Una campaña activa de malware ha puesto su mirada en los usuarios de Facebook y YouTube aprovechando un nuevo ladrón de información para secuestrar las cuentas y abusar de los recursos de los sistemas para extraer criptomonedas.

Bitdefender llama al malware S1deload Stealer por su uso de técnicas de carga lateral de DLL para superar las defensas de seguridad y ejecutar sus componentes maliciosos.

"Una vez infectado, S1deload Stealer roba las credenciales del usuario, emula el comportamiento humano para aumentar artificialmente los videos y otros contenidos de participación, evalúa el valor de las cuentas individuales (como identificar a los administradores de redes sociales corporativas), extrae la criptomoneda BEAM y propaga el enlace malicioso a los seguidores del usuario", dijo el investigador de Bitdefender Dávid ÁCS.

Dicho de otra manera, el objetivo de la campaña es tomar el control de las cuentas de Facebook y YouTube de los usuarios y alquilar el acceso para aumentar el número de vistas y me gusta de los videos y publicaciones compartidas en las plataformas.

Se estima que más de 600 usuarios únicos se han visto afectados durante el período de seis meses entre julio y diciembre de 2022. La mayoría de las infecciones se encuentran en Rumania, Turquía, Francia, Bangladesh, México, Perú y Canadá.


Para llevar a cabo el esquema, los usuarios son atraídos con contenido de temática adulta a través de publicaciones de Facebook que contienen enlaces a archivos ZIP, que, cuando se extraen, desencadenan una intrincada secuencia de infección que conduce al despliegue del malware.

"Por lo tanto, el autor del malware puede crear un bucle de retroalimentación: cuantas más PC puedan infectar, más spam puedan enviar spam en Facebook, más clics podrán generar para infectar más PC", dijo Bitdefender.

Además de ser capaz de descargar módulos adicionales en el host comprometido, el malware también es responsable de lanzar un navegador Chrome sin cabeza que hace uso de una extensión para inflar artificialmente las vistas de video de YouTube.


El ladrón captura además las credenciales guardadas y las cookies de los navegadores web, realiza verificaciones de perfil de Facebook y también carga un cryptojacker que extrae criptomonedas sin el conocimiento o consentimiento de la víctima.

Bitdefender dijo que encontró superposiciones de infraestructura con un sitio web llamado upview[.] nosotros que anunciamos opciones para comprar vistas, me gusta y suscriptores de YouTube, así como opciones para aumentar los me gusta, comentarios, seguidores y vistas de videos de publicaciones de Facebook.

"El ladrón S1deload tiene serias implicaciones de privacidad para la víctima infectada con él", dijo la compañía rumana. "El malware filtra las credenciales guardadas de la víctima, incluyendo correo electrónico, redes sociales o incluso cuentas financieras. El actor de amenazas puede acceder a estas cuentas o venderlas en la web oscura".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las organizaciones de investigación de materiales en Asia han sido atacadas por un actor de amenazas previamente desconocido utilizando un conjunto distinto de herramientas.

Symantec, de Broadcom Software, está rastreando el clúster bajo el nombre de Clasiopa. Los orígenes del grupo de piratería y sus afiliaciones son actualmente desconocidos, pero hay indicios que sugieren que el adversario podría tener vínculos con la India.

Esto incluye referencias a "SAPTARISHI-ATHARVAN-101" en una puerta trasera personalizada y el uso de la contraseña "iloveindea1998^_^" para un archivo ZIP.

Vale la pena señalar que Saptarishi, que significa "Siete sabios" en sánscrito, se refiere a un grupo de videntes que son venerados en la literatura hindú. Atharvan fue un antiguo sacerdote hindú y se cree que fue coautor de uno de los cuatro Vedas, una colección de escrituras religiosas en el hinduismo.

"Si bien estos detalles podrían sugerir que el grupo tiene su sede en India, también es muy probable que la información haya sido plantada como banderas falsas, con la contraseña en particular que parece ser una pista demasiado obvia", dijo Symantec en un informe compartido con The Hacker News.

Tampoco está claro el medio exacto de acceso inicial, aunque se sospecha que las incursiones cibernéticas aprovechan los ataques de fuerza bruta en servidores orientados a Internet.

Algunas de las características clave de las intrusiones implican la limpieza del monitor del sistema (Sysmon) y los registros de eventos, así como el despliegue de múltiples puertas traseras, como Atharvan y una versión modificada del código abierto Lilith RAT, para recopilar y filtrar información confidencial.

Atharvan es además capaz de ponerse en contacto con un servidor de comando y control (C&C) codificado de forma rígida para recuperar archivos y ejecutar ejecutables arbitrarios en el host infectado.

"Las direcciones de C&C codificadas que se ven en una de las muestras analizadas hasta la fecha fueron para la región de Amazon AWS South Korea (Seúl), que no es una ubicación común para la infraestructura de C&C", señaló la compañía.

La revelación se produce un día después de que la firma de ciberseguridad desenvolviera otro grupo de amenazas hasta ahora indocumentado conocido como Hydrochasma que se ha observado apuntando a compañías navieras y laboratorios médicos en Asia.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El fabricante de hardware de seguridad SonicWall advirtió hoy a los clientes sobre lo que describe como una "limitación" de la función de filtrado de contenido web (WCF) en los sistemas Windows 11, versión 22H2.

Capture Client de SonicWall es la solución de seguridad de Windows y macOS de la empresa con capacidades de detección y respuesta de puntos finales (EDR) que se pueden administrar mediante el servicio Cloud Management Console de la empresa.

La función WCF permite a los administradores configurar políticas que permiten o bloquean el acceso a varios dominios/direcciones IP, habilitan informes de actividad web para facilitar la supervisión y aceleran el ancho de banda.

"Hemos identificado una inconsistencia en Capture Client Windows 3.7.6 y clientes anteriores en puntos finales que ejecutan Windows 11 versión 22H2", dijo la compañía  en  un aviso publicado el miércoles.

"Esto da como resultado políticas de Filtrado de contenido web (WCF) que imponen que las categorías bloqueadas ya no sean efectivas en los puntos finales afectados. La capacidad de permitir o bloquear dominios/URL usando listas personalizadas continúa funcionando normalmente".

Dado que las políticas de bloqueo basadas en categorías (cruciales para restringir el acceso a contenido web malicioso, ilegal o inapropiado) ya no funcionan, los usuarios de Windows 11 22H2 ahora son susceptibles a posibles riesgos de seguridad al permitir el acceso a dominios y URL previamente restringidos.


El servicio no funciona porque las solicitudes y respuestas cifradas y descifradas intercambiadas entre los puntos finales de Windows y el servicio de filtrado de contenido de SonicWall se envían mediante la interfaz de programación de aplicaciones criptográficas (CryptoAPI) de Microsoft.

Sin embargo, como explica SonicWall, "en Windows 11 versión 22H2, las CryptoAPI de Microsoft se han modificado, lo que hace que Capture Client no pueda descifrar las respuestas del servicio de filtrado de contenido de SonicWall".

La compañía dice que actualmente está trabajando en una solución para este problema que estará disponible con el lanzamiento de Capture Client 3.7.7 para Windows el 17 de febrero.

Como medida provisional, SonicWall ha aconsejado a los administradores que renuncien a actualizar sus puntos finales de Windows a la última versión de Windows 11 para evitar romper el filtrado de contenido.

"Como solución temporal, recomendamos que los puntos finales que ejecutan Windows 11 no se actualicen a la versión 22H2 hasta que Capture Client 3.7.7 para Windows esté disponible", dijo SonicWall.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las industrias de comercio electrónico en Corea del Sur y EE. UU. se encuentran en el extremo receptor de una campaña de malware GuLoader en curso , según reveló la firma de ciberseguridad Trellix a fines del mes pasado.

La actividad de malspam se destaca por la transición de documentos de Microsoft Word con malware a archivos ejecutables NSIS para cargar el malware. Otros países objetivo como parte de la campaña incluyen Alemania, Arabia Saudita, Taiwán y Japón.

NSIS , abreviatura de Nullsoft Scriptable Install System, es una herramienta de código abierto basada en secuencias de comandos que se utiliza para desarrollar instaladores para el sistema operativo Windows.

Si bien las cadenas de ataque en 2021 aprovecharon un archivo ZIP que contenía un documento de Word con macros para soltar un archivo ejecutable encargado de cargar GuLoader, la nueva ola de phishing emplea archivos NSIS incrustados en imágenes ZIP o ISO para activar la infección.

"Incrustar archivos ejecutables maliciosos en archivos e imágenes puede ayudar a los actores de amenazas a evadir la detección", dijo el investigador de Trellix, Nico Paulo Yturriaga .


En el transcurso de 2022, se dice que los scripts NSIS utilizados para entregar GuLoader han crecido en sofisticación, incorporando capas adicionales de ofuscación y cifrado para ocultar el código shell.

El desarrollo también es emblemático de un cambio más amplio dentro del panorama de amenazas, que ha sido testigo de picos en los métodos alternativos de distribución de malware en respuesta al bloqueo de macros de Microsoft en los archivos de Office descargados de Internet.

"La migración del shellcode GuLoader a archivos ejecutables NSIS es un ejemplo notable que muestra la creatividad y la persistencia de los actores de amenazas para evadir la detección, evitar el análisis de sandbox y obstruir la ingeniería inversa", señaló Yturriaga.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La primera variante de Linux del ransomware Clop se detectó en la naturaleza, pero con un algoritmo de cifrado defectuoso que hizo posible la ingeniería inversa del proceso.

"El ejecutable ELF contiene un algoritmo de cifrado defectuoso que permite descifrar archivos bloqueados sin pagar el rescate", dijo el investigador de SentinelOne, Antonis Terefos , en un informe compartido con The Hacker News.

La firma de ciberseguridad, que puso a disposición un descifrador , dijo que observó la versión ELF el 26 de diciembre de 2022, al tiempo que señaló sus similitudes con el sabor de Windows cuando se trata de usar el mismo método de cifrado.

Se dice que la muestra detectada es parte de un ataque más grande dirigido a instituciones educativas en Colombia, incluida la Universidad La Salle, más o menos al mismo tiempo. La universidad se agregó al sitio de fuga del grupo criminal a principios de enero de 2023, según FalconFeedsio .

Conocido por haber estado activo desde 2019, la operación de ransomware Clop (estilizado como Cl0p) sufrió un gran golpe en junio de 2021 cuando seis personas afiliadas a la pandilla fueron arrestadas luego de una operación internacional de aplicación de la ley cuyo nombre en código es Operación Ciclón.

Pero el grupo de ciberdelincuencia protagonizó un regreso " explosivo e inesperado " a principios de 2022, cobrando docenas de víctimas que abarcan verticales industriales y tecnológicos.

SentinelOne caracterizó la versión de Linux como una versión de etapa temprana debido al hecho de que faltan algunas funciones que están presentes en su contraparte de Windows.


Esta falta de paridad de funciones también se explica por el hecho de que los autores del malware han optado por crear una carga útil de Linux personalizada en lugar de simplemente transferir la versión de Windows, lo que sugiere que las futuras variantes de Clop podrían cerrar esas brechas.

"Una razón para esto podría ser que el actor de amenazas no ha necesitado dedicar tiempo y recursos para mejorar la ofuscación o la evasión debido al hecho de que actualmente no los detectan los 64 motores de seguridad en VirusTotal", explicó Terefos.

La versión de Linux está diseñada para seleccionar carpetas y tipos de archivos específicos para el cifrado, y el ransomware contiene una clave maestra codificada que se puede utilizar para recuperar los archivos originales sin pagar a los atacantes.

En todo caso, el desarrollo apunta a una tendencia creciente de actores de amenazas que se aventuran cada vez más más allá de Windows para apuntar a otras plataformas.

"Si bien la variación de Cl0p con sabor a Linux está, en este momento, en su infancia, su desarrollo y el uso casi omnipresente de Linux en servidores y cargas de trabajo en la nube sugiere que los defensores deberían esperar ver más campañas de ransomware dirigidas a Linux en el futuro". Dijo Terefos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Sistema de gestión de información de preparación de proveedores globales (GSPIMS) de Toyota fue violado por un investigador de seguridad que informó responsablemente el problema a la empresa.

GSPIMS es la aplicación web del fabricante de automóviles que permite a los empleados y proveedores iniciar sesión de forma remota y administrar la cadena de suministro global de la empresa.

El investigador de seguridad, que publica bajo el seudónimo de EatonWorks, descubrió una "puerta trasera" en el sistema de Toyota que permitía a cualquier persona acceder a una cuenta de usuario existente siempre que supiera su correo electrónico.

En una intrusión de prueba, el investigador descubrió que podía acceder libremente a miles de documentos confidenciales, proyectos internos, información de proveedores y más.

Los problemas se informaron de manera responsable a Toyota el 3 de noviembre de 2022, y el fabricante de automóviles japonés confirmó que se habían solucionado el 23 de noviembre de 2022.

EatonWorks publicó un artículo detallado sobre los descubrimientos hoy después de que transcurriera el proceso de divulgación de 90 días.

Toyota no compensó al investigador por revelar responsablemente las vulnerabilidades descubiertas.

Rompiendo toyota

La aplicación GSPIMS de Toyota se basa en el marco JavaScript angular y utiliza rutas y funciones específicas para determinar qué usuarios pueden acceder a qué páginas.

El investigador descubrió que al modificar el JavaScript de estas funciones para que devolvieran valores "verdaderos", podía desbloquear el acceso a la aplicación.


Sin embargo, aunque la aplicación ya estaba cargada, no mostraría ningún dato ya que el investigador no estaba autenticado en la aplicación.

El analista pronto descubrió que el servicio estaba generando un token web JSON (JWT) para iniciar sesión sin contraseña en función de la dirección de correo electrónico del usuario. Por lo tanto, si alguien pudiera adivinar una dirección de correo electrónico válida de un empleado de Toyota, podría generar un JWT válido.


Simplemente buscar en Google a los empleados de Toyota o ejecutar OSINT en LinkedIn sería suficiente para encontrar o formular una dirección de correo electrónico, que es el camino que tomó el investigador para la intrusión, encontrando una cuenta de administrador regional.

A partir de ahí, EatonWorks escaló a una cuenta de administrador del sistema al explotar una falla de divulgación de información en la API del sistema. Después de eso, el investigador simplemente cambió a una cuenta con más privilegios buscando y usando la dirección de correo electrónico de un administrador de sistemas.

Acceso completo a documentos clasificados
Un administrador del sistema en GSPIMS puede acceder a información confidencial como documentos clasificados, cronogramas de proyectos, clasificaciones de proveedores y datos de usuario para 14,000 usuarios.

Para cada uno de ellos, el administrador puede acceder a sus proyectos, tareas y encuestas, cambiar los detalles del usuario, modificar o eliminar datos, agregar usuarios de puerta trasera redundantes o sentar las bases para una campaña de phishing dirigida.


El aspecto más desagradable de este ataque es que un actor malintencionado podría haber accedido silenciosamente al sistema de Toyota y luego haber copiado los datos sin modificar nada, manteniendo la probabilidad de descubrimiento muy baja.

Es imposible determinar si algo así ya sucedió, pero no ha habido fugas masivas de datos de Toyota, por lo que se supone que EatonWorks fue el primero en encontrar la falla de omisión de inicio de sesión.

Esta divulgación se produce después de una serie de infracciones, fugas de datos y otras vulnerabilidades descubiertas durante el año pasado.

En febrero de 2022, el fabricante de automóviles japonés anunció que se vio obligado a detener las operaciones de producción de automóviles debido a un ciberataque a uno de sus proveedores, Kojima Industries.

En octubre de 2022, los clientes de Toyota sufrieron una violación de datos después de que un contratista que desarrollaba Toyota T-Connect, la aplicación de conectividad oficial de la marca, dejara expuesto públicamente un repositorio de GitHub que contenía datos de clientes .

En enero de 2023, un investigador de seguridad publicó los detalles de múltiples fallas de seguridad de API que afectaron a varios fabricantes de automóviles, incluido Toyota, lo que podría exponer los detalles del propietario.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El ciudadano ruso Denis Mihaqlovic Dubnikov se declaró culpable el martes de lavar dinero para el notorio grupo de ransomware Ryuk durante más de tres años.

La declaración de culpabilidad se produce después de que Dubnikov, exejecutivo de intercambio de criptomonedas y cofundador de las plataformas de negociación de criptomonedas Coyote Crypto y Eggchange, fuera arrestado en Ámsterdam en noviembre de 2021 y  extraditado  a Estados Unidos en agosto de 2022.

Hizo su primera aparición en un tribunal federal de Estados Unidos en Portland un día después de la fecha de extradición, el 17 de agosto de 2022.

Desde agosto de 2018 hasta agosto de 2021, Dubnikov y otros 13 cómplices participaron en actividades de lavado de dinero que involucraron ganancias de ataques de ransomware Ryuk dirigidos a individuos y organizaciones en los Estados Unidos y en todo el mundo.

El grupo de lavado de dinero, incluido Dubnikov, utilizó varias transacciones financieras, incluidas las internacionales, para ocultar el origen, la ubicación y la identidad de quienes recibieron los pagos del rescate.

Ryuk  es una antigua operación de ransomware como servicio (RaaS) activa entre agosto de 2018 y mediados de 2020, cuando el grupo de ciberdelincuencia Wizard Spider detrás de él  cambió  al  ransomware Conti .

Conti también cerró sus operaciones en mayo de 2022, cuando  cambió su nombre a varias unidades más pequeñas  que lanzaron nuevas operaciones o se infiltraron en bandas de ransomware existentes.


Dubnikov lavó el rescate de Ryuk pagado por una empresa estadounidense

Según una acusación formal , después de que las víctimas pagaran los rescates de Ryuk en forma de bitcoins a billeteras privadas, los coconspiradores involucrados en el esquema de lavado de dinero dividieron los pagos en cantidades más pequeñas. Luego transfirieron los rescates a otras billeteras privadas.

El grupo criminal usó cientos de billeteras privadas para realizar estas transacciones, cada una con miles de claves públicas asociadas.

Luego, trasladaron algunos de los bitcoins de las billeteras privadas a cuentas de intercambio de criptomonedas donde el bitcoin se intercambió por Tether, otras criptomonedas o moneda fiduciaria.

Los ingresos del rescate de Ryuk (intercambiados por Tether u otra criptomoneda) se enviaron luego a las cuentas de otros conspiradores en otros intercambios de criptomonedas para cambiarlos por moneda fiduciaria (generalmente renminbi chino) utilizando los servicios "over the counter" de esos intercambios.

"Específicamente, en julio de 2019, una empresa con sede en los Estados Unidos pagó un rescate de 250 Bitcoin Ryuk después de un ataque de ransomware. Aproximadamente el 11 de julio de 2019, en Moscú, Rusia, Dubnikov aceptó 35 Bitcoin de un co-conspirador a cambio de aproximadamente $400,000", dijo el Departamento de Justicia   en un comunicado de prensa emitido hoy.

"El Bitcoin transferido a Dubnikov se obtuvo directamente del rescate pagado por la empresa estadounidense. Dubnikov convirtió el Bitcoin en Tether y se lo envió a un segundo co-conspirador, quien finalmente lo cambió por renminbi chino".

Si es declarado culpable, Dubnikov puede recibir una sentencia de hasta 20 años de prisión federal, tres años de libertad supervisada y una multa de hasta $500,000. El acusado será sentenciado el 11 de abril de 2023.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Atlassian ha publicado correcciones para resolver una falla de seguridad crítica en Jira Service Management Server and Data Center que podría ser abusada por un atacante para hacerse pasar por otro usuario y obtener acceso no autorizado a instancias susceptibles.

La vulnerabilidad se rastrea como CVE-2023-22501 (puntaje CVSS: 9.4) y se ha descrito como un caso de autenticación rota con baja complejidad de ataque.

"Se descubrió una vulnerabilidad de autenticación en Jira Service Management Server and Data Center que permite a un atacante hacerse pasar por otro usuario y obtener acceso a una instancia de Jira Service Management en determinadas circunstancias", dijo Atlassian .

"Con el acceso de escritura a un Directorio de usuarios y el correo electrónico saliente habilitado en una instancia de Jira Service Management, un atacante podría obtener acceso a los tokens de registro enviados a usuarios con cuentas en las que nunca se ha iniciado sesión".

Los tokens, señaló Atlassian, se pueden obtener en cualquiera de los dos escenarios:

- Si el atacante está incluido en los problemas o solicitudes de Jira con estos usuarios, o
- Si el atacante es reenviado u obtiene acceso a correos electrónicos que contienen un enlace "Ver solicitud" de estos usuarios

También advirtió que si bien los usuarios que están sincronizados con el servicio de Jira a través de directorios de usuarios de solo lectura o inicio de sesión único (SSO) no se ven afectados, los clientes externos que interactúan con la instancia por correo electrónico se ven afectados, incluso cuando SSO está configurado.

El proveedor de servicios de software australiano dijo que la vulnerabilidad se introdujo en la versión 5.3.0 y afecta a todas las versiones posteriores 5.3.1, 5.3.2, 5.4.0, 5.4.1 y 5.5.0. Las correcciones están disponibles en las versiones 5.3.3, 5.3.3, 5.5.1 y 5.6.0 o posteriores.

Atlassian enfatizó que los sitios de Jira alojados en la nube a través de un dominio atlassian[.]net no se ven afectados por la falla y que no se requiere ninguna acción en este caso.

La divulgación llega más de dos meses después de que la compañía cerrara dos brechas de seguridad críticas Bitbucket Server, Data Center y Crowd Products ( CVE-2022-43781 y CVE-2022-43782 ) que podrían explotarse para obtener la ejecución del código e invocar puntos finales de API privilegiados. .

Dado que las fallas en los productos de Atlassian se han convertido en un atractivo vector de ataque en los últimos meses, es crucial que los usuarios actualicen sus instalaciones a las últimas versiones para mitigar las posibles amenazas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El 2 de febrero, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó dos fallas de seguridad a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa.

La primera de las dos vulnerabilidades es CVE-2022-21587 (puntuación CVSS: 9,8), un problema crítico que afecta a las versiones 12.2.3 a 12.2.11 del producto Oracle Web Applications Desktop Integrator.

"Oracle E-Business Suite contiene una vulnerabilidad no especificada que permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa a Oracle Web Applications Desktop Integrator", dijo CISA .

Oracle abordó el problema como parte de su actualización de parche crítico lanzada en octubre de 2022. No se sabe mucho sobre la naturaleza de los ataques que explotan la vulnerabilidad.

La segunda falla de seguridad que se agregará al catálogo de KEV es CVE-2023-22952 (puntaje CVSS: 8.8 ), que se relaciona con un caso de falta de validación de entrada en SugarCRM que podría resultar en la inyección de código PHP arbitrario. El error se solucionó en las versiones 11.0.5 y 12.0.2 de SugarCRM.

El desarrollo se produce una semana después de que CISA también agregara CVE-2017-11357 (puntaje CVSS: 9.8 ), una vulnerabilidad de seguridad grave que afecta la interfaz de usuario de Telerik y que podría facilitar la carga de archivos arbitrarios o la ejecución remota de código.

A la luz de los intentos de explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) en los EE. UU. deben aplicar los parches antes del 23 de febrero de 2023.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cisco ha publicado actualizaciones de seguridad esta semana para abordar una vulnerabilidad de alta gravedad en el entorno de alojamiento de aplicaciones Cisco IOx que puede explotarse en ataques de inyección de comandos.

La falla de seguridad (CVE-2023-20076) se debe a la desinfección incompleta de los parámetros pasados ​​durante el proceso de activación de la aplicación. Fue encontrado y reportado por los investigadores de seguridad Sam Quinn y Kasimir Schulz del Centro de Investigación Avanzada Trellix.

La explotación exitosa en ataques de baja complejidad que no requieren la interacción del usuario permite a los actores de amenazas autenticados remotos ejecutar comandos con permisos de raíz en el sistema operativo subyacente.

"Un atacante podría explotar esta vulnerabilidad al implementar y activar una aplicación en el entorno de alojamiento de aplicaciones Cisco IOx con un archivo de carga útil de activación diseñado", explica Cisco en un aviso de seguridad publicado el miércoles.

La compañía dice que la vulnerabilidad afecta a los dispositivos Cisco que ejecutan el software IOS XE, pero solo si no son compatibles con la ventana acoplable nativa.

Además de los dispositivos basados ​​en IOS XE configurados con IOx, la lista de dispositivos afectados también incluye enrutadores ISR industriales de la serie 800, módulos informáticos CGR1000, puertas de enlace informáticas industriales IC3000, enrutadores industriales WPAN IR510 y puntos de acceso Cisco Catalyst (COS-AP).

La compañía también confirmó que la falla CVE-2023-20076 no afecta los switches Catalyst 9000 Series, el software IOS XR y NX-OS o los productos Meraki.


Habilita la persistencia entre reinicios

Los atacantes solo pueden explotar esta vulnerabilidad si tienen acceso administrativo autenticado a los sistemas vulnerables.

Sin embargo, los investigadores de Trellix explicaron que los actores de amenazas explotan otras fallas de seguridad que permiten la escalada de privilegios o pueden usar varias tácticas para obtener credenciales de administrador.

Por ejemplo, para obtener acceso de administrador a los dispositivos objetivo, pueden usar:

- Credenciales de inicio de sesión predeterminadas: muchos dispositivos de Cisco se envían con el nombre de usuario y la contraseña predeterminados de "cisco:cisco" o "admin:admin", que muchos no pueden cambiar

- Phishing: el método más utilizado por los atacantes para recolectar credenciales es engañar a los empleados para que inicien sesión en una interfaz de usuario de enrutador falsa o suplantar un correo electrónico del enrutador con un enlace a la página de inicio de sesión "solicitando actualizar el firmware".

- Ingeniería social: los atacantes también encuentran éxito al explotar la debilidad humana mediante la ingeniería social para que alguien entregue las credenciales.

Una vez que se cumple este requisito, los atacantes pueden explotar CVE-2023-20076 para obtener "acceso sin restricciones, lo que permite que el código malicioso se esconda en el sistema y persista durante los reinicios y las actualizaciones de firmware",  como explicaron los investigadores .

"Eludir esta medida de seguridad significa que si un atacante explota esta vulnerabilidad, el paquete malicioso seguirá ejecutándose hasta que el dispositivo se restablezca de fábrica o hasta que se elimine manualmente".

Esto es posible porque la inyección de comandos permite omitir las mitigaciones implementadas por Cisco para evitar la persistencia de vulnerabilidades entre reinicios o reinicios del sistema.

El Equipo de respuesta a incidentes de seguridad de productos (PSIRT) de Cisco dice que no encontró evidencia de que esta vulnerabilidad se esté explotando en la naturaleza.

En enero, Cisco  advirtió a los clientes  sobre una vulnerabilidad crítica de omisión de autenticación (CVE-2023-20025) con un código de explotación pública que afectaba a múltiples modelos de enrutadores VPN al final de su vida útil.

Una semana después, Censys encontró  más de 20 000 enrutadores Cisco RV016, RV042, RV042G y RV082  sin parches contra CVE-2023-20025 y expuestos a ataques.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una campaña en curso de publicidad maliciosa de anuncios de Google está difundiendo instaladores de malware que aprovechan la tecnología de virtualización KoiVM para evadir la detección al instalar el ladrón de datos Formbook.

KoiVM es un complemento para el protector ConfuserEx .NET que ofusca los códigos de operación de un programa para que la máquina virtual solo los entienda. Luego, cuando se inicia, la máquina virtual vuelve a traducir los códigos de operación a su forma original para que la aplicación pueda ejecutarse.

"Los marcos de virtualización como KoiVM ofuscan los ejecutables al reemplazar el código original, como las instrucciones de lenguaje intermedio común (CIL) de NET, con código virtualizado que solo entiende el marco de virtualización", explica un nuevo informe de SentinelLabs.

"Un motor de máquina virtual ejecuta el código virtualizado traduciéndolo al código original en tiempo de ejecución".

"Cuando se le da un uso malicioso, la virtualización hace que el análisis de malware sea un desafío y también representa un intento de evadir los mecanismos de análisis estáticos".

En una campaña publicitaria de Google  detectada por Sentinel Labs , los actores de amenazas impulsan el malware de robo de información de Formbook como cargadores .NET virtualizados denominados 'MalVirt', que ayudan a distribuir la carga útil final sin activar alertas de antivirus.

Sentinel Labs comenta que, si bien la virtualización de KoiVM es popular para las herramientas de piratería y las grietas, rara vez se usa en la distribución de malware.

En cambio, la firma de seguridad cree que la nueva tendencia en su uso podría ser uno de los múltiples efectos secundarios de la desactivación de macros en Office por parte de Microsoft.

Abusar de los anuncios de búsqueda de Google

Durante el último mes, los investigadores observaron  un aumento del abuso  de los anuncios de búsqueda de Google para  distribuir varios programas maliciosos , incluidos RedLine Stealer, Gozi/Ursnif, Vidar, Rhadamanthys Stealer, IcedID, Raccoon Stealer y muchos más.

En la campaña en curso vista por SentinelLabs, los actores de amenazas empujan los cargadores de MalVirt en anuncios que pretenden ser para el software Blender 3D.


Las descargas que ofrecen estos sitios falsos utilizan firmas digitales no válidas que se hacen pasar por Microsoft, Acer, DigiCert, Sectigo y AVG Technologies USA.

Si bien estas firmas no válidas no engañarán a Windows para que las muestre como firmadas, los cargadores de MalVirt aún incluyen funciones para evitar la detección.

"Por ejemplo, algunas muestras parchean la función AmsiScanBuffer implementada en amsi.dll para omitir la Interfaz de exploración antimalware (AMSI) que detecta comandos maliciosos de PowerShell", explica el investigador A. Milenkoski.

"Además, en un intento de evadir los mecanismos de detección estática, algunas cadenas (como amsi.dll y AmsiScanBuffer) están codificadas en Base-64 y cifradas con AES".


Los cargadores también pueden detectar si se ejecutan en un entorno virtualizado consultando claves de registro específicas y, si lo hacen, la ejecución se detiene para evadir el análisis.

MalVirt también utiliza un controlador firmado de Microsoft Process Explorer que se carga al inicio del sistema como "TaskKill", lo que le permite modificar los procesos en ejecución para esquivar la detección.

Para evadir también la descompilación del código virtualizado, los cargadores también usan una versión modificada de KoiVM que presenta capas de ofuscación adicionales, lo que hace que su descifrado sea aún más desafiante.


SentinelLabs dice que esta implementación personalizada de KoiVM confunde los marcos de desvirtualización estándar como 'OldRod' al ofuscar su rutina a través de operaciones aritméticas en lugar de usar asignaciones sencillas.

Milenkoski dice que es posible vencer la ofuscación en estos cargadores MalVirt y restaurar el orden original de las 119 variables constantes de KoiVM.

Sin embargo, la ofuscación adicional lo dificulta y requiere un trabajo manual considerable, ya que las herramientas automatizadas existentes no pueden ayudar.

Ocultar la infraestructura

Además de todos los sistemas para evitar la detección utilizados en el cargador de malware, Formbook emplea un nuevo truco que ayuda a disfrazar su tráfico real C2 (comando y control) y sus direcciones IP.

El malware que roba información mezcla su tráfico real con varias solicitudes HTTP de "cortina de humo" cuyo contenido está encriptado y codificado para que no se destaque.

El malware se comunica con esas direcciones IP al azar, seleccionándolas de una lista codificada con dominios alojados por varias empresas.

SentinelLabs dice que en las muestras que analizó, vio a Formbook comunicándose con 17 dominios, solo uno de los cuales era el servidor C2 real, y el resto servían como meros señuelos para confundir las herramientas de monitoreo de tráfico de red.


Este es un sistema novedoso en una cepa de malware bastante antigua, lo que indica que sus operadores están interesados ​​​​en potenciarlo con nuevas funciones que lo harán mejor para mantenerse oculto de las herramientas de seguridad y los analistas.

Queda por ver si los actores de amenazas han cambiado por completo o no la distribución malspam de Formbook a los anuncios de búsqueda de Google, pero es otro ejemplo de que los usuarios deben tener mucho cuidado con los enlaces en los que hacen clic en los resultados de búsqueda.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva campaña de ataque ha estado apuntando a los sectores del juego y las apuestas desde al menos septiembre de 2022, justo cuando el evento de feria comercial de la industria del juego ICE London 2023 está programado para comenzar la próxima semana.

La empresa de ciberseguridad israelí Security Joes está rastreando el grupo de actividades bajo el nombre de Ice Breaker , afirmando que las intrusiones emplean tácticas inteligentes de ingeniería social para implementar una puerta trasera de JavaScript.

La secuencia de ataque procede de la siguiente manera: el actor de amenazas se hace pasar por un cliente mientras inicia una conversación con un agente de soporte de una compañía de juegos con el pretexto de tener problemas de registro de cuenta. Luego, el adversario insta a la persona del otro lado a abrir una imagen de captura de pantalla alojada en Dropbox.

Security Joes dijo que el actor de amenazas es "muy consciente del hecho de que el servicio al cliente es operado por humanos".

Al hacer clic en el supuesto enlace de captura de pantalla enviado en el chat, se recupera una carga útil de LNK o, alternativamente, un archivo VBScript como opción de respaldo, el primero de los cuales está configurado para descargar y ejecutar un paquete MSI que contiene un implante Node.js.

El archivo JavaScript tiene todas las características de una puerta trasera típica, lo que permite al actor de amenazas enumerar procesos en ejecución, robar contraseñas y cookies, filtrar archivos arbitrarios, tomar capturas de pantalla, ejecutar VBScript importado desde un servidor remoto e incluso abrir un proxy inverso en el comprometido. anfitrión.


Si la víctima ejecuta el descargador de VBS, la infección culmina con la implementación de Houdini , un troyano de acceso remoto basado en VBS que data de 2013.

Actualmente se desconocen los orígenes de los actores de amenazas, aunque se ha observado que usan un inglés entrecortado durante sus conversaciones con los agentes de servicio al cliente. MalwareHunterTeam compartió previamente algunos indicadores de compromiso (IoC) asociados con la campaña en octubre de 2022.

"Este es un vector de ataque altamente efectivo para la industria del juego y las apuestas", dijo Felipe Duarte, investigador principal de amenazas de Security Joes.

"El malware de segunda etapa de JavaScript compilado nunca antes es muy complejo de diseccionar, lo que demuestra que estamos tratando con un actor de amenazas hábil con el potencial de ser patrocinado por un propietario de intereses".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de seguridad cibernética han revelado detalles de dos fallas de seguridad en el software de código abierto ImageMagick que podrían conducir a una denegación de servicio (DoS) y divulgación de información.

Los dos problemas, que fueron identificados por la firma latinoamericana de ciberseguridad Metabase Q en la versión 7.1.0-49, se abordaron en la versión 7.1.0-52 de ImageMagick , lanzada en noviembre de 2022.

Una breve descripción de las fallas es la siguiente:

- CVE-2022-44267 : una vulnerabilidad DoS que surge al analizar una imagen PNG con un nombre de archivo que es un solo guión ("-")
- CVE-2022-44268 : una vulnerabilidad de divulgación de información que podría explotarse para leer archivos arbitrarios de un servidor al analizar una imagen

Dicho esto, un atacante debe poder cargar una imagen maliciosa en un sitio web utilizando ImageMagick para convertir las fallas en armas de forma remota. La imagen especialmente diseñada, por su parte, se puede crear insertando un fragmento de texto que especifica algunos metadatos elegidos por el atacante (por ejemplo, "-" para el nombre del archivo).


"Si el nombre de archivo especificado es '-' (un solo guión), ImageMagick intentará leer el contenido de la entrada estándar, lo que podría dejar el proceso esperando para siempre", dijeron los investigadores en un informe compartido con The Hacker News.

De la misma manera, si el nombre del archivo hace referencia a un archivo real ubicado en el servidor (p. ej., "/etc/passwd"), una operación de procesamiento de imágenes realizada en la entrada podría potencialmente incrustar el contenido del archivo remoto en la imagen procesada. después de que esté completo.

Esta no es la primera vez que se descubren vulnerabilidades de seguridad en ImageMagick. En mayo de 2016, se revelaron múltiples fallas en el software, una de las cuales, denominada ImageTragick , podría haber sido objeto de abuso para obtener la ejecución remota de código al procesar imágenes enviadas por los usuarios.

Posteriormente, se reveló una vulnerabilidad de inyección de shell en noviembre de 2020, en la que un atacante podría insertar comandos arbitrarios al convertir archivos PDF cifrados en imágenes a través del parámetro de línea de comando "-authenticate".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El nuevo malware sigiloso diseñado para cazar servidores Redis vulnerables en línea ha infectado a más de mil de ellos desde septiembre de 2021 para construir una botnet que extrae la criptomoneda Monero.

Descubierto por los investigadores de Aqua Security, Nitzan Yaakov y Asaf Eitani, quienes lo llamaron HeadCrab, el malware ha atrapado hasta ahora al menos 1200 de estos servidores, que también se utilizan para buscar más objetivos en línea.

"Este actor de amenazas avanzado utiliza un malware personalizado de última generación que es indetectable por las soluciones antivirus tradicionales y sin agentes para comprometer una gran cantidad de servidores Redis", dijeron los investigadores .

Descubrimos no solo el malware HeadCrab, sino también un método único para detectar sus infecciones en servidores Redis. Nuestro método encontró aproximadamente 1200 servidores infectados activamente cuando se aplicó a servidores expuestos en la naturaleza".

Los actores de amenazas detrás de esta botnet aprovechan el hecho de que los servidores Redis no tienen la autenticación habilitada de forma predeterminada, ya que están diseñados para usarse dentro de la red de una organización y no deben estar expuestos al acceso a Internet.

Si los administradores no los protegen y accidentalmente (o intencionalmente) los configuran para que sean accesibles desde fuera de su red local, los atacantes pueden comprometerlos y secuestrarlos fácilmente usando herramientas maliciosas o malware.

Una vez que obtienen acceso a los servidores que no requieren autenticación, los actores maliciosos emiten un comando 'SLAVEOF' para sincronizar un servidor maestro bajo su control para implementar el malware HeadCrab en el sistema recién secuestrado.


​Después de ser instalado y lanzado, HeadCrab proporciona a los atacantes todas las capacidades necesarias para tomar el control completo del servidor objetivo y agregarlo a su red de bots de criptominería.

También se ejecutará en la memoria de los dispositivos comprometidos para evitar los análisis antimalware, y las muestras analizadas por Aqua Security no han mostrado detecciones en VirusTotal .

También elimina todos los registros y solo se comunica con otros servidores controlados por sus maestros para evadir la detección.

"El atacante se comunica con direcciones IP legítimas, principalmente otros servidores infectados, para evadir la detección y reducir la probabilidad de que las soluciones de seguridad lo incluyan en la lista negra", agregaron los investigadores.

"El malware se basa principalmente en los procesos de Redis que es poco probable que se marquen como maliciosos. Las cargas útiles se cargan a través de memfd, archivos de solo memoria, y los módulos del kernel se cargan directamente desde la memoria, evitando escrituras en el disco".

Mientras analizaban el malware, también descubrieron que los atacantes utilizan principalmente grupos de minería alojados en servidores previamente comprometidos para complicar la atribución y la detección.

Además, la billetera Monero vinculada a esta botnet mostró que los atacantes están obteniendo una ganancia anual estimada de alrededor de $ 4,500 por trabajador, mucho más que los $ 200 por trabajador habituales que generan operaciones similares.

Para defender sus servidores Redis, se recomienda a los administradores asegurarse de que solo los clientes dentro de sus redes puedan acceder a ellos, deshabilitar la función "esclavo" si no se usa y habilitar el modo protegido, que configura la instancia para responder solo a la dirección de bucle invertido y rechazar conexiones desde otras direcciones IP.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La banda de ransomware LockBit se atribuyó la responsabilidad del ataque cibernético contra ION Group, una empresa de software con sede en el Reino Unido cuyos productos son utilizados por instituciones financieras, bancos y corporaciones para el comercio, la gestión de inversiones y el análisis de mercado.

El 31 de enero de 2023, la empresa reveló el incidente en un breve comunicado diciendo que afectó a ION Cleared Derivatives, una división de ION Markets.

"ION Cleared Derivatives, una división de ION Markets, experimentó un evento de ciberseguridad que comenzó el 31 de enero de 2023 y afectó algunos de sus servicios", dijo la compañía.


Sin embargo, el ataque tuvo un impacto más profundo ya que los grandes clientes que usaban los servicios de ION Group en Estados Unidos y Europa se vieron obligados a cambiar al procesamiento manual de las operaciones, lo que provocó retrasos significativos.

La organización comercial global FIA ha publicado una declaración sobre los problemas que han surgido, diciendo que está trabajando con los miembros afectados para evaluar la situación.


Hoy, el ransomware LockBit ha agregado a ION Group a la lista de víctimas en su sitio de fuga de datos. Los piratas afirman haber robado datos durante la intrusión y amenazan con publicar los archivos el 4 de febrero.

Si los actores del ransomware tienen datos de ION Group, filtrarlos públicamente podría exponer información confidencial de grandes inversionistas, causando un daño significativo para ellos y sus organizaciones.

BleepingComputer se ha puesto en contacto con ION Group para solicitar más detalles sobre los hallazgos de su investigación interna y si las afirmaciones de LockBit son ciertas, y actualizaremos esta historia tan pronto como recibamos una respuesta.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los operadores de estafas de inversión de alto rendimiento conocidas como "matanza de cerdos" han encontrado una manera de eludir las defensas en Google Play y la App Store de Apple, los repositorios oficiales de aplicaciones de Android e iOS.

Las estafas de matanza de cerdos han estado ocurriendo durante algunos años. Utilizan sitios web falsos, publicidad maliciosa e ingeniería social. Al agregar aplicaciones fraudulentas a las plataformas de descarga oficiales, los estafadores pueden ganarse la confianza de la víctima más fácilmente.

Los investigadores de la empresa de seguridad cibernética Sophos dicen que los estafadores se dirigen a las víctimas en Facebook o Tinder y las convencen de que descarguen las aplicaciones fraudulentas e "inviertan" grandes cantidades de dinero en activos que supuestamente son reales.

Sophos observó una campaña de este tipo de un grupo de amenazas con sede en China llamado "ShaZhuPan", que muestra altos niveles organizacionales con distintos equipos que se ocupan de la interacción con las víctimas, las finanzas, las franquicias y el lavado de dinero.

Acercándose a las víctimas

Los estafadores parecen apuntar a usuarios masculinos en Facebook y Tinder utilizando perfiles de mujeres con imágenes robadas de otras cuentas de redes sociales.

Los perfiles que controlan los estafadores se crearon para reflejar un estilo de vida lujoso, con fotos de restaurantes de lujo, tiendas caras y lugares exóticos.


Después de ganarse la confianza de las víctimas, los estafadores dicen que tienen un tío que trabaja para una firma de análisis financiero y lanzan una invitación para intercambiar criptomonedas a través de una aplicación en Play Store o App Store. Obviamente, la víctima es dirigida a una aplicación falsa.

Los estafadores guían a la víctima a través de su primera inversión, indicándole que cree un depósito en la plataforma legítima de intercambio de criptomonedas Binance y luego transfiera el monto a la aplicación falsa.

Apps de "sacrificio de cerdos"

Las aplicaciones maliciosas utilizadas en la campaña que observó Sophos se denominan "Ace Pro" y "MBM_BitScan" en Apple App Store y "BitScan" en Play Store.



Las aplicaciones permiten a la víctima retirar pequeñas cantidades de criptomonedas inicialmente, pero luego bloquean sus cuentas cuando se trata de cantidades mayores. Sin embargo, el retiro inicial es suficiente para que las víctimas confíen en el esquema y sigan invirtiendo.

El método utilizado para eludir los controles de seguridad en las tiendas de aplicaciones móviles es bastante simple. Para infiltrarse en la App Store, la pandilla ShaZhuPan envía una aplicación firmada con un certificado válido emitido por Apple, un requisito para que cualquier código sea aceptado en el repositorio de iOS.

Hasta que se obtenga la aprobación, la aplicación se conecta a un servidor benigno y su comportamiento es legítimo. Una vez que pasa la revisión, el desarrollador cambia el dominio y la aplicación se conecta a un servidor malicioso.


Después de iniciar la aplicación, la víctima ve una interfaz de comercio de criptomonedas entregada desde el servidor malicioso. Sin embargo, todo lo que se muestra es falso, excepto el depósito del usuario.

Los investigadores de Sophos descubrieron que las aplicaciones de BitScan para Android e iOS tienen un nombre de proveedor diferente pero se comunican con el mismo servidor de comando y control, desde un dominio que parece hacerse pasar por bitFlyer, una empresa legítima de intercambio de criptomonedas en Japón.


Debido a que estas aplicaciones solo son descargadas por una pequeña cantidad de usuarios objetivo, no se denuncian masivamente por fraude, lo que dificulta que los revisores de seguridad de la tienda de aplicaciones las identifiquen como fraudulentas y las eliminen.

no te dejes estafar

Las estafas de matanza de cerdos generan grandes ganancias en poco tiempo, por lo que los estafadores están motivados para dedicar tiempo y esfuerzo para ganarse la confianza de sus víctimas a través de una amplia comunicación.

Este compromiso prolongado, el retiro inicial y la interfaz convincente en las aplicaciones falsas dificultan que la víctima vea a través de la estafa.

Sophos también señala que el surgimiento de "FinTech" ha normalizado la confianza de las personas en estas herramientas de software y cuando las aplicaciones provienen de las tiendas oficiales de Apple y Google, la sensación de legitimidad es alta.

Antes de instalar cualquier aplicación en su teléfono inteligente, se recomienda consultar las reseñas de otros usuarios, la política de privacidad, los detalles del desarrollador/editor y buscar información sobre la empresa.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Budgie 10.7 ya está entre nosotros como la nueva versión del escritorio, que en esta ocasión llega repleto de novedades y con nuevas características, algunas de ellas procedentes de una bifurcación de las mismas herramientas o características disponibles para GNOME.

La primera novedad importante de Budgie 10.7 es la introducción de un nuevo indexador de aplicaciones que reemplaza a libgnome-menus y que unifica la lógica utilizada tanto en el menú de Budgie como en el diálogo de ejecución. Además de mejorar la consistencia, el nuevo indexador proporciona una indexación más confiable de las aplicaciones en varios directorios que se utilizan para almacenar ficheros del escritorio.

El nuevo indexador mejora, según los responsables, la categorización de las aplicaciones mediante la adición de las categorías relevantes y usadas. También respeta los directorios de escritorio personalizados creados por el usuario a través de editores de menú de terceros que escriben en el directorio ~/.local/share/desktop-directories.

La configuración del escritorio de Budgie tiene ahora un nuevo diseño para la selección de widgets que ha sido aplicado tanto a los widgets del panel como al nuevo sistema de widgets: Raven. "Este diseño muestra información relevante para el desarrollador, como el autor, el sitio web, la descripción y la información de derechos de autor", aspecto al que se suma el hecho de que se comunica al usuario cuando un widget está incorporado por defecto en Budgie.


El menú de Budgie, que puede ser entendido como lo equivalente al menú de inicio de Windows, ha sido mejorado y se le han incorporado mejoras y una nueva funcionalidad al lanzamiento de las aplicaciones. Por otro lado, ahora se apoya en switcheroo-control para poder intercambiar entre entornos de GPU cuando se lanzan aplicaciones que lo requieren.

Continuando con más cosas del menú de Budgie, la franja inferior tiene ahora botones para iniciar la Configuración del escritorio, el centro de control y el nuevo diálogo de energía, por lo que ya no es necesario buscar esas secciones.

Otra novedad de Budgie 10.7 es un "menú de usuario personal" con acceso rápido a los directorios XDG. "Esta característica permite abrir un administrador de archivos directamente a carpetas como Inicio, Documentos, Música, etc. Esto sigue la Especificación de Directorio Base de XDG, por lo que si tiene, por ejemplo, una ruta diferente configurada para Música (o la configuración regional de su sistema no es inglés)", esta será respetada.

El diálogo de ejecución de Budgie ha sido mejorado con un ancho que ahora se calcula desde el área de trabajo de la pantalla en el que se abre con el fin de que pueda adaptarse a monitores de distintos tamaños, además de haberse dividido la etiqueta para el nombre y la descripción de las aplicaciones en dos etiquetas para ofrecer un estilo más detallado.

Budgie Screenshot es la nueva aplicación de pantallazos, la cual ya no se apoya en gnome-screenshot. Los usuarios todavía tienen la opción de usar otra solución para el mismo menester.

Las notificaciones han recibido diversas mejoras y correcciones en Budgie 10.7, entre ellas que ahora aparecerán y desaparecerán al mostrarse y cerrarse, la corrección de las fuentes grandes que colocan al botón de cerrar fuera de la ventana emergente, el evitar que la notificación robe el foco de los dispositivos de entrada y el fin del flickering cuando una notificación salta con una aplicación funcionando a pantalla completa.


El nuevo sistema de API de widgets de Raven permite a terceros desarrolladores construir sus propios widgets de Raven. De manera similar a la API de widget del Panel de Budgie, ahora es posible construir widgets para Raven aprovechando libpeas y empleando lenguajes como C, Python y Vala. Por otro lado, Budgie 10.7 ha actualizado algunos de los widgets presentes de manera predeterminada, entre ellos el de reproducción de multimedia, la posibilidad de hacer clic en los iconos de encabezado del widget para la entrada y salida del sonido con el fin de silenciar el dispositivo, la capacidad para desactivar los nombres de los días en el widget de calendario y la adición de un nuevo widget de Raven llamado monitor de uso (Usage Monitor).

Por último tenemos el nuevo Diálogo de Energía, el cual suministra acciones típicas como apagar, reiniciar, suspender, hibernar, cerrar sesión y bloquear la pantalla, aunque hibernar podría estar inhabilitada debido a que muchas distribuciones tienen esa característica desactivada (como por ejemplo Fedora).

El nuevo Diálogo de Energía puede ser invocado "a través de D-Bus, lo que permite a los desarrolladores de subprogramas de terceros, como aquellos que hacen sus propias implementaciones de menú, incorporar fácilmente" las opciones que pone a disposición "sin mucho esfuerzo ni requiriendo de la implementación de una funcionalidad duplicada".

Y hasta aquí lo más importante de Budgie 10.7. Todos los detalles del lanzamiento están publicados en el anuncio oficial, mientras que el escritorio debería de llegar a aquellos que usen una distribución rolling release, empezando por Solus, proyecto que en tiempos pasados inició su desarrollo.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los actores de amenazas brasileños detrás de un malware de punto de venta (PoS) avanzado y modular conocido como Prilex han vuelto a asomar la cabeza con nuevas actualizaciones que le permiten bloquear transacciones de pago sin contacto.

La firma rusa de ciberseguridad Kaspersky dijo que detectó tres versiones de Prilex (06.03.8080, 06.03.8072 y 06.03.8070) que son capaces de apuntar a tarjetas de crédito habilitadas para NFC, lo que lleva su esquema criminal un nivel más alto.

Habiendo evolucionado del malware centrado en cajeros automáticos al malware de PoS a lo largo de los años desde que entró en funcionamiento en 2014, el actor de amenazas incorporó constantemente nuevas funciones diseñadas para facilitar el fraude con tarjetas de crédito, incluida una técnica llamada transacciones GHOST .

Si bien los pagos sin contacto han tenido un gran auge, en parte debido a la pandemia de COVID-19, el motivo subyacente detrás de la nueva funcionalidad es deshabilitar la función para obligar al usuario a insertar la tarjeta en el teclado PIN.

Con ese fin, se descubrió que la última versión de Prilex, que Kaspersky descubrió en noviembre de 2022, implementa una lógica basada en reglas para determinar si capturar o no la información de la tarjeta de crédito junto con una opción para bloquear transacciones basadas en NFC.


"Esto se debe al hecho de que las transacciones basadas en NFC a menudo generan una identificación única o un número de tarjeta válido para una sola transacción", dijeron los investigadores.

Si una transacción basada en NFC de este tipo es detectada y bloqueada por el malware instalado en el terminal PoS infectado, el lector de PIN muestra un mensaje de error falso: "Error sin contacto, inserte su tarjeta".

Esto lleva a la víctima a usar su tarjeta física insertándola en el lector de PIN, lo que permite que los atacantes cometan fraude. Otra característica nueva agregada a los artefactos es la capacidad de filtrar tarjetas de crédito por segmentos y crear reglas adaptadas a esos niveles.

"Estas reglas pueden bloquear NFC y capturar datos de la tarjeta solo si la tarjeta es Black/Infinite, Corporate u otro nivel con un límite de transacción alto, lo que es mucho más atractivo que las tarjetas de crédito estándar con un saldo/límite bajo", señalaron los investigadores. .

"Dado que los datos de transacción generados durante un pago sin contacto son inútiles desde la perspectiva de un ciberdelincuente, es comprensible que Prilex necesite obligar a las víctimas a insertar la tarjeta en el terminal PoS infectado".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha diseñado un nuevo exploit para "cancelar la inscripción" de Chromebooks administrados por empresas o escuelas del control administrativo.

La inscripción de dispositivos Chrome OS permite aplicar las políticas de dispositivos establecidas por la organización a través de la consola de administración de Google , incluidas las funciones que están disponibles para los usuarios.

"Cada dispositivo inscrito cumple con las políticas que establece hasta que lo borra o lo da de baja", afirma Google en su documentación.

Ahí es donde entra en juego el exploit , denominado Shady Hacking 1nstrument Makes Machine Enrollment Retreat, también conocido como SH1MMER , que permite a los usuarios eludir estas restricciones administrativas.

El método también es una referencia a shim, una imagen de disco de autorización de devolución de mercancía (RMA) utilizada por los técnicos del centro de servicio para reinstalar el sistema operativo y ejecutar programas de diagnóstico y reparación.

La imagen shim firmada por Google es una "combinación de los componentes existentes del paquete de fábrica de Chrome OS ", es decir, una imagen de lanzamiento, un conjunto de herramientas y el firmware, entre otros, que se pueden grabar en una unidad USB.

Luego, se puede iniciar una Chromebook en modo de desarrollador con la imagen de la unidad para invocar las opciones de recuperación. Una imagen de corrección puede ser universal o específica para una placa Chromebook .

SH1MMER aprovecha una imagen shim RMA modificada para crear un medio de recuperación para el Chromebook y lo escribe en una memoria USB. Hacerlo requiere que un desarrollador en línea descargue la versión parcheada de RMA shim con el exploit.

El siguiente paso implica iniciar el modo de recuperación en el Chromebook y conectar la memoria USB que contiene la imagen en el dispositivo para mostrar un menú de recuperación alterado que permite a los usuarios cancelar completamente la inscripción de la máquina.

"Ahora se comportará completamente como si fuera una computadora personal y ya no contendrá spyware o extensiones de bloqueo", dijo el equipo de Mercury Workshop, que ideó el exploit.

"Los shims RMA son una herramienta de fábrica que permite que se firmen ciertas funciones de autorización, pero el firmware solo verifica las particiones KERNEL en busca de firmas", explicó el equipo . "Podemos editar las otras particiones a nuestra voluntad siempre que eliminemos el bit de solo lectura forzado en ellas".

Además, el menú SH1MMER se puede usar para volver a registrar el dispositivo , habilitar el arranque USB, abrir un shell bash e incluso permitir el acceso de nivel raíz al sistema operativo ChromeOS.

The Hacker News se ha comunicado con Google para obtener comentarios, y actualizaremos la historia si recibimos una respuesta.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

GitHub reveló el lunes que actores de amenazas desconocidos lograron exfiltrar certificados de firma de código encriptado pertenecientes a algunas versiones de GitHub Desktop para aplicaciones Mac y Atom.

Como resultado, la compañía está dando el paso de revocar los certificados expuestos por precaución. Se invalidaron las siguientes versiones de GitHub Desktop para Mac: 3.0.2, 3.0.3, 3.0.4, 3.0.5, 3.0.6, 3.0.7, 3.0.8, 3.1.0, 3.1.1 y 3.1 .2.

También se espera que las versiones 1.63.0 y 1.63.1 de 1.63.0 de Atom dejen de funcionar a partir del 2 de febrero de 2023, lo que requiere que los usuarios cambien a una versión anterior (1.60.0) del editor de código fuente. Atom se suspendió oficialmente en diciembre de 2022. GitHub Desktop para Windows no se ve afectado.

La subsidiaria propiedad de Microsoft dijo que detectó acceso no autorizado a un conjunto de repositorios, incluidos los de organizaciones obsoletas propiedad de GitHub, utilizados en la planificación y desarrollo de GitHub Desktop y Atom el 7 de diciembre de 2022.

Se dice que los repositorios fueron clonados un día antes por un token de acceso personal ( PAT ) comprometido asociado con una cuenta de máquina. Ninguno de los repositorios contenía datos de clientes y, desde entonces, las credenciales comprometidas han sido revocadas. GitHub no reveló cómo se violó el token.

"Varios certificados de firma de código encriptado se almacenaron en estos repositorios para su uso a través de Acciones en nuestros flujos de trabajo de lanzamiento de GitHub Desktop y Atom", dijo Alexis Wales de GitHub. "No tenemos evidencia de que el actor de amenazas haya podido descifrar o usar estos certificados".

Vale la pena señalar que un descifrado exitoso de los certificados podría permitir que un adversario firme aplicaciones troyanizadas con estos certificados y los haga pasar como originarios de GitHub.

Los tres certificados comprometidos, dos certificados de firma de código Digicert utilizados para Windows y un certificado de ID de desarrollador de Apple, se revocarán el 2 de febrero de 2023.

La plataforma de alojamiento de código también dijo que lanzó una nueva versión de la aplicación de escritorio el 4 de enero de 2023, que está firmada con nuevos certificados que no estaban expuestos al actor de amenazas. Además, enfatizó que no se realizaron cambios no autorizados al código en estos repositorios.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login