Google ha anunciado planes para activar oficialmente sus iniciativas de Privacy Sandbox dos veces retrasadas, ya que lentamente se abre camino para desaprobar el soporte de cookies de terceros en el navegador Chrome.

Con ese fin, el gigante de la búsqueda y la publicidad dijo que tiene la intención de eliminar gradualmente las cookies de terceros para el 1% de los usuarios de Chrome a nivel mundial en el primer trimestre de 2024.

"Esto ayudará a los desarrolladores a realizar experimentos del mundo real que evalúen la preparación y efectividad de sus productos sin cookies de terceros", dijo Anthony Chavez, vicepresidente de Privacy Sandbox en Google.

Antes de implementar esto, Google dijo que introduciría la capacidad de que los desarrolladores externos simulen el proceso para un subconjunto configurable de sus usuarios (hasta el 10%) en el cuarto trimestre de 4.

Google enfatizó además que los planes han sido diseñados y desarrollados con la supervisión regulatoria y el aporte de la Autoridad de Competencia y Mercados del Reino Unido (CMA), que supervisa la implementación para garantizar que las propuestas no inclinen la igualdad de condiciones a favor de la compañía.

Privacy Sandbox es un proyecto doble para la web y Android que tiene como objetivo limitar el seguimiento encubierto al eliminar la necesidad de cookies de terceros e identificadores de aplicaciones cruzadas y seguir sirviendo contenido y anuncios relevantes de una manera que preserve la privacidad.

Google, a principios de febrero, comenzó a probar Privacy Sandbox en Android en versión beta para dispositivos móviles elegibles con Android 13.

Se espera que las API de Privacy Sandbox, incluidos los temas, estén disponibles de forma general para todos los usuarios sin necesidad de participar en una prueba de origen en Chrome 115, que se lanzará a finales de julio de 2023.

La idea, en pocas palabras, es inferir señales de interés de grano grueso (llamadas temas) en el dispositivo en función de la actividad de navegación de los usuarios durante un período de una semana (llamado época) y compartir esa información con los proveedores de tecnología publicitaria para publicar anuncios dirigidos.

También tiene como objetivo dar a los usuarios control sobre sus intereses en evolución, con las categorías seleccionadas para cada época seleccionadas al azar de los temas más visitados para ese período de tiempo.

El objetivo de Google es desactivar completamente las cookies de terceros en Chrome en la segunda mitad de 2024, aunque la compañía señaló que la línea de tiempo podría cambiar sujeto a las discusiones, comentarios y pruebas de las partes interesadas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado que el notorio grupo de cibercrimen conocido como FIN7 implementa ransomware Cl0p (también conocido como Clop), marcando la primera campaña de ransomware del actor de amenazas desde finales de 2021.

Microsoft, que detectó la actividad en abril de 2023, está rastreando al actor motivado financieramente bajo su nueva taxonomía Sangria Tempest.

"En estos ataques recientes, Sangria Tempest utiliza el script de PowerShell POWERTRASH para cargar la herramienta de post-explotación Lizar y obtener un punto de apoyo en una red objetivo", dijo el equipo de inteligencia de amenazas de la compañía. "Luego usan OpenSSH e Impacket para moverse lateralmente y desplegar el ransomware Clop".

FIN7 (también conocido como Carbanak, ELBRUS e ITG14) se ha relacionado con otras familias de ransomware como Black Basta, DarkSide, REvil y LockBit, con el actor de amenazas actuando como precursor de los ataques de ransomware Maze y Ryuk.

Activo desde al menos 2012, el grupo tiene un historial de apuntar a un amplio espectro de organizaciones que abarcan software, consultoría, servicios financieros, equipos médicos, servicios en la nube, medios, alimentos y bebidas, transporte y servicios públicos.

Otra táctica notable en su libro de jugadas es su patrón de creación de compañías de seguridad falsas, Combi Security y Bastion Secure, para reclutar empleados para realizar ataques de ransomware y otras operaciones.

El mes pasado, IBM Security X-Force reveló que los miembros de la ahora desaparecida pandilla de ransomware Conti están utilizando un nuevo malware llamado Domino desarrollado por el cártel del cibercrimen.

El uso de POWERTRASH por parte de FIN7 para entregar Lizar (también conocido como DICELOADER o Tirion) también fue destacado por WithSecure hace unas semanas en relación con ataques que explotan una falla de alta gravedad en el software Veeam Backup & Replication (CVE-2023-27532) para obtener acceso inicial.

El último desarrollo significa la continua dependencia de FIN7 de varias familias de ransomware para atacar a las víctimas como parte de un cambio en su estrategia de monetización al alejarse del robo de datos de tarjetas de pago a la extorsión.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft está duplicando sus esfuerzos para cortejar a la comunidad de jugadores con una nueva característica, el modo "Edge for Gamers", que promete elevar la experiencia del usuario dentro y fuera de las sesiones de juego.

En las descripciones iniciales proporcionadas por Microsoft, el modo Edge for Gamers habilitará una variedad de mejoras. Se dice que introducirá una página de inicio centrada en los juegos y agregará nuevas aplicaciones de barra lateral que satisfagan específicamente las necesidades de los jugadores.

Una de las características más destacadas es un modo de eficiencia diseñado para juegos de PC, presumiblemente diseñado para minimizar el uso de recursos del navegador para maximizar el rendimiento en el juego.


El modo oscuro y los temas específicos de juegos también están en el menú, ofreciendo opciones de personalización que se alinean con la estética popular de los juegos.

Actualmente, el modo Edge for Gamers se encuentra en las primeras etapas de desarrollo.

En la actualidad, activar el modo no cambia significativamente la experiencia del navegador. Sin embargo, una vez habilitado, los usuarios son redirigidos automáticamente a la sección de temas de la Tienda de complementos de Edge, y las aplicaciones para las plataformas de juegos populares Discord y Twitch se agregan a la barra lateral.

Si bien todavía es temprano para el modo Edge for Gamers, el movimiento de Microsoft señala un creciente interés en adaptar productos y características para la comunidad de jugadores.

Vía Leo
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

PyPI, el registro oficial de terceros de paquetes Python de código abierto, ha suspendido temporalmente el registro de nuevos usuarios y la carga de nuevos proyectos en la plataforma hasta nuevo aviso.

El movimiento inesperado se produce en medio de la lucha del registro para mantener una gran afluencia de usuarios y paquetes maliciosos.

PyPI detiene temporalmente las inscripciones de nuevos usuarios y proyectos

A partir de hoy, el Python Package Index, más comúnmente conocido como PyPI, ha suspendido temporalmente los registros de nuevos usuarios y las creaciones de proyectos hasta nuevo aviso.

"El registro de nuevos usuarios y nuevos nombres de proyecto en PyPI se suspende temporalmente", afirma un aviso de incidente publicado por los administradores de PyPI hoy, 20 de mayo.

"El volumen de usuarios maliciosos y proyectos maliciosos que se crearon en el índice en la última semana ha superado nuestra capacidad de responder de manera oportuna, especialmente con múltiples administradores de PyPI en licencia".

Aunque los administradores del registro no han revelado los culpables exactos (actores maliciosos y nombres de proyectos) que los llevaron a congelar nuevos registros en la plataforma, se espera que el movimiento preventivo evite a los adversarios hasta que se pueda encontrar una solución más permanente.

"Mientras nos reagrupamos durante el fin de semana, el registro de nuevos usuarios y nuevos proyectos se suspende temporalmente".

Al igual que otros registros de código abierto, PyPI no es ajeno a ser abusado por adversarios que buscan distribuir malware.

En marzo de 2023, un paquete malicioso de PyPI colourfool fue atrapado distribuyendo lo que fue denominado malware 'Color-Blind' por la consultora de riesgos, Kroll.

El mismo mes, los paquetes de PyPI 'microsoft-helper' y 'reverse-shell' identificados por Sonatype, fueron atrapados dejando caer a los ladrones de información que abusaron de Discord por filtrar secretos.

Es poco probable que el movimiento de hoy de los administradores de PyPI afecte a los mantenedores existentes de los paquetes de Python disponibles en el registro a partir de la publicación de versiones más recientes de sus artefactos.

Esta es una historia en desarrollo...

h / t Adam Reynolds de Sonatype para el aviso.
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva operación de ransomware está hackeando servidores Zimbra para robar correos electrónicos y cifrar archivos. Sin embargo, en lugar de exigir un pago de rescate, los actores de amenazas afirman requerir una donación a la caridad para proporcionar un cifrado y evitar la fuga de datos.

La operación de ransomware, denominada MalasLocker por BleepingComputer, comenzó a cifrar los servidores Zimbra hacia fines de marzo de 2023, y las víctimas informaron en los foros de BleepingComputer y Zimbra que sus correos electrónicos estaban encriptados.

Numerosas víctimas en los foros de Zimbra informan haber encontrado archivos JSP sospechosos cargados en las carpetas /opt/zimbra/jetty_base/webapps/zimbra/ o /opt/zimbra/jetty/webapps/zimbra/public.

Estos archivos se encontraron con diferentes nombres, incluidos info.jsp, noops.jsp y heartbeat.jsp [VirusTotal]. Startup1_3.jsp [VirusTotal], que encontró BleepingComputer, se basa en una consola web de código abierto.


Al cifrar mensajes de correo electrónico, no se agrega ninguna extensión de archivo adicional al nombre del archivo. Sin embargo, el investigador de seguridad MalwareHunterTeam le dijo a BleepingComputer que agregan un mensaje "Este archivo está cifrado, busque README.txt para obtener instrucciones de descifrado" al final de cada archivo cifrado.


No está claro en este momento cómo los actores de amenazas están violando los servidores Zimbra.

Una demanda de rescate inusual

El encriptador también creará notas de rescate llamadas README.txt que vienen con una demanda de rescate inusual para recibir un descifrador y evitar la filtración de datos robados: una donación a una organización benéfica sin fines de lucro que "aprueban".

"A diferencia de los grupos tradicionales de ransomware, no le pedimos que nos envíe dinero. Simplemente no nos gustan las corporaciones y la desigualdad económica", dice la nota de rescate de MalasLocker.

"Simplemente le pedimos que haga una donación a una organización sin fines de lucro que aprobamos. Es un ganar-ganar, probablemente pueda obtener una deducción de impuestos y buenas relaciones públicas de su donación si lo desea".


Las notas de rescate contienen una dirección de correo electrónico para contactar a los actores de la amenaza o una URL TOR que incluye la dirección de correo electrónico más reciente para el grupo. La nota también tiene una sección de texto codificado en Base64 en la parte inferior que se requiere para recibir un descifrador, que entraremos en más detalle más adelante en el artículo.

Si bien las notas de rescate no contienen un enlace al sitio de fuga de datos de la pandilla de ransomware, el analista de amenazas de Emsisoft, Brett Callow, encontró un enlace a su sitio de fuga de datos, con el título "Somos malas ... podemos ser peores", traducido a, "Somos malos... Podemos ser peores".

El sitio de fuga de datos MalasLocker actualmente distribuye los datos robados para tres compañías y la configuración Zimbra para otras 169 víctimas.

La página principal del sitio de fuga de datos también contiene un largo mensaje lleno de emojis que explica lo que representan y los rescates que requieren.

"Somos un nuevo grupo de ransomware que ha estado cifrando las computadoras de las empresas para pedirles que donen dinero a quien quieran", se lee en el sitio de fuga de datos MalasLocker.

"Les pedimos que hagan una donación a una organización sin fines de lucro de su elección, y luego guarden el correo electrónico que reciben confirmando la donación y nos lo envien para que podamos verificar la firma DKIM para asegurarnos de que el correo electrónico sea real".


Esta demanda de rescate es muy inusual y, si es honesta, pone la operación más en el ámbito del hacktivismo.

Sin embargo, BleepingComputer aún tiene que determinar si los actores de amenazas están cumpliendo su palabra cuando una víctima dona dinero a una organización benéfica para un descifrador.

Cifrado de Age poco común


BleepingComputer no ha podido encontrar el cifrado para la operación MalasLocker. Sin embargo, el bloque codificado Base64 en la nota de rescate decodifica a un encabezado de herramienta de cifrado Age requerido para descifrar la clave de descifrado privada de una víctima.


La herramienta de cifrado Age fue desarrollada por Filippo Valsorda, criptógrafo y líder de seguridad de Go en Google, y utiliza los algoritmos X25519 (una curva ECDH), ChaChar20-Poly1305 y HMAC-SHA256.

Este es un método de cifrado poco común, con solo unas pocas operaciones de ransomware que lo usan, y todas ellas no están dirigidas a dispositivos Windows.

El primero fue AgeLocker, descubierto en 2020 y el otro fue encontrado por MalwareHunterTeam en agosto de 2022, ambos dirigidos a dispositivos QNAP.


Además, las notas de rescate de la campaña de QNAP y AgeLocker comparten un lenguaje similar, vinculando aún más esas dos operaciones al menos.

Si bien este es un eslabón débil en el mejor de los casos, la orientación de dispositivos que no son Windows y el uso del cifrado Age por todas estas operaciones de ransomware podrían indicar que están relacionados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apple ha abordado tres nuevas vulnerabilidades de día cero explotadas en ataques para piratear iPhones, Mac y iPads.

"Apple está al tanto de un informe de que este problema puede haber sido explotado activamente", reveló la compañía en avisos de seguridad que describen las fallas.

Todos los errores de seguridad se encontraron en el motor del navegador WebKit multiplataforma y se rastrean como CVE-2023-32409, CVE-2023-28204 y CVE-2023-32373.

La primera vulnerabilidad es un escape de espacio aislado que permite a los atacantes remotos salir de los entornos limitados de contenido web.

Los otros dos son una lectura fuera de los límites que puede ayudar a los atacantes a obtener acceso a información confidencial y un problema de uso posterior a la liberación que permite lograr la ejecución de código arbitrario en dispositivos comprometidos, ambos después de engañar a los objetivos para que carguen páginas web maliciosamente diseñadas (contenido web).

Apple abordó los tres días cero en macOS Ventura 13.4, iOS y iPadOS 16.5, tvOS 16.5, watchOS 9.5 y Safari 16.5 con comprobaciones de límites mejoradas, validación de entrada y administración de memoria.

La lista de dispositivos afectados es bastante extensa, ya que el error afecta a modelos más antiguos y más nuevos, e incluye:

• iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (1.ª generación), iPad Air 2, iPad mini (4.ª generación), iPod touch (7.ª generación) y iPhone 8 y posteriores
• iPad Pro (todos los modelos), iPad Air 3.ª generación y posterior, iPad 5.ª generación y posterior, y iPad mini 5.ª generación y posterior
• Macs con macOS Big Sur, Monterey y Ventura
• Apple Watch Series 4 y versiones posteriores
• Apple TV 4K (todos los modelos) y Apple TV HD

La compañía también reveló que CVE-2023-28204 y CVE-2023-32373 (reportados por investigadores anónimos) se abordaron por primera vez con los parches de respuesta rápida de seguridad (RSR) para dispositivos iOS 16.4.1 y macOS 13.3.1 emitidos el 1 de mayo.

Un portavoz de Apple no respondió a una solicitud de más detalles cuando fue contactado por BleepingComputer en ese momento con respecto a qué fallas se solucionaron con las actualizaciones RSR de mayo.

Seis días cero parcheados desde principios de 2023

Si bien Apple dice que es consciente de que los tres días cero parcheados hoy están bajo explotación, no compartió ninguna información sobre estos ataques.

Sin embargo, los avisos de hoy revelan que CVE-2023-32409 ha sido reportado por Clément Lecigne del Grupo de Análisis de Amenazas de Google y Donncha Ó Cearbhaill del Laboratorio de Seguridad de Amnistía Internacional.

Las organizaciones de las que forman parte los dos investigadores divulgan regularmente detalles sobre campañas respaldadas por el estado que explotan errores de día cero para desplegar spyware mercenario en los teléfonos inteligentes y computadoras de políticos, periodistas, disidentes y más.

En abril, Apple corrigió otros dos días cero (CVE-2023-28206 y CVE-2023-28205) que formaban parte de cadenas de exploits salvajes de vulnerabilidades de día cero y día n de Android, iOS y Chrome, de las que se abusó para implementar spyware comercial en los dispositivos de objetivos de alto riesgo en todo el mundo.

En febrero, Apple abordó un WebKit más de día cero (CVE-2023-23529) explotado en ataques para obtener la ejecución de código en iPhones, iPads y Mac vulnerables.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un ciudadano ruso ha sido acusado y acusado por el Departamento de Justicia de los Estados Unidos (DoJ) por lanzar ataques de ransomware contra "miles de víctimas" en el país y en todo el mundo.

Mikhail Pavlovich Matveev (también conocido como Wazawaka, m1x, Boriselcin y Uhodiransomwar), el individuo de 30 años en cuestión, supuestamente es una "figura central" en el desarrollo e implementación de las variantes de ransomware LockBit, Babuk y Hive desde al menos junio de 2020.

"Estas víctimas incluyen agentes de la ley y otras agencias gubernamentales, hospitales y escuelas", dijo el Departamento de Justicia. "Las demandas totales de rescate supuestamente hechas por los miembros de estas tres campañas globales de ransomware a sus víctimas ascienden a hasta $ 400 millones, mientras que los pagos totales de rescate de las víctimas ascienden a hasta $ 200 millones".

LockBit, Babuk y Hive operan de la misma manera, aprovechando el acceso obtenido ilegalmente para filtrar datos valiosos y desplegar ransomware en redes comprometidas. Los actores de amenazas también amenazan con publicar la información robada en un sitio de fuga de datos en un intento de negociar un monto de rescate con las víctimas.

Matveev ha sido acusado de conspirar para transmitir demandas de rescate, conspirar para dañar computadoras protegidas y dañar intencionalmente computadoras protegidas. Si es declarado culpable, lo cual es poco probable, enfrenta más de 20 años de prisión.

El Departamento de Estado de Estados Unidos también ha anunciado una indemnización de hasta 10 millones de dólares por información que conduzca al arresto y/o condena de Matveev.

Por separado, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro anunció sanciones contra el acusado, afirmando que afirmó que "sus actividades ilícitas serán toleradas por las autoridades locales siempre que permanezca leal a Rusia".

Según el periodista de ciberseguridad Brian Krebs, uno de los alter egos de Matveev incluía Orange, que el acusado utilizó para establecer el ahora desaparecido foro de darknet Russian Anonymous Marketplace (también conocido como RAMP).

A pesar de la ráfaga de acciones policiales para tomar medidas enérgicas contra el ecosistema del cibercrimen en los últimos años, el modelo de ransomware como servicio (RaaS) sigue siendo lucrativo, ofreciendo a los afiliados altos márgenes de beneficio sin tener que desarrollar y mantener el malware ellos mismos.

La mecánica financiera asociada con RaaS también ha reducido la barrera de entrada para los aspirantes a ciberdelincuentes, que pueden aprovechar los servicios ofrecidos por los desarrolladores de ransomware para montar los ataques y embolsarse la mayor parte de las ganancias mal habidas.

Las autoridades australianas y estadounidenses lanzan la alerta de ransomware BianLian

EE.UU. y Australia publicaron un aviso conjunto sobre el ransomware BianLian, un grupo de doble extorsión que se ha dirigido a varios sectores críticos de infraestructura, servicios profesionales y desarrollo inmobiliario desde junio de 2022.

"El grupo obtiene acceso a los sistemas de las víctimas a través de credenciales válidas de Protocolo de escritorio remoto (RDP), utiliza herramientas de código abierto y secuencias de comandos de línea de comandos para el descubrimiento y la recolección de credenciales, y filtra los datos de las víctimas a través del Protocolo de transferencia de archivos (FTP), Rclone o Mega", según el aviso.

La firma checa de ciberseguridad Avast, a principios de este año, publicó un descifrador gratuito para el ransomware BianLian para ayudar a las víctimas del malware a recuperar archivos bloqueados sin tener que pagar a los actores de amenazas, lo que llevó a la pandilla a cambiar "exclusivamente a la extorsión basada en la exfiltración".

El boletín de seguridad también llega en medio de la aparición de una nueva cepa de ransomware llamada LokiLocker que comparte similitudes con otro casillero llamado BlackBit y se ha observado que apunta activamente a entidades en Corea del Sur.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una empresa de cibercrimen conocida como Lemon Group está aprovechando millones de teléfonos inteligentes Android preinfectados en todo el mundo para llevar a cabo sus operaciones maliciosas, lo que plantea importantes riesgos para la cadena de suministro.

"La infección convierte estos dispositivos en proxies móviles, herramientas para robar y vender mensajes SMS, redes sociales y cuentas de mensajería en línea y monetización a través de anuncios y fraude de clics", dijo la firma de ciberseguridad Trend Micro.

La actividad abarca no menos de 8,9 millones de dispositivos Android comprometidos, en particular teléfonos económicos, con la mayoría de las infecciones descubiertas en los EE.UU., México, Indonesia, Tailandia, Rusia, Sudáfrica, India, Angola, Filipinas y Argentina.

Los hallazgos fueron presentados por los investigadores Fyodor Yarochkin, Zhengyu Dong, Vladimir Kropotov y Paul Pajares en la conferencia Black Hat Asia celebrada en Singapur la semana pasada.

Al describirlo como un problema en constante evolución, la firma de ciberseguridad dijo que los actores de amenazas se están ramificando a otros dispositivos IoT basados en Android, como televisores inteligentes, cajas de TV Android, sistemas de entretenimiento e incluso relojes para niños.

Las infecciones se extienden globalmente en más de 180 países, con más de 50 marcas de dispositivos móviles comprometidos por una cepa de malware llamada Guerilla.

"Siguiendo nuestras estimaciones de la línea de tiempo, el actor de amenazas ha propagado este malware en los últimos cinco años", dijeron los investigadores. "Un compromiso en cualquier infraestructura crítica significativa con esta infección probablemente puede generar un beneficio significativo para Lemon Group a largo plazo a expensas de los usuarios legítimos".

Guerilla fue documentado por primera vez por Sophos en 2018 cuando descubrió 15 aplicaciones cargadas en Play Store que albergaban funcionalidad para participar en el fraude de clics y actuar como una puerta trasera.

El malware también atrajo la atención a principios de 2022 por su capacidad para interceptar mensajes SMS que coinciden con características predefinidas, como contraseñas de un solo uso (OTP) asociadas con varias plataformas en línea, poco después de lo cual el actor de amenazas cambió el nombre de la empresa de Lemon a Durian Cloud SMS.

El objetivo, según Trend Micro, es evitar la verificación basada en SMS y anunciar números de teléfono virtuales masivos, que pertenecen a usuarios desprevenidos de los teléfonos Android infectados, para la venta para crear cuentas en línea.


Si bien estos servicios tienen un beneficio de privacidad, ya que permiten a los usuarios suscribirse a servicios utilizando números de teléfono temporales o desechables, también se puede abusar de ellos para crear cuentas de spam a gran escala y realizar fraudes.

Los últimos hallazgos de la compañía de ciberseguridad ilustran que la función de captura de SMS es solo uno de los muchos complementos asociados con un componente de descarga (también conocido como el complemento principal) que se carga en un proceso de cigoto por medio de una biblioteca manipulada.

Vale la pena señalar que la misma técnica de modificación del proceso de cigoto también ha sido adoptada por otro troyano móvil llamado Triada.

"Con esto, cada vez que otros procesos de la aplicación se bifurcan del cigoto, también se manipularía", dijeron los investigadores. "El complemento principal cargará otros complementos con el proceso actual como objetivo, y los otros complementos intentarán controlar la aplicación actual a través de un gancho".

Cada uno de los plugins de Guerrilla cumple una función comercial particular y una oportunidad de monetización para los actores de Lemon Group. Algunos de ellos se enumeran a continuación:

• Complemento de proxy para configurar el proxy inverso desde un teléfono infectado y permitir que otros actores alquilen el acceso a los recursos de red del dispositivo móvil afectado
• Complemento de cookies para recopilar las cookies de Facebook de los usuarios y otra información de perfil
• Plugin de WhatsApp para secuestrar sesiones y enviar mensajes no deseados
• Splash plugin para publicar anuncios injustificados al iniciar ciertas aplicaciones, y
• Plugin silencioso para instalar sigilosamente un archivo APK y ejecutar la app

Una investigación adicional sobre la operación en expansión ha desentrañado las superposiciones de infraestructura de Lemon Group y Triada, lo que sugiere que los dos grupos pueden haber colaborado en algún momento.

Se cree que las modificaciones de firmware no autorizadas se han producido a través de un proveedor externo no identificado que "produce los componentes de firmware para teléfonos móviles" y que también fabrica componentes similares para Android Auto.

La revelación se produce cuando el investigador de seguridad de Microsoft, Dimitrios Valsamaras, detalló un nuevo método de ataque denominado Dirty Stream que convierte los objetivos compartidos de Android en un vector para distribuir cargas maliciosas y capturar datos confidenciales de otras aplicaciones instaladas en un dispositivo.

"El concepto es similar a una vulnerabilidad de carga de archivos de una aplicación web", dijo Valsamaras. "Más específicamente, una aplicación maliciosa utiliza un proveedor de contenido especialmente diseñado para soportar una carga útil que envía a la aplicación de destino".

"Como el remitente controla el contenido, pero también el nombre de la transmisión, el receptor puede sobrescribir archivos críticos con contenido malicioso en caso de que no realice algunas comprobaciones de seguridad necesarias. Además, cuando se aplican ciertas condiciones, el receptor también puede verse obligado a copiar archivos protegidos a un directorio público, poniendo en riesgo los datos privados del usuario.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Director de Seguridad y SVP de Ingeniería de GitHub compartió más detalles hoy sobre una serie de interrupciones que afectaron a la plataforma de alojamiento de código la semana pasada.

Si bien estos incidentes tuvieron causas raíz no relacionadas, afectaron a la mayoría de los servicios principales de GitHub del 9 al 11 de mayo, causando fallas generalizadas de conexión y autenticación de bases de datos durante un máximo de diez horas.

"La semana pasada, GitHub experimentó varios incidentes de disponibilidad, tanto de larga duración como de menor duración. Desde entonces, hemos mitigado estos incidentes y todos los sistemas ahora están funcionando normalmente", dijo Hanley.

"Las causas fundamentales de estos incidentes no estaban relacionadas, pero en conjunto, afectaron negativamente los servicios que las organizaciones y los desarrolladores confían en GitHub para ofrecer. Esto no es aceptable ni el estándar al que nos aferramos".

El 9 de mayo, ocho servicios principales se vieron afectados por una interrupción importante causada por un cambio de configuración en el servicio interno de GitHub que sirve datos de Git.

La segunda interrupción, que ocurrió el 10 de mayo, afectó la emisión de tokens de autenticación para GitHub Apps y resultó de una alta carga y la implementación ineficiente de una API responsable de administrar los permisos de GitHub App.

"El 10 de mayo, el clúster de base de datos que sirve tokens de autenticación de GitHub App vio un aumento de 7 veces en la latencia de escritura para los permisos de GitHub App (estado amarillo)", explicó Hanley.

"La tasa de fracaso de estas solicitudes de token de autenticación fue del 8-15% para la mayoría de este incidente, pero alcanzó un máximo del 76% por ciento por un corto tiempo".

La tercera interrupción de GitHub experimentada por los usuarios la semana pasada, el 11 de mayo, se debió a una pérdida de réplicas de lectura después de que un clúster de base de datos que servía datos de Git se bloqueara y activara un mecanismo de conmutación por error automatizado.


"Estamos abordando el bloqueo de la base de datos Git que ha causado más de un incidente en este momento. Este trabajo ya estaba en progreso y continuaremos priorizándolo", dijo Hanley.

"Estamos abordando los problemas de conmutación por error de la base de datos para garantizar que las conmutaciones por error siempre se recuperen completamente sin intervención".

GitHub compartirá información más detallada sobre estas interrupciones y lo que está haciendo para abordar los problemas que las causaron en su Informe de disponibilidad de mayo.

"El informe de mayo incluirá estos incidentes y cualquier detalle adicional que tengamos sobre ellos, junto con una actualización general sobre el progreso hacia el aumento de la disponibilidad de GitHub", dijo Hanley.

GitHub también se vio afectado por múltiples interrupciones en una semana en marzo de 2022, cuando la compañía reveló que los incidentes fueron causados por problemas de contención de recursos en el clúster de base de datos principal de la plataforma.

Otra interrupción importante afectó a GitHub en febrero de 2022, cuando la plataforma estaba inactiva en todo el mundo, impidiendo el acceso al sitio web y bloqueando confirmaciones, clonación o intentos de solicitud de extracción.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad y los administradores de TI han expresado su preocupación por los nuevos dominios de Internet ZIP y MOV de Google, advirtiendo que los actores de amenazas podrían usarlos para ataques de phishing y entrega de malware.

A principios de este mes, Google introdujo ocho nuevos dominios de nivel superior (TLD) que podrían comprarse para alojar sitios web o direcciones de correo electrónico.

Los nuevos dominios son .dad, .esq, .prof, .phd, .nexus, .foo, y para el tema de nuestro artículo, los TLD de dominio .zip y .mov.

Si bien los TLD ZIP y MOV han estado disponibles desde 2014, no fue hasta este mes que estuvieron disponibles para todos, lo que permite a cualquiera comprar un dominio, como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, para un sitio web.

Sin embargo, estos dominios podrían percibirse como riesgosos, ya que los TLD también son extensiones de archivos comúnmente compartidos en publicaciones en foros, mensajes y discusiones en línea, que ahora se convertirán automáticamente en URL por algunas plataformas o aplicaciones en línea.

La preocupación

Dos tipos de archivos comunes que se ven en línea son los archivos ZIP y los videos MPEG 4, cuyos nombres de archivo terminan en .zip (archivo ZIP) o .mov (archivo de video).

Por lo tanto, es muy común que las personas publiquen instrucciones que contengan nombres de archivo con las extensiones .zip y .mov.

Sin embargo, ahora que son TLD, algunas plataformas de mensajería y sitios de redes sociales convertirán automáticamente los nombres de archivo con extensiones .zip y .mov en URL.

Por ejemplo, en Twitter, si envía a alguien instrucciones sobre cómo abrir un archivo zip y acceder a un archivo MOV, los nombres de archivo inocuos se convierten en una URL, como se muestra a continuación.


Cuando las personas ven las URL en las instrucciones, comúnmente piensan que la URL se puede usar para descargar el archivo asociado y pueden hacer clic en el enlace. Por ejemplo, vincular nombres de archivo a descargas es la forma en que generalmente proporcionamos instrucciones sobre BleepingComputer en nuestros artículos, tutoriales y foros de discusión.

Sin embargo, si un actor de amenazas poseía un dominio .zip con el mismo nombre que un nombre de archivo vinculado, una persona puede visitar por error el sitio y caer en una estafa de phishing o descargar malware, pensando que la URL es segura porque proviene de una fuente confiable.

Si bien es muy poco probable que los actores de amenazas registren miles de dominios para capturar algunas víctimas, solo necesita que un empleado corporativo instale malware por error para que toda una red se vea afectada.

El abuso de estos dominios no es teórico, ya que la firma de inteligencia cibernética Silent Push Labs ya está descubriendo lo que parece ser una página de phishing en microsoft-office. zip intentando robar las credenciales de la cuenta Microsoft.


Los investigadores de ciberseguridad también han comenzado a jugar con los dominios, con Bobby Rauch publicando investigaciones sobre el desarrollo de enlaces de phishing convincentes utilizando caracteres Unicode y el delimitador de información de usuario (@) en las URL.

La investigación de Rauch muestra cómo los actores de amenazas pueden crear URL de phishing que parecen URL legítimas de descarga de archivos en GitHub, pero en realidad lo llevan a un sitio web en v1.27.1 [.] zip cuando se hace clic, como se ilustra a continuación.


Opiniones contradictorias

Estos desarrollos han provocado un debate entre desarrolladores, investigadores de seguridad y administradores de TI, con algunos sintiendo que los temores no están justificados y otros sintiendo que los TLD ZIP y MOV agregan riesgos innecesarios a un entorno en línea ya arriesgado.


Las personas han comenzado a registrar dominios .zip que están asociados con archivos ZIP comunes, como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, estado You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, archivo You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y copia de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, para mostrar información sobre los riesgos de los dominios ZIP, para RickRoll o para compartir información inofensiva.

El desarrollador de código abierto Matt Holt también solicitó que el TLD ZIP se eliminara de la Lista de Sufijos Públicos de Mozilla, una lista de todos los dominios públicos de nivel superior que se incorporarán en aplicaciones y navegadores.

Sin embargo, la comunidad PSL explicó rápidamente que, si bien puede haber un ligero riesgo asociado con estos TLD, siguen siendo válidos y no deben eliminarse de la PSL, ya que afectaría la operación de sitios legítimos.

"Eliminar los TLD existentes de la PSL por esta razón sería simplemente incorrecto. Esta lista se usa por muchas razones diferentes, y solo porque estas entradas son malas para un caso de uso muy específico, todavía son necesarias para (casi) todos los demás ", explicó el ingeniero de software Felix Fontein.

"Estos son TLD legítimos en la raíz ICP3. Esto no procederá", compartió el mantenedor de PSL Jothan Frakes.

"Realmente, las preocupaciones expresadas son más un ejemplo evidente de una desconexión entre el desarrollador y la comunidad de seguridad y la gobernanza de los nombres de dominio, donde se beneficiarían de una mayor participación dentro de ICANN".

Al mismo tiempo, otros investigadores y desarrolladores de seguridad han expresado que creen que los temores con respecto a estos nuevos dominios son exagerados.



Cuando BleepingComputer contactó a Google sobre estas preocupaciones, dijeron que el riesgo de confusión entre los nombres de archivo y dominio no es nuevo, y que existen mitigaciones del navegador para proteger a los usuarios del abuso.


¿Qué debe hacer?

La realidad es que no necesita hacer nada más de lo que ya está haciendo para protegerse de los sitios de phishing.

Como todos ya deberían saber, nunca es seguro hacer clic en enlaces de personas o descargar archivos de sitios en los que no confía.

Como cualquier enlace, si ve un enlace .zip o .mov en un mensaje, investigue antes de hacer clic en él. Si aún no está seguro de si el enlace es seguro, no haga clic en él.

Al seguir estos sencillos pasos, el impacto de los nuevos TLD será mínimo y no aumentará significativamente su riesgo.

Sin embargo, la exposición a estos enlaces probablemente aumentará a medida que más aplicaciones conviertan automáticamente los nombres de archivo ZIP y MOV en enlaces, lo que le dará una cosa más con la que debe tener cuidado cuando esté en línea.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha descubierto que la versión de segunda generación del Wemo Mini Smart Plug de Belkin contiene una vulnerabilidad de desbordamiento de búfer que podría ser utilizada como arma por un actor de amenazas para inyectar comandos arbitrarios de forma remota.

El problema, asignado al identificador CVE-2023-27217, fue descubierto e informado a Belkin el 9 de enero de 2023 por la compañía israelí de seguridad IoT Sternum, que realizó ingeniería inversa del dispositivo y obtuvo acceso al firmware.

Wemo Mini Smart Plug V2 (F7C063) ofrece un cómodo control remoto, lo que permite a los usuarios encender o apagar dispositivos electrónicos utilizando una aplicación complementaria instalada en un teléfono inteligente o tableta.

El corazón del problema radica en una característica que hace posible cambiar el nombre del enchufe inteligente a un más "FriendlyName". El nombre predeterminado asignado es "Wemo mini 6E9".


"La longitud del nombre está limitada a 30 caracteres o menos, pero esta regla solo es aplicada por la propia aplicación", dijeron los investigadores de seguridad Amit Serper y Reuven Yakar en un informe compartido con The Hacker News, agregando que la validación no fue aplicada por el código de firmware.

Como resultado, eludir el límite de caracteres mediante el uso de un módulo de Python llamado pyWeMo puede conducir a una condición de desbordamiento de búfer, que luego puede explotarse de manera confiable para bloquear el dispositivo o, alternativamente, engañar al código para que ejecute comandos maliciosos y tome el control.

Belkin, en respuesta a los hallazgos, ha dicho que no planea abordar la falla debido al hecho de que el dispositivo está llegando al final de su vida útil (EoL) y ha sido reemplazado por modelos más nuevos.


"Parece que esta vulnerabilidad podría activarse a través de la interfaz Cloud (es decir, sin una conexión directa al dispositivo)", advirtieron los investigadores.

En ausencia de una solución, se recomienda a los usuarios de Wemo Mini Smart Plug V2 que eviten exponerlos directamente a Internet y se aseguren de que se implementen las medidas de segmentación adecuadas si se han implementado en redes sensibles.

"Esto es lo que sucede cuando los dispositivos se envían sin ninguna protección en el dispositivo. Si solo confías en parches de seguridad receptivos, como lo hacen la mayoría de los fabricantes de dispositivos hoy en día, dos cosas son ciertas: siempre estarás un paso por detrás del atacante, y un día los parches dejarán de llegar", dijo Igal Zeifman, vicepresidente de marketing de Sternum.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado que un actor cibernético motivado financieramente abusa de la consola serie de Microsoft Azure en máquinas virtuales (VM) para instalar herramientas de administración remota de terceros en entornos comprometidos.

Mandiant, propiedad de Google, atribuyó la actividad a un grupo de amenazas que rastrea bajo el nombre UNC3944, que también se conoce como Roasted 0ktapus y Scattered Spider.

"Este método de ataque fue único en el sentido de que evitó muchos de los métodos de detección tradicionales empleados dentro de Azure y proporcionó al atacante acceso administrativo completo a la máquina virtual", dijo la firma de inteligencia de amenazas.

Se sabe que el adversario emergente, que salió a la luz por primera vez a fines del año pasado, aprovecha los ataques de intercambio de SIM para violar las empresas de telecomunicaciones y externalización de procesos comerciales (BPO) desde al menos mayo de 2022.

Posteriormente, Mandiant también encontró UNC3944 utilizando un cargador llamado STONESTOP para instalar un controlador firmado malicioso denominado POORTRY que está diseñado para terminar los procesos asociados con el software de seguridad y eliminar archivos como parte de un ataque BYOVD.


Actualmente no se sabe cómo el actor de la amenaza lleva a cabo los intercambios de SIM, aunque se sospecha que la metodología de acceso inicial implica el uso de mensajes de phishing SMS dirigidos a usuarios privilegiados para obtener sus credenciales y luego organizar un intercambio de SIM para recibir el token de autenticación de dos factores (2FA) en una tarjeta SIM bajo su control.

Armado con el acceso elevado, el actor de amenazas se mueve para inspeccionar la red de destino aprovechando las extensiones de máquina virtual de Azure, como Azure Network Watcher, Azure Windows Guest Agent, VMSnapshot y la configuración de invitado de Azure Policy.

"Una vez que el atacante completa su reconocimiento, emplea la funcionalidad de consola serie para obtener un símbolo del sistema administrativo dentro de una máquina virtual Azure", dijo Mandiant, y agregó que observó que UNC3944 hacía uso de PowerShell para implementar herramientas legítimas de administración remota.


El desarrollo es otra evidencia de que los atacantes aprovechan las técnicas de vida fuera de la tierra (LotL) para sostener y avanzar en un ataque, al mismo tiempo que eluden la detección.

"El uso novedoso de la consola serie por parte de los atacantes es un recordatorio de que estos ataques ya no se limitan a la capa del sistema operativo", dijo Mandiant.

"Desafortunadamente, los recursos de la nube a menudo son mal entendidos, lo que lleva a configuraciones erróneas que pueden dejar estos activos vulnerables a los atacantes. Si bien los métodos de acceso inicial, movimiento lateral y persistencia varían de un atacante a otro, una cosa está clara: los atacantes tienen sus ojos en la nube.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¿Qué tiene que ver el firmware con el pop rock? Esa es la pregunta que cruzó la mente de un investigador de seguridad cuando analizó el firmware de Kingston y tropezó con la letra de una popular canción de Coldplay enterrada profundamente dentro de ella.

El investigador, sorprendido por este hallazgo, se acercó a BleepingComputer para revelar los detalles de la versión del firmware y la canción de Coldplay.

Kingston es un nombre familiar, conocido por sus productos de memoria flash que incluyen discos duros, unidades USB y lectores de tarjetas.

Qué genial: firmware que canta

El investigador de seguridad con sede en Iowa, Nicholas Starke, se acercó a BleepingComputer después de analizar unos pocos bytes de un firmware de controlador SSD (unidad de estado sólido) distribuido por Kingston que lo dejó asombrado.

Disponible en el sitio web de soporte oficial de Kingston en el momento de escribir este artículo, el archivo ZIP contiene un poco más que solo firmware, un tipo de software que proporciona funcionalidad de control de bajo nivel para el hardware de un dispositivo.


Si bien el contenido del archivo ZIP apenas levanta una ceja y contiene notas de la versión junto con un archivo de firmware (* .bin en funcionamiento, es lo que está dentro del '.bin' lo que no puede dejar de ver:


"Encontré letras de Coldplay en el firmware del controlador SSD", dijo Starke a BleepingComputer después de analizar el firmware de Kingston versionado "SKC2000_S2681103".

Las versiones de firmware SKC2000* normalmente se ejecutan en los productos de unidades de estado sólido PCI Express de Kingston, como el KC2000:


Lanzada en enero de 2020, la versión específica S2681103 ofrece mejoras en el rendimiento y la seguridad del hardware de almacenamiento de datos de Kingston.

BleepingComputer descargó el archivo de firmware del sitio web oficial de Kingston y confirmó que contenía cuerdas que comprendían letras del éxito de Coldplay de 2002, The Scientist.

"No tengo absolutamente ninguna idea de por qué está en el firmware", dijo Starke, un ingeniero inverso experimentado que estaba separando el archivo para su proyecto de investigación, a BleepingComputer.

"He visto muchas imágenes de firmware en mi tiempo y esto parecía fuera de lugar", dijo el investigador que admite que nunca vio nada "muy parecido", especialmente en el firmware de componentes profundamente integrados; Un controlador de disco duro, como este.

¿Estas letras ocultas tienen algún propósito funcional, por ejemplo, como datos de muestra para probar, o es una mera broma de los desarrolladores de la compañía?

BleepingComputer se acercó a Kingston para obtener comentarios antes de publicar.

Mientras tanto, aquí está la canción que roba el centro de atención para ti, ahora hecha aún más famosa por Kingston:


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La compañía de ciberseguridad industrial Dragos reveló hoy lo que describe como un "evento de ciberseguridad" después de que una conocida banda de ciberdelincuentes intentara romper sus defensas e infiltrarse en la red interna para cifrar dispositivos.

Si bien Dragos afirma que los actores de amenazas no violaron su red o plataforma de ciberseguridad, obtuvieron acceso al servicio en la nube SharePoint de la compañía y al sistema de gestión de contratos.

"El 8 de mayo de 2023, un conocido grupo cibercriminal intentó y fracasó en un esquema de extorsión contra Dragos. No se violaron los sistemas de Dragos, incluido todo lo relacionado con la Plataforma Dragos", dijo la compañía.

"El grupo criminal obtuvo acceso al comprometer la dirección de correo electrónico personal de un nuevo empleado de ventas antes de su fecha de inicio, y posteriormente utilizó su información personal para hacerse pasar por el empleado de Dragos y realizar los pasos iniciales en el proceso de incorporación de empleados".

Después de violar la plataforma en la nube SharePoint de Dragos, los atacantes descargaron "datos de uso general" y accedieron a 25 informes de inteligencia que generalmente solo estaban disponibles para los clientes.

Durante las 16 horas que tuvieron acceso a la cuenta del empleado, los actores de amenazas no pudieron acceder a múltiples sistemas Dragos, incluidos sus sistemas de mensajería, asistencia técnica de TI, finanzas, solicitud de propuesta (RFP), reconocimiento de empleados y marketing, debido a las reglas de control de acceso basado en roles (RBAC).

Después de no poder violar la red interna de la compañía, enviaron un correo electrónico de extorsión a los ejecutivos de Dragos 11 horas después del ataque. El mensaje se leyó 5 horas después porque se envió fuera del horario comercial.


Cinco minutos después de leer el mensaje de extorsión, Dragos deshabilitó la cuenta segura comprometida, revocó todas las sesiones activas y bloqueó la infraestructura de los ciberdelincuentes para que no accediera a los recursos de la empresa.

"Estamos seguros de que nuestros controles de seguridad en capas impidieron que el actor de amenazas lograra lo que creemos que es su objetivo principal de lanzar ransomware", dijo Dragos.

"También se les impidió realizar movimientos laterales, escalar privilegios, establecer acceso persistente o realizar cambios en la infraestructura".

El grupo de cibercrimen también intentó extorsionar a la compañía amenazando con revelar públicamente el incidente en mensajes enviados a través de contactos públicos y correos electrónicos personales pertenecientes a ejecutivos de Dragos, empleados de alto nivel y sus familiares.

"Si bien la firma externa de respuesta a incidentes y los analistas de Dragos sienten que el evento está contenido, esta es una investigación en curso. Los datos que se perdieron y que probablemente se harán públicos porque decidimos no pagar la extorsión son lamentables", concluyó Dragos.

Una de las direcciones IP enumeradas en los IOC (144.202.42[.] 216) fue visto anteriormente alojando malware SystemBC y Cobalt Strike, ambos comúnmente utilizados por bandas de ransomware para el acceso remoto a sistemas comprometidos.

El investigador de CTI Will Thomas de Equinix dijo a BleepingComputer que SystemBC ha sido utilizado por numerosas bandas de ransomware, incluidas Conti, ViceSociety, BlackCat, Quantum, Zeppelin y Play, por lo que es difícil determinar qué actor de amenaza está detrás del ataque.

Thomas dijo que la dirección IP también se ha visto utilizada en los recientes ataques de ransomware BlackBasta, posiblemente reduciendo a los sospechosos.

Un portavoz de Dragos dijo que responderían más tarde cuando BleepingComputer se comunicara para obtener más detalles sobre el grupo de cibercrimen detrás de este incidente.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha lanzado actualizaciones de Patch Tuesday para mayo de 2023 para abordar 38 fallas de seguridad, incluido un error de día cero que, según dijo, se está explotando activamente en la naturaleza.

Zero Day Initiative (ZDI) de Trend Micro dijo que el volumen es el más bajo desde agosto de 2021, aunque señaló que "se espera que este número aumente en los próximos meses".

De las 38 vulnerabilidades, seis están clasificadas como críticas y 32 están clasificadas como importantes en gravedad. Ocho de las fallas han sido etiquetadas con la evaluación "Explotación más probable" por parte de Microsoft.

Esto es aparte de 18 defectos, incluidos 11 errores desde principios de mayo, el fabricante de Windows resolvió en su navegador Edge basado en Chromium después del lanzamiento de las actualizaciones de April Patch Tuesday.

Encabezando la lista está CVE-2023-29336 (puntuación CVSS: 7.8 ), una falla de escalada de privilegios en Win32k que ha sido objeto de explotación activa. No está claro de inmediato qué tan extendidos están los ataques.

"Un atacante que explotara con éxito esta vulnerabilidad podría obtener privilegios de SYSTEM", dijo Microsoft, acreditando a los investigadores de Avast Jan Vojtěšek, Milánek y Luigino Camastra por informar de la falla.

El desarrollo ha llevado a la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) a agregar la falla a su catálogo de vulnerabilidades explotadas conocidas (KEV), instando a las organizaciones a aplicar correcciones de proveedores antes del 30 de mayo de 2023.

También son de destacar dos defectos conocidos públicamente, uno de los cuales es un error crítico de ejecución remota de código que afecta al OLE de Windows (CVE-2023-29325, puntuación CVSS: 8.1) que podría ser armado por un actor enviando un correo electrónico especialmente diseñado a la víctima.

Microsoft, como mitigación, recomienda que los usuarios lean los mensajes de correo electrónico en formato de texto sin formato para protegerse contra esta vulnerabilidad.

La segunda vulnerabilidad conocida públicamente es CVE-2023-24932 (puntuación CVSS: 6.7), una omisión de la función de seguridad de arranque seguro que está armada por el kit de arranque BlackLotus UEFI para explotar CVE-2022-21894 (también conocido como Baton Drop), que se resolvió en enero de 2022.

"Esta vulnerabilidad permite a un atacante ejecutar código autofirmado en el nivel de Unified Extensible Firmware Interface (UEFI) mientras Secure Boot está habilitado", dijo Microsoft en una guía separada.

"Esto es utilizado por los actores de amenazas principalmente como un mecanismo de persistencia y evasión de defensa. La explotación exitosa depende de que el atacante tenga acceso físico o privilegios de administrador local en el dispositivo objetivo".

Vale la pena señalar que la corrección incluida por Microsoft está deshabilitada de forma predeterminada y requiere que los clientes apliquen manualmente las revocaciones, pero no antes de actualizar todos los medios de arranque.

"Una vez que la mitigación de este problema está habilitada en un dispositivo, lo que significa que se han aplicado las revocaciones, no se puede revertir si continúa usando el arranque seguro en ese dispositivo", advirtió Microsoft. "Incluso el reformateo del disco no eliminará las revocaciones si ya se han aplicado".

El gigante tecnológico dijo que está adoptando un enfoque gradual para tapar completamente el vector de ataque para evitar riesgos de interrupción involuntarios, un ejercicio que se espera que se extienda hasta el primer trimestre de 2024.

"Los esquemas modernos de arranque seguro basados en UEFI son extremadamente complicados de configurar correctamente y / o reducir sus superficies de ataque de manera significativa", señaló la firma de seguridad de firmware Binarly a principios de marzo. "Dicho esto, no es probable que los ataques de bootloader desaparezcan pronto".

Parches de software de otros proveedores

Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para rectificar varias vulnerabilidades, que incluyen:

• Adobe
• AMD
• Androide
• Proyectos Apache
• Manzana
• Redes de Aruba
• Cisco
• Citrix
• Dell
• Drupal
• F5
• Fortinet
• GitLab
• Google Chrome
• Energía Hitachi
• HP
• IBM
• Intel
• Juniper Networks
• Lenovo-
• Distribuciones Linux Debian, Oracle Linux, Red Hat, SUSE y Ubuntu
• MediaTek
• Mitsubishi Eléctrico
• Mozilla Firefox, Firefox ESR y Thunderbird
• NETGEAR
• NVIDIA
• Redes de Palo Alto
• Qualcomm
• Samsung
• SAVIA
• Schneider Electric
• Siemens
• SolarWinds
• Synology
• Veritas
• VMware
• Zoho, y
• Zyxel

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un ciudadano del Reino Unido se declaró culpable en relación con el ataque de Twitter de julio de 2020 que afectó a numerosas cuentas de alto perfil y defraudó a otros usuarios de la plataforma.

Joseph James O'Connor, quien también se hacía llamar PlugwalkJoe, admitió "su papel en el acoso cibernético y múltiples esquemas que involucran piratería informática, incluido el hackeo de Twitter en julio de 2020", dijo el Departamento de Justicia de los Estados Unidos (DoJ).

El individuo de 23 años fue extraditado de España el 26 de abril después de que la Audiencia Nacional española, en febrero, aprobara la solicitud del Departamento de Justicia para entregar a O'Connor para enfrentar 14 cargos criminales en los Estados Unidos.

El hackeo masivo, que tuvo lugar el 15 de julio de 2020, involucró a O'Connor y sus co-conspiradores tomando el control de 130 cuentas de Twitter, incluidas las pertenecientes a Barack Obama, Bill Gates y Elon Musk, para perpetrar una estafa de criptomonedas que les generó $ 120,000 en unas pocas horas.

El ataque fue posible mediante el uso de técnicas de ingeniería social para obtener acceso no autorizado a las herramientas de backend utilizadas por Twitter, y posteriormente aprovechando ese punto de entrada para tomar el control de las cuentas y, en algunos casos, vender el acceso a otros. Se dice que el propio O'Connor compró acceso no autorizado a una cuenta de Twitter por $ 10,000.

O'Connor es una de las cuatro personas que han sido acusadas de llevar a cabo el hackeo de Twitter. Nima Fazeli y Graham Ivan Clark fueron arrestados ese mismo mes, mientras que O'Connor fue detenido por las autoridades españolas en la ciudad de Estepona un año después, en julio de 2021.

Mason Sheppard, según Joe Tidy de la BBC, no ha sido arrestado. Clark recibió una pena de cárcel de tres años después de declararse culpable de 30 cargos por delitos graves en marzo de 2021.

Además del incidente de Twitter, el acusado ha sido acusado de intrusiones informáticas relacionadas con la adquisición de cuentas de usuario de TikTok y Snapchat, así como de acechar a una víctima menor en línea.

Esto implicó orquestar ataques de intercambio de SIM contra dos víctimas no identificadas para obtener acceso ilícito a sus cuentas de Snapchat y TikTok, respectivamente, así como hacer falsas llamadas de emergencia a la policía sobre una tercera víctima, alegando que el partido estaba "amenazando con disparar a la gente".

El intercambio de SIM ocurre cuando los estafadores contactan a un proveedor de servicios de telecomunicaciones bajo la apariencia de una víctima para portar el número de teléfono móvil del objetivo a una tarjeta SIM bajo su control, lo que resulta en que las llamadas y mensajes de la víctima se enruten a un dispositivo malicioso no autorizado controlado por los actores de amenazas.

Luego, los malhechores generalmente usan el control del número de teléfono móvil de la víctima para hacerse cargo de las cuentas bancarias y otros servicios de la víctima que están registrados en el número de teléfono móvil aprovechando la autenticación de dos factores basada en llamadas o SMS.

O'Connor y sus co-conspiradores también han sido acusados de emplear técnicas de intercambio de SIM para desviar criptomonedas por una suma de $ 794,000 de una compañía de criptografía con sede en la ciudad de Nueva York entre marzo y mayo de 2019.

"Después de robar y desviar fraudulentamente la criptomoneda robada, O'Connor y sus co-conspiradores la lavaron a través de docenas de transferencias y transacciones e intercambiaron parte de ella por Bitcoin utilizando servicios de intercambio de criptomonedas", dijo el Departamento de Justicia.

"En última instancia, una parte de la criptomoneda robada se depositó en una cuenta de intercambio de criptomonedas controlada por O'Connor".

O'Connor, quien acordó renunciar a unos 794.000 dólares en fondos robados, está programado para ser sentenciado el 23 de junio. Los cargos conllevan una pena máxima total de más de 70 años de prisión.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La compañía canadiense de software diversificado Constellation Software confirmó el jueves que algunos de sus sistemas fueron violados por actores de amenazas que también robaron información personal y datos comerciales.

"El incidente se limitó a un pequeño número de sistemas relacionados con informes financieros internos y almacenamiento de datos relacionados por parte de los grupos operativos y negocios de Constellation", dijo la compañía.

"Los sistemas de TI independientes de los grupos operativos y negocios de Constellation no se vieron afectados por este incidente de ninguna manera".

Constellation agregó que había contenido el ataque y ahora ha restaurado todos los sistemas de infraestructura de TI afectados en el incidente.


Los socios comerciales y las personas cuya información fue robada durante la violación también están siendo contactados con más detalles sobre el ataque.

"Una cantidad limitada de información personal de individuos se vio afectada por el incidente. Una cantidad limitada de datos de los socios comerciales de los negocios de Constellation también se vio afectada", agregó la compañía.

Constellation Software adquiere, administra y construye negocios de software a través de seis grupos operativos: Volaris, Harris, Jonas, Vela Software, Perseus Group y Topicus.

La compañía canadiense tiene más de 25,000 empleados en América del Norte, Europa, Australia, América del Sur y África, generando ingresos consolidados que superan los $ 4 mil millones.

Constellation también brinda servicios a 125,000 clientes en más de 100 países y ha adquirido más de 500 compañías de software desde 1995.

Ataque reivindicado por la pandilla de ransomware ALPHV

Si bien Constellation aún no ha proporcionado información sobre quién estuvo detrás del ataque o cómo los actores de la amenaza obtuvieron acceso a su red, la pandilla de ransomware ALPHV (también conocida como BlackCat) agregó una nueva entrada a su sitio de fuga de datos, diciendo que violaron la red de la compañía y robaron más de 1 TB en archivos.

La pandilla de ransomware también amenaza con filtrar los datos robados si la compañía ignora la demanda de rescate y se niega a negociar.

"Hemos estado en su red durante mucho tiempo y hemos tenido tiempo para analizar su negocio. Hemos robado más de 1 TB de sus datos confidenciales. Si ignora o rechaza el acuerdo, nos veremos obligados a divulgar todos sus datos al público", dijo la pandilla.

Como prueba de que tuvieron acceso y exfiltraron archivos de la red de Constellation, ALPHV ya ha filtrado algunos documentos que contienen información comercial en línea.


Esta operación de ransomware se lanzó en noviembre de 2021 y se cree que es un cambio de marca de la pandilla DarkSide / BlackMatter.

Primero ganó notoriedad como DarkSide después de atacar el oleoducto colonial e inmediatamente aterrizar en la mira de la aplicación de la ley internacional.

A pesar de que cambiaron su nombre a BlackMatter un mes después, en julio de 2021, se vieron obligados a cerrar nuevamente en noviembre después de que se incautaron los servidores de la operación y Emsisoft creó un descifrador explotando una debilidad en el ransomware.

Actualmente, la pandilla ALPHV se considera una de las amenazas de ransomware más importantes dirigidas a empresas de todo el mundo.

En abril pasado, la Oficina Federal de Investigaciones (FBI) advirtió que ALPHV tiene "amplias redes y experiencia con operaciones de ransomware" desde que violaron con éxito más de 60 entidades en todo el mundo desde noviembre de 2021 hasta marzo de 2022.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Oficina Federal de Investigaciones (FBI) continúa interrumpiendo la biblioteca de libros electrónicos en la sombra más grande del mundo, Z-Library, al apoderarse de más dominios utilizados por la plataforma.

Además de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login (descubierto por primera vez por TorrentFreak), la lista de dominios eliminados en esta nueva ronda de incautaciones también incluye You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, que anteriormente era la URL principal utilizada para iniciar sesión y registrar nuevas cuentas.

"Desafortunadamente, uno de nuestros dominios de inicio de sesión principales fue incautado hoy. Por lo tanto, recomendamos utilizar el You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login de dominio para iniciar sesión en su cuenta, así como para registrarse. Por favor, comparta este dominio con otros", dijo Z-Library en una publicación de Telegram.

"También puede restaurar el acceso a su cuenta o crear una nueva utilizando nuestra dirección de correo electrónico mágica. Simplemente envíe cualquier carta desde su buzón a este You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login de correo electrónico, y recibirá su acceso personal a Z-Library en la carta generada automáticamente en 3-5 minutos.

Si bien el panel de inicio de sesión principal del sitio ha sido eliminado, permanece disponible en la red Tor y a través de una dirección I2P alternativa.

"Pedimos disculpas por cualquier inconveniente causado y apreciamos su paciencia. Las redes P.S. TOR y 12P siguen siendo accesibles", agregó Z-Library.

Los dominios incautados de Z-Library ahora muestran una pancarta que indica que el FBI los incautó de acuerdo con una orden emitida de conformidad con 18 U.S.C. § 981 (b) y 21 U.S.C. § 853 (f) por el Tribunal de Distrito de los Estados Unidos para el Distrito Este de Nueva York.


Z-Library había enfrentado previamente una serie de problemas legales, que culminaron el año pasado con las autoridades incautando sus dominios y arrestando a dos presuntos operadores en Argentina.

Las quejas anteriores de derechos de autor contra Z-Library han llevado a acciones legales que finalmente la obligaron a confiscar sus dominios en 2015 y hacer cumplir los bloqueos de dominios y los avisos de DMCA en 2021 en los Estados Unidos y Francia.

Tras una serie de acciones policiales, dos ciudadanos rusos fueron arrestados y acusados bajo sospecha de operar el servicio en noviembre de 2022, semanas después de que el FBI incautara los dominios web claros de Z-Library.

Si bien el servicio continuó operando después de las eliminaciones de dominios en las redes Tor e I2P, Z-library anunció a mediados de febrero sitios clearnet pero, esta vez, utilizando dominios personalizados registrados en diferentes registradores en todo el mundo.

Como era de esperar, los dominios personales secretos para cada usuario no impidieron que el FBI eliminara el portal de inicio de sesión principal disponible en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Queda por ver si seguirán más incautaciones de dominios, dado que Z-Library todavía opera múltiples dominios clearnet. Sin embargo, es obvio que las agencias de aplicación de la ley de los Estados Unidos están decididas a cerrar Z-Library y encontrar a las personas que la dirigen.

Z-Library proporciona acceso gratuito a una vasta base de datos de casi 12 millones de libros y 84 millones de artículos, lo que lo convierte en uno de los sitios web más populares de Internet.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado que un actor de amenaza persistente avanzada (APT) conocido como Dragon Breath agrega nuevas capas de complejidad a sus ataques mediante la adopción de un novedoso mecanismo de carga lateral de DLL.

"El ataque se basa en un ataque clásico de carga lateral, que consiste en una aplicación limpia, un cargador malicioso y una carga útil cifrada, con varias modificaciones realizadas a estos componentes a lo largo del tiempo", dijo el investigador de Sophos Gabor Szappanos.

"Las últimas campañas agregan un giro en el que una aplicación limpia de primera etapa carga una segunda aplicación limpia y la ejecuta automáticamente. La segunda aplicación limpia carga lateralmente la DLL del cargador malicioso. Después de eso, la DLL del cargador malicioso ejecuta la carga útil final".

La Operación Dragon Breath, también rastreada bajo los nombres APT-Q-27 y Golden Eye, fue documentada por primera vez por QiAnXin en 2020, detallando una campaña de abrevadero diseñada para engañar a los usuarios para que descarguen un instalador de Windows troyano para Telegram.

Una campaña posterior detallada por la compañía china de ciberseguridad en mayo de 2022 destacó el uso continuo de instaladores de Telegram como señuelo para desplegar cargas útiles adicionales como gh0st RAT.

También se dice que Dragon Breath es parte de una entidad más grande llamada Miuuti Group, con el adversario caracterizado como una entidad de "habla china" dirigida a las industrias de juegos y apuestas en línea, uniéndose a otros grupos de actividad chinos como Dragon Castling, Dragon Dance y Earth Berberoka.


La estrategia de carga lateral de DLL de doble inmersión, según Sophos, se ha aprovechado en ataques dirigidos a usuarios en Filipinas, Japón, Taiwán, Singapur, Hong Kong y China. Estos intentos de intrusión fueron finalmente infructuosos.

El vector inicial es un sitio web falso que aloja un instalador para Telegram que, cuando se abre, crea un acceso directo al escritorio que está diseñado para cargar componentes maliciosos detrás de escena al iniciarse, al tiempo que muestra a la víctima la interfaz de usuario de la aplicación Telegram.

Además, se cree que el adversario ha creado múltiples variaciones del esquema en el que los instaladores manipulados para otras aplicaciones, como LetsVPN y WhatsApp, se utilizan para iniciar la cadena de ataque.

La siguiente etapa implica el uso de una segunda aplicación limpia como intermediario para evitar la detección y cargar la carga útil final a través de una DLL maliciosa.

La carga útil funciona como una puerta trasera capaz de descargar y ejecutar archivos, borrar registros de eventos, extraer y configurar contenido del portapapeles, ejecutar comandos arbitrarios y robar criptomonedas de la extensión de billetera MetaMask para Google Chrome.

"La carga lateral de DLL, identificada por primera vez en los productos de Windows en 2010 pero prevalente en múltiples plataformas, sigue siendo una táctica efectiva y atractiva para los actores de amenazas", dijo Szappanos.

"Esta técnica de doble aplicación limpia empleada por el grupo Dragon Breath, dirigida a un sector de usuarios (juegos de azar en línea) que tradicionalmente ha sido menos examinado por los investigadores de seguridad, representa la vitalidad continua de este enfoque".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se insta a los usuarios del complemento Advanced Custom Fields para WordPress a actualizar la versión 6.1.6 tras el descubrimiento de una falla de seguridad.

El problema, asignado al identificador CVE-2023-30777, se relaciona con un caso de secuencias de comandos entre sitios reflejadas (XSS) que podrían abusarse para inyectar secuencias de comandos ejecutables arbitrarias en sitios web benignos.

El plugin, que está disponible tanto en versión gratuita como en versión pro, tiene más de dos millones de instalaciones activas. El problema fue descubierto e informado a los mantenedores el 2 de mayo de 2023.

"Esta vulnerabilidad permite a cualquier usuario no autenticado robar información confidencial para, en este caso, escalar privilegios en el sitio de WordPress engañando a un usuario privilegiado para que visite la ruta URL diseñada", dijo el investigador de Patchstack Rafie Muhammad.

Los ataques XSS reflejados generalmente ocurren cuando las víctimas son engañadas para que hagan clic en un enlace falso enviado por correo electrónico u otra ruta, lo que hace que el código malicioso se envíe al sitio web vulnerable, lo que refleja el ataque al navegador del usuario.

Este elemento de ingeniería social significa que XSS reflejado no tiene el mismo alcance y escala que los ataques XSS almacenados, lo que lleva a los actores de amenazas a distribuir el enlace malicioso a tantas víctimas como sea posible.

"[Un ataque XSS reflejado] suele ser el resultado de que las solicitudes entrantes no están suficientemente desinfectadas, lo que permite la manipulación de las funciones de una aplicación web y la activación de scripts maliciosos", señala Imperva.


Vale la pena señalar que CVE-2023-30777 se puede activar en una instalación o configuración predeterminada de Advanced Custom Fields, aunque solo es posible hacerlo desde usuarios conectados que tienen acceso al complemento.

El desarrollo se produce cuando Craft CMS parcheó dos fallas XSS de gravedad media (CVE-2023-30177 y CVE-2023-31144) que podrían ser explotadas por un actor de amenazas para servir cargas maliciosas.

También sigue la divulgación de otra falla XSS en el producto cPanel (CVE-2023-29489, puntuación CVSS: 6.1) que podría explotarse sin ninguna autenticación para ejecutar JavaScript arbitrario.

"Un atacante no solo puede atacar los puertos de administración de cPanel, sino también las aplicaciones que se ejecutan en el puerto 80 y 443", dijo Shubham Shah de Assetnote, y agregó que podría permitir a un adversario secuestrar la sesión de cPanel de un usuario válido.

"Una vez que se actúa en nombre de un usuario autenticado de cPanel, generalmente es trivial cargar un shell web y obtener la ejecución de comandos".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login