telegram para ayudar a los actores de amenazas a estafar a sus víctimas.

Apodado Telekopye, un acrónimo de Telegram y kopye (que significa "lanza" en ruso), el kit de herramientas funciona como un medio automatizado para crear una página web de phishing a partir de una plantilla prefabricada y enviar la URL a víctimas potenciales, con nombre en código Mammoths por los delincuentes.

"Este kit de herramientas se implementa como un bot de Telegram que, cuando se activa, proporciona varios menús fáciles de navegar en forma de botones en los que se puede hacer clic que pueden acomodar a muchos estafadores a la vez", dijo el investigador de ESET, Radek Jizba, en un informe compartido con The Hacker News.

Los orígenes exactos de los actores de amenazas, apodados neandertales, no están claros, pero la evidencia apunta a Rusia como el país de origen de los autores y usuarios del kit de herramientas, debido al uso de plantillas de SMS rusas y al hecho de que la mayoría de los mercados en línea específicos son populares en el país.

Se han detectado múltiples versiones de Telekopye hasta la fecha, la más temprana data de 2015, lo que sugiere que se está manteniendo y utilizando activamente durante varios años.

Las cadenas de ataque proceden así: los neandertales encuentran a sus mamuts y tratan de establecer una relación con ellos, antes de enviar un enlace falso creado utilizando el kit de phishing Telekopye por correo electrónico, SMS o un mensaje directo.

Una vez que se ingresan los detalles de pago en la pasarela de tarjeta de crédito / débito falsa, la información se utiliza para desviar fondos de la víctima, que luego se lavan a través de criptomonedas.

Telekopye tiene todas las funciones, lo que permite a sus usuarios enviar correos electrónicos de phishing, generar páginas web, enviar mensajes SMS, crear códigos QR y crear imágenes convincentes y capturas de pantalla de cheques y recibos.

Los dominios de phishing utilizados para alojar las páginas se registran de tal manera que la URL final comienza con el nombre de marca esperado: cdek.id7423[.] ru, olx.id7423[.] ru y sbazar.id7423[.] ru -- en un esfuerzo por hacerlos difíciles de detectar.

Un aspecto notable de la operación es la naturaleza centralizada de los pagos. En lugar de transferir el dinero robado de los mamuts a sus propias cuentas, se canaliza a una cuenta compartida administrada por el administrador de Telekopye, lo que le da al equipo central una supervisión de las operaciones de cada neandertal.


En otras palabras, los neandertales son pagados por el administrador de Telekopye después de solicitar un pago a través del kit de herramientas en sí, pero no antes de que una parte de él se tome como comisión para el propietario de la plataforma y el recomendador.

"Telekopye verifica el saldo del neandertal, la solicitud final es aprobada por el administrador de Telekopye y, finalmente, los fondos se transfieren a la billetera de criptomonedas del neandertal", dijo Jizba.

"En algunas implementaciones de Telekopye, el primer paso, pedir un pago, se automatiza y la negociación se inicia cada vez que un neandertal alcanza un cierto umbral de dinero robado por estafas realizadas con éxito".

En lo que es una señal más de la profesionalización de la empresa criminal, los usuarios y operadores de Telekopye están organizados en una jerarquía clara que abarca roles como administradores, moderadores, buenos trabajadores (o bots de soporte), trabajadores y bloqueados.

• Bloqueado: Usuarios a los que se les prohíbe usar Telekopye por infringir las reglas del proyecto.
• Trabajadores: Un papel común asignado a todos los nuevos neandertales.
• Buenos trabajadores: Una actualización del rol de trabajador con un pago mayor y tarifas de comisión más bajas.
• Moderadores: usuarios que pueden promover y degradar a otros miembros y aprobar nuevos miembros, pero no pueden modificar la configuración del kit de herramientas.
• Administradores: usuarios con los privilegios más altos que pueden agregar plantillas de páginas web de phishing y alterar las tasas de pago.

"La forma más fácil de saber si estás siendo atacado por un neandertal que intenta robar tu dinero es mirando el lenguaje utilizado", dijo Jizba. "Insista en el intercambio de dinero y bienes en persona siempre que sea posible cuando se trate de bienes de segunda mano en los mercados en línea. Evite enviar dinero a menos que esté seguro de dónde irá".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Oficina Federal de Investigaciones (FBI) de Estados Unidos advierte que los dispositivos Email Security Gateway (ESG) de Barracuda Networks parcheados contra una falla crítica recientemente revelada continúan en riesgo de un posible compromiso por parte de presuntos grupos de piratería chinos.

También consideró las correcciones como "ineficaces" y que "continúa observando intrusiones activas y considera que todos los dispositivos Barracuda ESG afectados están comprometidos y son vulnerables a este exploit".

Rastreado como CVE-2023-2868 (puntuación CVSS: 9.8 ), se dice que el error de día cero se armó ya en octubre de 2022, más de siete meses antes de que se tapara el agujero de seguridad. Mandiant, propiedad de Google, está rastreando el clúster de actividad del nexo entre China bajo el nombre UNC4841.

La vulnerabilidad de inyección remota de comandos, que afecta a las versiones 5.1.3.001 a 9.2.0.006, permite la ejecución no autorizada de comandos del sistema con privilegios de administrador en el producto ESG.

En los ataques observados hasta ahora, una violación exitosa actúa como un conducto para desplegar múltiples cepas de malware como SALTWATER, SEASIDE, SEASPY, SANDBAR, SEASPRAY, SKIPJACK, WHIRLPOOL y SUBMARINE (también conocido como DEPTHCHARGE) que permiten la ejecución de comandos arbitrarios y la evasión de defensa.


"Los actores cibernéticos utilizaron esta vulnerabilidad para insertar cargas maliciosas en el dispositivo ESG con una variedad de capacidades que permitieron el acceso persistente, el escaneo de correo electrónico, la recolección de credenciales y la exfiltración de datos", dijo el FBI.

La firma de inteligencia de amenazas ha caracterizado a UNC4841 como agresivo y hábil, demostrando un don para la sofisticación y adaptando rápidamente sus herramientas personalizadas para emplear mecanismos de persistencia adicionales y mantener su punto de apoyo en objetivos de alta prioridad.

La agencia federal recomienda a los clientes que aíslen y reemplacen todos los dispositivos ESG afectados con efecto inmediato, y escaneen las redes en busca de tráfico saliente sospechoso.

Actualizar

Cuando se contactó para hacer comentarios, Barracuda Networks compartió la siguiente declaración con The Hacker News:

La orientación de Barracuda sigue siendo consistente para los clientes. Por precaución y para promover nuestra estrategia de contención, recomendamos que los clientes afectados reemplacen su electrodoméstico comprometido. Si un cliente recibió la notificación de la interfaz de usuario o ha sido contactado por un representante de soporte técnico de Barracuda, el cliente debe comunicarse con support@barracuda[.] com para reemplazar el dispositivo ESG. Barracuda está proporcionando el producto de reemplazo a los clientes afectados sin costo alguno.

Hemos notificado a los clientes afectados por este incidente. Si un dispositivo ESG muestra una notificación en la interfaz de usuario, el dispositivo ESG tenía indicadores de compromiso. Si no se muestra ninguna notificación, no tenemos ninguna razón para creer que el dispositivo se haya visto comprometido en este momento. Una vez más, solo un subconjunto de dispositivos ESG se vio afectado por este incidente.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha identificado un nuevo grupo de piratería que ahora rastrea como Flax Typhoon que reúne a agencias gubernamentales y organizaciones educativas, de fabricación crítica y de tecnología de la información probablemente con fines de espionaje.

El actor de amenazas no depende mucho del malware para obtener y mantener el acceso a la red de la víctima y prefiere usar principalmente componentes ya disponibles en el sistema operativo, los llamados binarios que viven fuera de la tierra o LOLBins, y software legítimo.

Operando desde al menos mediados de 2021, Flax Typhoon se dirigió principalmente a organizaciones en Taiwán, aunque Microsoft descubrió algunas víctimas en el sudeste asiático, América del Norte y África.

TTP del tifón del lino observado

En la campaña observada por Microsoft, Flax Typhoon obtuvo acceso inicial explotando vulnerabilidades conocidas en servidores públicos, incluyendo VPN, web, Java y aplicaciones SQL.

Los hackers lanzaron China Chopper, un shell web pequeño (4KB) pero potente que proporciona capacidades de ejecución remota de código.

Si es necesario, los piratas informáticos elevan sus privilegios al nivel de administrador utilizando las herramientas de código abierto 'Juicy Potato' y 'BadPotato' disponibles públicamente que explotan vulnerabilidades conocidas para obtener permisos más altos.

A continuación, Flax Typhoon establece la persistencia desactivando la autenticación a nivel de red (NLA) a través de modificaciones en el registro y explotando la característica de accesibilidad Windows Sticky Keys para configurar una conexión RDP (Protocolo de escritorio remoto).

"Flax Typhoon puede acceder al sistema comprometido a través de RDP, usar el acceso directo Sticky Keys en la pantalla de inicio de sesión y acceder al Administrador de tareas con privilegios del sistema local", explica Microsoft.

"A partir de ahí, el actor puede iniciar la Terminal, crear volcados de memoria y realizar casi cualquier otra acción en el sistema comprometido".


Para eludir las restricciones de conectividad RDP de RDP a la red interna, Flax Typhoon instala un puente VPN (red privada virtual) legítimo para mantener el enlace entre el sistema comprometido y su servidor externo.

Los piratas informáticos descargan el cliente VPN SoftEther de código abierto utilizando LOLBins como PowerShell Invoke-WebRequest utility, certutil o bitsadmin, y abusan de varias herramientas integradas de Windows para configurar la aplicación VPN para que se inicie automáticamente al iniciar el sistema.


Para minimizar el riesgo de detección, los atacantes lo renombran a 'conhost.exe' o 'dllhost.exe', enmascarándolo así como un componente legítimo de Windows.

Además, Flax Typhoon utiliza el modo VPN sobre HTTPS de SoftEther para ocultar el tráfico VPN como tráfico HTTPS estándar.

Microsoft dice que los piratas informáticos utilizan Windows Remote Management (WinRM), WMIC y otros LOLBins para el movimiento lateral.

Los investigadores dicen que este adversario con sede en China utiliza con frecuencia la herramienta Mimikatz para extraer credenciales de la memoria de proceso del Servicio de Subsistema de Autoridad de Seguridad (LSASS) ocal y el subárbol de registro del Administrador de cuentas de seguridad (SAM).

Microsoft no ha observado que Flax Typhoon use las credenciales robadas para extraer datos adicionales, lo que hace que el objetivo principal del actor no esté claro en este momento.

Protección

Microsoft recomienda que las organizaciones apliquen las actualizaciones de seguridad más recientes a los puntos de conexión expuestos a Internet y a los servidores públicos, y la autenticación multifactor (MFA) debe estar habilitada en todas las cuentas.

Además, el monitoreo del registro podría ayudar a detectar intentos de modificación y cambios no autorizados como los realizados por Flax Typhoon para deshabilitar NLA.

Las organizaciones que sospechan una violación de este actor de amenazas en particular necesitan examinar a fondo sus redes, ya que los largos períodos de permanencia de Flax Typhoon permiten comprometer múltiples cuentas y alterar la configuración del sistema para el acceso a largo plazo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

MSI ha confirmado oficialmente la reciente oleada de pantallas azules de la muerte (BSOD) encontradas por los usuarios de Windows después de instalar las actualizaciones de vista previa opcionales de esta semana está vinculada a algunos de sus modelos de placas base.

"MSI ha recibido varios informes de usuarios que se encuentran con una pantalla azul de la muerte que tiene un mensaje de error que dice 'UNSUPPORTED_PROCESSOR' con las placas base de la serie 600/700 de MSI después de instalar la actualización de Windows 11, KB5029351 Preview", dijo la compañía.

"Tanto MSI como Microsoft son conscientes del error 'UNSUPPORTED_PROCESSOR' y han comenzado a investigar la causa raíz".

El proveedor taiwanés de PC también ha aconsejado a todos los usuarios que eviten instalar las actualizaciones de vista previa de agosto de 2023 en sistemas Windows por ahora.

Aquellos que ya han actualizado sus sistemas y se han visto afectados por las pantallas azules deben revertir su BIOS a una versión anterior y desinstalar las actualizaciones opcionales de Windows.

MSI proporciona información detallada en este video sobre el uso de M-FLASH para volver a versiones anteriores del BIOS en las placas base MSI.


Microsoft también reconoció este problema conocido el miércoles, diciendo que las plataformas afectadas incluyen Windows 10 21H2 / 22H2 y Windows 11 22H2.

"Microsoft ha recibido informes de un problema en el que los usuarios reciben un mensaje de error 'UNSUPPORTED_PROCESSOR' en una pantalla azul después de instalar las actualizaciones lanzadas el 2 de agosto", dijo la compañía.

Redmond agregó que las actualizaciones opcionales con errores "podrían desinstalarse automáticamente para permitir que Windows se inicie como se esperaba".

Esto fue confirmado por varios clientes [1, 2] que dijeron que las actualizaciones problemáticas se revirtieron automáticamente después de varios reinicios del sistema.

Microsoft pidió a los usuarios afectados que han encontrado problemas de BSOD que presenten un informe mediante el Centro de opiniones.

Esta semana, Microsoft también presentó una nueva política de Windows 11 que otorga a los administradores un mejor control sobre la entrega de actualizaciones mensuales de vista previa no relacionadas con la seguridad en dispositivos empresariales.

Tras la activación, los usuarios pueden elegir entre instalar automáticamente actualizaciones opcionales o seleccionar manualmente las actualizaciones que desean instalar.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las empresas de alojamiento danesas CloudNordic y AzeroCloud han sufrido ataques de ransomware, causando la pérdida de la mayoría de los datos de los clientes y obligando a los proveedores de alojamiento a cerrar todos los sistemas, incluidos los sitios web, el correo electrónico y los sitios de los clientes.

Las dos marcas pertenecen a la misma compañía y declararon que el ataque se desarrolló el viernes pasado por la noche. Sin embargo, el estado operativo actual sigue siendo muy problemático, ya que los equipos de TI de la empresa solo logran restaurar algunos servidores sin ningún dato.

Además, la declaración de la firma aclara que no pagará un rescate a los actores de amenazas y ya se ha comprometido con expertos en seguridad e informó el incidente a la policía.

Desafortunadamente, el sistema y el proceso de restauración de datos no va bien, y CloudNordic dice que muchos de sus clientes han perdido datos que parecen irrecuperables.

"Dado que no podemos ni deseamos satisfacer las demandas financieras de los hackers criminales por un rescate, el equipo de TI de CloudNordic y expertos externos han estado trabajando intensamente para evaluar el daño y determinar qué podría recuperarse", se lee en la declaración de CloudNordic.

"Lamentablemente, ha sido imposible recuperar más datos y, en consecuencia, la mayoría de nuestros clientes han perdido todos sus datos con nosotros".

Ambos avisos públicos incluyen instrucciones sobre cómo recuperar sitios web y servicios de copias de seguridad locales o archivos de Wayback Machine.

Dada la situación, los dos proveedores de servicios de alojamiento recomendaron previamente que los clientes más afectados se mudaran a otros proveedores, como Powernet y Nordicway.

Golpear en el momento adecuado

Las declaraciones de la empresa de alojamiento revelaron que algunos de los servidores de la empresa habían sido infectados por ransomware a pesar de estar protegidos por firewalls y antivirus.

Durante una migración del centro de datos, esos servidores se conectaron a la red más amplia, lo que permitió a los atacantes acceder a sistemas administrativos críticos, todos los silos de almacenamiento de datos y todos los sistemas de respaldo.

A continuación, los atacantes cifraron todos los discos del servidor, incluidas las copias de seguridad primarias y secundarias, corrompiendo todo sin dejar una oportunidad de recuperación.

CloudNordic dice que el ataque se limitó a cifrar datos, y la evidencia recopilada no indica que se haya accedido o exfiltrado ningún dato en las máquinas. Dicho esto, no hay evidencia de una violación de datos.

Los medios daneses informan que los ataques han afectado a "varios cientos de empresas danesas" que perdieron todo lo que almacenaban en la nube, incluidos sitios web, bandejas de entrada de correo electrónico, documentos, etc.

Martin Haslund Johansson, director de Azerocloud y CloudNordic, declaró que no espera que los clientes se queden con ellos cuando finalmente se complete la recuperación.

Apuntar a los proveedores de alojamiento es una táctica utilizada por las bandas de ransomware en el pasado, ya que causa daños a gran escala y crea muchas víctimas en un solo ataque.

Debido al número de víctimas, los proveedores estarán bajo mucha presión para pagar un rescate para restaurar sus operaciones y potencialmente evitar demandas de clientes que perdieron sus datos.

En 2017, un ataque similar llevó a un proveedor de alojamiento de Corea del Sur a pagar una demanda de ransomware de $ 1 millón para recuperar los datos de sus clientes.

Más recientemente, Rackspace sufrió un ataque de ransomware Play en sus servicios alojados de Microsoft Exchange que provocó interrupciones de correo electrónico para muchos de sus clientes.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los datos de 2,6 millones de usuarios de DuoLingo se filtraron en un foro de piratería, lo que permitió a los actores de amenazas realizar ataques de phishing dirigidos utilizando la información expuesta.

Duolingo es uno de los sitios de aprendizaje de idiomas más grandes del mundo, con más de 74 millones de usuarios mensuales en todo el mundo.

En enero de 2023, alguien estaba vendiendo los datos de 2.6 millones de usuarios de DuoLingo en el foro de piratería Breach, ahora cerrado, por $ 1,500.

Estos datos incluyen una combinación de inicio de sesión público y nombres reales, e información no pública, incluidas direcciones de correo electrónico e información interna relacionada con el servicio DuoLingo.

Si bien el nombre real y el nombre de inicio de sesión están disponibles públicamente como parte del perfil de Duolingo de un usuario, las direcciones de correo electrónico son más preocupantes, ya que permiten que estos datos públicos se utilicen en ataques.


Cuando los datos estaban a la venta, DuoLingo confirmó a TheRecord que fueron eliminados de la información del perfil público y que estaban investigando si se debían tomar más precauciones.

Sin embargo, Duolingo no abordó el hecho de que las direcciones de correo electrónico también figuraban en los datos, lo que no es información pública.

Como fue descubierto por primera vez por VX-Underground, el conjunto de datos de 2.6 millones de usuarios raspados se lanzó ayer en una nueva versión del foro de piratería Breached por 8 créditos del sitio, por un valor de solo $ 2.13.

"Hoy he subido el Duolingo Scrape para que lo descargues, ¡gracias por leer y disfrutar!", se lee en una publicación en el foro de piratería.


Estos datos se extrajeron utilizando una interfaz de programación de aplicaciones (API) expuesta que se ha compartido abiertamente desde al menos marzo de 2023, con investigadores twitteando y documentando públicamente cómo usar la API.

La API permite a cualquier persona enviar un nombre de usuario y recuperar la salida JSON que contiene la información del perfil público del usuario. Sin embargo, también es posible introducir una dirección de correo electrónico en la API y confirmar si está asociada con una cuenta válida de DuoLingo.

BleepingComputer ha confirmado que esta API todavía está disponible abiertamente para cualquier persona en la web, incluso después de que su abuso fuera reportado a DuoLingo en enero.

Esta API permitió al extractor alimentar millones de direcciones de correo electrónico, probablemente expuestas en violaciones de datos anteriores, en la API y confirmar si pertenecían a cuentas de DuoLingo. Estas direcciones de correo electrónico se utilizaron para crear el conjunto de datos que contiene información pública y no pública.

Otro actor de amenazas compartió su propio raspado de API, señalando que los actores de amenazas que deseen utilizar los datos en ataques de phishing deben prestar atención a campos específicos que indican que un usuario de DuoLingo tiene más permiso que un usuario normal y, por lo tanto, son objetivos más valiosos.

BleepingComputer se ha puesto en contacto con DuoLingo con preguntas sobre por qué la API todavía está disponible públicamente, pero no recibió una respuesta en el momento de esta publicación.

Datos extradidos descartados regularmente

Las empresas tienden a extraer y descartar los datos no como un problema, ya que la mayoría de los datos ya son públicos, incluso si no son necesariamente fáciles de compilar.

Sin embargo, cuando los datos públicos se mezclan con datos privados, como números de teléfono y direcciones de correo electrónico, tiende a hacer que la información expuesta sea más riesgosa y potencialmente violar las leyes de protección de datos.

Por ejemplo, en 2021, Facebook sufrió una fuga masiva después de que se abusara de un error de la API "Agregar amigo" para vincular números de teléfono a cuentas de Facebook para 533 millones de usuarios. La comisión irlandesa de protección de datos (DPC) multó más tarde a Facebook con € 265 millones ($ 275.5 millones) por esta filtración de datos raspados.

Más recientemente, se utilizó un error de la API de Twitter para raspar los datos públicos y las direcciones de correo electrónico de millones de usuarios, lo que llevó a una investigación por parte del DPC.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El proveedor de servicios de software Ivanti advierte de una nueva falla crítica de día cero que afecta a Ivanti Sentry (anteriormente MobileIron Sentry) que, según dijo, está siendo explotada activamente en la naturaleza, lo que marca una escalada de sus problemas de seguridad.

Rastreado como CVE-2023-38035 (puntuación CVSS: 9.8 ), el problema se ha descrito como un caso de omisión de autenticación que afecta a las versiones 9.18 y anteriores debido a lo que llamó un debido a una configuración Apache HTTPD insuficientemente restrictiva.

"Si se explota, esta vulnerabilidad permite a un actor no autenticado acceder a algunas API confidenciales que se utilizan para configurar Ivanti Sentry en el portal del administrador (puerto 8443, comúnmente MICS)", dijo la compañía.

"Si bien el problema tiene una alta puntuación CVSS, existe un bajo riesgo de explotación para los clientes que no exponen el puerto 8443 a Internet".

La explotación exitosa del error podría permitir a un atacante cambiar la configuración, ejecutar comandos del sistema o escribir archivos en el sistema. Se recomienda que los usuarios restrinjan el acceso a MICS a las redes de administración internas.

Si bien los detalles exactos sobre la naturaleza de la explotación son actualmente desconocidos, la compañía dijo que "solo tiene conocimiento de un número limitado de clientes" que se han visto afectados.

La compañía noruega de ciberseguridad mnemonic ha sido acreditada con el descubrimiento y la notificación de la falla.

"La explotación exitosa permite a un actor de amenazas no autenticado leer y escribir archivos en el servidor Ivanti Sentry y ejecutar comandos del sistema operativo como administrador del sistema (root) mediante el uso de 'super user do' (sudo)", dijo.

Además, CVE-2023-38035 podría convertirse en arma después de explotar CVE-2023-35078 y CVE-2023-35081, otros dos defectos recientemente revelados en Ivanti Endpoint Manager Mobile (EPMM), en escenarios donde el puerto 8443 no es de acceso público ya que el portal de administración se utiliza para comunicarse con el servidor Ivanti EPMM.

El desarrollo se produce una semana después de que Ivanti corrigiera dos fallas críticas de desbordamiento de búfer basadas en pila (CVE-2023-32560) en su software Avalanche que podrían provocar bloqueos y ejecución de código arbitrario en instalaciones vulnerables.

Actualiza

La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó el martes CVE-2023-38035 a su catálogo de vulnerabilidades explotadas conocidas (KEV), junto con CVE-2023-27532, un error crítico en el software Veeam Backup & Replication, luego de la explotación activa en la naturaleza.

Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar los parches antes del 12 de septiembre de 2023 para proteger sus redes contra posibles ataques cibernéticos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha agregado una falla de seguridad crítica en Adobe ColdFusion a su catálogo de vulnerabilidades explotadas conocidas (KEV), basada en evidencia de explotación activa.

La vulnerabilidad, catalogada como CVE-2023-26359 (puntuación CVSS: 9,8), se relaciona con un error de deserialización presente en Adobe ColdFusion 2018 (actualización 15 y versiones anteriores) y ColdFusion 2021 (actualización 5 y versiones anteriores) que podría provocar la ejecución de código arbitrario en el contexto del usuario actual sin requerir ninguna interacción.

La deserialización (también conocida como unmarshaling) se refiere al proceso de reconstrucción de una estructura de datos o un objeto a partir de un flujo de bytes. Pero cuando se realiza sin validar su origen o desinfectar su contenido, puede llevar a consecuencias inesperadas, como la ejecución de código o la denegación de servicio (DoS).

Fue parcheado por Adobe como parte de las actualizaciones emitidas en marzo de 2023. Al momento de escribir, no está claro de inmediato cómo se está abusando de la falla en la naturaleza.

Dicho esto, el desarrollo se produce más de cinco meses después de que CISA colocara otra falla que afecta al mismo producto (CVE-2023-26360) en el catálogo de KEV. Adobe dijo que es consciente de la debilidad que se explota en "ataques muy limitados" dirigidos a ColdFusion.

A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar los parches necesarios antes del 11 de septiembre de 2023 para proteger sus redes contra posibles amenazas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un anuncio de aspecto legítimo para Amazon en los resultados de búsqueda de Google redirige a los visitantes a una estafa de soporte técnico de Microsoft Defender que bloquea su navegador.
Hoy, BleepingComputer fue alertado de lo que parecía ser un anuncio válido para Amazon en los resultados de búsqueda de Google.
El anuncio muestra la URL legítima de Amazon, al igual que en el resultado de búsqueda típico de la compañía, como se muestra a continuación.


Sin embargo, al hacer clic en el anuncio de Google, se redirigirá a la persona a una estafa de soporte técnico que pretende ser una alerta de Microsoft Defender que indica que está infectado con el malware ads(exe).finacetrack(2).dll.


Estafa de soporte técnico de anuncio
falso de Amazon Fuente: BleepingComputer

Estas estafas de soporte técnico entrarán automáticamente en modo de pantalla completa, lo que dificultará salir de la página sin finalizar el proceso de Google Chrome.
Sin embargo, cuando Chrome termina de esta manera, en el relanzamiento, solicitará a los usuarios que restauren las páginas cerradas anteriormente, reabriendo la estafa de soporte técnico.

En junio de 2022, Malwarebytes descubrió un anuncio de YouTube de aspecto legítimo que también usaba la URL de la plataforma, lo que llevó a la misma estafa de soporte técnico.
No está claro por qué Google permite a los anunciantes hacerse pasar por las URL de otras compañías para crear estas estafas publicitarias convincentes.

Se abusa de los anuncios de Google para distribuir malware

BleepingComputer contactó tanto a Google como a Amazon con respecto a esta publicidad maliciosa, pero no ha recibido una respuesta en el momento de esta publicación.

Otros actores de amenazas han abusado mucho de los anuncios de Google durante el año pasado para distribuir malware, lo que a veces conduce a ataques de ransomware.
Los actores de amenazas crearían réplicas de sitios legítimos, pero intercambiarían los enlaces de descarga para distribuir programas troyanos que instalan malware.

La operación de ransomware Royal también crea anuncios de Google que promocionan sitios maliciosos que instalan balizas Cobalt Strike. Estas balizas se utilizan para proporcionar acceso inicial a las redes corporativas para llevar a cabo ataques de ransomware.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de Italia y el Reino Unido han descubierto cuatro vulnerabilidades en la bombilla inteligente TP-Link Tapo L530E y la aplicación Tapo de TP-Link, que podrían permitir a los atacantes robar la contraseña WiFi de su objetivo.
TP-Link Tapo L530E es una bombilla inteligente de gran venta en múltiples mercados, incluido Amazon. TP-link Tapo es una aplicación de gestión de dispositivos inteligentes con 10 millones de instalaciones en Google Play.


Los investigadores de la Universita di Catania y la Universidad de Londres analizaron este producto debido a su popularidad. Sin embargo, el objetivo de su documento es subrayar los riesgos de seguridad en los miles de millones de dispositivos inteligentes de IoT utilizados por los consumidores, muchos de los cuales siguen la transmisión de datos riesgosa y las deslucidas salvaguardas de autenticación.

Defectos de bombilla inteligente

La primera vulnerabilidad se refiere a la autenticación incorrecta en Tapo L503E, lo que permite a los atacantes hacerse pasar por el dispositivo durante el paso de intercambio de claves de sesión.
Esta vulnerabilidad de gravedad alta (puntuación CVSS v3.1: 8. permite a un atacante adyacente recuperar contraseñas de usuario de Tapo y manipular dispositivos Tapo.

La segunda falla también es un problema de alta gravedad (puntuación CVSS v3.1: 7.6) que surge de un secreto compartido de suma de comprobación corto codificado, que los atacantes pueden obtener mediante fuerza bruta o descompilando la aplicación Tapo.

El tercer problema es un defecto de gravedad media con respecto a la falta de aleatoriedad durante el cifrado simétrico que hace que el esquema criptográfico sea predecible.
Finalmente, un cuarto problema se deriva de la falta de comprobaciones de la actualización de los mensajes recibidos, manteniendo las claves de sesión válidas durante 24 horas y permitiendo a los atacantes reproducir mensajes durante ese período.

Escenarios de ataque

El escenario de ataque más preocupante es la suplantación de bulbo y la recuperación de los detalles de la cuenta de usuario de Tapo mediante la explotación de las vulnerabilidades 1 y 2.
Luego, al acceder a la aplicación Tapo, el atacante puede extraer el SSID y la contraseña WiFi de la víctima y obtener acceso a todos los demás dispositivos conectados a esa red.
El dispositivo debe estar en modo de configuración para que el ataque funcione. Sin embargo, el atacante puede desautenticar la bombilla, obligando al usuario a configurarla nuevamente para restaurar su función.


Otro tipo de ataque explorado por los investigadores es el ataque MITM (Man-In-The-Middle) con un dispositivo Tapo L530E configurado, explotando la vulnerabilidad 1 para interceptar y manipular la comunicación entre la aplicación y la bombilla y capturar las claves de cifrado RSA utilizadas para el posterior intercambio de datos.

Los ataques MITM también son posibles con dispositivos Tapo no configurados aprovechando la vulnerabilidad uno nuevamente conectándose al WiFi durante la configuración, uniendo dos redes y enrutando mensajes de descubrimiento, recuperando finalmente contraseñas Tapo, SSID y contraseñas WiFi en forma codificada base64 fácilmente descifrable.


Finalmente, la vulnerabilidad 4 permite a los atacantes lanzar ataques de reproducción, replicando mensajes que han sido olfateados previamente para lograr cambios funcionales en el dispositivo.

Divulgación y fijación

Los investigadores de la universidad revelaron responsablemente sus hallazgos a TP-Link, y el proveedor los reconoció a todos y les informó que pronto implementarían correcciones tanto en la aplicación como en el firmware de la bombilla.
Sin embargo, el documento no aclara si estas correcciones ya están disponibles y qué versiones siguen siendo vulnerables a los ataques.
BleepingComputer se ha puesto en contacto con TP-Link para obtener más información sobre las actualizaciones de seguridad y las versiones afectadas y actualizará esta publicación tan pronto como recibamos noticias.
Como consejo general para la seguridad de IoT, se recomienda mantener este tipo de dispositivos aislados de redes críticas, utilizar las últimas actualizaciones de firmware disponibles y versiones de aplicaciones complementarias, y proteger las cuentas con MFA y contraseñas seguras.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha descubierto una nueva versión del ransomware BlackCat que incorpora el marco de red Impacket y la herramienta de piratería Remcom, ambos permiten la propagación lateral a través de una red violada.

En abril, el investigador de ciberseguridad VX-Underground tuiteó sobre una nueva versión del cifrado BlackCat / ALPHV llamada Sphynx.

"Nos complace informarles que se han completado las pruebas de las características básicas ALPHV / BlackCat 2.0: Sphynx", dijeron los operadores de BlackCat en un mensaje a sus afiliados.

"El código, incluido el cifrado, ha sido completamente reescrito desde cero. De forma predeterminada, todos los archivos están congelados. La principal prioridad de esta actualización era optimizar la detección por AV / EDR ", explicó además las operaciones de ransomware.

Poco después, IBM Security X-Force realizó una inmersión profunda en el nuevo cifrado BlackCat, advirtiendo que el cifrado se convirtió en un kit de herramientas.

Esto se basaba en cadenas en el ejecutable que indicaban que contenía impacket, utilizado para funciones posteriores a la explotación, como la ejecución remota y el volcado de secretos de procesos.


El cifrador BlackCat Sphynx

En una serie de publicaciones de hoy, el equipo de Inteligencia de Amenazas de Microsoft dice que también analizaron la nueva versión de Sphynx y descubrieron que usaba el marco Impacket para propagarse lateralmente en redes comprometidas.

"Microsoft ha observado una nueva versión del ransomware BlackCat que se utiliza en campañas recientes", publicó Microsoft.

"Esta versión incluye la herramienta de marco de comunicación de código abierto Impacket, que los actores de amenazas utilizan para facilitar el movimiento lateral en entornos objetivo".

Impacket se describe como una colección de código abierto de clases de Python para trabajar con protocolos de red.

Sin embargo, es más comúnmente utilizado como un kit de herramientas posterior a la explotación por probadores de penetración, equipos rojos y actores de amenazas para propagarse lateralmente en una red, volcar credenciales de procesos, realizar ataques de retransmisión NTLM y mucho más.

Impacket se ha vuelto muy popular entre los actores de amenazas que violan un dispositivo en una red y luego usan el marco para obtener credenciales elevadas y obtener acceso a otros dispositivos.

Según Microsoft, la operación BlackCat está utilizando el marco Impacket para la duplicación de credenciales y la ejecución remota de servicios para implementar el cifrado en toda una red.

Además de Impacket, Microsoft dice que el cifrado incorpora la herramienta de piratería Remcom, que es un pequeño shell remoto que permite al cifrador ejecutar comandos de forma remota en otros dispositivos en una red.

En un aviso privado de Microsoft 365 Defender Threat Analytics visto por BleepingComputer, Microsoft dice que vieron este nuevo cifrado utilizado por el afiliado de BlackCat 'Storm-0875' desde julio de 2023.

Microsoft está identificando esta nueva versión como BlackCat 3.0, aunque, como dijimos anteriormente, la operación de ransomware lo llama 'Sphynx' o 'BlackCat/ALPHV 2.0' en las comunicaciones con afiliados.


Una pandilla de ransomware en constante evolución
BlackCat, también conocido como ALPHV, lanzó su operación en noviembre de 2021 y se cree que es un cambio de marca de la pandilla DarkSide / BlackMatter, que fue responsable del ataque a Colonial Pipeline.

La pandilla de ransomware siempre ha sido considerada una de las operaciones de ransomware más avanzadas y de primer nivel, evolucionando constantemente su operación con nuevas tácticas.

Por ejemplo, como una nueva táctica de extorsión el verano pasado, la pandilla de ransomware creó un sitio web claro dedicado a filtrar datos para una víctima en particular, para que los clientes y empleados pudieran verificar si sus datos estaban expuestos.

Más recientemente, los actores de amenazas crearon una API de fuga de datos, lo que permite una difusión más fácil de los datos robados.

Con el cifrado BlackCat evolucionando de un descifrador a un kit de herramientas de post-explotación completo, permite a los afiliados de ransomware implementar más rápidamente el cifrado de archivos en toda la red

Como es vital detectar los ataques de ransomware tan pronto como ocurren, agregar estas herramientas solo hace que sea más difícil para los defensores.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha corregido una vulnerabilidad de alta gravedad en WinRAR, la popular utilidad de archivado de archivos para Windows utilizada por millones, que puede ejecutar comandos en una computadora simplemente abriendo un archivo.

La falla se rastrea como CVE-2023-40477 y podría dar a los atacantes remotos la ejecución de código arbitrario en el sistema de destino después de abrir un archivo RAR especialmente diseñado.

La vulnerabilidad fue descubierta por el investigador "goodbyeselene" de Zero Day Initiative, quien informó de la falla al proveedor, RARLAB, el 8 de junio de 2023.

"La falla específica existe dentro del procesamiento de volúmenes de recuperación", se lee en el aviso de seguridad publicado en el sitio de ZDI.

"El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede resultar en un acceso a la memoria más allá del final de un búfer asignado".

Como un objetivo necesita engañar a una víctima para que abra un archivo, la calificación de gravedad de la vulnerabilidad se reduce a 7.8, según el CVSS.

Sin embargo, desde una perspectiva práctica, engañar a los usuarios para que realicen la acción requerida no debería ser demasiado desafiante, y dado el gran tamaño de la base de usuarios de WinRAR, los atacantes tienen amplias oportunidades para una explotación exitosa.

Mitigar el riesgo

RARLAB lanzó WinRAR versión 6.23 el 2 de agosto de 2023, abordando efectivamente CVE-2023-40477. Por lo tanto, se recomienda encarecidamente a los usuarios de WinRAR que apliquen la actualización de seguridad disponible inmediatamente.

Además de la corrección de código de procesamiento de volúmenes de recuperación RAR4, la versión 6.23 soluciona un problema con archivos especialmente diseñados que conducen a un inicio incorrecto de archivos, que también se considera un problema de alta gravedad.

También debe tenerse en cuenta que Microsoft ahora está probando el soporte nativo en Windows 11 para archivos RAR, 7-Zip y GZ, por lo que el software de terceros como WinRAR ya no será necesario en esta versión a menos que se necesiten sus características avanzadas.

Aquellos que continúan usando WinRAR deben mantener el software actualizado, ya que los piratas informáticos abusaron de fallas similares en el pasado para instalar malware.

Aparte de eso, ser cauteloso con los archivos RAR que abre y usar una herramienta antivirus que pueda escanear archivos sería una buena medida de seguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google ha anunciado planes para agregar una nueva función en la próxima versión de su navegador web Chrome para alertar a los usuarios cuando una extensión que han instalado se ha eliminado de Chrome Web Store.

La función, que se lanzará junto con Chrome 117, permite a los usuarios ser notificados cuando un desarrollador ha cancelado la publicación de un complemento, se ha eliminado por violar la política de Chrome Web Store o se ha marcado como malware.

El gigante tecnológico dijo que tiene la intención de resaltar tales extensiones en una categoría de "Verificación de seguridad" en la sección "Privacidad y seguridad" de la página de configuración del navegador.

"Cuando un usuario hace clic en 'Revisar', se le llevará a sus extensiones y se le dará la opción de eliminar la extensión u ocultar la advertencia si desea mantener la extensión instalada", dijo Oliver Dunk, ingeniero de relaciones con desarrolladores de extensiones de Chrome.

"Al igual que en versiones anteriores de Chrome, las extensiones marcadas como malware se desactivan automáticamente".

El desarrollo se produce cuando la compañía dijo que actualizará automáticamente todas las navegaciones de URL https:// a https:// incluso cuando los usuarios hagan clic en un enlace que declara explícitamente https://. La función se está probando actualmente en Chrome 115 y se espera que se implemente pronto.


Google también dijo que mostrará una advertencia a partir de mediados de septiembre de 2023 cuando los usuarios intenten descargar archivos de alto riesgo mientras están en una conexión insegura.

"Los archivos descargados pueden contener código malicioso que elude la caja de arena de Chrome y otras protecciones, por lo que un atacante de red tiene una oportunidad única de comprometer su computadora cuando ocurren descargas inseguras", dijo el equipo de Chromium.

"A menos que el modo HTTPS-First esté habilitado, Chrome no mostrará advertencias al descargar archivos de forma insegura como imágenes, audio o video, ya que estos tipos de archivos son relativamente seguros".

Algunas de las otras características que están en proceso incluyen habilitar el modo HTTPS-First de forma predeterminada en el modo de incógnito para una experiencia de navegación más segura y activar automáticamente la configuración para los usuarios que rara vez usan HTTP.

Los usuarios pueden habilitar el modo HTTPS-First habilitando "Usar siempre conexiones seguras" en la configuración de seguridad de Chrome (You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login).

Las actualizaciones también siguen las propuestas de Google para agregar soporte para algoritmos de cifrado resistentes a la cuántica en el navegador Chrome, a partir de la versión 116.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La compañía de hardware de redes Juniper Networks ha lanzado una actualización de seguridad "fuera de ciclo" para abordar múltiples fallas en el componente J-Web de Junos OS que podrían combinarse para lograr la ejecución remota de código en instalaciones susceptibles.

Las cuatro vulnerabilidades tienen una calificación CVSS acumulada de 9.8, lo que las hace críticas en gravedad. Afectan a todas las versiones de Junos OS en SRX y EX Series.

"Al encadenar la explotación de estas vulnerabilidades, un atacante no autenticado basado en la red puede ejecutar código de forma remota en los dispositivos", dijo la compañía en un aviso publicado el 17 de agosto de 2023.

La interfaz J-Web permite a los usuarios configurar, administrar y monitorear dispositivos Junos OS. Una breve descripción de los defectos es la siguiente:

• CVE-2023-36844 y CVE-2023-36845 (puntuaciones CVSS: 5,3) - Dos vulnerabilidades de modificación de variables externas PHP en J-Web de Juniper Networks Junos OS en EX Series y SRX Series permite a un atacante no autenticado basado en red controlar ciertas variables de entorno importantes.
• CVE-2023-36846 y CVE-2023-36847 (puntuaciones CVSS: 5,3): dos autenticaciones faltantes para vulnerabilidades de funciones críticas en Juniper Networks Junos OS en las series EX y SRX permiten que un atacante no autenticado basado en la red cause un impacto limitado en la integridad del sistema de archivos.

Un actor de amenazas podría enviar una solicitud especialmente diseñada para modificar ciertas variables de entorno PHP o cargar archivos arbitrarios a través de J-Web sin ninguna autenticación para explotar con éxito los problemas antes mencionados.

Las vulnerabilidades se han solucionado en las siguientes versiones:

• Serie EX: versiones de Junos OS 20.4R3-S8, 21.2R3-S6, 21.3R3-S5, 21.4R3-S4, 22.1R3-S3, 22.2R3-S1, 22.3R2-S2, 22.3R3, 22.4R2-S1, 22.4R3 y 23.2R1
• Serie SRX: versiones de Junos OS 20.4R3-S8, 21.2R3-S6, 21.3R3-S5, 21.4R3-S5, 22.1R3-S3, 22.2R3-S2, 22.3R2-S2, 22.3R3, 22.4R2-S1, 22.4R3 y 23.2R1

Se recomienda a los usuarios que apliquen las correcciones necesarias para mitigar las posibles amenazas de ejecución remota de código. Como solución alternativa, Juniper Networks sugiere que los usuarios deshabiliten J-Web o limiten el acceso solo a hosts de confianza.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado que una nueva operación motivada financieramente llamada LABRAT arma una falla crítica ahora parcheada en GitLab como parte de una campaña de cryptojacking y proxyjacking.

"El atacante utilizó herramientas basadas en firmas no detectadas, malware multiplataforma sofisticado y sigiloso, herramientas de comando y control (C2) que eludieron los firewalls y rootkits basados en kernel para ocultar su presencia", dijo Sysdig en un informe compartido con The Hacker News.

"Además, el atacante abusó de un servicio legítimo, TryCloudflare, para ofuscar su red C2".

Proxyjacking permite al atacante alquilar el host comprometido a una red proxy, lo que permite monetizar el ancho de banda no utilizado. Cryptojacking, por otro lado, se refiere al abuso de los recursos del sistema para extraer criptomonedas.

Un aspecto notable de la campaña es el uso de binarios compilados escritos en Go y .NET para volar bajo el radar, con LABRAT también proporcionando acceso de puerta trasera a los sistemas infectados. En última instancia, esto podría allanar el camino para ataques de seguimiento, robo de datos y ransomware.

Las cadenas de ataque comienzan con la explotación de CVE-2021-22205 (puntuación CVSS: 10.0), una vulnerabilidad de ejecución remota de código que ha sido explotada en la naturaleza por actores de origen indonesio en el pasado para implementar criptomineros.

Una intrusión exitosa es seguida por la recuperación de un script de shell dropper de un servidor C2 que configura la persistencia, realiza un movimiento lateral utilizando credenciales SSH que se encuentran en el sistema y descarga binarios adicionales de un repositorio privado de GitLab.

"Durante la operación de LABAT, TryCloudflare se utilizó para redirigir las conexiones a un servidor web protegido por contraseña que alojaba un script de shell malicioso", dijo Miguel Hernández. "El uso de la infraestructura legítima de TryCloudFlare puede dificultar que los defensores identifiquen los subdominios como maliciosos, especialmente si también se usa en operaciones normales".


TryCloudflare es una herramienta gratuita que se puede utilizar para crear un túnel Cloudflare sin agregar un sitio al DNS de Cloudflare. Lanza un proceso que genera un subdominio aleatorio en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, permitiendo así que los recursos internos sean expuestos a la internet pública.

El desarrollo se suma al abuso de cloudflared para establecer canales de comunicación encubiertos desde hosts comprometidos y acceso principal a las redes de víctimas.

En una segunda variante del ataque, se dice que el adversario utilizó un servidor Solr en lugar de TryCloudflare para descargar un exploit para el PwnKit (CVE-2021-4034) desde el mismo repositorio de GitLab para elevar los privilegios, junto con otro archivo que ya no es accesible.

Algunas de las cargas útiles recuperadas por el script dropper incluyen una utilidad de código abierto conocida como Global Socket (gsocket) para acceso remoto y binarios para realizar cryptojacking y proxyjacking a través de servicios conocidos como IPRoyal y ProxyLite. El proceso de minería se oculta utilizando un rootkit basado en kernel llamado hiding-cryptominers-linux-rootkit.

También se entrega un ejecutable basado en Go diseñado para garantizar la persistencia y matar los procesos de minería de la competencia o las versiones anteriores de sí mismo para aprovechar al máximo los recursos de la máquina y maximizar sus ganancias.

"Dado que el objetivo de la operación de LABRAT es financiero, el tiempo es dinero", dijo Hernández. "Cuanto más tiempo pase sin detectarse un compromiso, más dinero ganará el atacante y más le costará a la víctima".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad han documentado una novedosa técnica de persistencia posterior a la explotación en iOS 16 que podría ser abusada para volar bajo el radar y el acceso principal a un dispositivo Apple, incluso cuando la víctima cree que está fuera de línea.

El método "engaña a la víctima para que piense que el modo avión de su dispositivo funciona cuando en realidad el atacante (después de un exploit exitoso del dispositivo) ha plantado un modo avión artificial que edita la interfaz de usuario para mostrar el icono del modo avión y corta la conexión a Internet a todas las aplicaciones, excepto a la aplicación atacante", dijeron los investigadores de Jamf Threat Labs Hu Ke y Nir Avraham en un informe compartido con The Hacker News.

El modo avión, como su nombre lo indica, permite a los usuarios desactivar las funciones inalámbricas en sus dispositivos, evitando efectivamente que se conecten a redes Wi-Fi, datos celulares y Bluetooth, así como que envíen o reciban llamadas y mensajes de texto.

El enfoque ideado por Jamf, en pocas palabras, proporciona una ilusión al usuario de que el modo avión está activado al tiempo que permite a un actor malicioso mantener sigilosamente una conexión de red celular para una aplicación maliciosa.

"Cuando el usuario activa el modo avión, la interfaz de red pdp_ip0 (datos celulares) ya no mostrará direcciones IP ipv4 / ipv6", explicaron los investigadores. "La red celular está desconectada e inutilizable, al menos a nivel de espacio de usuario".

Mientras que los cambios subyacentes son llevados a cabo por CommCenter, las modificaciones de la interfaz de usuario (UI), como las transiciones de iconos, son atendidas por el SpringBoard.


El objetivo del ataque, entonces, es diseñar un modo avión artificial que mantenga intactos los cambios de la interfaz de usuario, pero conserve la conectividad celular para una carga maliciosa instalada en el dispositivo por otros medios.

"Después de habilitar el modo avión sin una conexión Wi-Fi, los usuarios esperarían que abrir Safari resultara en que no hubiera conexión a Internet", dijeron los investigadores. "La experiencia típica es una ventana de notificación que solicita al usuario que 'Apague el modo avión'".

Para llevar a cabo el truco, el demonio CommCenter se utiliza para bloquear el acceso a datos celulares para aplicaciones específicas y disfrazarlo como Modo avión mediante una función enganchada que altera la ventana de alerta para que parezca que la configuración se ha activado.

Vale la pena señalar que el kernel del sistema operativo notifica al CommCenter a través de una rutina de devolución de llamada, que, a su vez, notifica al SpringBoard para mostrar la ventana emergente.

Un examen más detallado del demonio CommCenter también ha revelado la presencia de una base de datos SQL que se utiliza para registrar el estado de acceso a los datos celulares de cada aplicación (también conocido como ID de paquete), con una marca establecida en el valor "8" si una aplicación está bloqueada para acceder a ella.

"Usando esta base de datos de ID de paquetes de aplicaciones instaladas, ahora podemos bloquear o permitir selectivamente que una aplicación acceda a Wi-Fi o datos celulares utilizando el siguiente código", dijeron los investigadores.

"Cuando se combina con las otras técnicas descritas anteriormente, el falso modo avión ahora parece actuar como el real, excepto que la prohibición de Internet no se aplica a procesos que no son de aplicación, como un troyano de puerta trasera".

Fuente:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login