Un empaquetador basado en shellcode denominado TrickGate ha estado operando con éxito sin llamar la atención durante más de seis años, al tiempo que permite a los actores de amenazas implementar una amplia gama de malware como TrickBot, Emotet, AZORult, Agent Tesla, FormBook, Cerber, Maze y REvil sobre los años.

"TrickGate logró permanecer bajo el radar durante años porque es transformador: sufre cambios periódicamente", dijo Arie Olshtein de Check Point Research , llamándolo un "maestro de los disfraces".

Ofrecido como un servicio a otros actores de amenazas desde al menos finales de 2016, TrickGate ayuda a ocultar las cargas útiles detrás de una capa de código contenedor en un intento de pasar las soluciones de seguridad instaladas en un host. Los empaquetadores también pueden funcionar como encriptadores al encriptar el malware como un mecanismo de ofuscación.

"Los empaquetadores tienen diferentes características que les permiten eludir los mecanismos de detección al aparecer como archivos benignos, ser difíciles de aplicar ingeniería inversa o incorporar técnicas de evasión de sandbox", señaló Proofpoint en diciembre de 2020.

Pero las actualizaciones frecuentes del empaquetador comercial como servicio significaron que TrickGate ha sido rastreado con varios nombres, como nuevo cargador , Loncom y crypter basado en NSIS desde 2019.


Los datos de telemetría recopilados por Check Point indican que los actores de amenazas que aprovechan TrickGate se han centrado principalmente en el sector manufacturero y, en menor medida, en las verticales de educación, atención médica, gobierno y finanzas.

Las familias de malware más populares utilizadas en los ataques de los últimos dos meses incluyen FormBook, LokiBot, Agent Tesla, Remcos y Nanocore, con concentraciones significativas reportadas en Taiwán, Turquía, Alemania, Rusia y China.

La cadena de infección implica el envío de correos electrónicos de phishing con archivos adjuntos maliciosos o enlaces con trampas explosivas que conducen a la descarga de un cargador de shellcode que es responsable de descifrar y lanzar la carga real en la memoria.

El análisis de la shellcode de la firma de ciberseguridad israelí muestra que "se ha actualizado constantemente, pero las funcionalidades principales existen en todas las muestras desde 2016". Olshtein señaló que "el módulo de inyección ha sido la parte más consistente a lo largo de los años y se ha observado en todos los códigos de shell de TrickGate".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Porsche interrumpió la acuñación de una nueva colección de NFT después de una pésimo resultado y una reacción violenta de la comunidad criptográfica, lo que permitió a los actores de amenazas llenar el vacío mediante la creación de sitios de phishing que roban activos digitales de las billeteras de criptomonedas.

Los NFT (tokens no fungibles) son activos digitales almacenados en una cadena de bloques, que representan la prueba de autenticidad y propiedad de un artículo, como una imagen de arte, música y cualquier cosa que pueda tomar la forma de medios digitales.

El fabricante de automóviles alemán lanzó su primera menta NFT el pasado lunes 23 de enero de 2023, ofreciendo una réplica digital del icónico auto 911 por 0.911 ETH, valorado en alrededor de $1500.

Sin embargo, los retrasos en el lanzamiento de la colección causaron frustración en la comunidad, ya que solo alrededor del 20 % de los 7500 NFT prometidos se habían acuñado después de 24 horas y tres oleadas de acuñación.

Para empeorar las cosas, se estableció un floreciente mercado de reventa de NFT en OpenSea, donde era más barato comprar los coleccionables de Porsche que obtener el original, lo que devaluó los activos de inmediato y enfureció aún más a los inversores y comerciantes.

Finalmente, el 24 de enero, Porsche anunció que detendría el proceso de acuñación y cortaría el suministro hasta que descubrieran cómo hacer el debut de NFT correctamente. El proceso de acuñación real no se detuvo hasta el 25 de enero a las 6 a. m. UTC-5, lo que les dio a los estafadores muchas oportunidades de aprovechar la confusa situación.


A medida que la menta se acorta, los estafadores prosperan

Si bien los NFT de Porsche aumentaron en valor en los próximos días, también lo hizo la escala de la actividad fraudulenta en torno a la casa de la moneda, con actores de amenazas que lanzaron sitios de phishing para hacerse pasar por una casa de la moneda de Porsche en curso.

Sin embargo, cuando los usuarios conectaban sus billeteras criptográficas a los sitios de phishing, intentaban drenar los activos y fondos de las billeteras.

Esto obligó a Porsche a advertir el 27 de enero sobre cuentas falsas que promovían la continuación del proceso de acuñación de NFT para robar información y activos de las personas.


Hoy, más de una semana después del lanzamiento fallido de NFT de Porsche, varios estafadores continúan engañando a las personas que buscan obtener 911 NFT digitales personalizados.

BleepingComputer había encontrado un caso notable de una cuenta de Twitter ahora suspendida con casi 11,000 seguidores que se hacían pasar por la cuenta dedicada a NFT de Porsche.

Si bien esta cuenta se vinculó al canal Discord real de Porsche, también se vinculó a un sitio malicioso ("porsche-nfts.com") que es visualmente un clon del portal NFT genuino de Porsche en "nft.porsche.com".


Mientras que el sitio real tiene un aviso sobre el cierre de acuñación, el sitio falso finge que el procedimiento aún está en curso, invitando a los usuarios a vincular sus billeteras.

Además, la cuenta falsa de Twitter tenía un tweet anclado que decía que los Porsche NFT restantes ahora están disponibles para reclamar de forma gratuita y que también prometían la renovación de las existencias para la comunidad restante.


La cuenta falsa había deshabilitado los comentarios de los usuarios en todas las publicaciones e incluso retuiteó las publicaciones de la cuenta real de Porsche, lo que facilitó engañar a las personas para que obtuvieran un 911 NFT digital sin detectar señales de fraude.

La cuenta fraudulenta se cerró hoy, y parece que también se suspendió una cuenta anterior utilizada por el mismo estafador.

Sin embargo, es probable que otras cuentas se aprovechen del error de Porsche Web3, por lo que se recomienda a los aspirantes a inversores que estén más atentos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El equipo de desarrollo detrás del software de administración de contraseñas de código abierto KeePass está disputando lo que se describe como una vulnerabilidad recién descubierta que permite a los atacantes exportar sigilosamente toda la base de datos en texto sin formato.

KeePass es un administrador de contraseñas de código abierto muy popular que le permite administrar sus contraseñas utilizando una base de datos almacenada localmente, en lugar de una alojada en la nube, como LastPass o Bitwarden.

Para proteger estas bases de datos locales, los usuarios pueden cifrarlas con una contraseña maestra para que el malware o un actor de amenazas no pueda simplemente robar la base de datos y obtener acceso automáticamente a las contraseñas almacenadas en ella.

La nueva vulnerabilidad ahora se rastrea como  CVE-2023-24055 , y permite a los actores de amenazas con acceso de escritura al sistema de un objetivo alterar el archivo de configuración XML de KeePass e inyectar un disparador malicioso que exportaría la base de datos, incluidos todos los nombres de usuario y contraseñas en texto claro. .


La próxima vez que el objetivo inicie KeePass e ingrese la contraseña maestra para abrir y descifrar la base de datos, se activará la regla de exportación y el contenido de la base de datos se guardará en un archivo que los atacantes pueden luego filtrar a un sistema bajo su control.

Sin embargo, este proceso de exportación se inicia en segundo plano sin que el usuario sea notificado o KeePass solicite que se ingrese la contraseña maestra como confirmación antes de exportar, lo que permite que el actor de amenazas obtenga acceso silencioso a todas las contraseñas almacenadas.

Después de que esto se informó y se asignó un CVE-ID, los usuarios le pidieron al equipo de desarrollo detrás de KeePass que  agregara un mensaje de confirmación  antes de las exportaciones silenciosas de bases de datos como la que se activa a través de un archivo de configuración modificado maliciosamente o proporcionar una versión de la aplicación que  viene sin la función de exportación . .

Otra solicitud es agregar un  indicador configurable para deshabilitar la exportación  dentro de la base de datos real de KeePass, que solo podría cambiarse conociendo la contraseña maestra.

Desde que se asignó CVE-2023-24055, ya se ha compartido en línea un exploit de prueba de concepto, lo que probablemente facilite a los desarrolladores de malware actualizar a los ladrones de información con la capacidad de volcar y robar el contenido de las bases de datos de KeePass en dispositivos comprometidos.

Vulnerabilidad disputada por los desarrolladores de KeePass

Si bien los equipos CERT de los  Países Bajos  y  Bélgica  también emitieron avisos de seguridad sobre CVE-2023-24055, el equipo de desarrollo de KeePass argumenta que esto no debería clasificarse como una vulnerabilidad dado que los atacantes con acceso de escritura al dispositivo de un objetivo también pueden obtener el información contenida en la base de datos de KeePass a través de otros medios.

De hecho, una página de "Problemas de seguridad" en el Centro de ayuda de KeePass ha estado describiendo el problema de " Acceso de escritura al archivo de configuración " desde  al menos abril de 2019  como "no es realmente una vulnerabilidad de seguridad de KeePass".

Si el usuario instaló KeePass como un programa regular y los atacantes tienen acceso de escritura, también pueden "realizar varios tipos de ataques". Los actores de amenazas también pueden reemplazar el ejecutable KeePass con malware si el usuario ejecuta la versión portátil.

"En ambos casos, tener acceso de escritura al archivo de configuración de KeePass generalmente implica que un atacante puede realizar ataques mucho más poderosos que modificar el archivo de configuración (y estos ataques al final también pueden afectar a KeePass, independientemente de la protección del archivo de configuración), " explican los desarrolladores de KeePass.

"Estos ataques solo se pueden prevenir manteniendo el entorno seguro (utilizando un software antivirus, un cortafuegos, no abriendo archivos adjuntos de correo electrónico desconocidos, etc.). KeePass no puede ejecutarse mágicamente de forma segura en un entorno inseguro".

Sin embargo, incluso si los desarrolladores de KeePass no brindan a los usuarios una versión de la aplicación que aborde la exportación a texto sin cifrar a través del problema de los activadores, aún puede proteger su base de datos iniciando sesión como administrador del sistema y  creando un archivo de configuración obligatorio .


Este tipo de archivo de configuración tiene prioridad sobre las configuraciones descritas en los archivos de configuración globales y locales, incluidos los nuevos activadores agregados por actores malintencionados, lo que mitiga el problema CVE-2023-24055.

Antes de usar un archivo de configuración obligatorio, también debe asegurarse de que los usuarios regulares del sistema no tengan acceso de escritura a ningún archivo/carpeta en el directorio de la aplicación KeePass.

Y también hay una cosa más que podría permitir a los atacantes eludir las configuraciones forzadas: usar un ejecutable de KeePass iniciado desde otra carpeta distinta a la que se guardó el archivo de configuración forzada.

"Tenga en cuenta que un archivo de configuración forzado solo se aplica al programa KeePass en el mismo directorio", dice el equipo de desarrollo de KeePass,

"Si el usuario ejecuta otra copia de KeePass sin un archivo de configuración obligatorio, esta copia no conoce el archivo de configuración obligatorio que se almacena en otro lugar, es decir, no se aplican configuraciones".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de seguridad han analizado una variante del malware PlugX que puede ocultar archivos maliciosos en dispositivos USB extraíbles y luego infectar los hosts de Windows a los que se conectan.

El malware utiliza lo que los investigadores llaman "una técnica novedosa" que le permite pasar desapercibido durante períodos más largos y podría propagarse potencialmente a sistemas con brechas de aire.

El equipo de la Unidad 42 de Palo Alto Network encontró una muestra de esta variante de PlugX durante una respuesta a un ataque de ransomware Black Basta que se basó en GootLoader y Brute Ratel .  para los compromisos del equipo rojo.

Buscando muestras similares, Unit 42 también descubrió una variante de PlugX en Virus Total que localiza documentos confidenciales en el sistema comprometido y los copia en una carpeta oculta en la unidad USB.

Ocultar PlugX en unidades USB

PlugX es una pieza antigua de malware que se ha utilizado desde al menos 2008, inicialmente solo por grupos de piratas informáticos chinos; algunos de ellos continúan usándolo  con software firmado digitalmente para  descargar cargas útiles cifradas.

Con el tiempo, sin embargo, se generalizó tanto que múltiples actores adoptaron lo adoptaron en los ataques, lo que hizo que la atribución de su uso fuera una tarea muy desafiante.

En los ataques recientes que observó la Unidad 42, el actor de amenazas está utilizando la versión de 32 bits de una herramienta de depuración de Windows llamada 'x64dbg.exe' junto con una versión envenenada de 'x32bridge.dll', que carga la carga útil de PlugX (x32bridge. dat).


Al momento de escribir este artículo, la mayoría de los motores antivirus en la plataforma de análisis Virus Total no marcan el archivo como malicioso, la tasa de detección es de solo 9 de 61 productos.


Las muestras más recientes del malware PlugX son detectadas por incluso menos motores antivirus en Virus Total. Uno de ellos, añadido en agosto del año pasado, actualmente está marcado como una amenaza por solo tres productos en la plataforma. Obviamente, los agentes de seguridad en vivo se basan en múltiples tecnologías de detección que buscan actividad maliciosa generada por un archivo en el sistema.

Los investigadores explican que la versión de PlugX que encontraron utiliza un carácter Unicode para crear un nuevo directorio en las unidades USB detectadas, lo que las hace invisibles en el Explorador de Windows y en el shell de comandos. Estos directorios son visibles en Linux pero ocultos en los sistemas Windows.

"Para lograr la ejecución del código del malware desde el directorio oculto, se crea un archivo de acceso directo de Windows (.lnk) en la carpeta raíz del dispositivo USB", dice Unit 42.

"La ruta de acceso directo al malware contiene el carácter de espacio en blanco Unicode, que es un espacio que no causa un salto de línea pero no es visible cuando se ve a través del Explorador de Windows" - Unidad 42 de Palo Alto Networks

El malware crea un archivo 'desktop.ini' en el directorio oculto para especificar el ícono del archivo LNK en la carpeta raíz, haciéndolo aparecer como una unidad USB para engañar a la víctima. Mientras tanto, un subdirectorio 'RECYCLER.BIN' actúa como un disfraz, alojando copias del malware en el dispositivo USB.


Esta técnica se ha visto en una versión anterior de PlugX analizada por investigadores de Sophos  a fines de 2020, aunque el enfoque del informe estaba en la carga lateral de DLL como un medio para ejecutar código malicioso.

La víctima hace clic en el archivo de acceso directo en la carpeta raíz del dispositivo USB, que ejecuta x32.exe a través de cmd.exe, lo que resulta en la infección del host con el malware PlugX.

Simultáneamente, se abrirá una nueva ventana del Explorador para mostrar los archivos del usuario en el dispositivo USB, haciendo que todo parezca normal.

Después de que PlugX ingresa al dispositivo, monitorea continuamente los nuevos dispositivos USB e intenta infectarlos al descubrirlos.


Durante su investigación, el equipo de Unit 42 también descubrió una variante de robo de documentos del malware PlugX que también se dirige a las unidades USB, pero tiene la capacidad adicional de copiar documentos PDF y Microsoft Word en una carpeta en el directorio oculto llamado  da520e5 .

Se desconoce cómo los actores de amenazas recuperan estos archivos "exfiltrados localmente" de la unidad USB, pero el acceso físico podría ser una de las formas.

Si bien PlugX generalmente se asoció con actores de amenazas respaldados por el estado, el malware se puede comprar en mercados clandestinos y los ciberdelincuentes también lo han utilizado.

Con el nuevo desarrollo que lo hace más difícil de detectar y permite que se propague a través de unidades extraíbles, los investigadores de la Unidad 42 dicen que PlugX tiene el potencial de saltar a las redes con espacio de aire.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft dice que la interrupción mundial de Microsoft 365 de cinco horas de duración de esta semana fue causada por un cambio de dirección IP del enrutador que provocó problemas de reenvío de paquetes entre todos los demás enrutadores en su red de área amplia (WAN).

Redmond  dijo en ese momento  que la interrupción se debió a problemas de configuración de red de DNS y WAN causados ​​por una actualización de WAN y que los usuarios de todas las regiones atendidas por la infraestructura afectada tenían problemas para acceder a los servicios de Microsoft 365 afectados.

El problema provocó un impacto en el servicio en oleadas, con un pico aproximadamente cada 30 minutos según se comparte en la página de estado del servicio de Microsoft Azure (esta página de estado también se vio afectada porque mostraba de forma intermitente los errores "504 Gateway Time-out").

La lista de servicios afectados por la interrupción incluía Microsoft Teams, Exchange Online, Outlook, SharePoint Online, OneDrive for Business, PowerBi, Microsoft 365 Admin Center, Microsoft Graph, Microsoft Intune, Microsoft Defender para aplicaciones en la nube y Microsoft Defender para identidad.

En total, Redmond tardó más de cinco horas en solucionar el problema, desde las 7:05 a. m. UTC cuando comenzó a investigar hasta las 12:43 p. m. UTC cuando se restableció el servicio.

"Entre las 07:05 UTC y las 12:43 UTC del 25 de enero de 2023, los clientes experimentaron problemas con la conectividad de la red, lo que se manifestó como una latencia prolongada de la red y/o tiempos de espera al intentar conectarse a los recursos alojados en las regiones de Azure, así como a otros servicios de Microsoft, incluidos Microsoft 365 y Power Platform",  dijo Microsoft  en un informe preliminar posterior al incidente publicado hoy.

"Si bien la mayoría de las regiones y servicios se recuperaron a las 09:00 UTC, los problemas de pérdida de paquetes intermitentes se mitigaron por completo a las 12:43 UTC. Este incidente también afectó a los servicios en la nube de Azure Government que dependían de la nube pública de Azure".


Microsoft ahora también reveló que el problema se desencadenó al cambiar la dirección IP de un enrutador WAN usando un comando que no había sido examinado a fondo y que tiene diferentes comportamientos en diferentes dispositivos de red.

"Como parte de un cambio planificado para actualizar la dirección IP en un enrutador WAN, un comando dado al enrutador hizo que enviara mensajes a todos los demás enrutadores en la WAN, lo que resultó en que todos ellos recalcularan sus tablas de adyacencia y reenvío". Microsoft dijo.

"Durante este proceso de recálculo, los enrutadores no pudieron reenviar correctamente los paquetes que los atravesaban".

Si bien la red comenzó a recuperarse por sí sola a partir de las 08:10 UTC, los sistemas automatizados responsables de mantener la salud de la red de área amplia (WAN) se detuvieron debido al impacto en la red.

Estos sistemas incluían aquellos para identificar y eliminar dispositivos en mal estado, así como sistemas de ingeniería de tráfico para optimizar el flujo de datos a través de la red.

Como resultado de la pausa, algunas rutas de red continuaron experimentando una mayor pérdida de paquetes desde las 9:35 UTC hasta que los sistemas se reiniciaron manualmente, devolviendo la WAN a las condiciones operativas óptimas y completando el proceso de recuperación a las 12:43 UTC.

Después de este incidente, Microsoft dice que ahora está bloqueando la ejecución de comandos de alto impacto y que también requerirá que la ejecución de todos los comandos siga las pautas para cambios de configuración seguros.

Fuente:  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se lanzó un código de prueba de concepto (Poc) para una falla de seguridad de alta gravedad ahora parcheada en Windows CryptoAPI que la Agencia de Seguridad Nacional de EE. UU. (NSA) y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido informaron a Microsoft el año pasado .

Rastreado como CVE-2022-34689 (puntaje CVSS: 7.5), el gigante tecnológico abordó la vulnerabilidad de suplantación de identidad como parte de las actualizaciones del martes de parches lanzadas en agosto de 2022, pero solo se reveló públicamente dos meses después, el 11 de octubre de 2022.

"Un atacante podría manipular un certificado x.509 público existente para suplantar su identidad y realizar acciones como autenticación o firma de código como el certificado de destino", dijo Microsoft en un aviso publicado en ese momento.

Windows CryptoAPI ofrece una interfaz para que los desarrolladores agreguen servicios criptográficos como cifrado/descifrado de datos y autenticación mediante certificados digitales a sus aplicaciones.


La empresa de seguridad web Akamai, que lanzó el PoC, dijo que CVE-2022-34689 se basa en el hecho de que el código vulnerable que está diseñado para aceptar un certificado x.509 llevó a cabo una verificación que se basó únicamente en la huella digital MD5 del certificado.

MD5, un algoritmo de resumen de mensajes que se usa para el hash, se rompió criptográficamente en diciembre de 2008 debido al riesgo de ataques de cumpleaños , un método criptoanalítico que se usa para encontrar colisiones en una función hash.


El efecto neto de esta deficiencia es que abre la puerta para que un mal actor entregue una versión modificada de un certificado legítimo a una aplicación de la víctima, y ​​luego cree un nuevo certificado cuyo hash MD5 colisione con el certificado manipulado y lo use para hacerse pasar por la entidad originaria.

En otras palabras, la falla podría ser armada por un intruso deshonesto para realizar un ataque mallory-in-the-middle ( MitM ) y redirigir a los usuarios que dependen de una versión anterior de Google Chrome (versión 48 y anterior) a un sitio web arbitrario del elección del actor simplemente porque la versión susceptible del navegador web confía en el certificado malicioso.

"Los certificados juegan un papel importante en la verificación de identidad en línea, lo que hace que esta vulnerabilidad sea lucrativa para los atacantes", dijo Akamai.

Aunque la falla tiene un alcance limitado, la firma con sede en Massachusetts señaló que "todavía hay mucho código que usa esta API y podría estar expuesto a esta vulnerabilidad, lo que justifica un parche incluso para versiones descontinuadas de Windows, como Windows 7".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google reveló el jueves que tomó medidas para desmantelar más de 50,000 instancias de actividad orquestadas por una operación de influencia pro china conocida como DRAGONBRIDGE en 2022.

"La mayor parte de la actividad de DRAGONBRIDGE es contenido de baja calidad sin un mensaje político, poblado a través de muchos canales y blogs", dijo el Grupo de Análisis de Amenazas (TAG) de la compañía en un informe compartido con The Hacker News. "Sin embargo, una pequeña fracción de las cuentas de DRAGONBRIDGE también publican sobre eventos actuales con mensajes que promueven puntos de conversación a favor de China".

DRAGONBRIDGE fue expuesto por primera vez por Mandiant, propiedad de Google, en julio de 2022, denunciando sus esfuerzos fallidos para atacar a las empresas mineras de tierras raras en Australia, Canadá y EE. UU. con el objetivo de desencadenar protestas ambientales contra las empresas.

También conocida con el nombre Spamouflage Dragon, se sabe que la red de influencia de spam tiene presencia en múltiples plataformas, incluidas YouTube, Blogger, Facebook y Twitter, y difunde principalmente narrativas críticas con los EE. UU. y favorables a China.

Algunas de las narrativas incluían afirmaciones de que EE. UU. estaba interfiriendo en los asuntos internos de otros países, al tiempo que destacaban temas de discordia política, desigualdad racial e inflación en un intento de mostrar a la nación bajo una luz negativa.

A pesar de las críticas a los EE. UU., el contenido pro-China de DRAGONBRIDGE incluía narraciones que elogiaban la respuesta del país a la pandemia de COVID-19, condenaban las protestas a favor de la democracia e intensificaban el apoyo a la unificación de Taiwán con China.


Como parte de sus esfuerzos para interrumpir la actividad del actor de amenazas, Google dijo que canceló 100,960 cuentas en YouTube, Blogger y AdSense. Además, señaló que a pesar de la profusa producción de contenido, DRAGONBRIDGE no logró atraer a una audiencia orgánica.

Eso, sin embargo, no ha impedido que el grupo modifique persistentemente sus métodos mediante la creación de caricaturas políticas animadas y la producción de contenido de mayor calidad para atraer a los usuarios reales, advirtieron los investigadores de TAG.

En total, 56 771 canales de YouTube creados por DRAGONBRIDGE se deshabilitaron en 2022, el 58 % de ellos sin suscriptores y el 42 % de los videos publicados en esos canales sin vistas. Además de eso, aproximadamente el 95% de los blogs de Blogger recibieron 10 visitas o menos.

"En los raros casos en los que el contenido de DRAGONBRIDGE recibió participación, era casi completamente falso, provenía de otras cuentas de DRAGONBRIDGE y no de usuarios genuinos", dijo TAG. "La actividad de comentarios provino principalmente de otras cuentas de DRAGONBRIDGE".

El gigante tecnológico también señaló que el comportamiento inauténtico coordinado se facilitó al aprovechar las cuentas de Google compradas en grandes cantidades a vendedores de cuentas que crean y venden dichas cuentas con fines de lucro, en algunos casos incluso reutilizando cuentas inactivas que fueron utilizadas previamente por otros actores para montar cuentas motivadas financieramente. campañas

"A pesar de su fracaso para ganar tracción con una audiencia auténtica, DRAGONBRIDGE genera grandes volúmenes de contenido a través de múltiples plataformas, es persistente y continúa experimentando con sus tácticas y técnicas", dijo TAG.

DRAGONBRIDGE está lejos de ser la única operación de información a favor de China que ha surgido en los últimos años. En agosto de 2022, Mandiant reveló una campaña denominada HaiEnergy que empleó una red de sitios de noticias no auténticos y activos de redes sociales para "remodelar la imagen internacional de Xinjiang ".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los jugadores de Grand Theft Auto (GTA) Online informan que pierden el progreso del juego, que les roban el dinero del juego y que los servidores del juego los expulsan debido a una supuesta vulnerabilidad en la versión para PC del juego.

GTA Online es la versión multijugador de la popular serie de juegos de acción y aventuras de Rockstar Games, lanzada inicialmente en octubre de 2013, y se le agrega nuevo contenido a través de actualizaciones de título gratuitas.

Según se informa, el desarrollador del truco 'North' Grand Theft Auto V abusó de una nueva vulnerabilidad de "ejecución remota de código" en el cliente de juegos de PC para cambiar de forma remota los atributos de la cuenta del jugador (como poner a cero su saldo de dinero), corromper cuentas e incluso prohibir jugadores del juego.

Según los informes de los usuarios, el exploit puede afectar incluso a los jugadores que no están en el mismo lobby multijugador que los atacantes, por lo que cualquiera, mientras esté en línea, es susceptible a los ataques.

Según un registro de cambios visto por BleepingComputer, el desarrollador de trucos de North GTA Online agregó estas nuevas "características el 20 de enero de 2023, como parte de su lanzamiento 2.0.0.


Esta supuesta vulnerabilidad recibió un CVE y está siendo rastreada bajo  CVE-2023-24059 .

El desarrollador del truco North GTA Online eliminó estas características abusivas el 21 de enero y se disculpó por el caos que había causado.

"Se eliminó la cuenta de badsport/corrupt para los jugadores (mal juicio de mi parte por agregar este público)", se lee en un registro de cambios para el truco de North.

"Se eliminó tomar dinero del jugador (mal juicio de mi parte por agregar este público)".

Desafortunadamente, la reversión llega demasiado tarde, ya que el problema ya ha afectado a muchos jugadores.

Los foros de soporte de Rockstar Games se han visto  inundados  por informes de usuarios que afirman haber experimentado problemas con la cuenta desde el lanzamiento del truco.


No es seguro jugar en una PC

Si bien Rockstar Games aún no ha emitido un anuncio oficial sobre la situación, los desarrolladores y aquellos en este espacio afirman que el exploit es una falla de "ejecución remota parcial de código" y podría extenderse a violar no solo las cuentas de GTA Online sino también la seguridad de la computadora. ejecutando el juego.


Un usuario de Twitter, Tez2, que sigue de cerca a Rockstar Games,  afirmó  que los usuarios deberían evitar jugar sin una regla de firewall o, mejor aún, no jugarlo en absoluto.

Una solución temporal para las cuentas dañadas que parece haber funcionado para algunos jugadores es eliminar la carpeta "Rockstar Games" de la carpeta Documentos de Windows y luego volver a cargar el juego para actualizar los datos del perfil.

BleepingComputer no ha probado este método, así que proceda bajo su propio riesgo.

Speyedr, el desarrollador de una herramienta de firewall personalizada de GTA V llamada 'Guardian', advirtió que los atacantes están a punto de encontrar una ruta completa de ejecución remota de código para los exploits recién surgidos.

Sin embargo, Speyer advirtió que Guardian debe configurarse correctamente para proteger a los usuarios contra el exploit y recomienda que los usuarios de Windows no jueguen hasta que se solucione el error.

"Solo para tranquilizar a todos, Guardian todavía funciona, y este nuevo exploit no pasa por alto a Guardian",  tuiteó Speyedr .

SIN EMBARGO, la posibilidad de que cualquier usuario (especialmente los principiantes) configure Guardian incorrectamente de una manera que no los proteja es demasiado alta para una vulnerabilidad tan peligrosa".

BleepingComputer se ha puesto en contacto con Rockstar Games para comentar sobre estos problemas, pero todavía estamos esperando una respuesta del editor del juego.

Hasta que haya una solución oficial para los problemas de Rockstar Games, sería recomendable evitar iniciar el juego en la PC, especialmente si ha registrado un progreso significativo o ha gastado mucho dinero en él.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

GoTo (anteriormente LogMeIn) advierte a los clientes que los actores de amenazas que violaron su entorno de desarrollo en noviembre de 2022 robaron copias de seguridad cifradas que contenían información del cliente y una clave de cifrado para una parte de esos datos.

GoTo proporciona una plataforma para el trabajo, la colaboración y la comunicación remotos basados ​​en la nube, así como soluciones remotas de gestión de TI y soporte técnico.

En noviembre de 2022, la empresa reveló una brecha de seguridad en su entorno de desarrollo y un servicio de almacenamiento en la nube utilizado tanto por ellos como por su filial, LastPass.

En ese momento, el impacto en los datos del cliente aún no se conocía, ya que la investigación de la compañía sobre el incidente con la ayuda dela firma de seguridad cibernética Mandiant acababa de comenzar.

La investigación interna hasta el momento ha revelado que el incidente tuvo un impacto significativo en los clientes de GoTo.

Según una  notificación de incidente de seguridad de GoTo que  un lector compartió con BleepingComputer, el ataque afectó las copias de seguridad relacionadas con los niveles de productos Central y Pro almacenados en una instalación de almacenamiento en la nube de un tercero.

"Nuestra investigación hasta la fecha ha determinado que un actor de amenazas extrajo copias de seguridad cifradas relacionadas con Central y Pro de una instalación de almacenamiento en la nube de un tercero", se lee en el aviso a los clientes.


La información presente en las copias de seguridad exfiltradas incluye lo siguiente:

- Nombres de usuario de cuentas Central y Pro
- Contraseñas de cuentas Central y Pro (saladas y hash)
- Información de implementación y aprovisionamiento
- Scripts de uno a muchos (solo central)
- Información de autenticación multifactor
- Datos de licencias y compras, como correos electrónicos, números de teléfono, dirección de facturación y los últimos cuatro dígitos de números de tarjetas de crédito.

En respuesta a la situación, GoTo está restableciendo las contraseñas de Central y Pro para los clientes afectados y migra automáticamente las cuentas a la Plataforma de administración de identidad mejorada de GoTo.

Esta plataforma proporciona controles de seguridad adicionales que hacen que el acceso no autorizado a la cuenta o la adquisición sean mucho más desafiantes.

GoTo ha publicado una actualización del incidente que dice que se está comunicando directamente con los clientes afectados para ofrecer más detalles y recomendaciones sobre pasos prácticos para aumentar la seguridad de sus cuentas.

Si bien la compañía no ha compartido el tipo de encriptación utilizada para las copias de seguridad, si usaron encriptación asimétrica, como AES, entonces podría ser posible desencriptar las copias de seguridad usando la clave de encriptación robada.

La firma agrega que todavía no tiene evidencia de que los intrusos alguna vez hayan tenido acceso a sus sistemas de producción y dice que los ataques de intermediarios no podrían tener ningún impacto en los clientes porque el cifrado TLS 1.2 y la tecnología peer-to-peer son utilizado para evitar escuchas.

La investigación de GoTo sobre el incidente aún está en curso, y la compañía prometió actualizar a los clientes en caso de que surja algún hallazgo importante.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apple lanzó iOS 16.3 hoy con la esperada compatibilidad con claves de seguridad de hardware para brindar protección adicional contra ataques de phishing y acceso no autorizado a sus dispositivos.

Las llaves de seguridad de hardware son pequeños dispositivos físicos que se asemejan a unidades de memoria USB y admiten USB-C (usando un adaptador) o comunicación de campo cercano (NFC) para conectarse a una Mac o iPhone.

Estos dispositivos se pueden usar como un paso de verificación adicional cuando se usa la autenticación de dos factores para las ID de Apple en lugar del código de verificación normal de seis dígitos que se muestra en los dispositivos.

Dado que las claves de seguridad deben almacenarse en un llavero o billetera y deben estar en presencia de un dispositivo para autenticar un inicio de sesión, brinda una mayor protección contra los actores de amenazas que intentan iniciar sesión en su cuenta de forma remota.

Por ejemplo, los actores de amenazas comúnmente crean ataques de phishing que roban las credenciales de ID de Apple y los códigos de acceso de un solo uso enviados a través de verificaciones 2FA.

Sin embargo, una vez que se configura una ID de Apple con una clave de seguridad, incluso si un ataque de phishing avanzado puede robar sus credenciales, el atacante remoto no puede iniciar sesión porque no tiene acceso a su clave de seguridad de hardware.

Configurar una clave de seguridad en tu iPhone

Para usar una llave de seguridad con iOS, Apple requiere que tengas dos llaves: una contigo y otra guardada en casa o en la oficina como repuesto en caso de que pierdas una.

Para configurar la autenticación de clave de seguridad en un iPhone, vaya a  Configuración  >  Haga clic en su nombre  >  Contraseña y seguridad  > y luego seleccione   Agregar clave de seguridad .


Luego se le pedirá que se asegure de tener ambas llaves de seguridad listas y que agregue la primera sosteniendo la sección NFC dorada de su seguridad en la parte superior de su teléfono.

Una vez seleccionada la clave de seguridad, se le pedirá que vincule la segunda clave de seguridad.

Una vez que ambos estén vinculados, se le pedirá que revise la lista de dispositivos en los que su ID de Apple está actualmente conectado y si desea cerrar la sesión.

Cuando se complete el proceso de configuración, cada vez que necesite acceder a su ID de Apple, ya sea para instalar aplicaciones, realizar una compra o iniciar sesión en otro dispositivo, deberá presionar su clave de seguridad en la parte superior de su teléfono para completar dos -autenticación de factores.

BleepingComputer ha confirmado que la función funciona con YubiKey 5 NFC, YubiKey 5C NFC y Google Titan.

Apple dice que las llaves de seguridad YubiKey 5Ci y FEITAN ePass K9 NFC también son compatibles.

Si ya no desea utilizar una clave de seguridad, vuelva a la configuración Claves de seguridad y haga clic en  Quitar todas las claves de seguridad . Una vez que se eliminen las claves de seguridad, volverá automáticamente a los códigos de verificación de seis dígitos.

Puede consultar el artículo de soporte de Apple sobre esta función para obtener más información sobre el uso de llaves de seguridad con Apple iOS.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Meta Platforms anunció el lunes que ha comenzado a expandir las pruebas globales de cifrado de extremo a extremo ( E2EE ) en los chats de Messenger de forma predeterminada.

"Durante los próximos meses, más personas seguirán viendo que algunos de sus chats se actualizan gradualmente con una capa adicional de protección proporcionada por el cifrado de extremo a extremo", dijo Melissa Miranda de Meta .

El gigante de las redes sociales dijo que tiene la intención de notificar a los usuarios en hilos de chat individuales seleccionados cuando la función de seguridad esté habilitada, al tiempo que enfatiza que el proceso de elegir y actualizar las conversaciones para admitir E2EE es aleatorio.

"Está diseñado para ser aleatorio para que no haya un impacto negativo en nuestra infraestructura y la experiencia de chat de las personas", explicó Miranda.

Además de activar E2EE, Meta también agregó más funciones a su experiencia de chat encriptado, incluida la compatibilidad con temas, emojis y reacciones personalizados, fotos de perfil de grupo, vistas previas de enlaces y estado activo.

El último desarrollo llega poco más de cinco meses después de que comenzó a probarse oficialmente. la función como predeterminada en agosto de 2022. Sin embargo, vale la pena señalar que E2EE se habilitó como opción hace casi siete años en forma de " conversaciones secretas " . "

En comparación, WhatsApp ya tiene E2EE habilitado de fábrica, e Instagram permite a los usuarios activar E2EE para conversaciones individuales .

La configuración de seguridad también es parte de la más amplia "La configuración de seguridad también es parte de la " visión centrada en la privacidad para las redes sociales , que espera implementar en Messenger e Instagram en algún momento de este año después de tomarse un tiempo adicional para " hacer esto bien ".

El movimiento llega además en medio de un impulso más amplio de los gigantes tecnológicos para incorporar opciones de cifrado en sus servicios. Google, el mes pasado, presentó E2EE para chats grupales con hasta 100 usuarios en su aplicación de mensajes basada en RCS para Android. La función está actualmente limitada a la versión beta.

Apple, en un movimiento similar, presentó una opción de Protección de datos avanzada para iOS, iPadOS y macOS que permite realizar copias de seguridad de datos cifrados de extremo a extremo en su servicio iCloud. Actualmente se está trabajando en una función de chat encriptado para mensajes directos de Twitter.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La operación de malware Emotet ha seguido refinando sus tácticas en un esfuerzo por pasar desapercibido, al mismo tiempo que actúa como conducto para otro malware peligroso como Bumblebee e IcedID.

Emotet, que resurgió oficialmente a fines de 2021 luego de un desmantelamiento coordinado de su infraestructura por parte de las autoridades a principios de ese año, ha seguido siendo una amenaza persistente que se distribuye a través de correos electrónicos de phishing.

Atribuido a un grupo de ciberdelincuencia rastreado como TA542 (también conocido como Gold Crestwood o Mummy Spider), el virus ha evolucionado de un troyano bancario a un distribuidor de malware desde su primera aparición en 2014.

El malware como servicio (MaaS) también es modular, capaz de implementar una variedad de componentes propietarios y gratuitos que pueden filtrar información confidencial de las máquinas comprometidas y llevar a cabo otras actividades posteriores a la explotación.

Las dos últimas incorporaciones al arsenal de módulos de Emotet comprenden un esparcidor SMB que está diseñado para facilitar el movimiento lateral utilizando una lista de nombres de usuario y contraseñas codificados, y un ladrón de tarjetas de crédito que apunta al navegador web Chrome.

Campañas recientes que involucran a la botnet han aprovechado señuelos genéricos con archivos adjuntos armados para iniciar la cadena de ataque. Pero con las macros convirtiéndose en un método obsoleto de distribución de carga útil e infección inicial, los ataques se han aferrado a otros métodos para colar a Emotet más allá de las herramientas de detección de malware.


"Con la última ola de correos electrónicos no deseados de Emotet, los archivos .XLS adjuntos tienen un nuevo método para engañar a los usuarios para que permitan que las macros descarguen el cuentagotas", reveló BlackBerry en un informe publicado la semana pasada. "Además de esto, las nuevas variantes de Emotet ahora se han movido de 32 bits a 64 bits, como otro método para evadir la detección".

El método consiste en indicar a las víctimas que muevan los archivos de Microsoft Excel señuelo a la carpeta Plantillas de Office predeterminada en Windows, una ubicación en la que confía el sistema operativo, para ejecutar macros maliciosas incrustadas en los documentos para entregar Emotet.

El desarrollo apunta a los constantes intentos de Emotet de reorganizarse y propagar otro malware, como Bumblebee e IcedID .

"Con su evolución constante durante los últimos ocho años, Emotet se ha vuelto cada vez más sofisticado en términos de tácticas de evasión; ha agregado módulos adicionales en un esfuerzo por propagarse aún más y ahora está propagando malware a través de campañas de phishing", dijo el canadiense. dijo la firma de ciberseguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Xubuntu 23.04 puede ser un punto de inflexión para el miembro de la familia Ubuntu que usa Xfce como escritorio. Además de preinstalar PipeWire y Flatpak, la próxima versión del sistema ha aprobado la creación de una imagen mínima que será puesta a disposición a partir del lanzamiento de Ubuntu 23.04.

Dicho de manera menos técnica, a partir del lanzamiento de Xubuntu 23.04 habrá una imagen adicional del mismo sistema llamada "Xubuntu Minimal", la cual tendrá como objetivo, según ha explicado Steve Langasek en la lista de correo de los desarrolladores de Ubuntu, "proporcionar una huella de instalación más pequeña sin aplicaciones que los desarrolladores quieren instalar como parte de la experiencia predeterminada, pero que no son esenciales."

"A diferencia de Ubuntu Desktop y Ubuntu Server, se entrega como una imagen separada para soportar adicionalmente medios de instalación más pequeños (específicamente, está diseñado para caber en un CD-ROM clásico)". Llegados a este punto, posiblemente algunos hayan recordado a Xubuntu Core, una iniciativa que tuvo el propósito de servir una versión más reducida del sistema y que cupiese en un CD-ROM de 600 megabytes. El uso de discos ópticos ha caído mucho con el paso de los años, pero eso no quita que esta variante pueda ser de utilidad en algunos contextos en los que es mejor tener a raya el uso de los recursos de los que dispone el ordenador (al menos en lo que respecta al espacio en disco).

Como no podía ser de otra forma, Xubuntu Minimal se distribuirá a través de un medio separado y la intención es que use el instalador Ubiquity y no requiera de conexión a Internet para llevar a cabo el proceso. En comparación con la opción de 'xubuntu-minimal' presente en los actuales medios de instalación destaca por no instalar todo para luego eliminar lo que no resulta necesario.

Si el objetivo es hacer que Xubuntu Minimal quepa en un CD estándar, su imagen ISO no debería de ocupar más de 700 megabytes. Eso supondría una enorme reducción frente a la actual imagen ISO oficial, que ocupa 2,8GB.

Veremos qué aporta realmente Xubuntu Minimal cuando empiece a ser distribuido con la versión 23.04 de la distribución. Por ahora resulta una interesante propuesta para aquellos que quieran partir de una base más limpia, con un menor uso de recursos (repetimos, al menos en espacio en disco) y sin renunciar a una instalación fácil.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El marco legítimo de comando y control (C2) conocido como Sliver está ganando más tracción de los actores de amenazas a medida que emerge como una alternativa de código abierto a Cobalt Strike y Metasploit.

Los hallazgos provienen de Cybereason, que detalló su funcionamiento interno en un análisis exhaustivo la semana pasada.

Sliver, desarrollado por la empresa de seguridad cibernética BishopFox, es un marco de post-explotación multiplataforma basado en Golang que está diseñado para ser utilizado por profesionales de seguridad en sus operaciones de equipo rojo.

Sus innumerables características para la simulación de adversarios, incluida la generación de código dinámico, la ejecución de carga útil en memoria y la inyección de procesos, también la han convertido en una herramienta atractiva para los actores de amenazas que buscan obtener un acceso elevado al sistema de destino al obtener un punto de apoyo inicial.


En otras palabras, el software se usa como una segunda etapa para realizar los siguientes pasos de la cadena de ataque después de comprometer una máquina usando uno de los vectores de intrusión iniciales, como el phishing o la explotación de fallas sin parchear.

"El implante Silver C2 se ejecuta en la estación de trabajo como carga útil de la etapa dos, y desde [el] servidor Sliver C2 obtenemos una sesión de shell", dijeron los investigadores de Cybereason Loïc Castel y Meroujan Antonyan. "Esta sesión proporciona múltiples métodos para ejecutar comandos y otros scripts o archivos binarios".

Una secuencia de ataque hipotética detallada por la compañía de ciberseguridad israelí muestra que Sliver podría aprovecharse para la escalada de privilegios, seguido por el robo de credenciales y el movimiento lateral para finalmente hacerse cargo del controlador de dominio para la exfiltración de datos confidenciales.

Sliver ha sido armado en los últimos años por el grupo APT29 vinculado a Rusia (también conocido como Cozy Bear), así como por operadores de delitos cibernéticos como Shathak (también conocido como TA551) y Exotic Lily (también conocido como Projector Libra), el último de los cuales se atribuye al cargador de malware Bumblebee.


Dicho esto, Sliver está lejos de ser el único marco de código abierto que se explota con fines maliciosos. El mes pasado, Qualys reveló cómo varios grupos de piratería, incluidos Turla , Vice Society y Wizard Spider , han utilizado Empire para la explotación posterior y para expandir su posición en los entornos de las víctimas.

"Empire es un marco de trabajo posterior a la explotación impresionante con capacidades expansivas", dijo Akshat Pradhan, investigador de seguridad de Qualys. "Esto ha llevado a que se convierta en un juego de herramientas favorito frecuente de varios adversarios".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se abusa de las invitaciones de Google Ads para enviar mensajes de correo electrónico que promocionan spam y sitios web de sexo a usuarios que, de otro modo, no necesariamente utilizan las plataformas de publicidad de Google.

La plataforma Google Ads permite a los anunciantes crear campañas publicitarias en los sitios web de los socios editores y en los resultados de búsqueda de Google.

La campaña generalizada vista recientemente involucra a actores de amenazas que utilizan la interfaz de administración de Google Ads para enviar invitaciones masivas por correo electrónico que, provenientes de Google, eluden los filtros de spam de los destinatarios.

¡Cuidado con esa invitación!

Los usuarios de todo el mundo informan que reciben correos electrónicos de cuentas auténticas de Google Ads que les llaman la atención.

Estos correos electrónicos de invitación falsos, enviados desde los servidores de Google, atraen a los usuarios a visitar enlaces de spam contenidos en el mensaje de correo electrónico.


"El correo se envía desde la dirección oficial de Google 'Google Ads You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login'", escribe Redditor  erohtar .

"Hace unas semanas, mi jefe me dio acceso a la cuenta de Google Ads de la empresa, así que estoy familiarizado con este correo electrónico. Es legítimo, en realidad lo envió Google, y ME DARÁ acceso a la cuenta de Google Ads del estafador".

Muchos otros informaron haber recibido correos electrónicos idénticos que los frustraron:

"He estado tirando a la basura los correos electrónicos, pero sería bueno que Google controlara sus productos para que sus usuarios no tengan que protegerse constantemente contra las estafas de phishing", comentó  Brandon en un hilo del foro de la comunidad de Google iniciado por otra persona afectada. .


Los sitios web promueven contenido para adultos

Los administradores de cuentas de Google Ads pueden usar la función " invitaciones " para agregar nuevos usuarios a la interfaz de administración de la cuenta a través de invitaciones por correo electrónico.

Pero, parece que los actores de amenazas inteligentes han encontrado una vez más una manera de hacer un mal uso de la función para sus actividades nefastas.

Las URL contenidas en estos correos electrónicos de invitación finalmente redirigieron a los usuarios a sitios web dudosos que promocionan sitios de citas para adultos, y muchos parecen estar diseñados para recopilar información personal de los visitantes.

Puede ser tentador denunciar estos correos electrónicos como spam o phishing, pero esa no es la solución. Si lo hace, también puede bloquear los correos electrónicos legítimos que se envían desde Google.

Para comprender mejor el problema y cómo Google planea solucionarlo, BleepingComputer envió un correo electrónico a Google mucho antes de la publicación. Un portavoz reconoció nuestra solicitud y estamos esperando más respuesta.

Mientras tanto, los usuarios deben estar atentos y abstenerse de hacer clic en enlaces o archivos adjuntos dentro de los correos electrónicos, incluso si estos correos electrónicos parecen ser o de hecho se originan en servidores auténticos de Google.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft está trabajando para agregar la protección del complemento XLL para los clientes de Microsoft 365 al incluir el bloqueo automático de todos los archivos descargados de Internet.

Esto ayudará a abordar el aumento de las campañas de malware que abusan de este vector de infección en un grado cada vez mayor durante los últimos años.

"Para combatir el creciente número de ataques de malware en los últimos meses, estamos implementando medidas que bloquearán los complementos XLL provenientes de Internet", dice Redmond .

Microsoft dice que la nueva función estará disponible para usuarios múltiples en todo el mundo en marzo para usuarios de escritorio en los canales empresarial actual, mensual y semestral.

Los archivos XLL de Excel son bibliotecas de vínculos dinámicos (DLL) que se utilizan para ampliar la funcionalidad de Microsoft Excel al proporcionar funciones adicionales, como funciones personalizadas, cuadros de diálogo y barras de herramientas.

Los atacantes están utilizando complementos XLL en campañas de phishing para impulsar varias cargas maliciosas en forma de enlaces de descarga o archivos adjuntos camuflados como documentos de entidades confiables, como socios comerciales, o como solicitudes de publicidad falsas, guías de regalos navideños y promociones de sitios web.

Una vez que el objetivo haga doble clic en un archivo XLL sin firmar para abrirlo, se le advertirá de "un posible contenido de seguridad", que "los complementos pueden contener virus u otros riesgos de seguridad" y se le pedirá que habilite el complemento para el sesión actual.

Si el complemento está activado (y muchas personas ignoran las alertas de Office sin mirarlas dos veces), también implementará una carga útil de malware en el dispositivo de la víctima en segundo plano.

Como los archivos XLL son ejecutables y los atacantes pueden usarlos para ejecutar código malicioso en su computadora, solo debe abrir uno si está 100% seguro de que proviene de una fuente confiable.

Además, dichos archivos generalmente no se envían como archivos adjuntos de correo electrónico, sino que los instala un administrador de Windows. Por lo tanto, si recibe un correo electrónico o cualquier otro mensaje que incluya dichos archivos, elimínelo y repórtelo como correo no deseado.


Como dijo Cisco Talos en un informe de enero, los XLL ahora son utilizados tanto por atacantes motivados financieramente como por grupos de amenazas respaldados por el estado ( APT10 , FIN7 , Donot , TA410 ) como un vector de infección para entregar cargas útiles de primera etapa en los dispositivos de sus objetivos. .

"Incluso si los complementos XLL existieron durante algún tiempo, no pudimos detectar su uso por parte de actores maliciosos hasta mediados de 2017, cuando algunos grupos de APT comenzaron a usarlos para implementar una puerta trasera completamente funcional", dijo Cisco Talos.

"También identificamos que su uso aumentó significativamente en los últimos dos años a medida que más familias de malware básico adoptaron XLL como su vector de infección".

Hace un año, el equipo de analistas de amenazas de HP informó haber visto un "aumento de casi seis veces en los atacantes que utilizan complementos de Excel (.XLL)" como parte de su informe Threat Insights Report Q4 2021.


Esto es parte de un esfuerzo más amplio para evitar que los actores de amenazas usen documentos maliciosos de Office para entregar e instalar malware en las computadoras de sus objetivos.

Desde julio de 2022, Microsoft dijo que las macros de Office VBA se bloquearían automáticamente en los documentos de Office descargados, lo que dificultaría su activación en los documentos descargados de Internet en varias aplicaciones de Office (Access, Excel, PowerPoint, Visio y Word).

En marzo de 2021, la empresa agregó la protección de macros XLM en M365 al expandir la defensa en tiempo de ejecución proporcionada por la integración de Office 365 con la interfaz de análisis antimalware (AMSI) para incluir el análisis de macros de Excel 4.0 (XLM).

Redmond comenzó a deshabilitar las macros de Excel 4.0 (XLM) de forma predeterminada cuando se abrieron en los inquilinos de Microsoft 365 en enero de 2021.

Años antes, en 2018 , Microsoft también amplió el soporte de AMSI a las aplicaciones de Office 365 para defender a los clientes de los ataques mediante macros de VBA.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El grupo de espionaje cibernético patrocinado por el estado ruso conocido como Gamaredon ha continuado su embestida digital contra Ucrania, con ataques recientes aprovechando la popular aplicación de mensajería Telegram para atacar a los sectores militares y policiales en el país.

"La infraestructura de red del grupo Gamaredon se basa en cuentas de Telegram de múltiples etapas para la creación de perfiles de víctimas y la confirmación de la ubicación geográfica, y finalmente lleva a la víctima al servidor de la siguiente etapa para la carga útil final", dijo el equipo de investigación e inteligencia de BlackBerry en un informe compartido . con las noticias del hacker. "Este tipo de técnica para infectar sistemas objetivo es nueva".

Gamaredon , también conocido por nombres como Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa y Winterflounder, es conocido por sus ataques dirigidos a entidades ucranianas desde al menos 2013.

El mes pasado, la Unidad 42 de Palo Alto Networks reveló los intentos fallidos del actor de amenazas de ingresar a una compañía de refinación de petróleo no identificada dentro de un estado miembro de la OTAN en medio de la guerra ruso-ucraniana.

Las cadenas de ataque montadas por el actor de amenazas han empleado documentos legítimos de Microsoft Office que se originaron en organizaciones gubernamentales ucranianas como señuelos en correos electrónicos de phishing para entregar malware capaz de recopilar información confidencial.

Estos documentos, cuando se abren, cargan una plantilla maliciosa desde una fuente remota (una técnica llamada inyección de plantilla remota), eludiendo de manera efectiva la necesidad de habilitar macros para violar los sistemas de destino y propagar la infección.

Los últimos hallazgos de BlackBerry demuestran una evolución en las tácticas del grupo, en las que se utiliza un canal de Telegram codificado para obtener la dirección IP del servidor que aloja el malware. Las direcciones IP se rotan periódicamente para pasar desapercibidas.

Con ese fin, la plantilla remota está diseñada para obtener una secuencia de comandos de VBA, que suelta un archivo VBScript que luego se conecta a la dirección IP especificada en el canal de Telegram para obtener la siguiente etapa: una secuencia de comandos de PowerShell que, a su vez, llega a una dirección IP diferente para obtener un archivo PHP.

Este archivo PHP tiene la tarea de ponerse en contacto con otro canal de Telegram para recuperar una tercera dirección IP que contiene la carga útil final, que es un malware de robo de información que Cisco Talos reveló previamente en septiembre de 2022.

También vale la pena señalar que la secuencia de comandos de VBA, muy ofuscada, solo se entrega si la dirección IP del objetivo se encuentra en Ucrania.

"El grupo de amenazas cambia las direcciones IP dinámicamente, lo que hace que sea aún más difícil automatizar el análisis a través de técnicas de sandbox una vez que la muestra ha caducado", señaló BlackBerry.

"El hecho de que las direcciones IP sospechosas cambien solo durante el horario laboral de Europa del Este sugiere fuertemente que el actor de amenazas trabaja desde una ubicación y con toda probabilidad pertenece a una unidad cibernética ofensiva que despliega operaciones maliciosas contra Ucrania".

El desarrollo se produce cuando el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) atribuyó un ataque de malware destructivo dirigido a la Agencia Nacional de Noticias de Ucrania al grupo de piratería Sandworm vinculado a Rusia.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado que los actores de amenazas asociados con la campaña de ataque Roaming Mantis entregan una variante actualizada de su malware móvil patentado conocido como Wroba para infiltrarse en los enrutadores Wi-Fi y llevar a cabo el secuestro del Sistema de Nombres de Dominio ( DNS ).

Kaspersky, que llevó a cabo un análisis del artefacto malicioso, dijo que la función está diseñada para apuntar a enrutadores Wi-Fi específicos ubicados en Corea del Sur.

Roaming Mantis, también conocido como Shaoye, es una operación de motivación financiera de larga duración que selecciona a los usuarios de teléfonos inteligentes Android con malware capaz de robar credenciales de cuentas bancarias y recopilar otros tipos de información confidencial.

Aunque se centró principalmente en la región asiática desde 2018, se detectó que el equipo de piratería expandía su rango de víctimas para incluir a Francia y Alemania por primera vez a principios de 2022 al camuflar el malware como la aplicación del navegador web Google Chrome.

Los ataques aprovechan los mensajes de smishing como el vector de intrusión inicial de elección para entregar una URL trampa que ofrece un APK malicioso o redirige a la víctima a páginas de phishing basadas en el sistema operativo instalado en los dispositivos móviles.


Alternativamente, algunos compromisos también han aprovechado los enrutadores de Wi-Fi como un medio para llevar a los usuarios desprevenidos a una página de destino falsa mediante el uso de una técnica llamada secuestro de DNS , en la que las consultas de DNS se manipulan para redirigir a los objetivos a sitios falsos.

Independientemente del método utilizado, las intrusiones allanan el camino para la implementación de un malware denominado Wroba (también conocido como MoqHao y XLoader) que está equipado para llevar a cabo una gran cantidad de actividades nefastas.

La última actualización de Wroba, según la compañía rusa de ciberseguridad, incluye una función de cambio de DNS que está diseñada para detectar ciertos enrutadores en función de sus números de modelo y envenenar su configuración de DNS.

"La nueva funcionalidad de cambiador de DNS puede administrar todas las comunicaciones de los dispositivos que utilizan el enrutador Wi-Fi comprometido, como redirigir a hosts maliciosos y deshabilitar las actualizaciones de los productos de seguridad", dijo el investigador de Kaspersky Suguru Ishimaru.

La idea subyacente es hacer que los dispositivos conectados al enrutador Wi-Fi violado sean redirigidos a páginas web controladas por el actor de amenazas para una mayor explotación. Dado que algunas de estas páginas entregan el malware Wroba, la cadena de ataque crea efectivamente un flujo constante de "bots" que pueden convertirse en armas para entrar en enrutadores Wi-Fi saludables.

Es notable que el programa de cambio de DNS se use exclusivamente en Corea del Sur. Sin embargo, el malware Wroba en sí mismo ha sido detectado atacando a víctimas en Austria, Francia, Alemania, India, Japón, Malasia, Taiwán, Turquía y EE. UU. a través de smishing.

Wroba está lejos de ser el único malware móvil existente con funciones de secuestro de DNS. En 2016, Kaspersky desenmascaró otro troyano de Android con nombre en código Switcher que ataca el enrutador inalámbrico a cuya red está conectado el dispositivo infectado y realiza un ataque de fuerza bruta con el objetivo de alterar las configuraciones de DNS.

"Los usuarios con dispositivos Android infectados que se conectan a redes Wi-Fi gratuitas o públicas pueden propagar el malware a otros dispositivos en la red si la red Wi-Fi a la que están conectados es vulnerable", dijo el investigador.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de seguridad de la empresa de seguridad cibernética HUMAN interrumpieron una operación masiva de fraude publicitario denominada 'Vastflux' que falsificó más de 1700 aplicaciones de 120 editores, principalmente para iOS.

El nombre de la operación se derivó de la plantilla de publicación de anuncios VAST y la técnica de evasión de "flujo rápido" utilizada para ocultar código malicioso al cambiar rápidamente una gran cantidad de direcciones IP y registros DNS asociados con un solo dominio.

Según el informe de HUMAN, Vastflux generó más de 12 mil millones de solicitudes de ofertas por día en su punto máximo e impactó a casi 11 millones de dispositivos, muchos en el ecosistema iOS de Apple.

Detalles de gran flujo

El equipo de investigación de HUMAN (Satori) descubrió Vastflux mientras investigaba un esquema de fraude publicitario por separado. Se dieron cuenta de que una aplicación estaba generando una cantidad inusualmente grande de solicitudes con diferentes ID de aplicación.

Mediante ingeniería inversa del JavaScript ofuscado que operaba en la aplicación, el equipo de Satori descubrió la dirección IP del servidor de comando y control (C2) con el que se estaba comunicando y los comandos que generaba anuncios que enviaba.

"Lo que el equipo armó fue una operación de publicidad maliciosa expansiva en la que los malos actores inyectaron JavaScript en las creatividades publicitarias que emitieron, y luego apilaron un montón de reproductores de video uno encima del otro, cobrando por todos los anuncios cuando ninguno de ellos eran visibles para la persona que usaba el dispositivo". - HUMANO

Vastflux generó ofertas para mostrar banners publicitarios en la aplicación. Si ganaba, colocaba una imagen de banner estática y le inyectaba JavaScript ofuscado.

Los scripts inyectados se pusieron en contacto con el servidor C2 para recibir una carga útil de configuración cifrada, que incluía instrucciones sobre la posición, el tamaño y el tipo de anuncios que se mostrarían, así como datos para suplantar las ID reales de aplicaciones y editores.

Vastflux apiló hasta 25 anuncios de video uno encima del otro, todos generando ingresos por visualización de anuncios, pero ninguno de ellos era visible para el usuario ya que se mostraban detrás de la ventana activa.


Para evadir la detección, Vastflux omitió el uso de etiquetas de verificación de anuncios, lo que permite a los especialistas en marketing generar métricas de rendimiento. Al evitarlos, el esquema se hizo invisible para la mayoría de los rastreadores de rendimiento de anuncios de terceros.

Eliminación de Vastflux

Después de mapear la infraestructura para la operación de Vasstflux, HUMAN lanzó tres oleadas de acciones específicas entre junio y julio de 2022, involucrando a clientes, socios y las marcas falsificadas, cada una de las cuales asestó un golpe a la actividad fraudulenta.

Eventualmente, Vastflux desconectó sus servidores C2 por un tiempo y redujo sus operaciones, y el 6 de diciembre de 2022, las ofertas de anuncios se redujeron a cero por primera vez.


Si bien el fraude publicitario no tiene un impacto malicioso para los usuarios de la aplicación, provoca caídas en el rendimiento del dispositivo, aumenta el uso de la batería y los datos de Internet, e incluso puede provocar el sobrecalentamiento del dispositivo.

Los anteriores son signos comunes de infecciones de adware o fraude publicitario en el dispositivo, y los usuarios deben tratarlos con sospecha y tratar de identificar las aplicaciones que representan la mayor parte del consumo de recursos.

Los anuncios de video consumen mucha más energía que los anuncios estáticos, y múltiples reproductores de video ocultos no son fáciles de ocultar de los monitores de rendimiento, por lo que es crucial estar siempre atento a los procesos en ejecución y buscar signos de problemas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los atacantes ahora usan archivos adjuntos de OneNote en correos electrónicos de phishing que infectan a las víctimas con malware de acceso remoto que se puede usar para instalar más malware, robar contraseñas o incluso billeteras de criptomonedas.

Esto ocurre después de que los atacantes hayan estado distribuyendo malware en correos electrónicos utilizando archivos adjuntos maliciosos de Word y Excel que ejecutan macros para descargar e instalar malware durante años.

Sin embargo, en julio, Microsoft finalmente deshabilitó las macros de forma predeterminada en los documentos de Office, lo que hizo que este método no fuera confiable para distribuir malware.

Poco después, los actores de amenazas comenzaron a utilizar nuevos formatos de archivo, como imágenes ISO y archivos ZIP protegidos con contraseña. Estos formatos de archivo pronto se volvieron extremadamente comunes, con la ayuda de un error de Windows que permitía a los ISO eludir las advertencias de seguridad y la popular utilidad de archivo 7-Zip que no propagaba las marcas de marca de la web a los archivos extraídos de los archivos ZIP.

Sin embargo, tanto 7-Zip como Windows corrigieron recientemente estos errores que causaban que Windows mostrara alarmantes advertencias de seguridad cuando un usuario intentaba abrir archivos en archivos ISO y ZIP descargados.


Para no desanimarse, los actores de amenazas cambiaron rápidamente a usar un nuevo formato de archivo en sus archivos adjuntos de spam malicioso (malspam): archivos adjuntos de Microsoft OneNote.

Abusar de los archivos adjuntos de OneNote

Microsoft OneNote es una aplicación de cuaderno digital de escritorio que se puede descargar de forma gratuita y está incluida en Microsoft Office 2019 y Microsoft 365.

Como Microsoft OneNote se instala de manera predeterminada en todas las instalaciones de Microsoft Office/365, incluso si un usuario de Windows no usa la aplicación, todavía está disponible para abrir el formato de archivo.

Desde mediados de diciembre, los investigadores de ciberseguridad advirtieron que los actores de amenazas habían comenzado a distribuir correos electrónicos no deseados maliciosos que contenían archivos adjuntos de OneNote .

A partir de muestras encontradas por BleepingComputer, estos correos electrónicos maliciosos pretenden ser notificaciones de envío de DHL, facturas, formularios de envío de ACH, dibujos mecánicos y documentos de envío.


A diferencia de Word y Excel, OneNote no admite macros, que es como los actores de amenazas lanzaban previamente scripts para instalar malware.

En cambio, OneNote permite a los usuarios insertar archivos adjuntos en un cuaderno que, al hacer doble clic, iniciará el archivo adjunto.

Los actores de amenazas abusan de esta función al adjuntar archivos adjuntos VBS maliciosos que inician automáticamente el script cuando se hace doble clic para descargar malware desde un sitio remoto e instalarlo.

Sin embargo, los archivos adjuntos se ven como el ícono de un archivo en OneNote, por lo que los actores de amenazas superponen una gran barra de 'Doble clic para ver el archivo' sobre los archivos adjuntos VBS insertados para ocultarlos.


Cuando mueve la barra Haga clic para ver documento fuera del camino, puede ver que el archivo adjunto malicioso incluye varios archivos adjuntos. Esta fila de archivos adjuntos hace que si un usuario hace doble clic en cualquier lugar de la barra, hará doble clic en el archivo adjunto para iniciarlo.


Afortunadamente, al iniciar los archivos adjuntos de OneNote, el programa le advierte que hacerlo puede dañar su computadora y sus datos.

Pero, lamentablemente, la historia nos ha demostrado que este tipo de avisos suelen ignorarse y los usuarios simplemente hacen clic en el botón Aceptar.


Al hacer clic en el botón Aceptar, se iniciará el script VBS para descargar e instalar malware. Como puede ver en uno de los archivos VBS maliciosos de OneNote encontrados por BleepingComputer, el script descargará y ejecutará dos archivos desde un servidor remoto.

El primero que se muestra a continuación es un documento señuelo de OneNote que se abre y se ve como el documento que esperaba. Sin embargo, el archivo VBS también ejecutará un archivo por lotes malicioso en segundo plano para instalar malware en el dispositivo.


En los correos electrónicos maliciosos vistos por BleepingComputer, los archivos de OneNote instalan troyanos de acceso remoto que incluyen funcionalidad para robar información.

El investigador de ciberseguridad James confirmó esto y le dijo a BleepingComputer que los archivos adjuntos de OneNote que analizó instalaron los troyanos de acceso remoto AsyncRAT y XWorm.


Un archivo adjunto de OneNote visto por BleepingComputer instala lo que se detecta como el troyano Quasar Remote Access.

Protección contra estas amenazas

Una vez instalado, este tipo de malware permite a los actores de amenazas acceder de forma remota al dispositivo de la víctima para robar archivos, guardar contraseñas del navegador, tomar capturas de pantalla y, en algunos casos, incluso grabar videos usando cámaras web.

Los actores de amenazas también suelen usar troyanos de acceso remoto para robar billeteras de criptomonedas de los dispositivos de las víctimas, lo que hace que esta sea una infección costosa.

La mejor manera de protegerse de los archivos adjuntos maliciosos es simplemente no abrir archivos de personas que no conoce. Sin embargo, si abre un archivo por error, no ignore las advertencias que muestra el sistema operativo o la aplicación.

Si ve una advertencia de que abrir un archivo adjunto o enlace podría dañar su computadora o sus archivos, simplemente no presione Aceptar y cierre la aplicación.

Si cree que puede ser un correo electrónico legítimo, compártalo con un administrador de seguridad o de Windows para que lo ayude a verificar si el archivo es seguro.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login