La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó el 15 de marzo una vulnerabilidad de seguridad que afecta a Adobe ColdFusion a su catálogo de vulnerabilidades explotadas conocidas (KEV), basándose en evidencia de explotación activa.

La falla crítica en cuestión es CVE-2023-26360 (puntuación CVSS: 8.6), que podría ser explotada por un actor de amenazas para lograr la ejecución de código arbitrario.

"Adobe ColdFusion contiene una vulnerabilidad de control de acceso incorrecta que permite la ejecución remota de código", dijo CISA.

La vulnerabilidad afecta a ColdFusion 2018 (Update 15 y versiones anteriores) y ColdFusion 2021 (Update 5 y versiones anteriores). Se ha abordado en las versiones Update 16 y Update 6, respectivamente, publicadas el 14 de marzo de 2023.

Vale la pena señalar que CVE-2023-26360 también afecta a las instalaciones de ColdFusion 2016 y ColdFusion 11, las cuales ya no son compatibles con la compañía de software ya que han llegado al final de su vida útil (EoL).

Si bien se desconocen los detalles exactos que rodean la naturaleza de los ataques, Adobe dijo en un aviso que es consciente de que la falla está siendo "explotada en la naturaleza en ataques muy limitados".

Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las actualizaciones antes del 5 de abril de 2023 para proteger sus redes contra posibles amenazas.

Charlie Arehart, un investigador de seguridad acreditado con el descubrimiento y la denuncia de la falla junto con Pete Freitag, lo describió como un problema "grave" que podría resultar en una "ejecución de código arbitrario" y una "lectura arbitraria del sistema de archivos".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una coalición de agencias policiales de toda Europa y Estados Unidos anunció la eliminación de ChipMixer, un mezclador de criptomonedas sin licencia que comenzó sus operaciones en agosto de 2017.

"El software ChipMixer bloqueó el rastro blockchain de los fondos, haciéndolo atractivo para los ciberdelincuentes que buscan lavar ganancias ilegales de actividades delictivas como el tráfico de drogas, el tráfico de armas, los ataques de ransomware y el fraude con tarjetas de pago", dijo Europol en un comunicado.

El ejercicio coordinado, además de desmantelar los sitios web clearnet y dark web asociados con ChipMixer, también resultó en la incautación de $ 47.5 millones en Bitcoin y 7 TB de datos.

Los mezcladores, también llamados vasos, ofrecen anonimato total por una tarifa al mezclar criptomonedas de diferentes usuarios, tanto fondos legítimos como derivados de la delincuencia, de una manera que dificulta el rastreo de los orígenes.

Esto se logra canalizando diferentes pagos en un solo grupo antes de dividir cada cantidad y transmitirlos a los destinatarios designados, convirtiéndolo así en una opción atractiva para los delincuentes que buscan cobrar y cambiar el dinero contaminado por moneda fiduciaria.

Según un informe de Chainalysis en enero de 2023, "los mezcladores procesaron un total de $ 7.8 mil millones en 2022, el 24% de los cuales provino de direcciones ilícitas", y "la gran mayoría del valor ilícito procesado por los mezcladores se compone de fondos robados, la mayoría de los cuales fueron robados por piratas informáticos vinculados a Corea del Norte".

Se estima que ChipMixer, el servicio centralizado de mezclador criptográfico más grande del mundo, ha lavado no menos de $ 3.75 mil millones en activos digitales (152,000 BTC) para promover una amplia gama de esquemas criminales.

La firma de análisis de blockchain Elliptic dijo que ChipMixer se ha utilizado para lavar más de $ 844 millones en Bitcoin que pueden vincularse directamente a actividades delictivas.

"ChipMixer fue uno de una variedad de mezcladores utilizados para lavar las ganancias de los hackeos perpetrados por el Grupo Lazarus de Corea del Norte", dijo el cofundador y científico jefe de Elliptic, Tom Robinson.

Esto comprende el robo de KuCoin en septiembre de 2020, así como los hacks Axie Infinity Ronin Bridge y Harmony Horizon Bridge que tuvieron lugar el año pasado.

El Grupo Lazarus está lejos de ser el único cliente infame que ha utilizado el servicio para ofuscar las pistas financieras. Los otros actores prominentes consisten en equipos de ransomware como LockBit, Sodinokibi (también conocido como REvil), Zeppelin, Mamba, Dharma y SunCrypt.

Además, se dice que ChipMixer ha atraído más de $ 200 millones en Bitcoin vinculados a compras originadas en los mercados de la red oscura, incluidos $ 60 millones de clientes de la ahora desaparecida Hydra.

La plataforma mezcladora, según el Departamento de Justicia de los Estados Unidos (DoJ), también procesó la criptomoneda utilizada por el grupo de piratería APT28 vinculado a Rusia (también conocido como Fancy Bear o Strontium) para adquirir la infraestructura empleada en relación con un malware llamado Drovorub.

Coincidiendo con la represión, el Departamento de Justicia acusó además a un ciudadano vietnamita de 49 años, Minh Quốc Nguyễn, por su papel en la creación y ejecución de la infraestructura en línea de ChipMixer y la publicidad de sus servicios.

"ChipMixer facilitó el lavado de criptomonedas, específicamente Bitcoin, a gran escala internacional, instigando a actores nefastos y criminales de todo tipo para evadir la detección", dijo la fiscal federal Jacqueline C. Romero.

"Plataformas como ChipMixer, que están diseñadas para ocultar las fuentes y destinos de cantidades asombrosas de ganancias criminales, socavan la confianza del público en las criptomonedas y la tecnología blockchain".

El desarrollo es el último de una serie de acciones de aplicación de la ley emprendidas por gobiernos de todo el mundo para abordar el delito cibernético, y se produce semanas después de que se iniciaran "procedimientos penales" contra presuntos miembros principales de la pandilla de ransomware DoppelPaymer.

ChipMixer es también el cuarto servicio de mezclador prohibido en los últimos años después de la interrupción de Bestmixer, Blender y Tornado Cash, los dos últimos de los cuales fueron sancionados por el Departamento del Tesoro de los Estados Unidos el año pasado por complicidad con Lazarus Group y otros actores de amenazas en el lavado de ganancias mal habidas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Project Zero, el equipo de búsqueda de errores de día cero de Google, descubrió e informó 18 vulnerabilidades de día cero en los conjuntos de chips Exynos de Samsung utilizados en dispositivos móviles, dispositivos portátiles y automóviles.

Las fallas de seguridad del módem Exynos se informaron entre finales de 2022 y principios de 2023. Cuatro de los dieciocho días cero fueron identificados como los más serios, permitiendo la ejecución remota de código desde Internet a la banda base.

Estos errores de ejecución remota de código (RCE) de Internet a banda base (incluidos CVE-2023-24033 y otros tres que aún esperan un CVE-ID) permiten a los atacantes comprometer dispositivos vulnerables de forma remota y sin ninguna interacción del usuario.

"El software de banda base no verifica adecuadamente los tipos de formato del atributo de tipo de aceptación especificado por el SDP, lo que puede conducir a una denegación de servicio o ejecución de código en el módem de banda base de Samsung", dice Samsung en un aviso de seguridad que describe la vulnerabilidad CVE-2023-24033.

La única información requerida para que los ataques se lleven a cabo es el número de teléfono de la víctima, según Tim Willis, jefe de Project Zero.

Para empeorar las cosas, con una investigación adicional mínima, los atacantes experimentados podrían crear fácilmente un exploit capaz de comprometer de forma remota los dispositivos vulnerables sin llamar la atención de los objetivos.

"Debido a una combinación muy rara de nivel de acceso que proporcionan estas vulnerabilidades y la velocidad con la que creemos que se podría elaborar un exploit operativo confiable, hemos decidido hacer una excepción de política para retrasar la divulgación de las cuatro vulnerabilidades que permiten la ejecución remota de código de Internet a banda base", dijo Willis.

Las 14 fallas restantes (incluidas CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 y otras nueve en espera de CVE-ID) no son tan críticas, pero aún representan un riesgo. La explotación exitosa requiere acceso local o un operador de red móvil malicioso.

Según la lista de chipsets afectados proporcionada por Samsung, la lista de dispositivos afectados incluye, entre otros:

• Dispositivos móviles de Samsung, incluidos los de las series S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 y A04;
• Dispositivos móviles de Vivo, incluidos los de las series S16, S15, S6, X70, X60 y X30;
• Las series de dispositivos Pixel 6 y Pixel 7 de Google;
• cualquier wearable que utilice el chipset Exynos W920; y
• cualquier vehículo que utilice el chipset Exynos Auto T5123.

Solución disponible para los dispositivos afectados

Si bien Samsung ya ha proporcionado actualizaciones de seguridad que abordan estas vulnerabilidades en los chipsets afectados a otros proveedores, los parches no son públicos y no pueden ser aplicados por todos los usuarios afectados.

La línea de tiempo de parches de cada fabricante para sus dispositivos será diferente, pero, por ejemplo, Google ya ha abordado CVE-2023-24033 para los dispositivos Pixel afectados en sus actualizaciones de seguridad de marzo de 2023.


Sin embargo, hasta que los parches estén disponibles, los usuarios pueden frustrar los intentos de explotación de RCE de banda base dirigidos a los chipsets Exynos de Samsung en su dispositivo deshabilitando las llamadas Wi-Fi y Voice-over-LTE (VoLTE) para eliminar el vector de ataque.

Samsung también confirmó la solución de Project Zero, diciendo que "los usuarios pueden deshabilitar las llamadas WiFi y VoLTE para mitigar el impacto de esta vulnerabilidad".

"Como siempre, alentamos a los usuarios finales a actualizar sus dispositivos lo antes posible, para asegurarse de que están ejecutando las últimas compilaciones que corrigen las vulnerabilidades de seguridad divulgadas y no reveladas", agregó Willis.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El grupo de ransomware BianLian ha cambiado su enfoque de cifrar los archivos de sus víctimas a solo exfiltrar datos encontrados en redes comprometidas y usarlos para extorsión.

Este desarrollo operativo en BianLian fue reportado por la compañía de ciberseguridad Redacted, que ha visto signos de que el grupo de amenazas intenta elaborar sus habilidades de extorsión y aumentar la presión sobre las víctimas.

BianLian es una operación de ransomware que apareció por primera vez en la naturaleza en julio de 2022, violando con éxito múltiples organizaciones de alto perfil.

En enero de 2023, Avast lanzó un descifrador gratuito para ayudar a las víctimas a recuperar archivos cifrados por el ransomware.

Ataques recientes de BianLian

Los operadores de BianLian han mantenido sus técnicas iniciales de acceso y movimiento lateral iguales y continúan implementando una puerta trasera personalizada basada en Go que les brinda acceso remoto en el dispositivo comprometido, aunque una versión ligeramente mejorada del mismo.

Los actores de amenazas publican a sus víctimas en forma enmascarada tan pronto como 48 horas después de la violación en su sitio de extorsión, dándoles aproximadamente diez días para pagar el rescate.

A partir del 13 de marzo de 2023, BianLian ha enumerado un total de 118 organizaciones de víctimas en su portal de extorsión, y la gran mayoría (71%) son empresas con sede en los Estados Unidos.


La principal diferencia observada en los ataques recientes es que BianLian intenta monetizar sus infracciones sin cifrar los archivos de la víctima. En cambio, ahora se basa únicamente en amenazar con filtrar los datos robados.

"El grupo promete que después de que se les pague, no filtrarán los datos robados ni revelarán el hecho de que la organización víctima ha sufrido una violación. BianLian ofrece estas garantías basadas en el hecho de que su "negocio" depende de su reputación", menciona Redacted en el informe.

"En varios casos, BianLian hizo referencia a los problemas legales y regulatorios que enfrentaría una víctima si se hiciera público que la organización había sufrido una violación. El grupo también ha ido tan lejos como para incluir referencias específicas a las subsecciones de varias leyes y estatutos.

Redacted ha encontrado que en muchos casos, las referencias legales hechas por los operadores de BianLian eran aplicables en la región de la víctima, lo que indica que los actores de amenazas están perfeccionando sus habilidades de extorsión al analizar los riesgos legales de una víctima para formular argumentos sólidos.

Se desconoce si BianLian abandonó la táctica de cifrado porque Avast rompió su cifrado o porque este evento les ayudó a darse cuenta de que no necesitaban esa parte de la cadena de ataque para extorsionar a las víctimas para que pagaran rescates.

Cabe mencionar que cuando Avast lanzó su descifrador gratuito, BianLian minimizó su importancia, diciendo que solo funcionaría en versiones tempranas del "verano de 2022" del ransomware y corrompería los archivos cifrados por todas las compilaciones posteriores.

Extorsión sin cifrado

El cifrado de archivos, el robo de datos y la amenaza de filtrar archivos robados se conoce como una táctica de "doble extorsión", que sirve como una forma adicional de coerción para las bandas de ransomware que buscan aumentar la presión sobre sus víctimas.

Sin embargo, a través del intercambio natural entre los actores de amenazas y las víctimas, las bandas de ransomware se dieron cuenta de que, en muchos casos, la fuga de datos confidenciales era un incentivo de pago aún más fuerte para las víctimas.

Esto dio lugar a operaciones de ransomware sin cifrado, como Babuk y SnapMC, y operaciones de extorsión que afirman no participar en el cifrado de archivos ellos mismos (o en absoluto), como RansomHouse, Donut y Karakurt.

Aún así, la mayoría de los grupos de ransomware continúan utilizando cargas útiles de cifrado en sus ataques, ya que la interrupción del negocio causada por el cifrado de dispositivos ejerce una presión aún mayor sobre muchas víctimas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El colapso del Silicon Valley Bank (SVB) el 10 de marzo de 2023 ha enviado ondas de turbulencia en todo el sistema financiero global, pero para los piratas informáticos, estafadores y campañas de phishing, se está convirtiendo en una excelente oportunidad.

Como informan varios investigadores de seguridad, los actores de amenazas ya están registrando dominios sospechosos, realizando páginas de phishing y preparándose para ataques de compromiso de correo electrónico empresarial (BEC).

Estas campañas tienen como objetivo robar dinero, robar datos de cuentas o infectar objetivos con malware.

SVB va a desaparecer

SVB fue un banco comercial con sede en Estados Unidos, el 16º más grande del país y el banco más grande por depósitos en Silicon Valley, California.

El 10 de marzo de 2023, el banco quebró después de una corrida en sus depósitos. Esta quiebra fue la más grande de cualquier banco desde la crisis financiera de 2007-2008 y la segunda más grande en la historia de Estados Unidos.

Este evento ha impactado a muchas empresas y personas en las industrias de tecnología, ciencias de la vida, atención médica, capital privado, capital de riesgo y vino premium que fueron clientes de SVB.

La situación caótica empeora aún más por los elementos prevalecientes de urgencia, incertidumbre y las cantidades significativas de dinero depositadas en el banco.

Los estafadores aprovechan la oportunidad

El investigador de seguridad Johannes Ulrich informó ayer que los actores de amenazas están aprovechando la oportunidad, registrando dominios sospechosos relacionados con SVB que es muy probable que se utilicen en ataques.


Algunos de los ejemplos dados en un informe publicado en el sitio web de SANS ISC incluyen:

• login-svb[.] .com
• SVBBalberout[.] .com
• svbcertificates[.] .com
• svbclaim[.] .com
• svbcollapse[.] .com
• svbdeposits[.] .com
• svbhelp[.] .com
• svblawsuit[.] .com

Ulrich advirtió que los estafadores podrían intentar ponerse en contacto con antiguos clientes de SVB para ofrecerles un paquete de apoyo, servicios legales, préstamos u otros servicios falsos relacionados con el colapso del banco.

Un ataque que ya se ha visto en la naturaleza es de actores de amenazas BEC que se hacen pasar por clientes de SVB y les dicen a los clientes que necesitan pagos enviados a una nueva cuenta bancaria después del colapso del banco.

Sin embargo, estas cuentas bancarias pertenecen a los actores de amenazas, que roban pagos destinados a ir a la empresa legítima.


La firma de inteligencia cibernética Cyble publicó hoy un informe similar que explora el desarrollo de amenazas temáticas SVB, advirtiendo sobre estos dominios adicionales:

• svbdebt[.] .com
• svbclaims[.] red
• SVB-USDC[.] .com
• SVB-USDC[.] red
• svbi[.] Io
• banksvb[.] .com
• svbank[.] .com
• svblogin[.] .com

Muchos de estos sitios se registraron el día del colapso del banco, el 10 de marzo de 2023, y ya están alojando estafas de criptomonedas.

Estas páginas fraudulentas les dicen a los clientes de SVB que el banco está distribuyendo USDC como parte de un programa de "reembolso".

"13 de marzo de 2023 - Silicon Valley Bank está distribuyendo activamente USDC como parte del programa SVB USDC payback a los titulares elegibles de USDC. Los pagos de USDC solo se pueden reclamar una vez por billetera ", afirma la estafa de criptomonedas.

Sin embargo, al hacer clic en el botón 'Haga clic aquí para reclamar' del sitio, aparece un código QR que intenta comprometer las billeteras criptográficas Metamask, Exodus y Trust Wallet cuando se escanean.


En otro caso, los actores de amenazas detrás de "cash4svb.com" intentan suplantar la información de contacto de los antiguos clientes de SVB que son acreedores comerciales o prestamistas, prometiéndoles un rendimiento entre el 65% y el 85%.


Estafas de círculos

La firma de pagos peer-to-peer Circle, que administra la popular moneda estable USDC, tenía una reserva de efectivo de $ 3.3 mil millones en el banco SVB. Sin embargo, el colapso de SVB ha creado incertidumbre a pesar de las garantías de la empresa sobre la liquidez del USDC.

Esta incertidumbre ha llevado a la creación de una red de sitios de estafa de criptomonedas que utilizan dominios de sitios web como:

• círculo redimido[.] .com
• círculo-reservas[.] .com
• circleusdcoin[.] .com
• círculo-mintusdc[.] .com
• svb-círculo[.] .com
• circle.web3claimer[.] red
• USD-Circle[.] .com

Estos sitios web no tienen ninguna afiliación real con Circle, y su único propósito es robar las billeteras, activos digitales o datos personales de sus visitantes.

La firma de seguridad de correo electrónico Proofpoint también ha detectado estafas de Circle derivadas de los eventos SVB, compartiendo en Twitter una muestra de correos electrónicos de phishing enviados a objetivos.


Si usted es un antiguo cliente de SVB, lo mejor que puede hacer es mantener la calma y seguir los canales de comunicación oficiales del gobierno de los Estados Unidos y la FDIC.

Ignore cualquier correo electrónico de dominios inusuales y verifique tres veces cualquier solicitud de supuestos clientes bancarios de SVB que le soliciten que cambie los detalles de la cuenta bancaria para los pagos.

El mejor método para confirmar los cambios de pago es comunicarse con su contacto por teléfono, no por correo electrónico, ya que las cuentas de correo electrónico pueden verse comprometidas durante estos ataques.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha parcheado una vulnerabilidad de día cero de Outlook (CVE-2023-23397) explotada por un grupo de piratería vinculado al servicio de inteligencia militar ruso GRU para atacar organizaciones europeas.

La vulnerabilidad de seguridad fue explotada en ataques para atacar y violar las redes de menos de 15 organizaciones gubernamentales, militares, energéticas y de transporte entre mediados de abril y diciembre de 2022.

El grupo de piratería (rastreado como APT28, STRONTIUM, Sednit, Sofacy y Fancy Bear) envió notas y tareas maliciosas de Outlook para robar hashes NTLM a través de solicitudes de negociación NTLM al obligar a los dispositivos de los objetivos a autenticarse en recursos compartidos SMB controlados por el atacante.

Las credenciales robadas se usaron para el movimiento lateral dentro de las redes de las víctimas y para cambiar los permisos de la carpeta de buzón de Outlook, una táctica que permite la exfiltración de correo electrónico para cuentas específicas.

Microsoft compartió esta información en un informe privado de análisis de amenazas visto por BleepingComputer y disponible para los clientes con suscripciones de Microsoft 365 Defender, Microsoft Defender para empresas o Microsoft Defender para Endpoint Plan 2.

EoP crítica en Outlook para Windows

La vulnerabilidad (CVE-2023-23397) fue reportada por CERT-UA (el Equipo de Respuesta a Emergencias Informáticas para Ucrania), y es una falla crítica de seguridad de privilegios de elevación de Outlook explotable sin interacción del usuario en ataques de baja complejidad.

Los actores de amenazas pueden aprovecharlo enviando mensajes con propiedades MAPI extendidas que contienen rutas de acceso UNC a un recurso compartido SMB (TCP 445) bajo su control.

"El atacante podría explotar esta vulnerabilidad mediante el envío de un correo electrónico especialmente diseñado que se activa automáticamente cuando es recuperado y procesado por el cliente de Outlook. Esto podría llevar a la explotación ANTES de que el correo electrónico se vea en el Panel de vista previa", dice Microsoft en un aviso de seguridad publicado hoy.

"La conexión al servidor SMB remoto envía el mensaje de negociación NTLM del usuario, que el atacante puede luego transmitir para la autenticación contra otros sistemas que admiten la autenticación NTLM", explica Redmond en una publicación de blog separada.

CVE-2023-23397 afecta a todas las versiones compatibles de Microsoft Outlook para Windows, pero no afecta a las versiones de Outlook para Android, iOS o macOS.

Además, dado que los servicios en línea como Outlook en la web y Microsoft 365 no admiten la autenticación NTLM, no son vulnerables a los ataques que aprovechan esta vulnerabilidad de retransmisión NTLM.

Microsoft recomienda aplicar inmediatamente la revisión de CVE-2023-23397 para mitigar esta vulnerabilidad y frustrar cualquier ataque entrante.

La compañía también aconseja agregar usuarios al grupo Usuarios protegidos en Active Directory y bloquear SMB saliente (puerto TCP 445) si la aplicación de parches no es posible de inmediato, lo que podría limitar el impacto de CVE-2023-23397.

Script de detección de mitigación y segmentación disponible

Microsoft insta a los clientes a parchear inmediatamente sus sistemas contra CVE-2023-23397 o agregar usuarios al grupo Usuarios protegidos en Active Directory y bloquear SMB saliente (puerto TCP 445) como una mitigación temporal para minimizar el impacto de los ataques.

Redmond también lanzó un script de PowerShell dedicado para ayudar a los administradores a comprobar si algún usuario en su entorno de Exchange ha sido atacado mediante esta vulnerabilidad de Outlook.

"Comprueba los elementos de mensajería de Exchange (correo, calendario y tareas) para ver si una propiedad se rellena con una ruta UNC", señala Microsoft.

"Si es necesario, los administradores pueden usar este script para limpiar la propiedad en busca de elementos maliciosos o incluso eliminar los elementos de forma permanente".

Esta secuencia de comandos también permite modificar o eliminar mensajes potencialmente malintencionados si se encuentran en el servidor Exchange auditado cuando se ejecutan en modo de limpieza.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad han descubierto la primera campaña ilícita de minería de criptomonedas utilizada para acuñar Dero desde principios de febrero de 2023.

"La novedosa operación de cryptojacking de Dero se concentra en localizar clústeres de Kubernetes con acceso anónimo habilitado en una API de Kubernetes y escuchar en puertos no estándar accesibles desde Internet", dijo CrowdStrike en un nuevo informe compartido con The Hacker News.

El desarrollo marca un cambio notable de Monero, que es una criptomoneda frecuente utilizada en tales campañas. Se sospecha que puede tener que ver con el hecho de que Dero "ofrece recompensas más grandes y proporciona las mismas o mejores funciones de anonimato".

Los ataques, atribuidos a un actor desconocido motivado financieramente, comienzan con el escaneo de clústeres de Kubernetes con autenticación establecida como --anonymous-auth=true, que permite que las solicitudes anónimas al servidor eliminen las cargas útiles iniciales de tres direcciones IP diferentes con sede en EE.

Esto incluye la implementación de un DaemonSet de Kubernetes llamado "proxy-api", que, a su vez, se utiliza para colocar un pod malicioso en cada nodo del clúster de Kubernetes para poner en marcha la actividad minera.


Con ese fin, el archivo YAML de DaemonSet está orquestado para ejecutar una imagen de Docker que contiene un binario de "pausa", que en realidad es el minero de monedas Dero.

"En una implementación legítima de Kubernetes, Kubernetes utiliza contenedores de 'pausa' para arrancar un pod", señaló la compañía. "Los atacantes pueden haber usado este nombre para mezclarse y evitar la detección obvia".

La compañía de ciberseguridad dijo que identificó una campaña paralela de minería de Monero también dirigida a clústeres de Kubernetes expuestos al intentar eliminar el DaemonSet "proxy-api" existente asociado con la campaña Dero.

Esta es una indicación de la lucha en curso entre los grupos de cryptojacking que compiten por los recursos de la nube para tomar y retener el control de las máquinas y consumir todos sus recursos.

"Ambas campañas están tratando de encontrar superficies de ataque Kubernetes no descubiertas y están luchando", dijeron los investigadores de amenazas de CrowdStrike Benjamin Grap y Manoj Ahuje.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un actor de amenazas previamente indocumentado llamado YoroTrooper ha estado apuntando a organizaciones gubernamentales, energéticas e internacionales en toda Europa como parte de una campaña de espionaje cibernético que ha estado activa desde al menos junio de 2022.

"La información robada de compromisos exitosos incluye credenciales de múltiples aplicaciones, historiales y cookies del navegador, información del sistema y capturas de pantalla", dijeron los investigadores de Cisco Talos Asheer Malhotra y Vitor Ventura en un análisis del martes.

Los países prominentes afectados incluyen Azerbaiyán, Tayikistán, Kirguistán, Turkmenistán y otras naciones de la Comunidad de Estados Independientes (CEI).

Se cree que el actor de la amenaza es de habla rusa debido a los patrones de victimología y la presencia de fragmentos cirílicos en algunos de los implantes.

Dicho esto, se ha descubierto que el conjunto de intrusión YoroTrooper exhibe superposiciones tácticas con el equipo PoetRAT que se documentó en 2020 como un apalancamiento de cebos con temas de coronavirus para atacar a los sectores gubernamentales y energéticos en Azerbaiyán.

Los objetivos de recopilación de datos de YoroTrooper se realizan a través de una combinación de malware robador de productos básicos y de código abierto como Ave Maria (también conocido como Warzone RAT), LodaRAT, Meterpreter y Stink, con las cadenas de infección utilizando archivos de acceso directo maliciosos (LNK) y documentos señuelo envueltos en archivos ZIP o RAR que se propagan a través de spear-phishing.


Los archivos LNK funcionan como simples descargadores para ejecutar un archivo HTA recuperado de un servidor remoto, que luego se utiliza para mostrar un documento PDF de señuelo, mientras se lanza sigilosamente un cuentagotas para entregar un ladrón personalizado que utiliza Telegram como canal de exfiltración.

El uso de LodaRAT es notable, ya que indica que el malware está siendo empleado por múltiples operadores a pesar de su atribución a otro grupo llamado Kasablanka, que también se ha observado distribuyendo Ave Maria en campañas recientes dirigidas a Rusia.

Otras herramientas auxiliares implementadas por YoroTrooper consisten en shells inversos y un keylogger personalizado basado en C que es capaz de grabar pulsaciones de teclas y guardarlas en un archivo en el disco.

"Vale la pena señalar que, si bien esta campaña comenzó con la distribución de malware de productos básicos como Ave Maria y LodaRAT, ha evolucionado significativamente para incluir malware basado en Python", dijeron los investigadores.

"Esto destaca un aumento en los esfuerzos que el actor de la amenaza está realizando, probablemente derivados de violaciones exitosas durante el curso de la campaña".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La función de túnel privado Meshnet de NordVPN para Windows, macOS y Linux ahora es gratuita para todos, incluso para los usuarios que no tienen una suscripción a NordVPN.

Meshnet fue lanzado por primera vez por NordVPN en junio de 2022 como una función paga, que permite a los usuarios crear túneles privados y cifrados entre dispositivos en los que confían para pasar el tráfico de red, esencialmente creando sus propios servidores VPN (red privada virtual).

Por ejemplo, Meshnet permite a alguien enrutar su tráfico de red desde su teléfono inteligente a través de la computadora de su hogar mientras está de vacaciones, haciendo que parezca que están navegando desde su ubicación habitual.

El tráfico del usuario también puede pasar a través de un túnel seguro en la computadora de un amigo o familiar, siempre y cuando esté utilizando la aplicación Meshnet y haya sido invitado a la Mesh de su amigo.


Esta función puede ayudar a los usuarios a acceder a plataformas restringidas geográficamente y proteger los datos del usuario cuando utilizan puntos de acceso WiFi peligrosos y no seguros.

Aún más útil, la función de túnel privado Meshnet le permite acceder a dispositivos internos mientras está de vacaciones, viajando por trabajo o simplemente en la carretera como si estuviera en su oficina u hogar sin abrir puertos en su firewall.

Por ejemplo, la función Escritorio remoto de Windows es útil para acceder a su computadora mientras está fuera de su hogar u oficina. Sin embargo, nunca debe exponer Remote Desktop a Internet, ya que se explota comúnmente para ataques de ransomware, y para los usuarios domésticos, no siempre es fácil implementar una VPN dedicada.

Sin embargo, con Meshnet, puede instalar el software NordVPN tanto en la computadora de escritorio remoto como en una computadora portátil y configurarlos para que formen parte de la misma Mesh. Luego, desde su computadora portátil, puede conectarse a la dirección IP asignada al servidor RDP por MeshNet y acceder a la computadora de Escritorio remoto como si estuviera dentro de la red.

BleepingComputer probó esta función para hacer exactamente eso hoy, y funcionó bien y fue fácil de configurar.

MeshNet no solo es útil para el trabajo sino también para los juegos, ya que puede invitar a amigos a su Mesh para que puedan acceder a servidores de juegos internos y privados, sin importar la distancia física entre ellos, y sin abrir puertos en su firewall.

Todos los usuarios de Meshnet pueden restringir el acceso que otros tienen a su red, proporcionando un control decente, pero no perfecto, sobre los recursos compartidos. Sin embargo, sería mejor si NordVPN agregara permisos de seguridad más granulares, como direcciones IP específicas y puertos a los que se puede acceder y límites de ancho de banda.


Hoy, NordVPN ha anunciado que el sistema estará disponible para todos de forma gratuita, mientras que el cliente Linux para el servicio es de código abierto para una mayor transparencia.

Para celebrar este movimiento, los ingenieros de NordVPN también introdujeron una nueva característica en Meshnet que permite a los usuarios compartir archivos de tamaño ilimitado con sus amigos de forma segura.

Además, ambos usuarios deben dar su consentimiento para la transferencia para que el sistema minimice el riesgo de transferencias de archivos maliciosos no deseados.

La biblioteca utilizada para compartir archivos, Libdrop, y la biblioteca utilizada para las comunicaciones de red, Libtelio, también han sido de código abierto.

NordVPN dice que no eres el producto

NordVPN es uno de los mayores proveedores de servicios VPN con un historial casi perfecto en seguridad. Sin embargo, algunas personas aún pueden tener dificultades para confiar sus datos de red a una empresa privada.

Las preocupaciones se magnifican aún más cuando el producto ofrecido es gratuito, pero NordVPN asegura que los usuarios de Meshnet no son el producto.

Como explica la compañía en el comunicado de prensa, Meshnet es barato de operar, requiriendo una pequeña parte de la infraestructura global masiva de la compañía (5,000 servidores en 59 países).

Por lo tanto, ponerlo a disposición de todos no resultará en una carga financiera notable para NordVPN.

"Abrirlo a un público más amplio no requiere que desarrollemos nuevos sistemas e invirtamos más de lo que ya tenemos", dice el anuncio de NordVPN.

Al mismo tiempo, NordVPN dice que este movimiento se alinea con su valor central de ayudar a hacer de Internet un lugar más seguro para todos los usuarios, independientemente de si pueden pagar una suscripción a sus productos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha descubierto que una extensión falsa del navegador Chrome de la marca ChatGPT viene con capacidades para secuestrar cuentas de Facebook y crear cuentas de administrador deshonestas, destacando uno de los diferentes métodos que los ciberdelincuentes están utilizando para distribuir malware.

"Al secuestrar cuentas comerciales de Facebook de alto perfil, el actor de amenazas crea un ejército de élite de bots de Facebook y un aparato de medios pagados maliciosos", dijo la investigadora de Guardio Labs Nati Tal en un informe técnico.

"Esto le permite impulsar los anuncios pagados de Facebook a expensas de sus víctimas de una manera similar a un gusano que se propaga a sí misma".

La extensión "Acceso rápido a Chat GPT", que se dice que ha atraído 2.000 instalaciones por día desde el 3 de marzo de 2023, ha sido retirada por Google de Chrome Web Store a partir del 9 de marzo de 2023.

El complemento del navegador se promociona a través de publicaciones patrocinadas por Facebook, y aunque ofrece la posibilidad de conectarse al servicio ChatGPT, también está diseñado para recolectar subrepticiamente cookies y datos de la cuenta de Facebook utilizando una sesión ya activa y autenticada.

Esto se logra haciendo uso de dos aplicaciones falsas de Facebook, portal y msg_kig, para mantener el acceso de puerta trasera y obtener un control total de los perfiles objetivo. El proceso de agregar las aplicaciones a las cuentas de Facebook está totalmente automatizado.

Las cuentas comerciales de Facebook secuestradas se utilizan para anunciar el malware, propagando así el esquema aún más y expandiendo efectivamente la colección de cuentas comprometidas.


El desarrollo se produce cuando los actores de amenazas están capitalizando la popularidad masiva de ChatGPT de OpenAI desde su lanzamiento a fines del año pasado para crear versiones falsas del chatbot de inteligencia artificial y engañar a los usuarios desprevenidos para que los instalen.

El mes pasado, Cyble reveló una campaña de ingeniería social que se basaba en una página de redes sociales no oficial de ChatGPT para dirigir a los usuarios a dominios maliciosos que descargan ladrones de información, como RedLine, Lumma y Aurora.

También se han detectado aplicaciones fraudulentas de ChatGPT distribuidas a través de Google Play Store y otras tiendas de aplicaciones Android de terceros que empujan el malware SpyNote a los dispositivos de las personas.

"Desafortunadamente, el éxito de la herramienta viral de IA también ha atraído la atención de los estafadores que utilizan la tecnología para realizar estafas de inversión altamente sofisticadas contra usuarios de Internet incautos", reveló Bitdefender la semana pasada.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los actores de amenazas se han observado cada vez más utilizando videos de YouTube generados por IA para propagar una variedad de malware ladrón como Raccoon, RedLine y Vidar.

"Los videos atraen a los usuarios fingiendo ser tutoriales sobre cómo descargar versiones descifradas de software como Photoshop, Premiere Pro, Autodesk 3ds Max, AutoCAD y otros productos que son productos con licencia disponibles solo para usuarios pagos", dijo el investigador de CloudSEK Pavan Karthick M.

Así como el panorama del ransomware comprende desarrolladores principales y afiliados que están a cargo de identificar objetivos potenciales y llevar a cabo los ataques, el ecosistema de ladrones de información también consiste en actores de amenazas conocidos como traffers que son reclutados para propagar el malware utilizando diferentes métodos.

Uno de los canales populares de distribución de malware es YouTube, con CloudSEK presenciando un aumento del 200-300% mes a mes en videos que contienen enlaces a malware ladrón en la sección de descripción.

Estos enlaces a menudo se ofuscan usando acortadores de URL como Bitly y Cuttly, o alternativamente alojados en MediaFire, Google Drive, Discord, GitHub y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login de Telegram.

En varios casos, los actores de amenazas aprovechan las fugas de datos y la ingeniería social para secuestrar cuentas legítimas de YouTube y enviar malware, a menudo apuntando a cuentas populares para llegar a una gran audiencia en un corto período de tiempo.



"Subir a tales cuentas también le da legitimidad al video", explicó Karthick. "Sin embargo, tales Youtubers reportarán a su tomador de cuenta a YouTube y obtendrán acceso a sus cuentas en unas pocas horas. Pero en unas pocas horas, cientos de usuarios podrían haber caído presa".


Más ominosamente, entre cinco y 10 videos de descarga de crack se cargan en la plataforma de video cada hora, y los actores de amenazas emplean técnicas de envenenamiento de optimización de motores de búsqueda (SEO) para hacer que los videos aparezcan en la parte superior de los resultados.

También se ha observado que los actores de amenazas agregan comentarios falsos a los videos cargados para engañar y atraer a los usuarios a descargar el software pirateado.

El desarrollo se produce en medio de un aumento en las nuevas variantes de robo de información como SYS01stealer, S1deload, Stealc, Titan, ImBetter, WhiteSnake y Lumma que se ofrecen a la venta y vienen con capacidades para saquear datos confidenciales bajo la apariencia de aplicaciones y servicios populares.

Los hallazgos también siguen al descubrimiento de un kit de herramientas listo para usar llamado R3NIN Sniffer que puede permitir a los actores de amenazas desviar datos de tarjetas de pago de sitios web de comercio electrónico comprometidos.

Para mitigar los riesgos que plantea el malware ladrón, se recomienda a los usuarios que habiliten la autenticación multifactor, se abstengan de hacer clic en enlaces desconocidos y eviten descargar o usar software pirateado.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Reserva Federal ha anunciado el cierre de otro banco. El Signature Bank, el mayor criptobanco de los Estados Unidos, ha sido cerrado por el regulador estadounidense. Y los argumentos no pueden ser más directos. Tras el colapso del Silicon Valley Bank, se teme un "riesgo sistémico".

La FED promete que "el contribuyente no asumirá las pérdidas" y todos los depósitos se devolverán al completo. El mensaje es que los clientes que tienen su dinero en este banco están protegidos, no así ciertos accionistas y deudores no garantizados.


El cierre de Signature Bank supone un duro golpe para el sector bancario más ligado al mundo cripto. En menos de dos semanas, Estados Unidos ha visto como sus dos criptobancos más importantes han dejado de estar accesibles. Primero fue Silvergate y ahora ha sido Signature Bank, ubicado en Nueva York.

El caso de Signature Bank es representativo de lo que desde la Reserva Federal quieren vigilar. El 90% de los depósitos no están asegurados por la FDIC (Corporación Federal de Seguro de Depósitos) y más del 20% de todo el capital es cripto.

Según sus propios datos financieros de finales de año, el Signature Bank disponía activos por valor de unos 110.000 millones de dólares, con un valor de mercado del banco de unos 4.400 millones de dólares.

El criptobanco disponía de más de 1.800 empleados. La caída de Signature Bank se considera la tercera mayor en la historia bancaria de los Estados Unidos, únicamente superada por la propia del Silicon Valley Bank y el Washington Mutual Bank, durante la crisis de 2008.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

GitHub comenzará a requerir que los desarrolladores activos habiliten la autenticación de dos factores (2FA) en sus cuentas a partir de la próxima semana, el 13 de marzo.

Una vez expandido a toda la base de usuarios de la compañía, el requisito de inscripción 2FA ayudará a asegurar las cuentas de más de 100 millones de usuarios.

El lanzamiento gradual comenzará la próxima semana con GitHub llegando a grupos más pequeños de administradores y desarrolladores por correo electrónico y se acelerará a medida que se acerque el final del año para garantizar que la incorporación sea perfecta y que los usuarios tengan tiempo para resolver cualquier problema.

"GitHub ha diseñado un proceso de implementación destinado a minimizar las interrupciones inesperadas y la pérdida de productividad para los usuarios y evitar bloqueos de cuentas", dijeron el gerente de producto de personal Hirsch Singhal y la directora de marketing de productos Laura Paine.

"Se les pedirá a los grupos de usuarios que habiliten 2FA a lo largo del tiempo, cada grupo seleccionado en función de las acciones que han realizado o el código al que han contribuido".

Si su cuenta es seleccionada para la inscripción, recibirá un correo electrónico y verá un banner en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login solicitándole que se inscriba en el programa de autenticación de dos factores (2FA).

Luego, tendrá 45 días para configurar 2FA en su cuenta, durante los cuales puede seguir usando su cuenta de GitHub como de costumbre, excepto recordatorios ocasionales.

GitHub lo mantendrá actualizado sobre su fecha límite de habilitación, y una vez que haya pasado, se le pedirá que habilite 2FA la primera vez que acceda a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y se le bloqueará el acceso a algunas funciones hasta que se active 2FA.


Esto sigue a dos anuncios anteriores de mayo y diciembre de que todos los desarrolladores que contribuyan con código en la plataforma deberán habilitar 2FA para fines de 2023.

GitHub proporciona instrucciones detalladas sobre cómo configurar 2FA para su cuenta y recuperar cuentas al perder credenciales de 2FA.

Los desarrolladores pueden usar una o más opciones de 2FA, incluidas las claves de seguridad físicas, las claves de seguridad virtuales integradas en dispositivos móviles como teléfonos inteligentes y computadoras portátiles, las aplicaciones de autenticación de contraseña de un solo uso basada en el tiempo (TOTP) o la aplicación GitHub Mobile (después de configurar TOTP o SMS 2FA).

Aunque 2FA basado en mensajes de texto también es una opción (en algunos países), GitHub está instando a los usuarios a cambiar a claves de seguridad o aplicaciones TOTP porque los actores de amenazas pueden omitir SMS 2FA o robar tokens de autenticación SMS 2FA para secuestrar las cuentas de los desarrolladores.

Asegurar la cadena de suministro de software

Habilitar 2FA en cuentas de GitHub aumenta la resiliencia contra la toma de control de cuentas al bloquear los intentos de usar contraseñas reutilizadas o credenciales robadas en ataques de secuestro.

Este es el último movimiento de la compañía para asegurar la cadena de suministro de software al alejarse de la autenticación básica basada en contraseña.

Anteriormente, la plataforma de alojamiento de código implementaba la verificación de dispositivos basada en correo electrónico y eliminaba gradualmente las contraseñas de cuenta para la autenticación de operaciones de Git.

Además, GitHub deshabilitó la autenticación de contraseña a través de la API REST en noviembre de 2020 e introdujo soporte para claves de seguridad FIDO2 para asegurar las operaciones SSH Git en mayo de 2021.

A lo largo de los años, GitHub ha mejorado las medidas de seguridad de su cuenta al incorporar autenticación de dos factores, alertas de inicio de sesión, bloquear el uso de contraseñas comprometidas y brindar soporte para WebAuthn.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

AT&T está notificando a aproximadamente 9 millones de clientes que parte de su información fue expuesta después de que un proveedor de marketing fue pirateado en enero.

"La información de red patentada del cliente de algunas cuentas inalámbricas fue expuesta, como la cantidad de líneas en una cuenta o plan de tarifas inalámbricas", dijo AT&T a BleepingComputer.

"La información no contenía información de tarjeta de crédito, número de seguro social, contraseñas de cuentas u otra información personal confidencial. Estamos notificando a los clientes afectados".

Si bien la notificación de violación de datos no comparte el número de clientes afectados, AT&T le dijo a BleepingComputer que "aproximadamente 9 millones de cuentas inalámbricas tenían acceso a su información de red patentada del cliente".

Los datos de CPNI expuestos incluyen nombres de clientes, números de cuenta de servicio móvil, números de teléfono móvil y direcciones de correo electrónico.

"Un pequeño porcentaje de clientes afectados también tuvo exposición al nombre del plan de tarifas, monto vencido, monto de pago mensual, varios cargos mensuales y / o minutos utilizados. La información tenía varios años", dijo AT&T.

La compañía agregó que sus sistemas no se vieron comprometidos en el incidente de seguridad del proveedor y que los datos expuestos están asociados principalmente con la elegibilidad para actualizar el dispositivo.

La policía alertó de la violación

"Hemos notificado a la policía federal sobre el acceso no autorizado de su CPNI según lo requerido por la Comisión Federal de Comunicaciones", dice AT&T en las cartas de notificación de violación de CPNI, detectadas por primera vez por You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y enviadas desde You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

"Nuestro informe a la policía no contiene información específica sobre su cuenta, solo que se produjo el acceso no autorizado".

Se aconseja a los clientes que desactiven el intercambio de datos de CPNI en sus cuentas haciendo una solicitud de restricción de CPNI para reducir los riesgos de exposición en el futuro si AT&T lo usa para fines de marketing de proveedores externos.

Un portavoz de AT&T aún no ha respondido a un correo electrónico solicitando más información sobre qué información específica fue expuesta en el incidente y qué proveedor fue violado para que estos datos sean expuestos.

En agosto de 2021, AT&T negó una violación de datos después de que un notorio actor de amenazas pusiera a la venta una base de datos que contenía lo que afirmaba ser la información personal de 70 millones de clientes de AT&T.

Actualización 09 de marzo, 14:59 EST: Se agregaron más detalles sobre la información expuesta del cliente.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva variante del troyano bancario Android llamado Xenomorph ha surgido en la naturaleza, revelan los últimos hallazgos de ThreatFabric.

Nombrado "Xenomorph 3rd generation" por Hadoken Security Group, el actor de amenazas detrás de la operación, la versión actualizada viene con nuevas características que le permiten realizar fraudes financieros de manera fluida.

"Esta nueva versión del malware agrega muchas capacidades nuevas a un banquero de Android ya rico en funciones, sobre todo la introducción de un motor de tiempo de ejecución muy extenso impulsado por los servicios de accesibilidad, que es utilizado por los actores para implementar un marco ATS completo", dijo la firma de seguridad holandesa en un informe compartido con The Hacker News.

Xenomorph salió a la luz por primera vez hace un año, en febrero de 2022, cuando se descubrió que apuntaba a 56 bancos europeos a través de aplicaciones de cuentagotas publicadas en Google Play Store.

En contraste, la última iteración del banquero, que tiene un sitio web dedicado que anuncia sus características, está diseñada para apuntar a más de 400 instituciones bancarias y financieras, incluidas varias billeteras de criptomonedas.


ThreatFabric dijo que detectó muestras distribuidas a través de Content Delivery Network (CDN) de Discord, una técnica que ha experimentado un aumento desde 2020. Dos de las aplicaciones con Xenomorph se enumeran a continuación:

• Juega a Proteger (com.great.calm)
• Play Protect (meritoriousness.mollah.presser)

"Xenomorph v3 es desplegado por una aplicación Zombinder 'vinculada' a un convertidor de moneda legítimo, que descarga como una 'actualización' una aplicación que se hace pasar por Google Protect", explicó ThreatFabric.

Zombinder se refiere a un servicio de enlace APK anunciado en la web oscura desde marzo de 2022, en el que el malware se entrega a través de versiones troyanizadas de aplicaciones legítimas. Desde entonces, la oferta ha sido cerrada.

Los objetivos de la última campaña van más allá de su enfoque europeo (es decir, España, Italia y Portugal) para incluir entidades financieras belgas y canadienses.

Se sabe que Xenomorph, al igual que otro malware bancario, abusa de los Servicios de accesibilidad para realizar fraudes a través de ataques de superposición. También incluye capacidades para completar automáticamente transacciones fraudulentas en dispositivos infectados, una técnica llamada Sistema de transferencia automatizado (ATS).


Con los bancos alejándose de SMS para la autenticación de dos factores (2FA) a las aplicaciones de autenticación, el troyano Xenomorph incorpora un módulo ATS que le permite iniciar la aplicación y extraer los códigos de autenticación.

El malware de Android se jacta además de las funciones de robo de cookies, lo que permite a los actores de amenazas realizar ataques de adquisición de cuentas.

"Con estas nuevas características, Xenomorph ahora puede automatizar completamente toda la cadena de fraude, desde la infección hasta la exfiltración de fondos, lo que lo convierte en uno de los troyanos de malware de Android más avanzados y peligrosos en circulación", dijo la compañía.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La autenticación multifactor (MFA) se ha convertido hace mucho tiempo en una práctica de seguridad estándar. Con un amplio consenso sobre su capacidad para defenderse de más del 99% de los ataques de adquisición de cuentas, no es de extrañar por qué los arquitectos de seguridad lo consideran imprescindible en sus entornos. Sin embargo, lo que parece ser menos conocido son las limitaciones de cobertura inherentes de las soluciones MFA tradicionales. Si bien son compatibles con la conexión RDP y los inicios de sesión de escritorio local, no ofrecen protección para herramientas de acceso de línea de comandos remotos como PsExec, PowerShell remoto y similares.

En la práctica, significa que las estaciones de trabajo y los servidores siguen siendo tan vulnerables al movimiento lateral, la propagación de ransomware y otras amenazas de identidad a pesar de tener una solución MFA completamente funcional. Para el adversario, es solo cuestión de tomar la ruta de la línea de comandos en lugar del RDP para iniciar sesión como si no hubiera protección instalada en absoluto. En este artículo exploraremos este punto ciego, comprenderemos su causa raíz e implicaciones, y veremos las diferentes opciones que los equipos de seguridad pueden superar para mantener sus entornos protegidos.

El propósito principal de MFA: evitar que los adversarios accedan a sus recursos con credenciales comprometidas

MFA la medida de seguridad más eficiente de nuevo toma de control de la cuenta. La razón por la que tenemos MFA en primer lugar para evitar que los adversarios accedan a nuestros recursos con credenciales comprometidas. Entonces, incluso si un atacante pudiera apoderarse de nuestro nombre de usuario y contraseña, que es un escenario más que plausible, aún no podrá aprovecharlos para el acceso malicioso en nuestro nombre. Por lo tanto, es la última línea de defensa contra el compromiso de credenciales, que tiene como objetivo anular este compromiso de cualquier ganancia.

El punto ciego: MFA no es compatible con las herramientas de acceso de línea de comandos en el entorno de Active Directory

Si bien MFA puede cubrir completamente el acceso a SaaS y aplicaciones web, es significativamente más limitado cuando se trata del entorno administrado de Active Directory. Esto se debe a que los protocolos de autenticación de claves que se usan en este entorno, NTLM y Kerberos, se escribieron mucho antes de que existiera MFA y no lo admiten de forma nativa. Lo que significa es que todos los métodos de autenticación que implementan estos protocolos no se pueden proteger con MFA. Eso incluye todas las herramientas de acceso remoto basadas en CMD y PowerShell, de las cuales las más destacadas son PsExec y PowerShell remoto. Estas son las herramientas predeterminadas que utilizan los administradores para conectarse de forma remota a las máquinas de los usuarios con fines de solución de problemas y mantenimiento, y por lo tanto se encuentran en prácticamente cualquier entorno de AD.

Las implicaciones de seguridad cibernética: el movimiento lateral y los ataques de ransomware no encuentran resistencia.

Esta ruta de conexión remota convencional está, por definición, desprotegida de un escenario de credenciales comprometidas y, como resultado, se utiliza en la mayoría de los movimientos laterales y ataques de propagación de ransomware. No importa que haya una solución MFA que proteja la conexión RDP y evite que se abuse de ellos. Para un atacante, pasar de la máquina de paciente cero a otras estaciones de trabajo en el entorno con PsExec o PowerShell remoto es tan fácil como hacerlo con RDP. Es solo cuestión de usar una puerta en lugar de la otra.

La dura verdad: La protección parcial de MFA no es protección en absoluto

Por lo tanto, si ha pasado por el dolor de instalar agentes MFA en todos sus servidores y estaciones de trabajo críticos, lo más probable es que haya logrado poco para protegerlos de las amenazas de identidad. Este es uno de los casos en los que no se puede llegar a mitad de camino. O estás protegido o no lo estás. Cuando hay un agujero en el fondo del barco, no importa que todo el resto sea madera maciza. Y de la misma manera, si los atacantes pueden moverse lateralmente en su entorno proporcionando credenciales comprometidas a las herramientas de acceso de línea de comandos, ya no importa que tenga protección MFA para RDP e inicio de sesión de escritorio.

Las limitaciones de MFA en el entorno local también ponen en riesgo sus recursos en la nube

A pesar del cambio a la nube, más del 90% de las organizaciones mantienen una infraestructura de identidad híbrida con estaciones de trabajo y servidores administrados por AD, así como aplicaciones SaaS y cargas de trabajo en la nube. Por lo tanto, no solo los recursos básicos locales, como las aplicaciones heredadas y los recursos compartidos de archivos, están expuestos al uso de credenciales comprometidas debido a la falta de protección MFA, sino también las aplicaciones SaaS.

La práctica común hoy en día es sincronizar contraseñas entre todos estos recursos, por lo que se utiliza el mismo nombre de usuario y contraseña para acceder tanto a un servidor de archivos local como a una aplicación SaaS de la organización. Esto significa que cualquier ataque local que incluya el compromiso y el uso de las credenciales de los usuarios puede pivotar fácilmente para acceder a los recursos SaaS directamente desde las máquinas atacadas.

El cambio de paradigma: del AMF tradicional a la protección unificada de la identidad

La brecha que hemos descrito se deriva de cómo se diseña e implementa el MFA tradicional. La limitación clave es que las soluciones MFA de hoy se conectan al proceso de autenticación de cada recurso individual, por lo que si el software que realiza esta autenticación no admite MFA, como en las herramientas de acceso de línea de comandos de AD, no puede haber protección en blanco.

Sin embargo, hoy en día hay un nuevo enfoque que cambia el enfoque de colocar MFA en cada recurso individual al directorio, superando así la barrera por completo.

Silverfort es pionera en la primera plataforma de Protección de Identidad Unificada que puede extender MFA a cualquier recurso, independientemente de si admite MFA de forma nativa o no. Utilizando una tecnología sin agente y sin proxy, Silverfort se integra directamente con AD. Con esta integración, cada vez que AD recibe una solicitud de acceso, espera su veredicto y la envía a Silverfort. Silverfort luego analiza la solicitud de acceso y, si es necesario, desafía al usuario con MFA. En función de la respuesta del usuario, Silverfort determina si confiar en el usuario o no y pasa el veredicto a AD que otorga o deniega el acceso, respectivamente.

La innovación en este enfoque es que ya no importa si esta solicitud de acceso se realizó a través de RDP o línea de comandos y si admite MFA o no. Siempre que se haya hecho a AD, AD puede pasarlo a Silverfort. Por lo tanto, al pasar de la protección MFA a nivel de recursos a la protección MFA en el nivel de directorio, el punto ciego del que los adversarios están abusando durante años finalmente se resuelve y se protege.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fortinet ha lanzado correcciones para abordar 15 fallas de seguridad, incluida una vulnerabilidad crítica que afecta a FortiOS y FortiProxy que podría permitir a un actor de amenazas tomar el control de los sistemas afectados.

El problema, rastreado como CVE-2023-25610, tiene una calificación de 9.3 sobre 10 para la gravedad y fue descubierto internamente e informado por sus equipos de seguridad.

"Una vulnerabilidad de suscripción de búfer ('desbordamiento de búfer') en la interfaz administrativa de FortiOS y FortiProxy puede permitir que un atacante remoto no autenticado ejecute código arbitrario en el dispositivo y / o realice un DoS en la GUI, a través de solicitudes específicamente diseñadas", dijo Fortinet en un aviso.

Los errores de desbordamiento, también llamados subrecorridos de búfer, ocurren cuando los datos de entrada son más cortos que el espacio reservado, lo que provoca un comportamiento impredecible o la fuga de datos confidenciales de la memoria.

Otras posibles consecuencias incluyen la corrupción de la memoria que podría ser utilizada como arma para inducir un bloqueo o ejecutar código arbitrario.

Fortinet dijo que no tiene conocimiento de ningún intento de explotación maliciosa contra la falla. Pero dado que las fallas anteriores en el software han sido objeto de abuso activo en la naturaleza, es esencial que los usuarios se muevan rápidamente para aplicar los parches.

Las siguientes versiones de FortiOS y FortiProxy se ven afectadas por la vulnerabilidad:

• FortiOS versión 7.2.0 a 7.2.3
• FortiOS versión 7.0.0 a 7.0.9
• FortiOS versión 6.4.0 a 6.4.11
• FortiOS versión 6.2.0 a 6.2.12
• FortiOS 6.0 todas las versiones
• FortiProxy versión 7.2.0 a 7.2.2
• FortiProxy versión 7.0.0 a 7.0.8
• FortiProxy versión 2.0.0 a 2.0.11
• FortiProxy 1.2 todas las versiones
• FortiProxy 1.1 todas las versiones

Las correcciones están disponibles en las versiones 6.2.13, 6.4.12, 7.0.10, 7.2.4 y 7.4.0 de FortiOS; FortiOS-6K7K versiones 6.2.13, 6.4.12 y 7.0.10; y FortiProxy versiones 2.0.12, 7.0.9 y 7.0.9.

Como solución alternativa, Fortinet recomienda que los usuarios deshabiliten la interfaz administrativa HTTP / HTTPS o limiten las direcciones IP que pueden alcanzarla.

La divulgación se produce semanas después de que la compañía de seguridad de red emitiera correcciones para 40 vulnerabilidades, dos de las cuales están clasificadas como críticas e impactan los productos FortiNAC (CVE-2022-39952) y FortiWeb (CVE-2021-42756).

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los actores patrocinados por el estado iraní continúan participando en campañas de ingeniería social dirigidas a los investigadores haciéndose pasar por un grupo de expertos estadounidense.

"En particular, los objetivos en este caso fueron todas las mujeres que participan activamente en asuntos políticos y derechos humanos en la región de Medio Oriente", dijo la Unidad de Contraamenaza de Secureworks (CTU) en un informe compartido con The Hacker News.

La compañía de ciberseguridad atribuyó la actividad a un grupo de piratería que rastrea como Cobalt Illusion, y que también se conoce con los nombres APT35, Charming Kitten, ITG18, Phosphorus, TA453 y Yellow Garuda.

La persecución de académicos, activistas, diplomáticos, periodistas, políticos e investigadores por parte del actor de amenazas ha sido bien documentada a lo largo de los años.

Se sospecha que el grupo opera en nombre del Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC) y ha exhibido un patrón de uso de personas falsas para establecer contacto con personas que son de interés estratégico para el gobierno.

"Es común que Cobalt Illusion interactúe con sus objetivos varias veces a través de diferentes plataformas de mensajería", dijo SecureWorks. "Los actores de amenazas primero envían enlaces y documentos benignos para construir una buena relación. Luego envían un enlace o documento malicioso a las credenciales de phishing para los sistemas a los que Cobalt Illusion busca acceder.

La principal de sus tácticas incluye aprovechar la recolección de credenciales para obtener el control de los buzones de correo de las víctimas, así como emplear herramientas personalizadas como HYPERSCRAPE (también conocido como EmailDownloader) para robar datos de las cuentas de Gmail, Yahoo! y Microsoft Outlook utilizando las contraseñas robadas.

Otro malware a medida vinculado al grupo es una herramienta de "captura" de Telegram basada en C ++ que facilita la recolección de datos a gran escala de las cuentas de Telegram después de obtener las credenciales del objetivo.

La última actividad involucra al adversario haciéndose pasar por un empleado del Consejo Atlántico, un grupo de expertos con sede en Estados Unidos, y contactando a investigadores de asuntos políticos y derechos humanos con el pretexto de contribuir a un informe.

Para hacer que la artimaña fuera convincente, las cuentas de redes sociales asociadas con la persona fraudulenta "Sara Shokouhi" (@SaShokouhi en Twitter y @sarashokouhii en Instagram) afirmaron tener un doctorado en política de Medio Oriente.

Además, se dice que las fotos de perfil en estas cuentas, según SecureWorks, fueron tomadas de una cuenta de Instagram perteneciente a un psicólogo y lector de cartas del tarot con sede en Rusia.

No está claro de inmediato si el esfuerzo resultó en algún ataque de phishing exitoso. La cuenta de Twitter, creada en octubre de 2022, permanece activa hasta la fecha al igual que la cuenta de Instagram.

"El phishing y la recopilación masiva de datos son tácticas centrales de Cobalt Illusion", dijo Rafe Pilling, investigador principal y líder temático de Irán en SecureWorks CTU, en un comunicado.

"El grupo lleva a cabo la recopilación de inteligencia, a menudo inteligencia centrada en el ser humano, como extraer el contenido de buzones de correo, listas de contactos, planes de viaje, relaciones, ubicación física, etc. Esta información probablemente se mezcla con otras fuentes y se utiliza para informar las operaciones militares y de seguridad de Irán, extranjeras y nacionales".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La función de autocompletar credenciales de Bitwarden contiene un comportamiento arriesgado que podría permitir que los iframes maliciosos incrustados en sitios web de confianza roben las credenciales de las personas y las envíen a un atacante.

El problema fue reportado por analistas de Flashpoint, quienes dijeron que Bitwarden se enteró del problema por primera vez en 2018, pero optó por permitirle acomodar sitios legítimos que usan iframes.

Aunque la función de autocompletar está deshabilitada en Bitwarden de forma predeterminada, y las condiciones para explotarla no son abundantes, Flashpoint dice que todavía hay sitios web que cumplen con los requisitos donde los actores de amenazas motivados pueden intentar explotar estos defectos.

Autocompletado (in)condicional

Bitwarden es un popular servicio de administración de contraseñas de código abierto con una extensión de navegador web que almacena secretos como nombres de usuario y contraseñas de cuentas en una bóveda cifrada.

Cuando sus usuarios visitan un sitio web, la extensión detecta si hay un inicio de sesión almacenado para ese dominio y ofrece completar las credenciales. Si la opción de autocompletar está habilitada, los rellena automáticamente al cargar la página sin que el usuario tenga que hacer nada.

Mientras analizaban Bitwarden, los investigadores de Flashpoint descubrieron que la extensión también rellena automáticamente formularios definidos en iframes incrustados, incluso aquellos de dominios externos.


"Si bien el iframe incrustado no tiene acceso a ningún contenido en la página principal, puede esperar la entrada al formulario de inicio de sesión y reenviar las credenciales ingresadas a un servidor remoto sin más interacción del usuario", explica Flashpoint.

Flashpoint investigó con qué frecuencia se incrustan los iframes en las páginas de inicio de sesión de sitios web de alto tráfico e informó que el número de casos de riesgo era muy bajo, lo que disminuyó significativamente el riesgo.

Sin embargo, un segundo problema descubierto por Flashpoint mientras investigaba el problema de los iframes es que Bitwarden también completará automáticamente las credenciales en los subdominios del dominio base que coincidan con un inicio de sesión.

Esto significa que un atacante que aloja una página de phishing bajo un subdominio que coincide con un inicio de sesión almacenado para un dominio base determinado capturará las credenciales cuando la víctima visite la página si la función de autocompletar está habilitada.

"Algunos proveedores de alojamiento de contenido permiten alojar contenido arbitrario bajo un subdominio de su dominio oficial, que también sirve a su página de inicio de sesión", explica Flashpoint en el informe.

"Como ejemplo, si una empresa tiene una página de inicio de sesión en https://logins.company.tld y permite a los usuarios servir contenido bajo https://<nombre de cliente>.empresa.tld, estos usuarios pueden robar credenciales de las extensiones de Bitwarden".

No siempre es posible registrar un subdominio que coincida con el dominio base de un sitio web legítimo, por lo que se reduce la gravedad del problema.

Sin embargo, algunos servicios permiten a los usuarios crear subdominios para alojar contenido, como servicios de alojamiento gratuitos, y el ataque aún es posible a través del secuestro de subdominios.

Respuesta de Bitwarden

Bitwarden destaca que la función de autocompletar es un riesgo potencial e incluso incluye una advertencia destacada en su documentación, mencionando específicamente la probabilidad de que los sitios comprometidos abusen de la función de autocompletar para robar credenciales.


Este riesgo salió a la luz por primera vez en una evaluación de seguridad fechada en noviembre de 2018, por lo que Bitwarden ha sido consciente del problema de seguridad desde hace algún tiempo.

Sin embargo, dado que los usuarios necesitan iniciar sesión en los servicios utilizando iframes integrados de dominios externos, los ingenieros de Bitwarden decidieron mantener el comportamiento sin cambios y agregar una advertencia en la documentación del software y el menú de configuración relevante de la extensión.


En respuesta al segundo informe de Flashpoint sobre el manejo de URI y cómo el autocompletado trata los subdominios, Bitwarden prometió bloquear el autocompletado en el entorno de alojamiento reportado en una actualización futura, pero no planea cambiar la funcionalidad del iframe.

Cuando BleepingComputer contactó a Bitwarden sobre el riesgo de seguridad, confirmaron que conocían este problema desde 2018, pero no han cambiado la funcionalidad, ya que los formularios de inicio de sesión en sitios legítimos usan iframes.

"Bitwarden acepta el relleno automático de iframe porque muchos sitios web populares usan este modelo, por ejemplo, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login usa un iframe de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login", dijo Bitwarden a BleepingComputer en un comunicado.

"Así que hay casos de uso perfectamente válidos en los que los formularios de inicio de sesión están en un iframe bajo un dominio diferente".

"La función descrita para autocompletar en la publicación del blog NO está habilitada de forma predeterminada en Bitwarden y hay un mensaje de advertencia en esa función exactamente por esta razón dentro del producto y dentro de la documentación de ayuda. You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login".



Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los actores de amenazas vinculados a la operación de ransomware IceFire ahora apuntan activamente a los sistemas Linux en todo el mundo con un nuevo cifrado dedicado.

Los investigadores de seguridad de SentinelLabs descubrieron que la pandilla ha violado las redes de varios medios y organizaciones de entretenimiento de todo el mundo en las últimas semanas, a partir de mediados de febrero, según un informe compartido de antemano con BleepingComputer.

Una vez dentro de sus redes, los atacantes despliegan su nueva variante de malware para cifrar los sistemas Linux de las víctimas.

Cuando se ejecuta, IceFire ransomware cifra los archivos, agrega la extensión '.ifire' al nombre del archivo, y luego cubre sus pistas eliminándose y eliminando el binario.

También es importante tener en cuenta que IceFire no cifra todos los archivos en Linux. El ransomware evita estratégicamente cifrar rutas específicas, lo que permite que las partes críticas del sistema permanezcan operativas.

Este enfoque calculado está destinado a evitar un apagado completo del sistema, lo que podría causar daños irreparables y una interrupción aún más significativa.

Aunque activo desde al menos marzo de 2022 y en su mayoría inactivo desde finales de noviembre, el ransomware IceFire regresó a principios de enero en nuevos ataques, como lo demuestran las presentaciones en la plataforma ID-Ransomware.



Destino de IBM Aspera Faspex

Los operadores de IceFire explotan una vulnerabilidad de deserialización en el software de intercambio de archivos IBM Aspera Faspex (rastreado como CVE-2022-47986) para piratear los sistemas vulnerables de los objetivos y desplegar sus cargas útiles de ransomware.

Esta vulnerabilidad RCE previa a la autenticación de alta gravedad fue parcheada por IBM en enero y ha sido explotada en ataques desde principios de febrero [1, 2] después de que la firma de gestión de superficies de ataque Assetnote publicara un informe técnico que contenía código de explotación.

CISA también agregó la falla de seguridad a su catálogo de vulnerabilidades explotadas en la naturaleza en febrero de 2021, ordenando a las agencias federales que parcheen sus sistemas hasta el 14 de marzo.

"En comparación con Windows, es más difícil implementar ransomware contra Linux, particularmente a escala. Muchos sistemas Linux son servidores: los vectores de infección típicos como el phishing o la descarga drive-by son menos efectivos", dice SentinelLabs.

"Para superar esto, los actores recurren a la explotación de vulnerabilidades de aplicaciones, como lo demostró el operador de IceFire al implementar cargas útiles a través de una vulnerabilidad de IBM Aspera".

Shodan muestra más de 150 servidores Aspera Faspex expuestos en línea, la mayoría en los Estados Unidos y China.


La mayoría de las cepas de ransomware cifran los servidores Linux

El movimiento del ransomware IceFire para expandir la orientación de Linux después de centrarse previamente en atacar solo los sistemas Windows es un cambio estratégico que se alinea con otros grupos de ransomware que también han comenzado a atacar los sistemas Linux en los últimos años.

Su movimiento coincide con una tendencia en la que las empresas hicieron la transición a máquinas virtuales VMware ESXi con Linux, que cuentan con una administración de dispositivos mejorada y un manejo de recursos mucho más eficiente.

Después de implementar su malware en hosts ESXi, los operadores de ransomware pueden usar un solo comando para cifrar los servidores Linux de las víctimas en masa.

Si bien el ransomware IceFire no se dirige específicamente a las máquinas virtuales VMware ESXi, su cifrado de Linux es igual de eficiente, como lo demuestran los archivos cifrados de las víctimas enviados a la plataforma ID-Ransomware para su análisis.

"Esta evolución para IceFire fortalece que el ransomware dirigido a Linux continúa creciendo en popularidad hasta 2023", dice SentinelLabs.

"Si bien se sentaron las bases en 2021, la tendencia de ransomware de Linux se aceleró en 2022 cuando grupos ilustres agregaron cifradores de Linux a su arsenal".

Encriptadores similares han sido lanzados por muchas otras bandas de ransomware, incluyendo Conti, LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX y Hive.

El CTO de Emsisoft, Fabian Wosar, dijo anteriormente a BleepingComputer que otras bandas de ransomware (además de las que ya hemos informado), incluidas Babuk, GoGoogle, Snatch, PureLocker, Mespinoza, RansomExx / Defray y DarkSide, han desarrollado e implementado sus propios cifradores de Linux en ataques.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login