Los actores de amenazas distribuyen cada vez más APK maliciosos de Android (instaladores de aplicaciones empaquetadas) que se resisten a la descompilación utilizando algoritmos de compresión no compatibles, desconocidos o muy modificados.

La principal ventaja de este enfoque es evadir la detección por parte de las herramientas de seguridad mediante análisis estático y dificultar el examen por parte de los investigadores, retrasando el desarrollo de una comprensión profunda de cómo funciona una cepa de malware de Android.

Zimperium, miembro de la 'App Defense Alliance' dedicada a identificar y eliminar malware de Google Play, analizó el panorama de resistencia a la descompilación después de un tweet de Joe Security que mostró un APK que elude el análisis pero se ejecuta sin problemas en dispositivos Android.


Un informe de zLab publicado ayer afirma que 3.300 APK están utilizando estos métodos antianálisis inusuales, lo que podría causar que muchos de ellos se bloqueen. Sin embargo, los investigadores encontraron un subconjunto de 71 APK maliciosos que funcionan bien en la versión 9 (API 28) y posteriores del sistema operativo Android.

Zimperium aclara que ninguna de estas aplicaciones está en la tienda Google Play, pero enumera sus hashes en la parte inferior del informe para ayudar a las personas que obtienen aplicaciones de tiendas de terceros a encontrarlas y desinstalarlas.

Trucos de compresión

Los APK de Android usan el formato ZIP en dos modos, uno sin compresión y otro usando el algoritmo DEFLATE.

Los APK empaquetados con métodos de compresión no compatibles o desconocidos no se pueden instalar en Android 8 y versiones anteriores, pero funcionarán bien en las versiones de Android 9 y posteriores.

Zimperium probó las aplicaciones que probó en herramientas de descompresor como JADX, APKtool y macOS Archive Utility, y ninguna de ellas pudo descomprimir el APK para su análisis.

Además de usar métodos de compresión no compatibles, Zimperium también descubrió que los autores maliciosos de APK usan nombres de archivo que superan los 256 bytes para causar bloqueos en las herramientas de análisis, corrompen el archivo AndroidManifest.xml por ofuscación y usan grupos de cadenas con formato incorrecto para bloquear las herramientas que separan los archivos XML de Android.


Todas estas son técnicas anti-análisis, y aunque Zimperium no profundiza en lo que hacen exactamente esos APK maliciosos, es poco probable que la intención de ocultar sus funciones sea benigna.

Dado que los APK descargados desde fuera de Google Play no se pueden examinar, la mejor manera de protegerse contra estas amenazas es evitar la instalación de aplicaciones de Android desde sitios de terceros en primer lugar.

Si debe instalar una aplicación fuera de Google Play, escanéela con una herramienta antivirus móvil de buena reputación antes de la instalación.

Durante la instalación de la aplicación, preste atención a los permisos solicitados y busque cualquier señal de alerta no relacionada con la funcionalidad principal de la aplicación.

Finalmente, "rootear" su dispositivo Android convierte al usuario en administrador, lo que permite que los APK maliciosos se ejecuten con los privilegios más altos en el sistema operativo, por lo que generalmente se desaconseja.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las políticas laxas para la nomenclatura de paquetes en el repositorio de código PowerShell Gallery de Microsoft permiten a los actores de amenazas realizar ataques tipográficos, falsificar paquetes populares y potencialmente sentar las bases para ataques masivos a la cadena de suministro.

PowerShell Gallery es un repositorio en línea de paquetes cargados por la comunidad de PowerShell más amplia, que hospeda una gran cantidad de scripts y módulos de cmdlet para diversos fines.

Es una plataforma de alojamiento de código muy popular, y algunos paquetes en ella cuentan decenas de millones de descargas mensuales.

Aqua Nautilus descubrió los problemas en las políticas del mercado en septiembre de 2022 y, aunque Microsoft ha reconocido la recepción de los informes de errores correspondientes y los exploits de PoC, no ha tomado medidas para remediar las fallas.

Suplantación de identidad fácil

El equipo de Nautilus de AquaSec descubrió que los usuarios pueden enviar a la Galería de PS paquetes con nombres muy similares a los repositorios existentes, el llamado 'typosquatting' cuando los ciberdelincuentes lo aprovechan con fines maliciosos.

Un ejemplo de prueba de concepto (PoC) en el informe se refiere al popular módulo "AzTable", con un recuento de descargas de 10 millones, que podría suplantarse fácilmente con un nuevo nombre como 'Az.Table', lo que dificulta que los usuarios distingan entre ellos.

Otro problema que descubrieron los investigadores es la capacidad de falsificar los detalles del módulo, incluidos el autor y los derechos de autor, copiándolos de proyectos legítimos.

Esto no solo haría que el primer problema de typosquatting de paquetes fuera aún más peligroso, sino que también se puede abusar de él para hacer que los paquetes arbitrarios aparezcan como el trabajo de editores confiables.

Además, PS Gallery oculta de forma predeterminada el campo "Propietario" más confiable en "Detalles del paquete", que muestra la cuenta del editor que cargó el paquete.


Exponer paquetes ocultos

Una tercera falla descubierta por AquaSec se refiere a la capacidad de exponer paquetes / módulos no listados en la plataforma, que normalmente no están indexados por el motor de búsqueda de la Galería.

Para sorpresa de los investigadores, encontraron en la plataforma un archivo XML que proporcionaba detalles completos sobre los paquetes enumerados y no listados.

"Al utilizar el enlace API ubicado en la parte inferior de la respuesta XML [...], un atacante puede obtener acceso sin restricciones a la base de datos completa del paquete de PowerShell, incluidas las versiones asociadas", explica el equipo Nautilus de AquaSec.

"Este acceso incontrolado proporciona a los actores maliciosos la capacidad de buscar información potencialmente confidencial dentro de paquetes no listados".


Divulgación y mitigación

AquaSec informó todas las fallas a Microsoft el 27 de septiembre de 2022 y pudo replicarlas el 26 de diciembre de 2022, a pesar de que Microsoft declaró a principios de noviembre que habían solucionado los problemas.

El 15 de enero de 2023, Microsoft declaró que se implementó una solución a corto plazo hasta que sus ingenieros desarrollaron una solución para el nombre typosquatting y la suplantación de detalles de paquetes.

AquaSec dice que el 16 de agosto las fallas aún persistían, lo que indica que no se ha implementado una solución.

Se recomienda a los usuarios del repositorio PS Gallery que adopten políticas que permitan la ejecución de scripts firmados únicamente, utilicen repositorios privados de confianza, busquen regularmente datos confidenciales en el código fuente del módulo e implementen sistemas de supervisión en tiempo real en entornos de nube para detectar actividades sospechosas.

BleepingComputer se ha puesto en contacto con Microsoft con una solicitud de comentarios sobre los hallazgos de AquaSec, y actualizaremos esta publicación tan pronto como recibamos respuesta.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un nuevo troyano de acceso remoto (RAT) llamado QwixxRAT está siendo anunciado para la venta por su actor de amenazas a través de las plataformas Telegram y Discord.

"Una vez instalado en las máquinas de la plataforma Windows de la víctima, el RAT recopila sigilosamente datos confidenciales, que luego se envían al bot de Telegram del atacante, proporcionándoles acceso no autorizado a la información confidencial de la víctima", dijo Uptycs en un nuevo informe publicado hoy.

La compañía de ciberseguridad, que descubrió el malware a principios de este mes, dijo que está "meticulosamente diseñado" para recopilar historiales de navegadores web, marcadores, cookies, información de tarjetas de crédito, pulsaciones de teclas, capturas de pantalla, archivos que coinciden con ciertas extensiones y datos de aplicaciones como Steam y Telegram.

La herramienta se ofrece por 150 rublos para el acceso semanal y 500 rublos para una licencia de por vida. También viene en una versión gratuita limitada.

Un binario basado en C #, QwixxRAT viene con varias características anti-análisis para permanecer encubierto y evadir la detección. Esto incluye una función de suspensión para introducir un retraso en el proceso de ejecución, así como comprobaciones de ejecución para determinar si está operando dentro de un entorno sandbox o virtual.

Otras funciones le permiten monitorear una lista específica de procesos (por ejemplo, "taskmgr", "processhacker", "netstat", "netmon", "tcpview" y "wireshark"), y si se detecta, detiene su propia actividad hasta que se termina el proceso.


También se incorpora en QwixxRAT un clipper que accede sigilosamente a información confidencial copiada al portapapeles del dispositivo con el objetivo de realizar transferencias ilícitas de fondos desde billeteras de criptomonedas.

El comando y control (C2) se facilita mediante un bot de Telegram, a través del cual se envían comandos para llevar a cabo la recopilación de datos adicionales, como grabaciones de audio y cámara web e incluso apagar o reiniciar de forma remota el host infectado.

La revelación se produce semanas después de que Cyberint revelara detalles de otras dos cepas de RAT denominadas RevolutionRAT y Venom Control RAT que también se anuncian en varios canales de Telegram con exfiltración de datos y funciones de conectividad C2.

También sigue el descubrimiento de una campaña en curso que emplea sitios comprometidos como plataformas de lanzamiento para presentar una actualización falsa del navegador web Chrome para atraer a las víctimas a instalar una herramienta de software de administración remota llamada NetSupport Manager RAT por medio de un código JavaScript malicioso.

El uso de un señuelo engañoso de actualización del navegador es sinónimo de SocGholish (también conocido como FakeUpdates), pero la evidencia definitiva que conecta los dos conjuntos de actividades sigue siendo difícil de alcanzar.

"El abuso de las RAT fácilmente disponibles continúa, ya que son herramientas poderosas capaces de satisfacer las necesidades de los adversarios para llevar a cabo sus ataques y lograr sus objetivos", dijo Trellix. "Si bien estas RAT pueden no actualizarse constantemente, las herramientas y técnicas para entregar estas cargas útiles a las víctimas potenciales continuarán evolucionando".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El uso de Cloudflare R2 por parte de los actores de amenazas para alojar páginas de phishing ha sido testigo de un aumento de 61 veces en los últimos seis meses.

"La mayoría de las campañas de phishing se dirigen a las credenciales de inicio de sesión de Microsoft, aunque hay algunas páginas dirigidas a Adobe, Dropbox y otras aplicaciones en la nube", dijo el investigador de seguridad de Netskope, Jan Michael.

Cloudflare R2, análogo a Amazon Web Service S3, Google Cloud Storage y Azure Blob Storage, es un servicio de almacenamiento de datos para la nube.

El desarrollo se produce cuando el número total de aplicaciones en la nube desde las que se originan las descargas de malware ha aumentado a 167, con Microsoft OneDrive, Squarespace, GitHub, SharePoint y Weebly ocupando los cinco primeros lugares.

Las campañas de phishing identificadas por Netskope no solo abusan de Cloudflare R2 para distribuir páginas de phishing estáticas, sino que también aprovechan la oferta Turnstile de la compañía, un reemplazo de CAPTCHA, para colocar dichas páginas detrás de barreras anti-bot para evadir la detección.

Al hacerlo, evita que los escáneres en línea como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login lleguen al sitio de phishing real, ya que la prueba CAPTCHA resulta en una falla.

Como una capa adicional de evasión de detección, los sitios maliciosos están diseñados para cargar el contenido solo cuando se cumplen ciertas condiciones.

"El sitio web malicioso requiere que un sitio de referencia incluya una marca de tiempo después de un símbolo hash en la URL para mostrar la página de phishing real", dijo Michael. "Por otro lado, el sitio de referencia requiere un sitio de phishing que se le pase como parámetro".

En caso de que no se pase ningún parámetro de URL al sitio de referencia, los visitantes son redirigidos a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login[.] .com.

El desarrollo se produce un mes después de que la compañía de ciberseguridad revelara detalles de una campaña de phishing que se descubrió alojando sus páginas de inicio de sesión falsas en AWS Amplify para robar las credenciales bancarias de los usuarios y Microsoft 365, junto con los detalles de pago con tarjeta a través de la API Bot de Telegram.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores han descubierto una campaña masiva que entregó aplicaciones de servidor proxy a al menos 400,000 sistemas Windows. Los dispositivos actúan como nodos de salida residenciales sin el consentimiento de los usuarios y una empresa está cobrando por el tráfico proxy que se ejecuta a través de las máquinas.

Los proxies residenciales son valiosos para los ciberdelincuentes porque pueden ayudar a implementar ataques de relleno de credenciales a gran escala desde direcciones IP nuevas. También tienen fines legítimos como la verificación de anuncios, el raspado de datos, las pruebas de sitios web o el redireccionamiento que mejora la privacidad.

Algunas compañías de proxy venden acceso a proxies residenciales y ofrecen recompensas monetarias a los usuarios que aceptan compartir su ancho de banda.

Los investigadores han descubierto una campaña masiva que entregó aplicaciones de servidor proxy a al menos 400,000 sistemas Windows. Los dispositivos actúan como nodos de salida residenciales sin el consentimiento de los usuarios y una empresa está cobrando por el tráfico proxy que se ejecuta a través de las máquinas.

Los proxies residenciales son valiosos para los ciberdelincuentes porque pueden ayudar a implementar ataques de relleno de credenciales a gran escala desde direcciones IP nuevas. También tienen fines legítimos como la verificación de anuncios, el raspado de datos, las pruebas de sitios web o el redireccionamiento que mejora la privacidad.

Algunas compañías de proxy venden acceso a proxies residenciales y ofrecen recompensas monetarias a los usuarios que aceptan compartir su ancho de banda.


"Además, como la aplicación proxy está firmada, no tiene detección antivirus, pasando por debajo del radar de las compañías de seguridad", agregaron los investigadores.

La misma compañía controlaba los nodos de salida creados por una carga maliciosa llamada AdLoad que apuntaba a los sistemas macOS, que AT&T informó la semana pasada.

De hecho, los dos binarios basados en Go (para macOS y Windows) parecen originarse en el mismo código fuente, sin embargo, el cliente proxy de Windows evade la detección antivirus debido al uso de una firma digital válida.

Infección de proxyware

La infección comienza con la ejecución de un cargador oculto en software y juegos agrietados, que descarga e instala la aplicación proxy automáticamente en segundo plano sin interacción del usuario.

Los autores de malware utilizan Inno Setup con parámetros específicos que ocultan cualquier indicador del proceso de instalación y todas las indicaciones típicas del usuario.

Durante la instalación del cliente proxy, el malware envía parámetros específicos, que también se transmiten al servidor de comando y control (C2) para que el nuevo cliente pueda registrarse e incorporarse a la botnet.


El cliente proxy establece la persistencia en el sistema infectado creando una clave de registro para activarlo cuando se inicia el sistema y agregando una tarea programada para buscar nuevas actualizaciones de cliente.

"El proxy luego recopila continuamente información vital de la máquina para garantizar un rendimiento y una capacidad de respuesta óptimos", explica el informe de AT&T.

"Esto incluye todo, desde la lista de procesos y el monitoreo de la CPU hasta la utilización de la memoria e incluso el seguimiento del estado de la batería".


Cómo proteger

AT&T recomienda buscar un ejecutable "Digital Pulse" en "%AppData%\" o una clave de registro con un nombre similar en "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\". Si hay alguno presente, los investigadores recomiendan eliminarlos.

El nombre de la tarea programada es "DigitalPulseUpdateTask" y también debe eliminarse para eliminar la posibilidad de que el mecanismo de actualización del cliente vuelva a introducir la infección.

Finalmente, evite descargar software pirateado y ejecutar ejecutables procedentes de ubicaciones dudosas como redes peer-to-peer o sitios que ofrecen software premium de forma gratuita.

Los signos de infección por proxyware incluyen degradación del rendimiento y la velocidad de Internet, patrones de tráfico de red inesperados, comunicación frecuente con IP o dominios desconocidos y alertas del sistema.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google ha anunciado la primera implementación de clave de seguridad FIDO2 resiliente cuántica de código abierto, que utiliza un esquema de firma híbrido ECC / Dilithium único creado conjuntamente con ETH Zurich.

FIDO2 es la segunda versión principal del estándar de autenticación Fast IDentity Online, y las claves FIDO2 se utilizan para la autenticación sin contraseña y como un elemento de autenticación multifactor (MFA).

Google explica que una implementación clave de seguridad FIDO2 resistente a la cuántica es un paso crucial para garantizar la seguridad y la protección, ya que el advenimiento de los enfoques y desarrollos de computación cuántica en el campo siguen una trayectoria acelerada.

"A medida que se acelera el progreso hacia las computadoras cuánticas prácticas, la preparación para su llegada se está convirtiendo en un problema más apremiante a medida que pasa el tiempo", explica Google.

"En particular, la criptografía de clave pública estándar, que fue diseñada para proteger contra las computadoras tradicionales, no podrá resistir ataques cuánticos".

Con las computadoras cuánticas que se están desarrollando activamente, existe la preocupación de que pronto se utilizarán para descifrar claves de cifrado de manera más eficiente y rápida, haciendo que la información cifrada sea accesible para gobiernos, actores de amenazas e investigadores.

Para protegerse contra las computadoras cuánticas, se creó un nuevo algoritmo híbrido combinando el algoritmo ECDSA establecido con el algoritmo Dilithium.

El dilitio es un esquema de firma criptográfica resistente a la cuántica que el NIST incluyó en sus propuestas de estandarización de criptografía postcuántica, elogiando su fuerte seguridad y excelente rendimiento, lo que lo hace adecuado para su uso en una amplia gama de aplicaciones.


Este enfoque de firma híbrida que combina características clásicas y resistentes a la cuántica no fue fácil de manifestar, dice Google. Diseñar una implementación de Dilithium que sea lo suficientemente compacta para las llaves de seguridad fue increíblemente desafiante.

Sus ingenieros, sin embargo, lograron desarrollar una implementación basada en Rust que solo necesita 20 KB de memoria, lo que hace que el esfuerzo sea prácticamente posible, al tiempo que señalaron su potencial de alto rendimiento.


El esquema de firma híbrida se presentó por primera vez en un documento de 2022 y recientemente ganó reconocimiento en el ACNS (Applied Cryptography and Network Security) 2023, donde ganó el premio al "mejor documento de taller".

Esta nueva implementación híbrida ahora forma parte de OpenSK, la implementación de claves de seguridad de código abierto de Google que admite los estándares FIDO U2F y FIDO2.

El gigante tecnológico espera que su propuesta sea adoptada por FIDO2 como un nuevo estándar y compatible con los principales navegadores web con grandes bases de usuarios.

La firma llama a la aplicación de la criptografía de próxima generación a escala de Internet "una tarea masiva" e insta a todas las partes interesadas a moverse rápidamente para mantener un buen progreso en ese frente.

La semana pasada, Google introdujo un mecanismo de criptografía híbrida resistente a la cuántica llamado X25519Kyber768 en Chrome 116, que cifra las conexiones TLS.

Este movimiento se produjo en previsión del riesgo de que las futuras computadoras cuánticas tengan la capacidad de descifrar los datos de hoy, abordando la amenaza "Cosechar ahora, descifrar después".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los desarrolladores del malware de robo de información Raccoon Stealer han puesto fin a su pausa de 6 meses de los foros de hackers para promover una nueva versión 2.3.0 del malware a los ciberdelincuentes.

Raccoon es una de las familias de malware para robar información más conocidas y ampliamente utilizadas, que existe desde 2019, vendida a través de un modelo de suscripción por $ 200 / mes a actores de amenazas.

El malware roba datos de más de 60 aplicaciones, incluidas credenciales de inicio de sesión, información de tarjetas de crédito, historial de navegación, cookies y cuentas de billetera de criptomonedas.

El proyecto entró en un período de incertidumbre en octubre de 2022, cuando su autor principal, Mark Sokolovsky, fue arrestado en los Países Bajos, y el FBI derribó la infraestructura del entonces malware como servicio.

El mapache está de vuelta

En una nueva publicación en un foro de hackers descubierto por primera vez por VX-Underground, los autores actuales del malware informaron a la comunidad cibercriminal que están de vuelta, después de haber pasado su tiempo "trabajando incansablemente" para brindarles nuevas características que enriquecerán la experiencia del usuario.

Estas nuevas características se implementaron después de los comentarios de los "clientes", las solicitudes y las tendencias de delitos cibernéticos, con el objetivo de mantener el malware en el nivel superior del mercado de ladrones de información.


Un informe de Cyberint dice que Raccoon 2.3.0 ha introducido varias mejoras de "calidad de vida" y OpSec que lo hacen más fácil y seguro de usar, lo que facilita su uso para actores de amenazas menos calificados y es menos probable que sean rastreados por investigadores y fuerzas del orden.

Primero, una nueva herramienta de búsqueda rápida en el panel de control de Raccoon Stealer permite a los piratas informáticos encontrar fácilmente datos robados específicos y recuperar credenciales, documentos u otros datos robados de conjuntos de datos masivos.


En segundo lugar, la nueva versión de Raccoon presenta un sistema que contrarresta actividades sospechosas que podrían estar relacionadas con bots de asistencia de seguridad, como múltiples eventos de acceso generados desde la misma IP.

En esos casos, Raccoon eliminará automáticamente los registros correspondientes y actualizará todos los pads de cliente en consecuencia.

El usuario ahora puede ver la puntuación del perfil de actividad de cada dirección IP directamente desde el panel de control del malware, donde los iconos sonrientes verdes, amarillos y rojos indican la probabilidad de actividad del bot.


Una tercera característica importante incorporada como medida de protección contra los investigadores de seguridad es un sistema de informes que detecta y bloquea las IP utilizadas por los rastreadores y bots que las empresas de inteligencia cibernética utilizan para monitorear el tráfico de Raccoon.

Finalmente, un nuevo panel de estadísticas de registro ofrece a los usuarios una visión general de "vista rápida" de sus operaciones, las regiones objetivo más exitosas, la cantidad de computadoras violadas, etc.


Los ladrones de información constituyen una amenaza masiva tanto para los usuarios domésticos como para las empresas, ya que su adopción generalizada por parte de la comunidad del cibercrimen garantiza que las cargas útiles se realicen a través de una gran cantidad de canales, llegando a una audiencia grande y diversa.

Como este tipo de malware no solo roba credenciales, sino también cookies, podría permitir que los actores de amenazas utilicen esas cookies de sesión robadas para eludir la autenticación multifactor y violar las redes corporativas. Una vez que establezcan un punto de apoyo en la red, podría conducir a una variedad de ataques, incluido el robo de datos, ransomware, estafas BEC y espionaje cibernético.

Para protegerse contra Raccoon Stealer y todos los infostealers, se deben usar administradores de contraseñas en lugar de almacenar credenciales en el navegador.

Además, la autenticación multifactor debe habilitarse en todas las cuentas y evitar la descarga de ejecutables de sitios web dudosos, incluso si se redirigen allí desde fuentes legítimas como Google Ads, videos de YouTube o publicaciones de Facebook.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

LinkedIn está siendo blanco de una ola de hackeos de cuentas que resultan en que muchas cuentas sean bloqueadas por razones de seguridad o, en última instancia, secuestradas por atacantes.

Como informó hoy Cyberint, muchos usuarios de LinkedIn se han quejado de las adquisiciones o bloqueos de cuentas y la incapacidad de resolver los problemas a través del soporte de LinkedIn.

"Algunos incluso han sido presionados para pagar un rescate para recuperar el control o se han enfrentado a la eliminación permanente de sus cuentas", informa la investigadora de Cyberint, Coral Tayar.

"Si bien LinkedIn aún no ha emitido un anuncio oficial, parece que su tiempo de respuesta de soporte se ha alargado, con informes de un alto volumen de solicitudes de soporte".


A partir de las quejas vistas por BleepingComputer en Reddit, Twitter y los foros de Microsoft, el soporte de LinkedIn no ha sido útil para recuperar las cuentas violadas, y los usuarios simplemente se sienten frustrados por la falta de respuesta.

"Mi cuenta fue hackeada hace 6 días. El correo electrónico se cambió en medio de la noche y no tuve la capacidad de confirmar el cambio o evitarlo", escribió un usuario afectado en el hilo de Reddit sobre los hacks.

"No hay respuesta de ellos en ninguna parte. Es patético. Intenté reportar mi cuenta hackeada, pasar por la verificación de identidad e incluso enviarlos a @linkedinhelp en Twitter. No hay respuestas en ninguna parte. Qué broma de una empresa..."

Cyberint dice que también hay signos de una ruptura reflejada en Google Trends, donde los términos de búsqueda sobre el hackeo o la recuperación de cuentas de LinkedIn registran un aumento del 5.000% en los últimos meses.


Los atacantes parecen estar utilizando credenciales filtradas o fuerza bruta para intentar tomar el control de una gran cantidad de cuentas de LinkedIn.

Para las cuentas que están adecuadamente protegidas por contraseñas seguras y / o autenticación de dos factores, los múltiples intentos de adquisición resultaron en un bloqueo temporal de la cuenta impuesto por la plataforma como medida de protección.

A continuación, se solicita a los propietarios de estas cuentas que verifiquen la propiedad proporcionando información adicional y también actualicen sus contraseñas antes de que se les permita iniciar sesión nuevamente.

Cuando los piratas informáticos se apoderan con éxito de las cuentas de LinkedIn mal protegidas, intercambian rápidamente la dirección de correo electrónico asociada con una del servicio "rambler.ru".


Después de eso, los secuestradores cambian la contraseña de la cuenta, evitando que los titulares originales accedan a sus cuentas. Muchos de los usuarios también informaron que los piratas informáticos activaron 2FA después de secuestrar la cuenta, lo que dificulta aún más el proceso de recuperación de la cuenta.

En algunos casos observados por Cyberint, los atacantes exigieron un pequeño rescate para devolver las cuentas a los propietarios originales o directamente eliminaron las cuentas sin pedir nada.

Las cuentas de LinkedIn pueden ser valiosas para la ingeniería social, el phishing y las estafas de ofertas de trabajo que a veces conducen a robos cibernéticos multimillonarios.

Especialmente después de que LinkedIn introdujo características que combaten los perfiles falsos y el comportamiento no auténtico en la plataforma, el secuestro de cuentas existentes se ha vuelto mucho más pragmático para los piratas informáticos.

Si mantiene una cuenta de LinkedIn, ahora sería un buen momento para revisar las medidas de seguridad que ha activado, habilitar 2FA y cambiar a una contraseña única y larga.

BleepingComputer se ha puesto en contacto con LinkedIn solicitando un comentario sobre la situación reportada, pero no hemos recibido una respuesta en el momento de la publicación.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los actores de amenazas detrás del ransomware Monti han resurgido después de un descanso de dos meses con una nueva versión de Linux del cifrado en sus ataques dirigidos a sectores gubernamentales y legales.

Monti surgió en junio de 2022, semanas después de que el grupo de ransomware Conti cerrara sus operaciones, imitando deliberadamente las tácticas y herramientas asociadas con este último, incluido su código fuente filtrado. Ya no.

La nueva versión, según Trend Micro, es una especie de salida, exhibiendo cambios significativos de sus otros predecesores basados en Linux.

"A diferencia de la variante anterior, que se basa principalmente en el código fuente filtrado de Conti, esta nueva versión emplea un cifrado diferente con comportamientos distintos adicionales", dijeron los investigadores de Trend Micro Nathaniel Morales y Joshua Paul Ignacio.

Un análisis de BinDiff ha revelado que, si bien las iteraciones anteriores tenían una tasa de similitud del 99% con Conti, la última versión tiene solo una tasa de similitud del 29%, lo que sugiere una revisión.

Algunos de los cambios cruciales incluyen la adición de un parámetro '--whitelist' para indicar a la caja de seguridad que omita una lista de máquinas virtuales, así como la eliminación de los argumentos de línea de comandos --size, --log y --vmlist.

La variante de Linux también está diseñada para alterar el archivo motd (también conocido como mensaje del día) para mostrar la nota de rescate, emplear el cifrado AES-256-CTR en lugar de Salsa20 y confiar únicamente en el tamaño del archivo para su proceso de cifrado.


En otras palabras, los archivos mayores de 1,048 MB pero menores de 4,19 MB sólo tendrán los primeros 100.000 (0xFFFFF) bytes del archivo cifrado, mientras que los que superan los 4,19 MB tienen una parte de su contenido bloqueado dependiendo de la salida de una operación Shift Right.

Los archivos que tienen un tamaño menor que 1,048 MB tendrán todo su contenido cifrado.

"Es probable que los actores de amenazas detrás de Monti todavía emplearan partes del código fuente de Conti como base para la nueva variante, como lo demuestran algunas funciones similares, pero implementaron cambios significativos en el código, especialmente en el algoritmo de cifrado", dijeron los investigadores.

"Además, al alterar el código, los operadores de Monti están mejorando su capacidad para evadir la detección, lo que hace que sus actividades maliciosas sean aún más difíciles de identificar y mitigar".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cuatro vulnerabilidades de seguridad en el software de monitoreo de flotas de cajeros automáticos ScrutisWeb fabricado por Iagona podrían explotarse para ingresar remotamente a los cajeros automáticos, cargar archivos arbitrarios e incluso reiniciar los terminales.

Las deficiencias fueron descubiertas por el Equipo Synack Red (SRT) después de un compromiso con el cliente. Los problemas se han solucionado en ScrutisWeb versión 2.1.38.

"La explotación exitosa de estas vulnerabilidades podría permitir a un atacante cargar y ejecutar archivos arbitrarios", dijo la Agencia de Seguridad de Ciberseguridad e Infraestructura de Estados Unidos (CISA) en un aviso publicado el mes pasado.

ScrutisWeb es una solución basada en navegador web para monitorear flotas de cajeros automáticos bancarios y minoristas, incluida la recopilación del estado del sistema de información, la detección de alertas de papel bajo, el apagado o reinicio de un terminal y la modificación remota de datos.

Los detalles de los cuatro defectos son los siguientes:

• CVE-2023-33871 (puntuación CVSS: 7,5): vulnerabilidad de cruce de directorios que podría permitir a un usuario no autenticado acceder directamente a cualquier archivo fuera de la raíz web del servidor.
• CVE-2023-35189 (puntuación CVSS: 10,0): vulnerabilidad de ejecución remota de código que podría permitir a un usuario no autenticado cargar una carga malintencionada y ejecutarla.
• CVE-2023-35763 (puntuación CVSS: 5,5): vulnerabilidad criptográfica que podría permitir a un usuario no autenticado descifrar contraseñas cifradas en texto sin formato.
• CVE-2023-38257 (puntuación CVSS: 7,5): vulnerabilidad de referencia directa a objetos no segura que podría permitir a un usuario no autenticado ver información de perfil, incluidos los nombres de inicio de sesión de usuario y las contraseñas cifradas.
• La más grave de las fallas es CVE-2023-35189, ya que permite a un usuario no autenticado cargar cualquier archivo y luego verlo nuevamente desde un navegador web, lo que resulta en una inyección de comandos.

En un escenario de ataque hipotético, un adversario podría convertir CVE-2023-38257 y CVE-2023-35763 en el arma para iniciar sesión en la consola de administración de ScrutisWeb como administrador.

"A partir de aquí, un actor malicioso podría monitorear las actividades en cajeros automáticos individuales dentro de la flota. La consola también permite colocar los cajeros automáticos en modo de administración, cargar archivos en ellos, reiniciarlos y apagarlos por completo", dijo Synack.

Además, CVE-2023-35189 podría usarse para eliminar archivos de registro en ScrutisWeb para cubrir las pistas.

"Podría ocurrir una explotación adicional de este punto de apoyo en la infraestructura del cliente, lo que lo convierte en un punto de pivote orientado a Internet para un actor malicioso", dijeron los investigadores.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se han observado varias botnets distribuidas de denegación de servicio (DDoS) que explotan una falla crítica en los dispositivos Zyxel que salió a la luz en abril de 2023 para obtener control remoto de sistemas vulnerables.

"A través de la captura del tráfico de explotación, se identificó la dirección IP del atacante y se determinó que los ataques estaban ocurriendo en múltiples regiones, incluidas América Central, América del Norte, Asia oriental y Asia del sur", dijo la investigadora de Fortinet FortiGuard Labs, Cara Lin.

La falla, rastreada como CVE-2023-28771 (puntuación CVSS: 9.8 ), es un error de inyección de comandos que afecta a múltiples modelos de firewall que podría permitir que un actor no autorizado ejecute código arbitrario enviando un paquete específicamente diseñado al dispositivo de destino.

El mes pasado, la Fundación Shadowserver advirtió que la falla estaba siendo "explotada activamente para construir una botnet similar a Mirai" al menos desde el 26 de mayo de 2023, una indicación de cómo el abuso de servidores que ejecutan software sin parches está en aumento.

Los últimos hallazgos de Fortinet sugieren que la deficiencia está siendo aprovechada de manera oportunista por múltiples actores para violar hosts susceptibles y acorralarlos en una botnet capaz de lanzar ataques DDoS contra otros objetivos.

Esto comprende variantes de botnet Mirai como Dark.IoT y otra botnet que ha sido apodada Katana por su autor, que viene con capacidades para montar ataques DDoS utilizando protocolos TCP y UDP.

"Parece que esta campaña utilizó múltiples servidores para lanzar ataques y se actualizó en unos pocos días para maximizar el compromiso de los dispositivos Zyxel", dijo Lin.

La revelación se produce cuando Cloudflare informó una "escalada alarmante en la sofisticación de los ataques DDoS" en el segundo trimestre de 2023, con actores de amenazas ideando formas novedosas de evadir la detección "imitando hábilmente el comportamiento del navegador" y manteniendo sus tasas de ataque por segundo relativamente bajas.


A la complejidad se suma el uso de ataques de lavado de DNS para ocultar el tráfico malicioso a través de solucionadores de DNS recursivos de buena reputación y botnets de máquinas virtuales para orquestar ataques DDoS hipervolumétricos.

"En un ataque de lavado de DNS, el actor de amenazas consultará subdominios de un dominio administrado por el servidor DNS de la víctima", explicó Cloudflare. "El prefijo que define el subdominio es aleatorio y nunca se usa más de una o dos veces en un ataque de este tipo".

"Debido al elemento de aleatorización, los servidores DNS recursivos nunca tendrán una respuesta en caché y deberán reenviar la consulta al servidor DNS autoritativo de la víctima. El servidor DNS autoritativo es bombardeado por tantas consultas hasta que no puede atender consultas legítimas o incluso se bloquea por completo".

Otro factor notable que contribuye al aumento de las ofensivas DDoS es la aparición de grupos hacktivistas pro-rusos como KillNet, REvil y Anonymous Sudan (también conocido como Storm-1359) que se han centrado abrumadoramente en objetivos en los Estados Unidos y Europa. No hay evidencia para conectar REvil con el conocido grupo de ransomware.

La "creación y absorción regular de nuevos grupos por parte de KillNet es, al menos parcialmente, un intento de continuar atrayendo la atención de los medios occidentales y mejorar el componente de influencia de sus operaciones", dijo Mandiant en un nuevo análisis, y agregó que la orientación del grupo se ha "alineado consistentemente con las prioridades geopolíticas rusas establecidas y emergentes".

"La estructura, el liderazgo y las capacidades de KillNet han sufrido varios cambios observables en el transcurso de los últimos 18 meses, progresando hacia un modelo que incluye nuevos grupos de afiliados de mayor perfil destinados a atraer la atención de sus marcas individuales, además de la marca KillNet más amplia", agregó.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva cepa de malware conocida como BundleBot ha estado operando sigilosamente bajo el radar aprovechando las técnicas de implementación de archivos únicos de .NET, lo que permite a los actores de amenazas capturar información confidencial de hosts comprometidos.

"BundleBot está abusando del paquete dotnet (archivo único), formato autónomo que resulta en una detección estática muy baja o nula", dijo Check Point en un informe publicado esta semana, y agregó que "se distribuye comúnmente a través de anuncios de Facebook y cuentas comprometidas que conducen a sitios web enmascarados como utilidades regulares del programa, herramientas de inteligencia artificial y juegos".

Algunos de estos sitios web tienen como objetivo imitar a Google Bard, el chatbot de inteligencia artificial generativa conversacional de la compañía, atrayendo a las víctimas a descargar un archivo RAR falso ("Google_AI.rar") alojado en servicios legítimos de almacenamiento en la nube como Dropbox.

El archivo de almacenamiento, cuando se descomprime, contiene un archivo ejecutable ("GoogleAI.exe"), que es la aplicación autónoma de archivo único de .NET ("GoogleAI.exe") que, a su vez, incorpora un archivo DLL ("GoogleAI.dll"), cuya responsabilidad es obtener un archivo ZIP protegido por contraseña de Google Drive.

El contenido extraído del archivo ZIP ("ADSNEW-1.0.0.3.zip") es otra aplicación autónoma de archivo único de .NET ("RiotClientServices.exe") que incorpora la carga útil BundleBot ("RiotClientServices.dll") y un serializador de datos de paquetes de comando y control (C2) ("LirarySharing.dll").

"El ensamblaje RiotClientServices.dll es un nuevo ladrón / bot personalizado que utiliza la biblioteca LirarySharing.dll para procesar y serializar los datos de paquetes que se envían a C2 como parte de la comunicación del bot", dijo la compañía israelí de ciberseguridad.

Los artefactos binarios emplean ofuscación personalizada y código basura en un intento por resistir el análisis, y vienen con capacidades para desviar datos de navegadores web, capturar capturas de pantalla, obtener tokens de Discord, información de Telegram y detalles de la cuenta de Facebook.

Check Point dijo que también detectó una segunda muestra de BundleBot que es prácticamente idéntica en todos los aspectos, excepto el uso de HTTPS para filtrar la información a un servidor remoto en forma de archivo ZIP.

"El método de entrega a través de Facebook Ads y cuentas comprometidas es algo de lo que han abusado los actores de amenazas durante un tiempo, aún combinándolo con una de las capacidades del malware revelado (para robar la información de la cuenta de Facebook de una víctima) podría servir como una rutina de autoalimentación complicada", señaló la compañía.


El desarrollo se produce cuando Malwarebytes descubrió una nueva campaña que emplea publicaciones patrocinadas y cuentas verificadas comprometidas que se hacen pasar por Facebook Ads Manager para atraer a los usuarios a descargar extensiones deshonestas de Google Chrome que están diseñadas para robar información de inicio de sesión de Facebook.

A los usuarios que hacen clic en el enlace incrustado se les pide que descarguen un archivo de almacenamiento RAR que contiene un archivo de instalación MSI que, por su parte, lanza un script por lotes para generar una nueva ventana de Google Chrome con la extensión maliciosa cargada usando el indicador "--load-extension" -


Iniciar Chrome.exe --load-extension="%~dp0/nmmhkkegccagdldgiimedpiccmgmiedagg4" "You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login"

"Esa extensión personalizada está hábilmente disfrazada como Google Translate y se considera 'Desempaquetada' porque se cargó desde la computadora local, en lugar de Chrome Web Store", explicó Jérôme Segura, director de inteligencia de amenazas de Malwarebytes, señalando que está "completamente enfocada en Facebook y en obtener información importante que podría permitir a un atacante iniciar sesión en las cuentas".

Los datos capturados se envían posteriormente utilizando la API de Google Analytics para sortear las políticas de seguridad de contenido (CSP) para mitigar los scripts entre sitios (XSS) y los ataques de inyección de datos.

Se sospecha que los actores de amenazas detrás de la actividad son de origen vietnamita, quienes, en los últimos meses, han mostrado un gran interés en apuntar a las cuentas comerciales y publicitarias de Facebook. Más de 800 víctimas en todo el mundo se han visto afectadas, con 310 de ellas ubicadas en los Estados Unidos.

"Los estafadores tienen mucho tiempo en sus manos y pasan años estudiando y entendiendo cómo abusar de las redes sociales y las plataformas en la nube, donde es una carrera constante para mantener alejados a los malos actores", dijo Segura. "Recuerde que no hay una bala de plata y cualquier cosa que suene demasiado buena para ser verdad puede muy bien ser una estafa disfrazada".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Departamento de Justicia de los Estados Unidos y la Comisión Federal de Comercio (FTC) anunciaron que Amazon acordó pagar una multa de $ 25 millones para resolver las presuntas violaciones de las leyes de privacidad de los niños relacionadas con el servicio de asistente de voz Alexa de la compañía.

Amazon ha ofrecido productos y servicios activados por voz de Alexa dirigidos a niños menores de 13 años desde mayo de 2018.

En mayo de 2023, la Comisión Federal de Comercio (FTC) y el Departamento de Justicia de los Estados Unidos (DOJ) presentaron cargos contra Amazon, acusando a la compañía de violar las leyes de privacidad de los niños, que incluyen la Ley FTC, la Ley de Protección de la Privacidad en Línea de los Niños (COPPA) y la Regla COPPA.

Los cargos fueron presentados después de que Amazon no cumplió con las solicitudes de los padres para eliminar las grabaciones de voz y la información de geolocalización de sus hijos.

Según la denuncia, Amazon "no cumplió durante un período significativo de tiempo con las solicitudes de los padres de que eliminara las grabaciones de voz de sus hijos al continuar reteniendo las transcripciones de esas grabaciones y no revelar que lo estaba haciendo, también en violación de COPPA".

Además, la empresa debería haber eliminado la información de voz y los datos de geolocalización de los usuarios a pedido, pero en su lugar optó por conservar esa información para su uso potencial.

La subsidiaria de Ring también enfrenta una multa de $ 5 millones

Amazon también enfrenta una multa de $ 5 millones por violaciones de privacidad asociadas con su servicio de timbre de video Ring.

La multa se deriva de las presuntas acciones de los empleados de la subsidiaria de cámaras de seguridad domésticas Ring de Amazon, que están acusados de participar en la vigilancia ilegal de los clientes y no evitar adecuadamente que los piratas informáticos tomen el control de las cámaras de los usuarios.

"Si bien no estamos de acuerdo con las afirmaciones de la FTC con respecto a Alexa y Ring, y negamos haber violado la ley, estos acuerdos nos dejan atrás estos asuntos", dijo Amazon a BleepingComputer después de que se presentara la queja de la FTC en mayo.

"Como parte del acuerdo, acordamos hacer una pequeña modificación a nuestras prácticas ya sólidas, y eliminaremos los perfiles de los niños que han estado inactivos durante más de 18 meses a menos que un padre o tutor decida conservarlos".

En marzo de 2022, la FTC impuso al fabricante de Fortnite, Epic Games, una multa de $ 245 millones (por debajo de una multa propuesta de $ 520 millones) por violar las leyes de privacidad de los niños y emplear tácticas engañosas, conocidas como patrones oscuros, para manipular a millones para que realicen compras involuntarias en el juego.

Más recientemente, Microsoft también llegó a un acuerdo para pagar una multa de $ 20 millones y actualizar sus protocolos de privacidad de datos con respecto a los niños.

Esta resolución llegó como un acuerdo por los cargos presentados por la Comisión Federal de Comercio (FTC) relacionados con violaciones de la Ley de Protección de la Privacidad en Línea de los Niños (COPPA) vinculada al servicio Xbox Live de Microsoft.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

VirusTotal se disculpó el viernes por filtrar la información de más de 5.600 clientes después de que un empleado subiera por error un archivo CSV que contenía su información a la plataforma el mes pasado.

La fuga de datos afectó solo a los clientes de la cuenta Premium, con el archivo cargado que contenía sus nombres y direcciones de correo electrónico corporativas.

Emiliano Martines, jefe de gestión de productos del servicio de escaneo de malware en línea, también aseguró a los clientes afectados que el incidente fue causado por un error humano y no fue el resultado de un ataque cibernético o cualquier vulnerabilidad con VirusTotal.

Además, el archivo filtrado solo era accesible para los socios de VirusTotal y los analistas de ciberseguridad con una cuenta Premium con la plataforma.

Aquellos que usan cuentas anónimas o gratuitas no pueden acceder a la plataforma Premium y, en consecuencia, no pueden acceder al archivo filtrado.

"El 29 de junio, un empleado subió accidentalmente un archivo CSV a la plataforma VirusTotal. Este archivo CSV contenía información limitada de nuestros clientes de cuentas Premium, específicamente los nombres de las empresas, los nombres de grupo asociados de VirusTotal y las direcciones de correo electrónico de los administradores del grupo", dijo Martines el viernes.

"Eliminamos el archivo, que solo era accesible para socios y clientes corporativos, de nuestra plataforma dentro de una hora de su publicación".

Información filtrada vinculada a agencias gubernamentales de todo el mundo
Los medios de comunicación alemanes Der Spiegel y Der Standard fueron los primeros en reportar el incidente el lunes.

Como informaron, el archivo filtrado de 313KB contenía detalles sobre cuentas asociadas con entidades oficiales de Estados Unidos, incluido el Comando Cibernético, el Departamento de Justicia, la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA).

Además, el archivo incluía cuentas vinculadas a agencias gubernamentales en Alemania, los Países Bajos, Taiwán y el Reino Unido.

"Es una lista de 5600 nombres, incluidos empleados del servicio de inteligencia estadounidense NSA y los servicios de inteligencia alemanes", dijo Der Spiegel.

"Solo veinte cuentas conducen al 'Comando Cibernético' de los Estados Unidos, parte del ejército estadounidense y centro de operaciones de piratería ofensivas y defensivas. También representados: el Departamento de Justicia de los Estados Unidos, el FBI de la Policía Federal de los Estados Unidos y la NSA del Servicio Secreto".

El archivo también contenía información sobre empleados de autoridades nacionales en los Países Bajos, Taiwán y el Reino Unido, así como agencias gubernamentales alemanas, incluido el Servicio Federal de Inteligencia, la Policía Federal y el Servicio de Contrainteligencia Militar (MAD).

La información sobre docenas de empleados de Bundesbank, Deutsche Bahn, Allianz, BMW, Mercedes-Benz y Deutsche Telekom también se encontró en el archivo filtrado

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En lo que se perfila como una controversia de privacidad generalizada, Spotify ha sido objeto de escrutinio tras las acusaciones de los usuarios de que el servicio de transmisión de música hizo públicas sus listas de reproducción privadas sin su consentimiento.

Esta situación es una reminiscencia de un problema similar señalado en marzo, lo que plantea preocupaciones sobre un posible patrón de un problema de privacidad en curso.

La controversia comenzó cuando los usuarios informaron de este cambio inesperado a Twitter y a los foros de la comunidad de Spotify.

"Aparentemente, @SpotifyUSA silenciosamente hizo públicas todas mis listas de reproducción privadas sin mi consentimiento. Lo mismo le sucedió a mi esposa también", tuiteó el gerente de proyectos de Microsoft Edge, William Devereux.

"Esa es una violación de privacidad absolutamente inaceptable. ¿Alguien más notó que esto sucedió recientemente? No he cambiado ninguna configuración de privacidad".


Hay informes similares en el foro de Spotify en marzo, con uno de los usuarios afectados siendo un curador de música que usa Spotify profesionalmente.

"He revisado algunas listas hechas hace un mes más o menos y ahora son todas públicas. ¡Mirando más y ahora también son públicos!", escribió el usuario en los foros de Spotify.

"¿Por qué ha sucedido esto? ¿Hay alguna manera de hacer que las listas masivas sean privadas? No quiero pasar días de mi vida cambiándolos uno por uno, hay más de 1400 listas y no puedo facturar por ese tiempo, así que me quitará los salarios de mayo".

En marzo, un usuario propuso una teoría que decía: "La configuración real de nuestras listas de reproducción no ha cambiado. Lo que antes se conocía como listas de reproducción 'privadas' y 'públicas' ahora se llaman 'públicas', ya que antes no eran privadas, ya que podían compartirse a través de un enlace.

La teoría sugería además un nuevo nivel de listas de reproducción verdaderamente privadas a las que otros no podían acceder incluso con un enlace y solo las listas de reproducción marcadas como "en el perfil" se podían encontrar a través de la búsqueda o en la sección "Descubierto en" en las páginas de artistas.

A pesar de la teoría, los usuarios de Spotify insisten en que sus experiencias recientes indican un problema diferente. Afirman que sus listas de reproducción se marcaron inicialmente como privadas en el momento de la creación e inexplicablemente se hicieron públicas sin su conocimiento o permiso.

En respuesta a los informes en marzo, un moderador de Spotify declaró: "Spotify no realiza cambios tan masivos y no jugará con la configuración de su colección / cuenta personal a menos que lo haya solicitado explícitamente ...".

Sin embargo, esto ha hecho poco para aliviar las preocupaciones de los usuarios, y sigue siendo incierto si los dos problemas están vinculados o son incidentes completamente separados.

Nos hemos comunicado con Spotify sobre estos informes, pero no recibimos una respuesta en el momento de esta publicación.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de la Universidad RWTH Aachen en Alemania publicaron un estudio que revela que decenas de miles de imágenes de contenedores alojadas en Docker Hub contienen secretos confidenciales, exponiendo software, plataformas en línea y usuarios a una superficie de ataque masiva.

Docker Hub es un repositorio basado en la nube para que la comunidad de Docker almacene, comparta y distribuya imágenes de Docker. Estas plantillas de creación de contenedores incluyen todo el código de software, tiempo de ejecución, bibliotecas, variables de entorno y archivos de configuración necesarios para implementar fácilmente una aplicación en Docker.


Los investigadores alemanes analizaron 337.171 imágenes de Docker Hub y miles de registros privados y encontraron que aproximadamente el 8,5% contiene datos confidenciales, como claves privadas y secretos de API.

El documento muestra además que muchas de las claves expuestas se utilizan activamente, socavando la seguridad de los elementos que dependen de ellas, como cientos de certificados.

(Inadvertidamente) exponiendo secretos

El estudio reunió un conjunto de datos masivo de 1.647.300 capas a partir de 337.171 imágenes de Docker, obteniendo las últimas versiones de imágenes de cada repositorio cuando fue posible.

El análisis de datos utilizando expresiones regulares para buscar secretos específicos reveló la exposición de 52.107 claves privadas válidas y 3.158 secretos API distintos en 28.621 imágenes de Docker.

Las cifras anteriores fueron validadas por los investigadores excluyendo claves de prueba, secretos API de ejemplo y coincidencias no válidas.


La mayoría de los secretos expuestos, el 95% para claves privadas y el 90% para secretos de API, residían en imágenes de un solo usuario, lo que indica que probablemente se filtraron involuntariamente.


El mayor impacto fue en Docker Hub, que tuvo un porcentaje de exposición secreta del 9,0%, mientras que las imágenes procedentes de registros privados expusieron secretos a una tasa del 6,3%.

Esta diferencia puede indicar que los usuarios de Docker Hub suelen tener una comprensión más deficiente de la seguridad de los contenedores que los que configuran repositorios privados.


Uso de teclas expuestas

A continuación, los investigadores necesitaban determinar el uso real de los secretos expuestos para apreciar el tamaño de la superficie de ataque.

De manera alarmante, se encontraron 22.082 certificados comprometidos que dependían de las claves privadas expuestas, incluidos 7.546 certificados privados firmados por CA y 1.060 certificados firmados por CA públicas.

Los mil certificados firmados por CA son motivo de especial preocupación, ya que estos certificados suelen ser utilizados por un gran número de usuarios y son universalmente aceptados.

En el momento del estudio, 141 certificados firmados por CA seguían siendo válidos, lo que disminuyó un poco el riesgo.

Para determinar aún más el uso de los secretos expuestos en la naturaleza, los investigadores utilizaron 15 meses de mediciones en todo Internet proporcionadas por la base de datos Censys y encontraron 275,269 hosts que dependen de las claves comprometidas.

Estos incluyen:

• 8.674 hosts MQTT y 19 AMQP que potencialmente transfieren datos de Internet de las cosas (IoT) sensibles a la privacidad.
• 6.672 instancias de FTP, 426 de PostgreSQL, 3 de Elasticsearch y 3 de MySQL que sirven datos potencialmente confidenciales.
• 216 hosts SIP utilizados para telefonía.
• 8.165 servidores SMTP, 1.516 POP3 y 1.798 servidores IMAP utilizados para correo electrónico.
• 240 servidores SSH y 24 instancias de Kubernetes que utilizan claves filtradas que pueden conducir al acceso remoto al shell, la extensión de botnets o el acceso adicional a los datos.

Este nivel de exposición resalta un problema masivo en la seguridad de los contenedores y un descuido en la creación de imágenes sin primero desinfectarlas de secretos.

Con respecto a la exposición de la API, el análisis encontró que la mayoría de los contenedores (2.920) pertenecen a proveedores de nube como Amazon AWS, pero algunos pertenecían a servicios financieros como Stripe.

Sin embargo, los investigadores citaron limitaciones éticas en la validación de secretos API expuestos contra sus puntos finales de servicio, por lo que se desconoce su uso en la naturaleza.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los ataques cibernéticos que utilizan unidades de infección USB infectadas como vector de acceso inicial han sido testigos de un aumento de tres veces en la primera mitad de 2023.

Eso es según los nuevos hallazgos de Mandiant, que detallan dos campañas de este tipo, SOGU y SNOWYDRIVE, dirigidas a entidades del sector público y privado en todo el mundo.

SOGU es el "ataque de ciberespionaje basado en USB más frecuente que utiliza unidades flash USB y una de las campañas de ciberespionaje más agresivas dirigidas a organizaciones del sector público y privado a nivel mundial en todas las verticales de la industria", dijo la firma de inteligencia de amenazas propiedad de Google.

La actividad se ha atribuido a un clúster con sede en China llamado TEMP. Hex, que también se rastrea bajo los nombres de Camaro Dragon, Earth Preta y Mustang Panda. Los objetivos incluyen construcción e ingeniería, servicios empresariales, gobierno, salud, transporte y venta minorista en Europa, Asia y los Estados Unidos.

La cadena de infección detallada por Mandiant exhibe similitudes tácticas con otra campaña de Mustang Panda descubierta por Check Point, que eliminó una cepa de malware autopropagante llamado WispRider que se propaga a través de unidades USB comprometidas y potencialmente viola los sistemas con espacio de aire.

Todo comienza con una unidad flash USB maliciosa conectada a una computadora, lo que lleva a la ejecución de PlugX (también conocido como Korplug), que luego descifra y lanza una puerta trasera basada en C llamada SOGU que filtra archivos de interés, pulsaciones de teclas y capturas de pantalla.


SNOWYDRIVE apunta a organizaciones de petróleo y gas en Asia

El segundo clúster para aprovechar el mecanismo de infiltración USB es UNC4698, que ha seleccionado a organizaciones de petróleo y gas en Asia para entregar el malware SNOWYDRIVE para ejecutar cargas útiles arbitrarias en los sistemas pirateados.

"Una vez que se carga SNOWYDRIVE, crea una puerta trasera en el sistema host, dando a los atacantes la capacidad de emitir comandos del sistema de forma remota", dijeron los investigadores de Mandiant Rommel Joven y Ng Choon Kiat. "También se propaga a otras unidades flash USB y se propaga a través de la red".

En estos ataques, la víctima es atraída a hacer clic en un archivo con trampas explosivas que se hace pasar por un ejecutable legítimo, activando así una cadena de acciones maliciosas, comenzando con un gotero que establece un punto de apoyo, seguido de la ejecución del implante SNOWYDRIVE.

Algunas de las funcionalidades de la puerta trasera consisten en realizar búsquedas de archivos y directorios, cargar y descargar archivos y lanzar un shell inverso.

"Las organizaciones deben priorizar la implementación de restricciones en el acceso a dispositivos externos como las unidades USB", dijeron los investigadores. "Si esto no es posible, al menos deberían escanear estos dispositivos en busca de archivos o códigos maliciosos antes de conectarlos a sus redes internas".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los documentos de Microsoft Word que explotan fallas conocidas de ejecución remota de código se están utilizando como señuelos de phishing para lanzar malware llamado LokiBot en sistemas comprometidos.

"LokiBot, también conocido como Loki PWS, ha sido un conocido troyano de robo de información activo desde 2015", dijo la investigadora de Fortinet FortiGuard Labs, Cara Lin. "Se dirige principalmente a los sistemas Windows y tiene como objetivo recopilar información confidencial de las máquinas infectadas".

La compañía de ciberseguridad, que detectó la campaña en mayo de 2023, dijo que los ataques aprovechan CVE-2021-40444 y CVE-2022-30190 (también conocido como Follina) para lograr la ejecución del código.

El archivo de Word que arma CVE-2021-40444 contiene un enlace GoFile externo incrustado dentro de un archivo XML que conduce a la descarga de un archivo HTML, que explota Follina para descargar una carga útil de siguiente etapa, un módulo inyector escrito en Visual Basic que descifra y lanza LokiBot.

El inyector también cuenta con técnicas de evasión para comprobar la presencia de depuradores y determinar si se está ejecutando en un entorno virtualizado.


Una cadena alternativa descubierta a finales de mayo comienza con un documento de Word que incorpora un script VBA que ejecuta una macro inmediatamente después de abrir el documento utilizando las funciones "Auto_Open" y "Document_Open".

Posteriormente, el script de macro actúa como un conducto para entregar una carga útil provisional desde un servidor remoto, que también funciona como un inyector para cargar LokiBot y conectarse a un servidor de comando y control (C2).

LokiBot, que no debe confundirse con un troyano bancario Android del mismo nombre, viene con capacidades para registrar pulsaciones de teclas, capturar capturas de pantalla, recopilar información de credenciales de inicio de sesión de navegadores web y desviar datos de una variedad de billeteras de criptomonedas.

"LokiBot es un malware activo desde hace mucho tiempo y generalizado durante muchos años", dijo Lin. "Sus funcionalidades han madurado con el tiempo, lo que facilita a los ciberdelincuentes su uso para robar datos confidenciales de las víctimas. Los atacantes detrás de LokiBot actualizan continuamente sus métodos de acceso inicial, lo que permite que su campaña de malware encuentre formas más eficientes de propagarse e infectar los sistemas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft dice que todavía no sabe cómo los piratas informáticos chinos robaron una clave de firma de consumidor de cuenta Microsoft (MSA) inactiva utilizada para violar las cuentas de Exchange Online y Azure AD de dos docenas de organizaciones, incluidas agencias gubernamentales.

"El método por el cual el actor adquirió la clave es una cuestión de investigación en curso", admitió Microsoft en un nuevo aviso publicado hoy.

El incidente fue reportado por funcionarios del gobierno de los Estados Unidos después del descubrimiento del acceso no autorizado a los servicios de correo electrónico Exchange Online de varias agencias gubernamentales.

Microsoft comenzó a investigar los ataques el 16 de junio y descubrió que un grupo de ciberespionaje chino que rastrea como Storm-0558 violó las cuentas de correo electrónico de aproximadamente 25 organizaciones (según los informes, incluidos los Departamentos de Estado y Comercio de los Estados Unidos).

Los actores de amenazas usaron la clave de firma empresarial de Azure AD robada para forjar nuevos tokens de autenticación aprovechando un error de la API GetAccessTokenForResource, que les proporciona acceso al correo empresarial de los destinos.

Storm-0558 puede usar scripts de PowerShell y Python para generar nuevos tokens de acceso a través de llamadas a la API de REST contra el servicio Almacén de Exchange de OWA para robar correos electrónicos y archivos adjuntos. Sin embargo, Redmond no confirmó si utilizaron este enfoque en los ataques de robo de datos de Exchange Online del mes pasado.

"Nuestra telemetría e investigaciones indican que la actividad posterior al compromiso se limitó al acceso al correo electrónico y la exfiltración para usuarios específicos", agregó Microsoft.

La compañía bloqueó el uso de la clave de firma privada robada para todos los clientes afectados el 3 de julio y dice que la infraestructura de reproducción de tokens de los atacantes se cerró un día después.

Claves de firma de MSA revocadas para bloquear la forja de tokens de Azure AD

El 27 de junio, Microsoft también revocó todas las claves de firma MSA válidas para bloquear todos los intentos de generar nuevos tokens de acceso y movió los recién generados al almacén de claves que utiliza para sus sistemas empresariales.

"No se ha observado ninguna actividad de actores relacionados con la clave desde que Microsoft invalidó la clave de firma MSA adquirida por el actor", dijo Microsoft.

Sin embargo, aunque Redmond ya no ha detectado ninguna actividad maliciosa Storm-0558 relacionada con la clave después de revocar todas las claves de firma MSA activas y mitigar la habilitación de fallas de API, el aviso de hoy dice que los atacantes ahora han cambiado a otras técnicas.

"No se ha observado ninguna actividad de actores relacionados con la clave desde que Microsoft invalidó la clave de firma MSA adquirida por el actor. Además, hemos visto la transición de Storm-0558 a otras técnicas, lo que indica que el actor no puede utilizar o acceder a ninguna clave de firma", dijo Microsoft.

El martes, Microsoft también reveló que el grupo de cibercrimen ruso RomCom explotó un día cero de Office que aún no se ha parcheado en los recientes ataques de phishing contra organizaciones que asistieron a la Cumbre de la OTAN en Vilnius, Lituania.

Los operadores de RomCom utilizaron documentos maliciosos que se hacían pasar por el Congreso Mundial de Ucrania para impulsar y desplegar cargas útiles de malware como el cargador MagicSpell y la puerta trasera RomCom.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los administradores del Genesis Market por credenciales robadas anunciaron en un foro de hackers que vendieron la tienda y que un nuevo propietario tomaría las riendas "el próximo mes".

Este anuncio se produce unos tres meses después de que la policía incautara algunos de los dominios del mercado en la red transparente en la Operación Cookie Monster.

Paquete Genesis Market vendido en tres semanas

El 28 de junio, la cuenta GenesisStore, utilizada por un operador del Genesis Market para anuncios en un foro de hackers, publicó que el grupo detrás de la tienda decidió vender la plataforma.

En una publicación compartida por la firma de ciberseguridad Flare con BleepingComputer, el vendedor dijo que el paquete incluía "la tienda con todos los desarrollos", una base de datos completa sin algunos detalles sobre los clientes, el código fuente, los scripts y la infraestructura del servidor.


El acuerdo también incluiría el inventario que hizo del mercado un próspero negocio cibercriminal:

• huellas dactilares del dispositivo (por ejemplo, cookies, direcciones IP, zonas horarias, información del dispositivo)
• Galletas
• el capturador de formularios que recopiló todos los datos (código JavaScript personalizado)
• contraseñas guardadas
• Otros detalles de Persona de computadoras en red

GenesisStore atrajo a compradores potenciales diciendo que adquirir la plataforma aumentaría en gran medida las ganancias de aquellos que ya tienen un "flujo de tráfico".

El jueves, GenesisStore anunció que tenían un cliente que hizo un depósito, y se espera que el acuerdo se complete "el próximo mes", con el nuevo propietario tomando el control completo.

Los administradores del mercado también señalaron que no entregarían las cuentas en el foro, por lo que el nuevo propietario tendría que crear otras nuevas si querían ese segmento de la comunidad.


Una traducción automática de la publicación anterior dice "Se ha encontrado un comprador y se ha realizado un depósito. La tienda será entregada a un nuevo propietario el próximo mes. Las cuentas en los foros no serán transferidas, el nuevo propietario creará nuevas cuentas si es necesario".

Ir al mercado de huellas dactilares de dispositivos

Genesis Market se lanzó a fines de 2017 en etapa alfa. Después de tres años, fue la tienda más popular que vendía credenciales de cuenta para servicios en línea, huellas dactilares de dispositivos y cookies.

Parte del éxito fue desarrollar código JavaScript personalizado para recopilar todos los datos necesarios para crear una huella digital del dispositivo que permitiera hacerse pasar por la máquina víctima iniciando sesión en un servicio.

Para el proveedor de servicios, aparecía como un inicio de sesión regular del propietario legítimo de la cuenta utilizando su máquina habitual desde la ubicación geográfica normal.

El JavaScript se distribuyó a través de varios programas maliciosos para robar información (RedLine, DanaBot, Raccoon y AZORult).

Genesis Market alquiló bots que proporcionaron al cliente identidades de cuentas robadas en tiempo real. De esta manera, en el caso de un cambio de detalles en la máquina víctima, el bot se replicaría casi instantáneamente.

Dependiendo del tipo de cuenta, el precio de un bot varió de $ .70 para cuentas de consumidores (Gmail, Facebook, Netflix, Spotify, WordPress, PayPal, Reddit, Amazon, LinkedIn, Cloudflare, Twitter, eBay) a cientos de dólares estadounidenses para servicios de banca en línea.

Cuando la policía confiscó los dominios clearnet de Genesis Market, la plataforma ofrecía alrededor de 80 millones de credenciales y huellas digitales, según la Agencia Nacional del Crimen en el Reino Unido.

A pesar de esta acción, la plataforma se mantuvo en el negocio en la web oscura. Los investigadores de ZeroFox dijeron en ese momento que el mercado aumentó su inventario con nuevos bots después de que la Operación Cookie Monster de la policía golpeara los dominios web claros.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login