En otra señal de un lucrativo ecosistema de crimeware-as-a-service (CaaS), los investigadores de ciberseguridad han descubierto un nuevo ladrón de información basado en Windows llamado Meduza Stealer que está siendo desarrollado activamente por su autor para evadir la detección por parte de soluciones de software.

"El Meduza Stealer tiene un objetivo singular: el robo integral de datos", dijo Uptycs en un nuevo informe. Roba las actividades de navegación de los usuarios, extrayendo una amplia gama de datos relacionados con el navegador".

"Desde credenciales de inicio de sesión críticas hasta el valioso registro del historial de navegación y los marcadores meticulosamente seleccionados, ningún artefacto digital es seguro. Incluso las extensiones de billetera criptográfica, los administradores de contraseñas y las extensiones 2FA son vulnerables".

A pesar de la similitud en las características, Meduza se jacta de un diseño operativo "astuto" que evita el uso de técnicas de ofuscación y termina rápidamente su ejecución en hosts comprometidos en caso de que falle una conexión al servidor del atacante.

También está diseñado para abortar si la ubicación de una víctima está en la lista predefinida del ladrón de países excluidos, que consiste en la Comunidad de Estados Independientes (CEI) y Turkmenistán.

Meduza Stealer, además de recopilar datos de 19 aplicaciones de administración de contraseñas, 76 billeteras criptográficas, 95 navegadores web, Discord, Steam y metadatos del sistema, recolecta entradas del Registro de Windows relacionadas con mineros, así como una lista de juegos instalados, lo que indica un motivo financiero más amplio.


Actualmente se ofrece a la venta en foros clandestinos como XSS y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y un canal dedicado de Telegram como una suscripción recurrente que cuesta $ 199 por mes, $ 399 por tres meses o $ 1,199 por una licencia de por vida. La información robada por el malware está disponible a través de un panel web fácil de usar.

"Esta característica permite a los suscriptores descargar o eliminar los datos robados directamente de la página web, otorgándoles un nivel de control sin precedentes sobre su información mal habida", dijeron los investigadores.

"Este conjunto de características en profundidad muestra la naturaleza sofisticada del Meduza Stealer y lo lejos que sus creadores están dispuestos a llegar para garantizar su éxito".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

MITRE compartió hoy la lista de este año de las 25 debilidades más peligrosas que plagaron el software durante los dos años anteriores.

Las debilidades de software abarcan una amplia gama de problemas, incluidos defectos, errores, vulnerabilidades y errores en el código, la arquitectura, la implementación o el diseño de las soluciones de software.

Las debilidades pueden poner en peligro la seguridad de los sistemas en los que se instala y ejecuta el software. Pueden proporcionar un punto de entrada para los actores malintencionados que intentan obtener el control de los dispositivos afectados, acceder a datos confidenciales o activar estados de denegación de servicio.

"Estas debilidades conducen a serias vulnerabilidades en el software. Un atacante a menudo puede explotar estas vulnerabilidades para tomar el control de un sistema afectado, robar datos o evitar que las aplicaciones funcionen", advirtió CISA hoy.

Para crear esta lista, MITRE calificó cada debilidad en función de su gravedad y prevalencia después de analizar 43,996 entradas de CVE de la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST para detectar vulnerabilidades descubiertas e informadas en 2021 y 2022, y un enfoque en los registros CVE agregados al catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA.

"Después del proceso de recopilación, alcance y reasignación, se utilizó una fórmula de puntuación para calcular un orden de clasificación de debilidades que combina la frecuencia (el número de veces que un CWE es la causa raíz de una vulnerabilidad), con la gravedad promedio de cada una de esas vulnerabilidades cuando se explotan (según lo medido por la puntuación CVSS), " Dijo MITRE.

"En ambos casos, la frecuencia y la gravedad se normalizan en relación con los valores mínimos y máximos observados en el conjunto de datos".

Las 2023 principales debilidades de MITRE en 25 son peligrosas debido a su impacto significativo y su ocurrencia generalizada en el software lanzado en los últimos dos años.

La explotación exitosa puede permitir a los atacantes tomar el control completo de los sistemas objetivo, recopilar y filtrar datos confidenciales o desencadenar una denegación de servicio (DoS).

Al compartir esta lista, MITRE proporciona a la comunidad en general información valiosa sobre las debilidades de seguridad de software más críticas que requieren atención inmediata.


Advertencias sobre errores de software y hardware

En un esfuerzo de colaboración que involucra a las autoridades de ciberseguridad de todo el mundo, en abril de 15 se lanzó una compilación exhaustiva de las 2021 principales vulnerabilidades comúnmente explotadas en ataques a lo largo de 2022. Este esfuerzo conjunto involucró a organizaciones notables como la NSA y el FBI.

Además, CISA y el FBI revelaron un inventario de errores explotados rutinariamente en 2020 junto con el Centro Australiano de Seguridad Cibernética (ACSC) y el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC).

CISA y el FBI también han compartido un catálogo con las 10 fallas de seguridad más explotadas entre 2016 y 2019.

Finalmente, MITRE también ofrece una lista que describe las fallas de seguridad de programación, diseño y arquitectura más peligrosas que afectan a los sistemas de hardware.

"CISA alienta a los desarrolladores y equipos de respuesta de seguridad de productos a revisar el CWE Top 25 y evaluar las mitigaciones recomendadas para determinar las más adecuadas para adoptar", agregó CISA.

"En las próximas semanas, el programa CWE publicará una serie de artículos adicionales sobre la metodología CWE Top 25, tendencias de mapeo de vulnerabilidades y otra información útil que ayude a ilustrar cómo la gestión de vulnerabilidades juega un papel importante en Cambiar el equilibrio del riesgo de ciberseguridad".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

YouTube actualmente está ejecutando lo que describe como un "pequeño experimento a nivel mundial", advirtiendo a los usuarios que desactiven sus bloqueadores de anuncios y eviten limitarse a solo tres vistas de video.

Como lo vio por primera vez un usuario de Reddit el miércoles, YouTube ahora muestra una ventana emergente que notifica a los usuarios bloqueadores de anuncios a los que se dirige esta prueba que "el reproductor de video se bloqueará después de 3 videos".

"Parece que puedes estar usando un bloqueador de anuncios. La reproducción de video se bloqueará a menos que YouTube esté en la lista permitida o que el bloqueador de anuncios esté deshabilitado", agrega el mensaje.

"Los anuncios permiten que YouTube permanezca gratis para miles de millones de usuarios en todo el mundo. Puedes ir sin publicidad con YouTube Premium, y los creadores aún pueden recibir pagos de tu suscripción".

Después de recibir esta advertencia, los usuarios de YouTube solo tendrán dos opciones: deshabilitar su bloqueador de anuncios y permitir anuncios o suscribirse a YouTube Premium para deshacerse de todos los anuncios.

YouTube confirmó que las alertas son parte de un experimento y dijo que la compañía insta a los espectadores a permitir anuncios en la plataforma o probar YouTube Premium.

"Estamos llevando a cabo un pequeño experimento a nivel mundial que insta a los espectadores con bloqueadores de anuncios habilitados a permitir anuncios en YouTube o probar YouTube Premium", dijo YouTube a BleepingComputer.


Cuando se le preguntó si la compañía planea bloquear el acceso de los usuarios a la plataforma si están usando bloqueadores de anuncios, YouTube dijo que la reproducción podría deshabilitarse temporalmente en "casos extremos".

"En casos extremos, donde los espectadores continúan usando bloqueadores de anuncios, la reproducción se desactivará temporalmente. Nos tomamos muy en serio deshabilitar la reproducción, y solo deshabilitaremos la reproducción si los espectadores ignoran las solicitudes repetidas para permitir anuncios en YouTube", dijo la compañía.

"Para evitar interrupciones como parte de este experimento, los espectadores que usan bloqueadores de anuncios pueden desactivar su bloqueador de anuncios, permitir anuncios de YouTube o suscribirse a YouTube Premium".

YouTube no compartió cuántas y qué regiones están involucradas en este experimento y están viendo estas advertencias.

Esto sigue a otro "pequeño experimento" en mayo, cuando YouTube probó directamente bloquear a los usuarios bloqueadores de anuncios para que no accedieran a la plataforma.

"La detección de bloqueadores de anuncios no es nueva, y otros editores piden regularmente a los espectadores que deshabiliten los bloqueadores de anuncios", dijo un portavoz a BleepingComputer en ese momento.

Los servicios de música y Premium de YouTube han superado recientemente los 80 millones de suscriptores, agregando más de 30 millones en un solo año, según Variety.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

WhatsApp de Meta ha lanzado actualizaciones a su función de proxy, lo que permite una mayor flexibilidad en el tipo de contenido que se puede compartir en las conversaciones.

Esto incluye la capacidad de enviar y recibir imágenes, notas de voz, archivos, pegatinas y GIF, dijo WhatsApp a The Hacker News. Las nuevas características fueron reportadas por primera vez por BBC Persian.

Algunas de las otras mejoras incluyen pasos simplificados para simplificar el proceso de configuración, así como la introducción de enlaces compartibles para "compartir direcciones proxy válidas / funcionales a sus contactos para una instalación fácil y automática".

El soporte para servidores proxy fue lanzado oficialmente por el servicio de mensajería a principios de enero, ayudando así a los usuarios a eludir la censura impuesta por el gobierno y los cierres de Internet y obtener acceso indirecto a WhatsApp.

La compañía también ha puesto a disposición una implementación de referencia para configurar un servidor proxy con los puertos 80, 443 o 5222 disponibles y un nombre de dominio que apunta a la dirección IP del servidor.

"Un servidor proxy es una puerta de enlace intermedia entre WhatsApp y los servidores externos", dijo WhatsApp. "Los usuarios pueden buscar cuentas confiables en las redes sociales que publiquen regularmente direcciones proxy verificadas, que luego pueden agregar a sus cuentas de WhatsApp".

Los cierres de Internet han sido cada vez más comunes en todo el mundo en tiempos de crisis, conflictos, violencia comunal y para evitar trampas en los exámenes. Las autoridades de 35 países instituyeron cierres de Internet al menos 187 veces en 2022, un número que ya ha llegado a 80 durante los primeros cinco meses de 2023.

Solo India implementó 84 cierres en 2022, lo que lo convierte en el principal país democrático en aplicar restricciones deliberadas por quinto año consecutivo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores han retirado el telón de una versión actualizada de un malware Apple macOS llamado Rustbucket que viene con capacidades mejoradas para establecer la persistencia y evitar la detección por parte del software de seguridad.

"Esta variante de Rustbucket, una familia de malware que se dirige a los sistemas macOS, agrega capacidades de persistencia no observadas anteriormente", dijeron los investigadores de Elastic Security Labs en un informe publicado esta semana, y agregaron que está "aprovechando una metodología de infraestructura de red dinámica para comando y control".

RustBucket es el trabajo de un actor de amenazas norcoreano conocido como BlueNoroff, que forma parte de un conjunto de intrusiones más grande rastreado bajo el nombre de Lazarus Group, una unidad de piratería de élite supervisada por la Oficina General de Reconocimiento (RGB), la principal agencia de inteligencia del país.

El malware salió a la luz en abril de 2023, cuando Jamf Threat Labs lo describió como una puerta trasera basada en AppleScript capaz de recuperar una carga útil de segunda etapa de un servidor remoto. Elastic monitorea la actividad como REF9135.

El malware de segunda etapa, compilado en Swift, está diseñado para descargar desde el servidor de comando y control (C2) el malware principal, un binario basado en Rust con características para recopilar información extensa, así como buscar y ejecutar binarios Mach-O adicionales o scripts de shell en el sistema comprometido.

Es la primera instancia de malware BlueNoroff dirigida específicamente a usuarios de macOS, aunque desde entonces ha surgido una versión .NET de RustBucket con un conjunto similar de características.

"Esta reciente actividad de Bluenoroff ilustra cómo los conjuntos de intrusión recurren al lenguaje multiplataforma en sus esfuerzos de desarrollo de malware, ampliando aún más sus capacidades y es muy probable que amplíen su victimología", dijo la compañía francesa de ciberseguridad Sekoia en un análisis de la campaña RustBucket a fines de mayo de 2023.

La cadena de infección consiste en un archivo de instalación de macOS que instala un lector de PDF de puerta trasera, pero funcional. Un aspecto significativo de los ataques es que la actividad maliciosa se activa solo cuando se inicia un archivo PDF armado utilizando el lector de PDF deshonesto. El vector de intrusión inicial incluye correos electrónicos de phishing, así como el empleo de personas falsas en redes sociales como LinkedIn.

Los ataques observados están altamente dirigidos y se centran en instituciones relacionadas con las finanzas en Asia, Europa y los Estados Unidos, lo que sugiere que la actividad está orientada a la generación de ingresos ilícitos para evadir las sanciones.

Lo que hace que la versión recién identificada sea notable es su mecanismo de persistencia inusual y el uso de dominio DNS dinámico (docsend.linkpc[.] net) para el mando y control, junto con la incorporación de medidas centradas en permanecer bajo el radar.

"En el caso de esta muestra actualizada de RUSTBUCKET, establece su propia persistencia agregando un archivo plist en la ruta /Users/<user>/Library/LaunchAgents/com.apple.systemupdate.plist, y copia el binario del malware a la siguiente ruta /Users/<user>/Library/Metadata/System Update", dijeron los investigadores.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado un nuevo cargador de varias etapas llamado DoubleFinger entregando un ladrón de criptomonedas llamado GreetingGhoul en lo que es un ataque avanzado dirigido a usuarios en Europa, Estados Unidos y América Latina.

"DoubleFinger se implementa en la máquina objetivo, cuando la víctima abre un archivo adjunto PIF malicioso en un mensaje de correo electrónico, ejecutando finalmente la primera de las etapas del cargador de DoubleFinger", dijo el investigador de Kaspersky Sergey Lozhkin en un informe del lunes.

El punto de partida de los ataques es una versión modificada de espexe.exe – que se refiere a la aplicación Microsoft Windows Economical Service Provider – que está diseñada para ejecutar shellcode responsable de recuperar un archivo de imagen PNG del servicio de alojamiento de imágenes Imgur.

La imagen emplea trucos esteganográficos para ocultar una carga útil cifrada que desencadena una cadena de compromiso de cuatro etapas que finalmente culmina en la ejecución del ladrón GreetingGhoul en el host infectado.

Un aspecto notable de GreetingGhoul es su uso de Microsoft Edge WebView2 para crear superposiciones falsificadas sobre billeteras de criptomonedas legítimas para retirar fondos de usuarios desprevenidos. Otro componente que reside dentro del malware captura claves privadas y frases semilla.

DoubleFinger, además de dejar caer GreetingGhoul, también ha sido visto entregando Remcos RAT, un troyano comercial que ha sido ampliamente utilizado por actores de amenazas para atacar entidades europeas y ucranianas en los últimos meses.

El análisis "revela un alto nivel de sofisticación y habilidad en el desarrollo de crimeware, similar a las amenazas persistentes avanzadas (APT)", señaló Lozhkin.

"El cargador de múltiples etapas, estilo shellcode con capacidades esteganográficas, el uso de interfaces COM de Windows para la ejecución sigilosa y la implementación de doppelgänging de procesos para la inyección en procesos remotos apuntan a crimeware bien elaborado y complejo".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha descubierto una falla de seguridad en el complemento de WordPress WooCommerce Stripe Gateway que podría conducir a la divulgación no autorizada de información confidencial.

La falla, rastreada como CVE-2023-34000, afecta a las versiones 7.4.0 y anteriores. Fue abordado por los mantenedores del complemento en la versión 7.4.1, que se envió el 30 de mayo de 2023.

WooCommerce Stripe Gateway permite a los sitios web de comercio electrónico aceptar directamente varios métodos de pago a través de la API de procesamiento de pagos de Stripe. Cuenta con más de 900.000 instalaciones activas.

Según el investigador de seguridad de parches Rafie Muhammad, el complemento sufre de lo que se llama una vulnerabilidad de referencias directas de objetos inseguros (IDOR) no autenticada, que permite a un mal actor eludir la autorización y acceder a los recursos.

Especialmente, el problema se deriva del manejo inseguro de los objetos de pedido y la falta de un mecanismo de control de acceso adecuado en las funciones 'javascript_params' y 'payment_fields' del complemento.

"Esta vulnerabilidad permite a cualquier usuario no autenticado ver los datos de PII de cualquier pedido de WooCommnerce, incluido el correo electrónico, el nombre del usuario y la dirección completa", dijo Muhammad.

El desarrollo se produce semanas después de que el equipo central de WordPress lanzara 6.2.1 y 6.2.2 para abordar cinco problemas de seguridad, incluida una vulnerabilidad de cruce de directorios no autenticada y una falla de scripting entre sitios no autenticada. Tres de los errores fueron descubiertos durante una auditoría de seguridad de terceros.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los hackers se están haciendo pasar por investigadores de ciberseguridad en Twitter y GitHub para publicar falsos exploits de prueba de concepto para vulnerabilidades de día cero que infectan Windows y Linux con malware.

Estos exploits maliciosos son promovidos por supuestos investigadores de una compañía falsa de ciberseguridad llamada 'High Sierra Cyber Security', que promueven los repositorios de GitHub en Twitter, probablemente dirigidos a investigadores de ciberseguridad y empresas involucradas en la investigación de vulnerabilidades.

Los repositorios parecen legítimos, y los usuarios que los mantienen se hacen pasar por investigadores de seguridad reales de Rapid7 y otras empresas de seguridad, incluso usando sus disparos a la cabeza.


Las mismas personas mantienen cuentas en Twitter para ayudar a agregar legitimidad a su investigación y a los repositorios de código como GitHub, así como atraer víctimas de la plataforma de redes sociales.

Esta campaña fue descubierta por VulnCheck, quien informa que ha estado en marcha desde al menos mayo de 2023, promoviendo supuestos exploits para fallas de día cero en software popular como Chrome, Discord, Signal, WhatsApp y Microsoft Exchange.


En todos los casos, los repositorios maliciosos alojan un script de Python ('poc.py') que actúa como un descargador de malware para sistemas Linux y Windows.

El script descarga un archivo ZIP desde una URL externa a la computadora de la víctima dependiendo de su sistema operativo, con los usuarios de Linux descargando 'cveslinux.zip' y los usuarios de Windows recibiendo 'cveswindows.zip'.

El malware se guarda en las carpetas Windows %Temp% o Linux /home/<username>/.local/share, se extrae y se ejecuta.


VulnCheck informa que el binario de Windows contenido en el ZIP ('cves_windows.exe') está marcado por más del 60% de los motores AV en VirusTotal. El binario de Linux ('cves_linux') es mucho más sigiloso, solo capturado por tres escáneres.

No está claro qué tipo de malware está instalado, pero ambos ejecutables instalan un cliente TOR, y la versión de Windows tiene algunas detecciones como un troyano que roba contraseñas.

Si bien el éxito de esta campaña no está claro, VulnCheck señala que los actores de amenazas parecen persistentes y crean nuevas cuentas y repositorios cuando los existentes se informan y eliminan.

Actualmente, estos siete repositorios de GitHub, que están disponibles en el momento de escribir este artículo, deben evitarse:

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Además, estas cuentas de Twitter pertenecen a imitadores y no se debe confiar en ellas:

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de seguridad y los entusiastas de la ciberseguridad deben tener cuidado al descargar scripts de repositorios desconocidos, ya que la suplantación siempre es posible.

El grupo de piratería patrocinado por el estado de Corea del Norte Lazarus realizó una campaña similar en enero de 2021, cuando crearon personas falsas de investigadores de vulnerabilidades en las redes sociales para atacar a los investigadores con malware y días cero.

Más tarde ese año, se dirigieron a investigadores con versiones troyanizadas del software de ingeniería inversa IDA Pro para instalar troyanos de acceso remoto.

Más recientemente, los académicos encontraron miles de repositorios en GitHub que ofrecen exploits falsos de prueba de concepto (PoC) para varias vulnerabilidades, algunas de ellas infectando a los usuarios con malware, PowerShell malicioso, descargadores de ladrones de información ofuscados, goteros de Cobalt Strike y más.

Al dirigirse a la comunidad de investigación de vulnerabilidades y ciberseguridad, los actores de amenazas pueden obtener acceso a la investigación de vulnerabilidades que se puede utilizar en sus propios ataques.

Peor aún, en muchos casos, el malware podría proporcionar acceso inicial a la red de una empresa de ciberseguridad, lo que llevaría a más ataques de robo de datos y extorsión.

Como las empresas de ciberseguridad tienden a tener información confidencial sobre los clientes, como evaluaciones de vulnerabilidad, credenciales de acceso remoto o incluso vulnerabilidades de día cero no reveladas, este tipo de acceso puede ser muy valioso para un actor de amenazas.

Por lo tanto, al descargar código de GitHub, es imperativo que todo el código sea examinado en busca de comportamiento malicioso. En este caso, la descarga y ejecución de malware es fácilmente visible en las PoC, pero ese puede no ser el caso en todas las situaciones en las que los actores de amenazas pueden ofuscar el código malicioso.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El vínculo entre ChamelGang y el nuevo malware de Linux se basa en un dominio previamente asociado con el actor de amenazas y una herramienta de elevación de privilegios personalizada observada por Positive Technologies en campañas anteriores de ChamelGang.

DNS sobre HTTPS para la comunicación de malware
El protocolo DNS (sistema de nombres de dominio) es utilizado por software y sistemas operativos para resolver nombres de host legibles por humanos en direcciones IP, que luego se utilizan para realizar conexiones de red.

Sin embargo, las consultas DNS se envían como texto sin cifrar y sin cifrar, lo que permite a las organizaciones, ISP y otros supervisar las solicitudes DNS.

Como esto se considera un riesgo para la privacidad y permite a los gobiernos censurar Internet, se creó un nuevo protocolo DNS llamado DNS-over-HTTPS para cifrar las consultas DNS para que no puedan ser espiadas.

Sin embargo, esta es una espada de doble filo, ya que el malware puede usarla como un canal de comunicación cifrado efectivo, lo que dificulta que el software de seguridad supervise la comunicación de red maliciosa.

En el caso de ChamelDoH, DNS-over-HTTPS proporciona comunicación cifrada entre un dispositivo infectado y el servidor de comando y control, lo que hace que las consultas maliciosas sean indistinguibles del tráfico HTTPS normal.

Además, DoH puede ayudar a evitar los servidores DNS locales mediante el uso de servidores compatibles con DoH proporcionados por organizaciones acreditadas, lo que no se vio en este caso.

Finalmente, debido a que las solicitudes de DNS utilizan servidores DoH legítimos de Google y Cloudflare, bloquearlos es prácticamente imposible sin afectar el tráfico legítimo.

ChamelDoH utiliza dos claves almacenadas en su configuración JSON, "ns_record" y "doh", para obtener nombres de host C2 y una lista de proveedores legítimos de la nube DoH que pueden ser abusados para realizar consultas DoH.


Todas las comunicaciones de malware se cifran utilizando AES128 y una codificación base64 modificada que contiene sustitutos de caracteres no alfanuméricos. Los datos transmitidos se anexan como nombres de host a los servidores de comando y control de malware enumerados.

Esta modificación permite que el malware emita solicitudes TXT para dominios que contienen las comunicaciones codificadas del servidor de comando y control (C2), ocultando la naturaleza de esas solicitudes y reduciendo la probabilidad de ser detectado.

Por ejemplo, al consultar el registro TXT, una consulta DoH del malware usaría <encoded_data>.ns2.spezialsec[.]. .com. El servidor de nombres malicioso que recibe la consulta extraería y descifraría la parte codificada para recibir los datos exfiltrados del dispositivo infectado.

El C2 respondería con un registro TXT codificado que contiene los comandos que el malware debe ejecutar en el dispositivo infectado.


Tras la ejecución, el malware recopilará datos básicos sobre su host, incluido el nombre, la dirección IP, la arquitectura de la CPU y la versión del sistema, y generará una identificación única.

Los investigadores de Stairwell descubrieron que ChamelDoH admite los siguientes comandos que sus operadores pueden emitir de forma remota a través de los registros TXT recibidos en solicitudes DNS sobre HTTPS:

• run – Ejecutar un comando de archivo/shell
• sleep – Establecer el número de segundos hasta el próximo check-in
• wget – Descargar un archivo desde una URL
• cargar: leer y cargar un archivo
• descargar – Descargar y escribir un archivo
• rm – Eliminar un archivo
• cp – Copiar un archivo a una nueva ubicación
• cd – Cambiar el directorio de trabajo

El análisis de Stairwell mostró que ChamelDoH se cargó por primera vez en VirusTotal en diciembre de 2022.

En el momento de escribir esto, no está marcado como malicioso por ninguno de los motores AV de la plataforma.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La compañía farmacéutica Eisai ha revelado que sufrió un incidente de ransomware que afectó sus operaciones, admitiendo que los atacantes cifraron algunos de sus servidores.

Eisai es una compañía farmacéutica con sede en Tokio con un ingreso anual de $ 5.3 mil millones y más de 10,000 empleados. La compañía mantiene nueve unidades de fabricación y quince de investigación médica en Japón, el Reino Unido, Carolina del Norte y Massachusetts.

La compañía desarrolla y produce medicamentos para diversas formas de cáncer y el tratamiento de los efectos secundarios de la quimioterapia, así como medicamentos anticonvulsivos, neuropatía y demencia.

Un ataque de ransomware de fin de semana

En una notificación publicada en su sitio web, Eisai reveló que sufrieron un ataque de ransomware durante el fin de semana, un momento típico para que los atacantes implementen cifradores, ya que los equipos de TI carecen de personal y no pueden responder de manera efectiva a la situación en rápida evolución.

"Un incidente de ransomware que encriptó algunos de los servidores de Eisai Group se detectó a altas horas de la noche del sábado 3 de junio, hora de Japón", se lee en el aviso.

"Inmediatamente implementamos nuestro plan de respuesta a incidentes y lanzamos una investigación con la ayuda de nuestros socios de ciberseguridad [y] se convocó a un grupo de trabajo de toda la compañía para trabajar rápidamente en los procedimientos de respuesta".

La compañía desconectó muchos de sus sistemas de TI para contener el daño y evitar la propagación del casillero a otras partes de la red corporativa violada.

Eisai explica que varios de sus sistemas, tanto dentro como fuera de Japón, incluidos los sistemas logísticos, tuvieron que desconectarse y permanecer fuera de servicio hasta que concluyan las investigaciones.

Sin embargo, los sitios web corporativos y las comunicaciones por correo electrónico siguen siendo funcionales.

La compañía informó rápidamente el incidente a las autoridades policiales pertinentes y reclutó profesionales externos de ciberseguridad para acelerar la recuperación.

Eisai declaró que se está investigando la posibilidad de fuga de datos; por lo tanto, sigue siendo un riesgo potencial.

Tampoco está claro el impacto de este ciberataque en el pronóstico de ganancias consolidadas de la compañía para el año fiscal actual.

Ninguno de los principales grupos de ransomware ha asumido la responsabilidad del ciberataque en sus sitios de extorsión todavía, por lo que se desconocen los autores.

Eisai había sido víctima de otro ataque cibernético en diciembre de 2021 por parte de un grupo de ransomware ahora desaparecido llamado 'AtomSilo'.


Aunque el portal de extorsión de AtomSilo ya no está en línea, los datos que el grupo de amenazas filtró en él incluyeron varios volcados de bases de datos de MDF y LDF que supuestamente robó de la red de Eisai.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft está investigando una interrupción que impidió ayer que los clientes de OneDrive accedieran al servicio de alojamiento de archivos en la nube en todo el mundo, al igual que un actor de amenazas conocido como 'Anonymous Sudan' afirma estar DDoSing el servicio.

Los usuarios que intentaban abrir el sitio web de OneDrive veían los mensajes de error "Lo sentimos, se ha producido un error" y "Esta página no funciona en este momento".

"Estamos investigando un problema potencial y verificando el impacto en su organización. Proporcionaremos una actualización dentro de los 30 minutos", dijo la compañía en una actualización de su página de estado de salud del servicio.

"Hemos revisado la telemetría de OneDrive que captura este escenario de impacto para determinar el origen de los errores de acceso al servicio y comenzar a identificar un plan de mitigación".

Si bien la compañía no proporcionó ningún detalle sobre lo que está causando la interrupción, el incidente de ayer fue reclamado por hacktivistas conocidos como Anonymous Sudan, que algunos creen que están vinculados a Rusia.

También dijeron que eliminaron una serie de servicios de Microsoft a principios de esta semana en ataques distribuidos de denegación de servicio (DDoS).

"Microsoft, ¿crees que te olvidamos? Estamos motivados para enseñarles a los mentirosos una muy buena lección de honestidad que ninguno de sus padres les enseñó", dijeron en su grupo público de Telegram.

"Onedrive ha sido derribado. Veamos tu nueva excusa ahora".


El incidente de ayer sigue a otra interrupción prolongada de principios de esta semana que afectó a múltiples servicios y características de Microsoft, incluidos Outlook, SharePoint Online y OneDrive para la Empresa.

El apagón comenzó el lunes por la noche y finalmente se abordó en las primeras horas del miércoles, y también fue reclamado por Anonymous Sudán como el resultado de sus ataques DDoS.

Microsoft le dijo a BleepingComputer que están investigando los reclamos y tomando medidas para proteger a los clientes.

"Somos conscientes de estas afirmaciones y estamos investigando. Estamos tomando las medidas necesarias para proteger a los clientes y garantizar la estabilidad de nuestros servicios", dijo Microsoft a BleepingComputer en un comunicado.

En una actualización posterior de la página de estado de mantenimiento del servicio, Microsoft confirmó que esta interrupción intermitente solo afecta al dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

"La URL del navegador afectada es You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. El acceso al servicio OneDrive utilizando el cliente de escritorio, un cliente de sincronización o los clientes de Office no se ven afectados", dijo Microsoft.

"Continuamos analizando la telemetría de monitoreo y realizando procesos de equilibrio de carga para proporcionar alivio".

Actualización 08 de junio, 14:02 EDT: Se agregó una declaración de Microsoft.

Actualización 08 de junio, 16:40 EDT: Se agregó la confirmación de que solo el dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login está afectado.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva puerta trasera personalizada llamada Stealth Soldier se ha desplegado como parte de un conjunto de ataques de espionaje altamente dirigidos en el norte de África.

"El malware Stealth Soldier es una puerta trasera indocumentada que opera principalmente funciones de vigilancia como la exfiltración de archivos, la grabación de pantalla y micrófono, el registro de pulsaciones de teclas y el robo de información del navegador", dijo la compañía de ciberseguridad Check Point en un informe técnico.

La operación en curso se caracteriza por el uso de servidores de comando y control (C&C) que imitan sitios pertenecientes al Ministerio de Relaciones Exteriores de Libia. Los primeros artefactos asociados con la campaña se remontan a octubre de 2022.

Los ataques comienzan con objetivos potenciales que descargan binarios de descarga falsos que se entregan a través de ataques de ingeniería social y actúan como un conducto para recuperar Stealth Soldier, mientras que simultáneamente muestran un archivo PDF vacío de señuelo.

El implante modular personalizado, que se cree que se usa con moderación, permite capacidades de vigilancia mediante la recopilación de listas de directorios y credenciales del navegador, el registro de pulsaciones de teclas, la grabación de audio del micrófono, la toma de capturas de pantalla, la carga de archivos y la ejecución de comandos de PowerShell.


"El malware utiliza diferentes tipos de comandos: algunos son complementos que se descargan del C&C y otros son módulos dentro del malware", dijo Check Point, y agregó que el descubrimiento de tres versiones de Stealth Soldier indica que está siendo mantenido activamente por sus operadores.

Algunos de los componentes ya no están disponibles para su recuperación, pero se dice que los complementos de captura de pantalla y robo de credenciales del navegador se inspiraron en proyectos de código abierto disponibles en GitHub.

Además, las exhibiciones de infraestructura de Stealth Soldier se superponen con la infraestructura asociada con otra campaña de phishing llamada Eye on the Nile, que se dirigió a periodistas egipcios y activistas de derechos humanos en 2019.

El desarrollo señala la "primera posible reaparición de este actor de amenazas" desde entonces, lo que sugiere que el grupo está orientado a la vigilancia contra objetivos egipcios y libios.

"Dada la modularidad del malware y el uso de múltiples etapas de infección, es probable que los atacantes continúen evolucionando sus tácticas y técnicas y desplieguen nuevas versiones de este malware en un futuro próximo", dijo Check Point.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El actor de amenazas conocido como Asylum Ambuscade ha sido observado a caballo entre las operaciones de cibercrimen y ciberespionaje desde al menos principios de 2020.

"Es un grupo de crimeware que se dirige a clientes bancarios y comerciantes de criptomonedas en varias regiones, incluidas América del Norte y Europa", dijo ESET en un análisis publicado el jueves. "Asylum Ambuscade también hace espionaje contra entidades gubernamentales en Europa y Asia Central".

Asylum Ambuscade fue documentado por primera vez por Proofpoint en marzo de 2022 como una campaña de phishing patrocinada por el estado-nación que se dirigió a entidades gubernamentales europeas en un intento de obtener inteligencia sobre el movimiento de refugiados y suministros en la región.

El objetivo de los atacantes, según la firma eslovaca de ciberseguridad, es desviar información confidencial y credenciales de correo electrónico web de los portales oficiales de correo electrónico del gobierno.

Los ataques comienzan con un correo electrónico de spear-phishing con un archivo adjunto malicioso de hoja de cálculo de Excel que, cuando se abre, explota el código VBA o la vulnerabilidad Follina (CVE-2022-30190) para descargar un paquete MSI desde un servidor remoto.

El instalador, por su parte, despliega un descargador escrito en Lua llamado SunSeed (o su equivalente Visual Basic Script) que, a su vez, recupera un malware basado en AutoHotkey conocido como AHK Bot de un servidor remoto.

Lo notable de Asylum Ambuscade es su ola de delitos cibernéticos que se ha cobrado más de 4,500 víctimas en todo el mundo desde enero de 2022, con la mayoría de ellas ubicadas en América del Norte, Asia, África, Europa y América del Sur.


"La orientación es muy amplia e incluye principalmente individuos, comerciantes de criptomonedas y pequeñas y medianas empresas (PYMES) en varias verticales", dijo el investigador de ESET, Matthieu Faou.

Si bien un aspecto de los ataques está diseñado para robar criptomonedas, es probable que la orientación de las pymes sea un intento de monetizar el acceso vendiéndolo a otros grupos cibercriminales para obtener ganancias ilícitas.

La cadena de compromiso sigue un patrón similar que excluye el vector de intrusión inicial, que implica el uso de un anuncio de Google deshonesto o un sistema de dirección de tráfico (TDS) para redirigir a las víctimas potenciales a un sitio web falso que entrega un archivo JavaScript con malware.

Los ataques también han hecho uso de una versión Node.js de AHK Bot con nombre en código NODEBOT que luego se utiliza para descargar complementos responsables de tomar capturas de pantalla, saquear contraseñas, recopilar información del sistema e instalar troyanos y ladrones adicionales.

Dadas las cadenas de ataque casi idénticas a través de los esfuerzos de cibercrimen y espionaje, se sospecha que "Asylum Ambuscade es un grupo de cibercrimen que está haciendo algo de ciberespionaje en el lado".

Las superposiciones también se extienden a otro grupo de actividades denominado Screentime que se sabe que se dirige a empresas en los Estados Unidos y Alemania con malware a medida diseñado para robar información confidencial. Proofpoint está rastreando al actor de amenazas bajo el nombre TA866.

"Es bastante inusual atrapar a un grupo de cibercrimen que ejecuta operaciones dedicadas al ciberespionaje", dijo Faou, lo que lo convierte en una rareza en el panorama de amenazas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cisco ha corregido una vulnerabilidad de alta gravedad encontrada en el software Cisco Secure Client (anteriormente AnyConnect Secure Mobility Client) que puede permitir a los atacantes escalar privilegios a la cuenta SYSTEM utilizada por el sistema operativo.

Cisco Secure Client permite a los empleados trabajar desde cualquier lugar a través de una red privada virtual (VPN) segura y proporciona a los administradores funciones de telemetría y administración de puntos finales.

Los atacantes locales con pocos privilegios pueden explotar esta falla de seguridad (rastreada como CVE-2023-20178) en ataques de baja complejidad que no requieren interacción del usuario.

"Esta vulnerabilidad existe porque se asignan permisos incorrectos a un directorio temporal que se crea durante el proceso de actualización", dice Cisco.

"Un atacante podría explotar esta vulnerabilidad abusando de una función específica del proceso de Windows Installer".

El error se corrigió en AnyConnect Secure Mobility Client para Windows 4.10MR7 y Cisco Secure Client para Windows 5.0MR2.

Según Cisco, CVE-2023-20178 no afecta a los siguientes macOS, Linux y productos móviles:

• Cisco AnyConnect Secure Mobility Client para Linux
• Cisco AnyConnect Secure Mobility Client para MacOS
• Cisco Secure Client-AnyConnect para Android
• Cisco Secure Client AnyConnect VPN para iOS
• Cisco Secure Client para Linux
• Cisco Secure Client para MacOS

Sin signos de explotación activa

El Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) de la compañía aún no ha encontrado ninguna evidencia de uso malicioso en la naturaleza o código de explotación público dirigido al error.

En octubre, Cisco advirtió a los clientes que corrigieran otras dos fallas de seguridad de AnyConnect, con código de explotación pública y abordadas hace tres años, debido a la explotación en la naturaleza.

Los errores (CVE-2020-3433 y CVE-2020-3153) permiten a los actores de amenazas ejecutar código arbitrario en dispositivos Windows específicos con privilegios SYSTEM cuando están encadenados con otras fallas de escalada de privilegios.

Como CISA también dijo al agregarlos a su lista de errores explotados conocidos, "este tipo de vulnerabilidades son un vector de ataque frecuente para los actores cibernéticos maliciosos y representan un riesgo significativo para la empresa federal".

Hace dos años, Cisco parcheó un AnyConnect zero-day (CVE-2020-3556) con código de explotación público en mayo de 2021 con un retraso de seis meses después de proporcionar medidas de mitigación para disminuir la superficie de ataque cuando se reveló en noviembre de 2020.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La compañía de seguridad de redes y correo electrónico Barracuda advierte a los clientes que deben reemplazar los dispositivos Email Security Gateway (ESG) pirateados en ataques dirigidos a una vulnerabilidad de día cero ahora parcheada.

"Los dispositivos ESG afectados deben reemplazarse inmediatamente independientemente del nivel de versión del parche", advirtió la compañía en una actualización del aviso inicial emitido el martes.

"La recomendación de remediación de Barracuda en este momento es el reemplazo completo de los ESG afectados".

Según Barracuda, los clientes afectados ya han sido notificados a través de la interfaz de usuario de ESG violada. Se insta a los clientes que aún no hayan reemplazado sus dispositivos a que se pongan en contacto con el soporte técnico urgentemente por correo electrónico.

La advertencia se produce después de que la falla crítica de inyección de comando remoto Barracuda ESG rastreada como CVE-2023-2868 se parcheó de forma remota el 20 de mayo, y el acceso de los atacantes a los dispositivos comprometidos se cortó un día después mediante la implementación de un script dedicado.

El 24 de mayo, Barracuda advirtió a los clientes que sus dispositivos ESG podrían haber sido violados a través del error CVE-2023-2868 y les aconsejó que investigaran sus entornos en busca de signos de intrusión.

Un portavoz de Barracuda no estuvo disponible de inmediato para hacer comentarios cuando fue contactado por BleepingComputer el día de hoy para obtener detalles adicionales sobre por qué se requiere un reemplazo completo de ESG.

Explotado desde al menos octubre de 2022

Antes de ser parcheado, el error Barracuda ESG fue explotado como un día cero durante al menos siete meses para encubrir los dispositivos ESG de los clientes con malware personalizado y robar datos, como reveló la compañía hace una semana.

Se utilizó por primera vez en octubre de 2022 para violar "un subconjunto de dispositivos ESG" e instalar malware que proporcionó a los atacantes acceso persistente a los dispositivos comprometidos.

Desplegaron malware de agua salada para la puerta trasera de los dispositivos infectados y una herramienta maliciosa llamada SeaSide para establecer shells inversos para facilitar el acceso remoto a través de comandos SMTP HELO / EHLO.

Posteriormente, los actores de amenazas aprovecharon su acceso para robar información de los dispositivos de puerta trasera.

CISA también agregó la vulnerabilidad CVE-2023-2868 a su catálogo de errores explotados en ataques, advirtiendo a las agencias federales con dispositivos ESG que verifiquen sus redes en busca de evidencia de infracciones.

Barracuda dice que sus productos son utilizados por más de 200,000 organizaciones, incluidas compañías de alto perfil como Samsung, Delta Airlines, Mitsubishi y Kraft Heinz.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google lanzó el lunes actualizaciones de seguridad para parchear una falla de alta gravedad en su navegador web Chrome que, según dijo, está siendo explotada activamente en la naturaleza.

Rastreada como CVE-2023-3079, la vulnerabilidad se ha descrito como un error de confusión de tipo en el motor JavaScript V8. Clement Lecigne del Grupo de Análisis de Amenazas (TAG) de Google ha sido acreditado por informar el problema el 1 de junio de 2023.

"La confusión de tipos en V8 en Google Chrome antes de 114.0.5735.110 permitió a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML diseñada", según la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST.

El gigante tecnológico, como suele ser el caso, no reveló detalles de la naturaleza de los ataques, pero señaló que es "consciente de que existe un exploit para CVE-2023-3079 en la naturaleza".

Con el último desarrollo, Google ha abordado un total de tres días cero explotados activamente en Chrome desde el comienzo del año:

• CVE-2023-2033 (puntuación CVSS: 8,8) - Confusión de tipos en V8
• CVE-2023-2136 (puntuación CVSS: 9,6) - Desbordamiento de enteros en Skia

Se recomienda a los usuarios que actualicen a la versión 114.0.5735.110 para Windows y 114.0.5735.106 para macOS y Linux para mitigar posibles amenazas. También se recomienda a los usuarios de navegadores basados en Chromium como Microsoft Edge, Brave, Opera y Vivaldi que apliquen las correcciones cuando estén disponibles.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado un actor de amenazas desconocido dirigido a la industria aeroespacial de Estados Unidos con un nuevo malware basado en PowerShell llamado PowerDrop.

"PowerDrop utiliza técnicas avanzadas para evadir la detección, como el engaño, la codificación y el cifrado", según Adlumin, que encontró el malware implantado en un contratista de defensa aeroespacial nacional no identificado en mayo de 2023.

"El nombre se deriva de la herramienta, Windows PowerShell, utilizada para inventar el script, y 'Drop' de la cadena DROP (DRP) utilizada en el código para el relleno".

PowerDrop también es una herramienta posterior a la explotación, lo que significa que está diseñada para recopilar información de las redes de víctimas después de obtener acceso inicial a través de otros medios.

El malware emplea mensajes de solicitud de eco del Protocolo de mensajes de control de Internet (ICMP) como balizas para iniciar comunicaciones con un servidor de comando y control (C2).

El servidor, por su parte, responde con un comando cifrado que se decodifica y se ejecuta en el host comprometido. Un mensaje de ping ICMP similar se utiliza para filtrar los resultados de la instrucción.


Además, el comando PowerShell se ejecuta mediante el servicio Instrumental de administración de Windows (WMI), lo que indica los intentos del adversario de aprovechar las tácticas de vida fuera de la tierra para eludir la detección.

"Si bien el ADN central de la amenaza no es particularmente sofisticado, su capacidad para ofuscar actividades sospechosas y evadir la detección por parte de las defensas de punto final huele a actores de amenazas más sofisticados", dijo Mark Sangster, vicepresidente de estrategia de Adlumin.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Después de presentar una serie de asistentes impulsados por IA para sus productos, Microsoft ha anunciado que pronto finalizará el soporte para la aplicación Cortana independiente de Windows.

Cortana proporciona asistencia basada en voz y una amplia gama de tareas, como configurar recordatorios, crear eventos de calendario, proporcionar actualizaciones meteorológicas y buscar en la Web.

Inicialmente introducido como parte del sistema operativo Windows Phone, Cortana se ha expandido a otras plataformas, incluyendo Windows 10, Android e iOS. Ahora está profundamente integrado en el ecosistema de Microsoft y fue diseñado para trabajar en estrecha colaboración con otros productos de Microsoft.

Según un documento de soporte publicado el miércoles y descubierto por Windows Central, el asistente de productividad personal se retirará a fines de 2023, 8 años después de su inclusión en Windows 10 en 2015.

"A partir de finales de 2023, ya no admitiremos Cortana en Windows como una aplicación independiente. Sin embargo, aún puede acceder a potentes funciones de productividad en Windows y Edge, que han aumentado las capacidades de IA", dijo Microsoft.

"Este cambio solo afecta a Cortana en Windows, y su asistente de productividad, Cortana, seguirá estando disponible en Outlook mobile, Teams mobile, Microsoft Teams display y Microsoft Teams rooms".

Windows Copilot entra en escena

El anuncio se produce después de que Redmond abandonara el soporte para la aplicación móvil Cortana hace dos años, a partir del 31 de marzo de 2021.

El lugar de Cortana como asistente digital de Windows ya ha sido ocupado por el Windows Copilot impulsado por IA presentado la semana pasada durante la conferencia Build.

Panos Panay, Director de Producto de Redmond para Windows y Dispositivos, reveló que Windows Copilot está listo para entrar en la fase de vista previa para Windows 11 a partir de junio.

Microsoft está sugiriendo algunos de sus otros productos lanzados recientemente, que reemplazan a Cortana y se basan en sus capacidades, incluido el acceso de voz en Windows 11 para controlar su PC con su voz, el nuevo motor de búsqueda Bing impulsado por IA y la herramienta de productividad Microsoft 365 Copilot AI.

"Estamos entusiasmados de seguir innovando y utilizando la IA para ayudarlo a trabajar de manera más inteligente y rápida. Esperamos que disfruten de las nuevas formas de usar la IA para ahorrar tiempo y centrarse en lo que más les importa", dijo Microsoft.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

GIGABYTE ha lanzado actualizaciones de firmware para corregir vulnerabilidades de seguridad en más de 270 motherboards que podrían ser explotadas para instalar malware.

Las actualizaciones de firmware fueron lanzadas el jueves pasado en respuesta a un informe de la compañía de seguridad de hardware Eclypsium, que encontró fallas en una característica legítima de GIGABYTE utilizada para instalar una aplicación de actualización automática de software en Windows.

Windows incluye una característica denominada Tabla binaria de la plataforma de Windows (WPBT) que permite a los desarrolladores de firmware extraer automáticamente un ejecutable de la imagen de firmware y ejecutarlo en el sistema operativo.

"El WPBT permite a los proveedores y OEM ejecutar un programa en la capa UEFI. Cada vez que Windows arranca, mira la UEFI y ejecuta el archivo . Se utiliza para ejecutar programas que no están incluidos con los medios de Windows", explica Microsoft..exe.exe

Las motherboards de GIGABYTE usan la función WPBT para instalar automáticamente una aplicación de actualización automática a '%SystemRoot%\system32\GigabyteUpdateService.exe' en nuevas instalaciones de Windows.

Si bien está habilitada de forma predeterminada, esta función se puede desactivar en la configuración del BIOS en la pestaña Periféricos > opción de configuración de configuración de descarga e instalación de APP Center .

Sin embargo, Eclypsium descubrió varias fallas de seguridad en este proceso que los atacantes podrían explotar para entregar malware en ataques man-in-the-middle (MiTM).

Eclypsium encontró que cuando el firmware cae y ejecuta el GIGABYTEUpdateService.exe, el ejecutable se conectará a una de las tres URLs de GIGABYTE para descargar e instalar la última versión del software de actualización automática.

El problema es que dos de las URL utilizadas para descargar el software utilizan conexiones HTTP no seguras, que pueden ser secuestradas en ataques MiTM para instalar malware en su lugar.

Además, los investigadores encontraron que GIGABYTE no realizó ninguna verificación de firma para los archivos descargados, lo que podría evitar que se instalen archivos maliciosos o manipulados.

En respuesta, GIGABYTE ha lanzado actualizaciones de firmware para las motherboards Intel 400/500/600/700 y AMD serie 400/500/600 para solucionar estos problemas.


Si bien los riesgos de estas vulnerabilidades son probablemente bajos, se recomienda a todos los usuarios de motherboards de GIGABYTE que instalen las últimas actualizaciones de firmware para beneficiarse de las correcciones de seguridad.

Además, si deseas eliminar la aplicación de actualización automática de GIGABYTE, primero debes desactivar la configuración 'APP Center Download & Install Configuration' en el BIOS y luego desinstalar el software en Windows.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado que un actor desconocido de amenazas cibernéticas se dirige a víctimas de habla hispana y portuguesa para comprometer cuentas bancarias en línea en México, Perú y Portugal.

"Este actor de amenazas emplea tácticas como LOLBaS (binarios y scripts que viven fuera de la tierra), junto con scripts basados en CMD para llevar a cabo sus actividades maliciosas", dijo el Equipo de Investigación e Inteligencia de BlackBerry en un informe publicado la semana pasada.

La compañía de ciberseguridad atribuyó la campaña, denominada Operación CMDStealer, a un actor de amenazas brasileño basado en un análisis de los artefactos.

La cadena de ataque aprovecha principalmente la ingeniería social, apostando por correos electrónicos portugueses y españoles que contienen señuelos con temas de impuestos o infracciones de tráfico para desencadenar las infecciones y obtener acceso no autorizado a los sistemas de las víctimas.

Los correos electrónicos vienen equipados con un archivo adjunto HTML que contiene código ofuscado para obtener la carga útil de la siguiente etapa de un servidor remoto en forma de un archivo RAR.

Los archivos, que están geocercados a un país específico, incluyen un archivo . CMD, que, a su vez, alberga un script AutoIt que está diseñado para descargar un script de Visual Basic para llevar a cabo el robo de Microsoft Outlook y los datos de contraseña del navegador.


"Los scripts basados en LOLBaS y CMD ayudan a los actores de amenazas a evitar la detección por parte de las medidas de seguridad tradicionales. Los scripts aprovechan las herramientas y comandos integrados de Windows, lo que permite al actor de amenazas evadir las soluciones de la plataforma de protección de endpoints (EPP) y eludir los sistemas de seguridad", señaló BlackBerry.

La información recopilada se transmite de vuelta al servidor del atacante a través de un método de solicitud HTTP POST.

"Con base en la configuración utilizada para atacar a las víctimas en México, el actor de amenazas está interesado en las cuentas comerciales en línea, que generalmente tienen un mejor flujo de efectivo", dijo la compañía canadiense de ciberseguridad.

El desarrollo es el último de una larga lista de campañas de malware motivadas financieramente que emanan de Brasil.

Los hallazgos también se producen cuando ESET expuso las tácticas de una red nigeriana de cibercrimen que ejecutó estafas complejas de fraude financiero dirigidas a individuos, bancos y empresas desprevenidos en los Estados Unidos y en otros lugares entre diciembre de 2011 y enero de 2017.

Para llevar a cabo los esquemas, los malos actores utilizaron ataques de phishing para obtener acceso a cuentas de correo electrónico corporativas y engañar a sus socios comerciales para que envíen dinero a cuentas bancarias controladas por delincuentes, una técnica llamada compromiso de correo electrónico comercial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login