Un actor de amenazas con motivación financiera rastreado como Blind Eagle ha resurgido con un conjunto de herramientas refinado y una cadena de infección elaborada como parte de sus ataques dirigidos a organizaciones en Colombia y Ecuador.

La última investigación de Check Point ofrece nuevos conocimientos sobre las tácticas y técnicas del grupo de habla hispana, incluido el uso de herramientas sofisticadas y señuelos con temas gubernamentales para activar la cadena de muerte.

También rastreado bajo el nombre APT-C-36, Blind Eagle se destaca por su enfoque geográfico estrecho y por lanzar ataques indiscriminados contra naciones sudamericanas desde al menos 2018.

Las operaciones de Blind Eagle fueron documentadas por Trend Micro en septiembre de 2021, cuando describió una campaña de phishing dirigido principalmente a entidades colombianas que está diseñada para entregar un malware conocido como BitRAT , con un enfoque menor hacia objetivos en Ecuador, España y Panamá.

Las cadenas de ataque comienzan con correos electrónicos de phishing que contienen un enlace con una trampa explosiva que, cuando se hace clic, conduce al despliegue de un troyano de código abierto llamado Quasar RAT con el objetivo final de obtener acceso a las cuentas bancarias de la víctima.

Algunos de los bancos objetivo son Banco AV Villas, Banco Caja Social, Banco de Bogotá, Banco Popular, Bancoomeva, BBVA, Colpatria, Davivienda y TransUnion.


Si el destinatario del correo electrónico se encuentra fuera de Colombia, la secuencia de ataque se cancela y la víctima es redirigida al sitio web oficial de la agencia de control fronterizo de Colombia, Migración Colombia.

Una campaña relacionada que destaca tanto a Colombia como a Ecuador se hace pasar por el Servicio de Impuestos Internos (SRI) de este último y utiliza una tecnología de bloqueo geográfico similar para filtrar las solicitudes que se originan en otros países.

Este ataque, en lugar de lanzar un malware RAT, emplea un proceso de múltiples etapas más complejo que abusa del binario legítimo mshta.exe para ejecutar VBScript incrustado dentro de un archivo HTML para finalmente descargar dos scripts de Python.

El primero de los dos, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, es un cargador en memoria diseñado para ejecutar una carga útil de Meterpreter en formato DLL. You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login también es un artefacto de Meterpreter, solo que está programado en Python, lo que indica que el actor de amenazas podría estar usando uno de ellos como un método redundante para retener el acceso de puerta trasera al host.

"Blind Eagle es un pájaro extraño entre los grupos APT", concluyeron los investigadores. "A juzgar por su conjunto de herramientas y operaciones habituales, claramente está más interesado en el delito cibernético y las ganancias monetarias que en el espionaje".

El desarrollo se produce días después de que Qualys revelara que un adversario desconocido está aprovechando la información personal robada de un banco cooperativo colombiano para crear correos electrónicos de phishing que resultan en el despliegue de BitRAT.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mi estimado @AXCESS gracias por sus buenos deseos y no detenga esa gran imaginación con la que nos agasaja en cada post, saludos a su minino.

Que este año sea un año de mucha abundancia, paz y salud para todos los que pertenecemos a esta hermosa y aguerrida comunidad.


¡Felices fiestas, Hail Underc0de!

Google anunció el martes la disponibilidad de código abierto de OSV-Scanner , un escáner que tiene como objetivo ofrecer un fácil acceso a la información de vulnerabilidad sobre varios proyectos.

La herramienta basada en Go , impulsada por la base de datos de vulnerabilidades de código abierto ( OSV ), está diseñada para conectar "la lista de dependencias de un proyecto con las vulnerabilidades que las afectan", dijo el ingeniero de software de Google, Rex Pan, en una publicación compartida con The Hacker News.

"OSV-Scanner genera información de vulnerabilidad confiable y de alta calidad que cierra la brecha entre la lista de paquetes de un desarrollador y la información en las bases de datos de vulnerabilidad", agregó Pan.

La idea es identificar todas las dependencias transitivas de un proyecto y resaltar las vulnerabilidades relevantes utilizando datos extraídos de la base de datos You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Google declaró además que la plataforma de código abierto admite 16 ecosistemas, contando todos los principales idiomas, distribuciones de Linux (Debian y Alpine), así como Android, Linux Kernel y OSS- Fuzz .


El resultado de esta expansión es que You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login es un repositorio de más de 38 000 avisos, frente a las 15 000 alertas de seguridad de hace un año, con Linux (27,4 %), Debian (23,2 %), PyPI (9,5 %), Alpine (7,9 %) y npm (7,1 %) ocupando los cinco primeros lugares.

En cuanto a los próximos pasos, el gigante de Internet señaló que está trabajando para incorporar soporte para fallas de C/C++ mediante la creación de una "base de datos de alta calidad" que implica agregar "metadatos de nivel de confirmación precisos a CVE".


OSV-Scanner llega casi dos meses después de que Google lanzara GUAC , abreviatura de Graph for Understanding Artifact Composition, para complementar los niveles de cadena de suministro para artefactos de software ( SLSA o "salsa") como parte de sus esfuerzos para fortalecer la seguridad de la cadena de suministro de software .

La semana pasada, Google también publicó un nuevo informe " Perspectivas sobre la seguridad " en el que se pide a las organizaciones que desarrollen e implementen un marco SLSA común para evitar la manipulación, mejorar la integridad y proteger los paquetes contra amenazas potenciales.

Otras recomendaciones presentadas por la empresa incluyen asumir responsabilidades adicionales de seguridad de código abierto y adoptar un enfoque más holístico para abordar riesgos como los presentados por la vulnerabilidad Log4j y el incidente de SolarWinds en los últimos años.

"Los ataques a la cadena de suministro de software generalmente requieren una gran aptitud técnica y un compromiso a largo plazo para lograrlo", dijo la compañía. "Es más probable que los actores sofisticados tengan tanto la intención como la capacidad de realizar este tipo de ataques".

"La mayoría de las organizaciones son vulnerables a los ataques de la cadena de suministro de software porque los atacantes se toman el tiempo para apuntar a proveedores externos con conexiones confiables a las redes de sus clientes. Luego usan esa confianza para profundizar en las redes de sus objetivos finales".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apple lanzó el martes actualizaciones de seguridad para iOS, iPadOS, macOS, tvOS y el navegador web Safari para abordar una nueva vulnerabilidad de día cero que podría resultar en la ejecución de código malicioso.

Rastreado como CVE-2022-42856 , el problema ha sido descrito por el gigante tecnológico como un problema de confusión de tipos en el motor del navegador WebKit que podría activarse al procesar contenido especialmente diseñado, lo que lleva a la ejecución de código arbitrario.

La compañía dijo que está "al tanto de un informe de que este problema puede haber sido explotado activamente contra versiones de iOS lanzadas antes de iOS 15.1".

Si bien aún se desconocen los detalles sobre la naturaleza exacta de los ataques, es probable que se tratara de un caso de ingeniería social o un abrevadero para infectar los dispositivos al visitar un dominio falso o legítimo pero comprometido a través del navegador.

Vale la pena señalar que todos los navegadores web de terceros que están disponibles para iOS y iPadOS, incluidos Google Chrome, Mozilla Firefox y Microsoft Edge, entre otros, deben usar el motor de renderizado WebKit debido a las restricciones impuestas por Apple.

Clément Lecigne, del Grupo de Análisis de Amenazas (TAG) de Google, se atribuye el descubrimiento y la notificación del problema. Apple notó que solucionó el error mejorando el manejo del estado.

La actualización, que está disponible con iOS 15.7.2, iPadOS 15.7.2 , macOS Ventura 13.1 , tvOS 16.2 y Safari 16.2 , llega dos semanas después de que Apple corrigiera el mismo error en iOS 16.1.2 el 30 de noviembre de 2022.

La solución marca la resolución de la décima vulnerabilidad de día cero descubierta en el software de Apple desde principios de año. También es la novena falla de día cero explotada activamente en 2022.

- CVE-2022-22587 (IOMobileFrameBuffer): una aplicación maliciosa puede ejecutar código arbitrario con privilegios de kernel
- CVE-2022-22594 (Almacenamiento WebKit): un sitio web puede rastrear información confidencial del usuario (conocida públicamente pero no explotada activamente)
- CVE-2022-22620 (WebKit): el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario
- CVE-2022-22674 (controlador de gráficos Intel): una aplicación puede leer la memoria del kernel
- CVE-2022-22675 (AppleAVD): una aplicación puede ejecutar código arbitrario con privilegios de kernel
- CVE-2022-32893 (WebKit): el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario
- CVE-2022-32894 (Kernel): una aplicación puede ejecutar código arbitrario con privilegios de kernel
- CVE-2022-32917 (Kernel): una aplicación puede ejecutar código arbitrario con privilegios de kernel
- CVE-2022-42827 (Kernel): una aplicación puede ejecutar código arbitrario con privilegios de kernel

Las últimas actualizaciones de iOS, iPadOS y macOS también presentan una nueva función de seguridad llamada Protección de datos avanzada para iCloud que amplía el cifrado de extremo a extremo (E2EE) a ‌iCloud‌ Backup, Notes, Photos y más.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las campañas de phishing de malware de QBot han adoptado un nuevo método de distribución que utiliza archivos SVG para realizar contrabando de HTML que crea localmente un instalador malicioso para Windows.

Este ataque se realiza a través de archivos SVG incrustados que contienen JavaScript que vuelven a ensamblar un instalador de malware QBot codificado en Base64 que se descarga automáticamente a través del navegador del objetivo.

QBot es un malware de Windows que llega a través de un correo electrónico de phishing que carga otras cargas útiles, incluidos Cobalt Strike , Brute Ratel y ransomware .

Contrabando basado en SVG

El contrabando de HTML  es una técnica utilizada para "pasar de contrabando" cargas útiles de JavaScript codificadas dentro de un archivo adjunto HTML o un sitio web.

Cuando se abre el documento HTML, decodificará el JavaScript y lo ejecutará, lo que permitirá que el script realice localmente un comportamiento malicioso, incluida la creación de ejecutables de malware.

Esta técnica permite a los actores de amenazas eludir las herramientas de seguridad y los firewalls que monitorean los archivos maliciosos en el perímetro.

Los investigadores de  Cisco Talos  observaron una nueva campaña de phishing de QBot que comienza con un correo electrónico de cadena de respuesta robado que solicita al usuario que abra un archivo HTML adjunto.

Este archivo adjunto contiene una técnica de contrabando de HTML que utiliza una imagen SVG (gráficos vectoriales escalables) codificada en base64 incrustada en el HTML para ocultar el código malicioso.


A diferencia de los tipos de imágenes de trama, como los archivos JPG y PNG, los SVG son imágenes vectoriales basadas en XML que pueden incluir etiquetas HTML <script>, que es una característica legítima de ese formato de archivo.

Cuando un documento HTML carga un archivo SVG a través de una etiqueta <embed> o <iframe>, se mostrará la imagen y se ejecutará JavaScript.

Los analistas de Cisco descodificaron el código JavaScript en el blob SVG y encontraron una función que convierte un 'texto' variable JS incluido en un blob binario, seguido de una función que convierte el blob en un archivo ZIP, como se muestra a continuación.


"En este caso, el JavaScript introducido de contrabando dentro de la imagen SVG contiene todo el archivo zip malicioso, y el código JavaScript ensambla el malware directamente en el dispositivo del usuario final", explica Cisco.

"Debido a que la carga útil del malware se construye directamente en la máquina de la víctima y no se transmite a través de la red, esta técnica de contrabando de HTML puede eludir la detección de los dispositivos de seguridad diseñados para filtrar el contenido malicioso en tránsito".

El archivo descargado está protegido con contraseña para evitar el escrutinio de los antivirus, pero el código HTML que abre la víctima contiene la contraseña del archivo ZIP.


Si se abre, se extrae un archivo ISO en la máquina de la víctima que conduce a una infección típica "ISO → LNK → CMD → DLL" o alguna variación de la misma.

Se supone que el uso del archivo SVG para ocultar código malicioso dentro de un archivo adjunto HTML ayuda a ofuscar aún más la carga útil y aumenta las posibilidades de evadir la detección.


Para proteger los sistemas de los ataques de contrabando de HTML, bloquee la ejecución de JavaScript o VBScript para el contenido descargado.

QBot explotó recientemente una vulnerabilidad de Windows que permitía que sus archivos adjuntos eludieran  las advertencias de seguridad de Mark of the Web  , pero Microsoft solucionó esto ayer con  el parche de diciembre de 2022 de Microsoft .

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft solucionó una vulnerabilidad de seguridad utilizada por los actores de amenazas para eludir la función de seguridad de Windows SmartScreen y entregar cargas útiles de ransomware Magniber y malware Qbot.

Los atacantes utilizaron archivos JavaScript independientes maliciosos para explotar el día cero CVE-2022-44698 para eludir las advertencias de seguridad Mark-of-the-Web que muestra Windows para alertar a los usuarios de que los archivos que se originan en Internet deben tratarse con precaución.

"Un atacante puede crear un archivo malicioso que evadiría las defensas de Mark of the Web (MOTW), lo que daría como resultado una pérdida limitada de integridad y disponibilidad de funciones de seguridad como Vista protegida en Microsoft Office, que se basan en el etiquetado MOTW", explicó Redmond en Martes.

Según Microsoft, esta falla de seguridad solo puede explotarse utilizando tres vectores de ataque:

- En un escenario de ataque basado en la web, un atacante podría alojar un sitio web malicioso que explota la omisión de la función de seguridad.

- En un escenario de ataque por correo electrónico o mensaje instantáneo, el atacante podría enviar al usuario objetivo un archivo .url especialmente diseñado para explotar la omisión.

- Los sitios web comprometidos o los sitios web que aceptan o alojan contenido proporcionado por el usuario pueden incluir contenido especialmente diseñado para explotar la omisión de la función de seguridad.

Sin embargo, en todos estos escenarios, los actores de amenazas tendrían que engañar a sus objetivos para que abran archivos maliciosos o accedan a sitios web controlados por atacantes con exploits CVE-2022-44698.

Microsoft lanzó actualizaciones de seguridad para abordar este día cero durante el parche de diciembre de 2022 el martes después de trabajar en una solución para esta vulnerabilidad de día cero explotada activamente desde finales de octubre, como le dijo la compañía a BleepingComputer .

Explotado en ataques de malware

El equipo de inteligencia de amenazas de HP informó por primera vez en octubre que los ataques de phishing estaban distribuyendo el ransomware Magniber utilizando archivos JavaScript standalone.JS firmados digitalmente con un formato incorrecto como se descubrió . Will Dormann, analista senior de vulnerabilidades de ANALYGENCE.

Esto haría que SmartCheck fallara y permitiría que los archivos maliciosos se ejecutaran sin lanzar ninguna advertencia de seguridad e instalar el ransomware Magniber, aunque se haya etiquetado con una bandera MoTW.


El mes pasado, también se abusó de la misma vulnerabilidad de día cero de Windows en ataques de phishing para eliminar el malware Qbot sin mostrar advertencias de seguridad MOTW.

Como descubrió el investigador de seguridad ProxyLife , los actores de amenazas detrás de esta reciente campaña de phishing de QBot cambiaron a Windows Mark of the Web de día cero mediante la distribución de archivos JS firmados con la misma clave mal formada utilizada en los ataques de ransomware Magniber.

QBot (también conocido como Qakbot) es un troyano bancario de Windows que se ha convertido en un lanzador de malware que robará correos electrónicos para usarlos en ataques de phishing posteriores o entregará cargas útiles adicionales como Brute Ratel , Cobalt Strike y otro malware .

También se sabe que las operaciones de ransomware Egregor , Prolock y Black Basta se asociaron con QBot para obtener acceso a las redes corporativas de las víctimas.

Durante el martes de parches de diciembre de 2022 , Microsoft también arregló un día cero divulgado públicamente (CVE-2022-44710) que permitiría a los atacantes obtener privilegios de SISTEMA en sistemas Windows 11 sin parches.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Más de 5,4 millones de registros de usuarios de Twitter que contienen información no pública robada mediante una vulnerabilidad de API reparada en enero se han compartido de forma gratuita en un foro de hackers.

Un investigador de seguridad también reveló otro volcado de datos masivo, potencialmente más significativo, de millones de registros de Twitter, lo que demuestra cuán ampliamente abusaron de este error los actores de amenazas.

Los datos consisten en información pública recopilada, así como números de teléfono privados y direcciones de correo electrónico que no deben ser públicas.

La violación de datos de Twitter


En julio pasado, un actor de amenazas comenzó a vender la  información privada de más de 5,4 millones de usuarios de Twitter  en un foro de piratería por 30.000 dólares.

Si bien la mayoría de los datos consistía en información pública, como ID de Twitter, nombres, nombres de inicio de sesión, ubicaciones y estado verificado, también incluía información privada, como números de teléfono y direcciones de correo electrónico.


Estos datos se recopilaron en diciembre de 2021 mediante una vulnerabilidad de la API de Twitter revelada en el programa de recompensas por errores de HackerOne  que permitía a las personas enviar números de teléfono y direcciones de correo electrónico a la API para recuperar la ID de Twitter asociada.

Usando esta identificación, los actores de la amenaza podrían extraer información pública sobre la cuenta para crear un registro de usuario que contenga información pública y privada, como se muestra a continuación.


No está claro si se filtró la divulgación de HackerOne, pero se le dijo a BleepingComputer que varios actores de amenazas estaban utilizando el error para robar información privada de Twitter.

Después de que BleepingComputer compartiera una muestra de los registros de usuarios con Twitter, la empresa de redes sociales  confirmó que había sufrido una violación de datos  mediante un error de API solucionado en enero de 2022.

Pompompurin, el propietario del foro de piratería Breached, le dijo a BleepingComputer este fin de semana que ellos eran los responsables de explotar el error y crear el volcado masivo de registros de usuarios de Twitter después de que otro actor de amenazas conocido como 'Devil' compartiera la vulnerabilidad con ellos.

Además de los 5,4 millones de registros a la venta, también hubo 1,4 millones de perfiles de Twitter adicionales para usuarios suspendidos recopilados mediante una API diferente, lo que eleva el total a casi 7 millones de perfiles de Twitter que contienen información privada.

Pompompurin dijo que este segundo volcado de datos no se vendió y solo se compartió de forma privada entre unas pocas personas.

Datos de Twitter compartidos en un foro de piratería

En septiembre, y ahora más recientemente, el 24 de noviembre, los 5,4 millones de registros de Twitter ya se han compartido de forma gratuita en un foro de piratería.


Pompompurin ha confirmado a BleepingComputer que estos son los mismos datos que estaban a la venta en agosto e incluyen 5.485.635 registros de usuarios de Twitter.

Estos registros contienen una dirección de correo electrónico privada o un número de teléfono y datos recopilados públicos, incluidos el ID de Twitter de la cuenta, el nombre, el nombre de pantalla, el estado verificado, la ubicación, la URL, la descripción, el número de seguidores, la fecha de creación de la cuenta, el número de amigos, el número de favoritos, recuento de estados y URL de imagen de perfil.

Un volcado de datos aún más grande creado de forma privada
Si bien es preocupante que los actores de amenazas publicaron los 5,4 millones de registros de forma gratuita, supuestamente se creó un volcado de datos aún mayor utilizando la misma vulnerabilidad.

Este volcado de datos contiene potencialmente decenas de millones de registros de Twitter que consisten en números de teléfono personales recopilados con el mismo error de API e información pública, incluido el estado verificado, nombres de cuenta, ID de Twitter, biografía y nombre de pantalla.

La noticia de esta violación de datos más significativa proviene del experto en seguridad Chad Loder, quien primero dio la noticia en Twitter y fue suspendido poco después de publicar. Posteriormente, Loder publicó una muestra redactada de esta violación de datos más grande en  Mastodon .

"Acabo de recibir evidencia de una violación masiva de datos de Twitter que afecta a millones de cuentas de Twitter en la UE y EE. UU. Me puse en contacto con una muestra de las cuentas afectadas y confirmaron que los datos violados son precisos. Esta violación no ocurrió antes de 2021". Loder compartió en Twitter.


BleepingComputer obtuvo un archivo de muestra de este volcado de datos de Twitter previamente desconocido, que contiene 1.377.132 números de teléfono para usuarios en Francia.

Desde entonces, hemos confirmado con numerosos usuarios en esta filtración que los números de teléfono son válidos, verificando que esta violación de datos adicional sea real.

Además, ninguno de estos números de teléfono está presente en los datos originales vendidos en agosto, lo que ilustra cuán mayor fue la violación de datos de Twitter de lo que se reveló anteriormente y la gran cantidad de datos de usuarios que circulan entre los actores de amenazas.

Pompompurin también confirmó con BleepingComputer que no eran responsables y que no sabían quién creó este volcado de datos recién descubierto, lo que indica que otras personas estaban usando esta vulnerabilidad de API.

BleepingComputer se enteró de que este volcado de datos recientemente descubierto consta de numerosos archivos divididos por países y códigos de área, incluidos Europa, Israel y EE. UU.

Nos dijeron que consta de más de 17 millones de registros, pero no pudimos confirmarlo de forma independiente.

Dado que estos datos se pueden utilizar potencialmente para ataques de phishing dirigidos a obtener acceso a las credenciales de inicio de sesión, es esencial analizar cualquier correo electrónico que afirme provenir de Twitter.

Si recibe un correo electrónico que dice que su cuenta fue suspendida, hay problemas de inicio de sesión o está a punto de perder su estado verificado, y le solicita que inicie sesión en un dominio que no sea de Twitter, ignore los correos electrónicos y elimínelos como están. probables intentos de phishing.

BleepingComputer se comunicó con Twitter el jueves sobre este volcado de datos adicional de información privada, pero aún no ha recibido una respuesta.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Elon Musk ha mostrado sus objetivos para el "Twitter 2.0", el término con el que se refiere a la renovación de la red social tras su adquisición por 44,000 millones de dólares.

En una de sus últimas publicaciones en la misma plataforma, el magnate compartió las diapositivas de su lista de "pláticas de la empresa", proyectando que para 2024, Twitter tendrá más de mil millones de usuarios al mes.

Las cifras en la "Era Musk"

En específico, Musk dice que esta cifra se alcanzará entre los próximos 12 y 18 meses, lo que representa un aumento sustancial, y según un portavoz de Reuters, durante el segundo trimestre del año, la plataforma alcanzó los 238 millones de usuarios.

En la información compartida por el empresario, también se mostró que el número de nuevas cuentas estaba en un nivel más alto, con un crecimiento del 66% en comparación a 2021 y en promedio dos millones de nuevos usuarios por día hasta el 16 de noviembre.


Por su parte, el número de minutos activos también ha visto un crecimiento de aproximadamente el 30% contra el año pasado al corte del 15 de noviembre.

En otros datos, Musk también reveló que el discurso de odio bajó ligeramente en comparación a 2021, aunque aumentó cuando se hizo cargo de la empresa.

En otra información revelada, también se detallaron varios planes adicionales del magnate para la plataforma, como tuits de formato largo, mensajes directos encriptados y hasta publicidad como entretenimiento.

Menos usuarios y menos ingresos

Sin embargo, de acuerdo con Business Insider, las sesiones diarias en Twitter entre el 28 de octubre y el 19 de noviembre fue un 3% más baja que el período entre el 2 y el 27 de octubre, cuando Musk asumió el control de la compañía.

Por su parte, Reuters ha revelado que la plataforma está perdiendo a sus usuarios más activos, también conocidos como los "tuiteros pesados", que a pesar de representar menos del 10% de los usuarios mensuales generales, proporcionaban el 90% de todos los tuits y la mitad de los ingresos globales de la empresa. Según la agencia, un tuitero pesado se conectaba entre seis y siete veces al día, publicando tres a cuatro veces por semana.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los pasajeros de vuelos en la Unión Europea podrán usar 5G en sus smartphones, así lo ha anunciado la Comisión. "El cielo ya no es el límite cuando se trata de las posibilidades que ofrece la conectividad súper rápida y de alta capacidad", dijo Thierry Breton, Comisionado de mercado interior.

Las aerolíneas podrán proporcionar 5G en sus aviones, así como "tecnologías móviles de generaciones anteriores", gracias a la implementación de espectro para comunicaciones móviles a bordo de los aviones, con ciertas frecuencias designadas para el 5G durante los vuelos.

Los pasajeros a bordo de vuelos en la Unión Europea podrán "usar sus smartphones a su máxima capacidad, como en tierra", asegura la Comisión. La conectividad 5G en la cabina del avión será posible con un equipo de red especial llamado "picocélula", que permitirá a los usuarios conectarse a la red terrestre 5G mediante satélite, y así hacer uso de llamadas, mensajes de texto y datos para navegación en internet durante los vuelos.


Históricamente, a los pasajeros de un vuelo se dice que pongan sus dispositivos en "Modo Avión" por cuestiones de seguridad, sin embargo el uso de 5G durante vuelos no creará problemas de seguridad, dijo la Asociación Internacional de Transporte Aéreo a The Telegraph, pues usa diferentes frecuencias a aquellas usadas para la comunicación en cabina. Los smartphones usarán el espectro de 5 GHz en adelante, mientras los aviones usan el rango entre 4.2 y 4.4 GHz para la comunicación.


De hecho, The Verge apunta que las reglas del uso de "Modo Avión" durante vuelos se han relajado mucho en los últimos años, y desde 2014 la Agencia de Seguridad de Aviación de la Unión Europea actualizó su guía para decir a las aerolíneas que ya no requieran a sus pasajeros el uso de este modo por cuestiones de seguridad.

A pesar de la confirmación de la Comisión Europea, no se detalla cuándo se completará la implementación del 5G para uso en vuelos de la UE.

Este es un gran paso para la conectividad en la UE, pero la gran incógnita es cuándo se implementará la misma medida en vuelos de todo el mundo. De acuerdo con Bloomberg, la FCC, el órgano regulador de Estados Unidos, desechó los planes de permitir conectividad celular en vuelos desde 2020, citando "razones de seguridad nacional".



Fotos de Sten Ritterfeld y Jp Valery en Unsplash
Fuente:  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Amazon Web Services (AWS) ha resuelto una vulnerabilidad entre inquilinos en su plataforma que un atacante podría utilizar como arma para obtener acceso no autorizado a los recursos.

El problema se relaciona con un problema de diputado confuso , un tipo de escalada de privilegios donde un programa que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción.

Datadog informó la deficiencia a AWS el 1 de septiembre de 2022, luego de lo cual se envió un parche el 6 de septiembre.

"Este ataque abusa del servicio AppSync para asumir roles [de administración de identidad y acceso] en otras cuentas de AWS, lo que permite que un atacante se convierta en una organización víctima y acceda a los recursos en esas cuentas", dijo Nick Frichette, investigador de Datadog , en un informe publicado la semana pasada. .

En una divulgación coordinada, Amazon dijo que ningún cliente se vio afectado por la vulnerabilidad y que no se requiere ninguna acción del cliente.

Lo describió como un "problema de análisis de mayúsculas y minúsculas dentro de AWS AppSync, que podría usarse para omitir las validaciones de uso de roles entre cuentas del servicio y tomar medidas como el servicio en todas las cuentas de los clientes".


AWS AppSync ofrece a los desarrolladores API de GraphQL para recuperar o modificar datos de múltiples fuentes de datos, así como para sincronizar automáticamente datos entre aplicaciones móviles y web y la nube.

El servicio también se puede utilizar para integrarse con otros servicios de AWS a través de roles específicos diseñados para realizar las llamadas API necesarias con los permisos de IAM requeridos.

Si bien AWS cuenta con medidas de seguridad para evitar que AppSync asuma roles arbitrarios al validar el nombre de recurso de Amazon (ARN) del rol, el problema se deriva del hecho de que la verificación podría pasarse por alto al pasar el parámetro " serviceRoleArn " en minúsculas.

Luego, este comportamiento podría explotarse para proporcionar el identificador de un rol en una cuenta de AWS diferente.

"Esta vulnerabilidad en AWS AppSync permitió a los atacantes cruzar los límites de la cuenta y ejecutar llamadas a la API de AWS en las cuentas de las víctimas a través de roles de IAM que confiaban en el servicio de AppSync", dijo Frichette.

"Al usar este método, los atacantes podrían violar las organizaciones que usaron AppSync y obtener acceso a los recursos asociados con esos roles".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Más de 1600 imágenes de Docker Hub disponibles públicamente ocultan comportamientos maliciosos, incluidos mineros de criptomonedas, secretos incrustados que se pueden usar como puertas traseras, secuestradores de DNS y redireccionadores de sitios web.

Docker Hub es una biblioteca de contenedores basada en la nube que permite a las personas buscar y descargar libremente imágenes de Docker o cargar sus creaciones en la biblioteca pública o repositorios personales.

Las imágenes de Docker son plantillas para la creación rápida y sencilla de contenedores que contienen código y aplicaciones listos para usar. Por lo tanto, aquellos que buscan configurar nuevas instancias a menudo recurren a Docker Hub para encontrar rápidamente una aplicación que se implemente fácilmente.

Desafortunadamente, debido al abuso del servicio por parte de los actores de amenazas, más de mil cargas maliciosas presentan riesgos graves para los usuarios desprevenidos que implementan imágenes cargadas de malware en contenedores alojados localmente o basados ​​en la nube.

Muchas imágenes maliciosas usan nombres que las disfrazan como proyectos populares y confiables, por lo que los actores de amenazas claramente las cargaron para engañar a los usuarios para que las descarguen.

Los investigadores de Sysdig investigaron el problema, trataron de evaluar la escala del problema e informaron sobre las imágenes encontradas que presentan algún tipo de código o mecanismo malicioso.

Trampas de Docker Hub

Además de las imágenes revisadas por Docker Library Project, que se verifica que son confiables, cientos de miles de imágenes con un estado desconocido están en el servicio.

Sysdig usó sus escáneres automatizados para analizar 250 000 imágenes de Linux no verificadas e identificó 1652 de ellas como maliciosas.


La categoría más grande fue la de cripto-mineros, que se encuentra en 608 imágenes de contenedores, apuntando a los recursos del servidor para extraer criptomonedas para los actores de amenazas.

La segunda ocurrencia más común fueron las imágenes que ocultaban secretos incrustados, midiendo 281 casos. Los secretos incrustados en estas imágenes son claves SSH, credenciales de AWS, tokens de GitHub, tokens de NPM y otros.


Sysdig comenta que estos secretos pueden haber sido dejados en imágenes públicas por error o inyectados intencionalmente por el actor de amenazas que los creó y subió.

"Al incorporar una clave SSH o una clave API en el contenedor, el atacante puede obtener acceso una vez que se implementa el contenedor", advierte Sysdig en  el informe .

"Por ejemplo, cargar una clave pública en un servidor remoto permite a los propietarios de la clave privada correspondiente abrir un shell y ejecutar comandos a través de SSH, de forma similar a implantar una puerta trasera".

Muchas imágenes maliciosas descubiertas por Sysdig usaban typosquatting para hacerse pasar por imágenes legítimas y confiables, solo para infectar a los usuarios con criptomineros.

Esta táctica sienta las bases para algunos casos de gran éxito, como los dos ejemplos que se muestran a continuación, que se han descargado casi 17.000 veces.


Typosquatting también garantiza que los usuarios que escriban mal el nombre de un proyecto popular descarguen una imagen maliciosa, por lo que, si bien esto no produce un gran número de víctimas, garantiza un flujo constante de infecciones.


Un problema que empeora
Sysdig dice que en 2022, el 61 % de todas las imágenes extraídas de Docker Hub provienen de repositorios públicos, un aumento del 15 % con respecto a las estadísticas de 2021, por lo que el riesgo para los usuarios va en aumento.

Desafortunadamente, el tamaño de la biblioteca pública de Docker Hub no permite a sus operadores examinar todas las cargas diariamente; por lo tanto, muchas imágenes maliciosas no se denuncian.

Sysdig también notó que la mayoría de los actores de amenazas solo cargan un par de imágenes maliciosas, por lo que incluso si se elimina una imagen riesgosa y se prohíbe el cargador, no afecta significativamente el panorama de amenazas de la plataforma.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un actor de amenazas asociado con operaciones de ciberespionaje desde al menos 2017 ha estado atrayendo a las víctimas con un software VPN falso para Android que es una versión troyana del software legítimo SoftVPN y OpenVPN.

Los investigadores dicen que la campaña estaba "altamente dirigida" y tenía como objetivo robar datos de contacto y llamadas, ubicación del dispositivo, así como mensajes de múltiples aplicaciones.

Suplantación de identidad del servicio VPN

La operación se ha atribuido a un actor de amenazas avanzado rastreado como Bahamut, que se cree que es un grupo mercenario que brinda servicios de pirateo a sueldo.

El analista de malware de ESET, Lukas Stefanko, dice que Bahamut volvió a empaquetar las aplicaciones SoftVPN y OpenVPN para Android para incluir código malicioso con funciones de espionaje.

Al hacer esto, el actor se aseguró de que la aplicación aún brindara la funcionalidad VPN a la víctima mientras extraía información confidencial del dispositivo móvil.

Para ocultar su funcionamiento y con fines de credibilidad, Bahamut usó el nombre SecureVPN (que es un servicio VPN legítimo) y creó un sitio web falso [thesecurevpn] para distribuir su aplicación maliciosa.


Stefanko dice que la aplicación VPN fraudulenta de los piratas informáticos puede robar contactos, registros de llamadas, detalles de ubicación, SMS, espiar chats en aplicaciones de mensajería como Signal, Viber, WhatsApp, Telegram y Messenger de Facebook, así como recopilar una lista de archivos disponibles en almacenamiento externo.

El investigador de ESET descubrió ocho versiones de la aplicación VPN de espionaje de Bahamut, todas con números de versión cronológicos, lo que sugiere un desarrollo activo.

Todas las aplicaciones falsas incluían código observado solo en operaciones atribuidas a Bahamut en el pasado, como la campaña SecureChat documentada por las empresas de ciberseguridad Cyble y CoreSec360 [ 1 ,  2 ].


Vale la pena señalar que ninguna de las versiones de VPN troyanizadas estaba disponible a través de Google Play, el repositorio oficial de recursos de Android, otra indicación de la naturaleza dirigida de la operación.

Se desconoce el método para el vector de distribución inicial, pero podría ser cualquier cosa, desde phishing por correo electrónico, redes sociales u otros canales de comunicación.

Los detalles sobre las operaciones de Bahamut  surgieron en el espacio público en 2017  cuando los periodistas del grupo de investigación Bellingcat publicaron un artículo sobre el actor de espionaje dirigido a activistas de derechos humanos de Oriente Medio.

Conectar a Bahamut con otros actores de amenazas es una tarea difícil si se tiene en cuenta que el grupo depende en gran medida de las herramientas disponibles públicamente, cambia constantemente de táctica y sus objetivos no se encuentran en una región en particular.

Sin embargo, los investigadores de BlackBerry señalan en un extenso  informe  sobre Bahamut en 2020 que el grupo "parece estar no solo bien financiado y con buenos recursos, sino también bien versado en investigación de seguridad y los sesgos cognitivos que los analistas suelen poseer".

Algunos grupos de actores de amenazas con los que Bahamut se ha asociado incluyen Windshift  y  Urpage .

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El notorio malware Emotet ha regresado con renovado vigor como parte de una campaña de malspam de alto volumen diseñada para lanzar cargas útiles como IcedID y Bumblebee .

Se han enviado "cientos de miles de correos electrónicos por día" desde principios de noviembre de 2022, dijo la empresa de seguridad empresarial Proofpoint la semana pasada, y agregó: "la nueva actividad sugiere que Emotet está volviendo a su funcionalidad completa actuando como una red de entrega para las principales familias de malware".

Entre los principales países objetivo se encuentran EE. UU., Reino Unido, Japón, Alemania, Italia, Francia, España, México y Brasil.

La actividad relacionada con Emotet se observó por última vez en julio de 2022, aunque desde entonces se han informado infecciones esporádicas . A mediados de octubre, ESET reveló que Emotet podría estar preparándose para una nueva ola de ataques y señaló las actualizaciones de su módulo "systeminfo".

El malware, que se atribuye a un actor de amenazas conocido como Mummy Spider (también conocido como Gold Crestwood o TA542), protagonizó una especie de renacimiento a fines del año pasado después de que su infraestructura fuera desmantelada durante una operación coordinada de aplicación de la ley en enero de 2021.

Europol llamó a Emotet el "malware más peligroso del mundo" por su capacidad de actuar como "principal abridor de puertas para los sistemas informáticos" para implementar binarios de próxima etapa que facilitan el robo de datos y el ransomware. Comenzó en 2014 como un troyano bancario antes de convertirse en una botnet.


Se sabe que las cadenas de infección que involucran el malware emplean señuelos genéricos, así como la técnica de secuestro de hilos de correo electrónico para atraer a los destinatarios a abrir archivos adjuntos de Excel habilitados para macros.

"Tras el reciente anuncio de Microsoft de que comenzaría a deshabilitar las macros de forma predeterminada en los documentos de Office descargados de Internet, muchas familias de malware han comenzado a migrar de las macros de Office a otros mecanismos de entrega como archivos ISO y LNK", dijo Cisco Talos a principios de este mes.


"Por lo tanto, es interesante notar que esta nueva campaña de Emotet está utilizando su antiguo método de distribución de documentos maliciosos de Microsoft Office (maldocs) a través de phishing basado en correo electrónico.

Un método alternativo insta a las posibles víctimas a copiar el archivo en una ubicación de plantilla de Microsoft Office, una ubicación confiable, y ejecutar el documento de señuelo desde allí en lugar de tener que habilitar macros explícitamente para activar la cadena de eliminación.

La actividad renovada también ha ido acompañada de cambios en el componente del cargador de Emotet, una reimplementación de las comunicaciones de C2 utilizando la API de Windows Timer Queue , la adición de nuevos comandos y actualizaciones del empaquetador para resistir la ingeniería inversa.

Una de las cargas útiles de seguimiento distribuidas a través de Emotet es una nueva variante del cargador IcedID, que recibe comandos para leer y enviar contenidos de archivos a un servidor remoto, además de ejecutar otras instrucciones de puerta trasera que le permiten extraer datos del navegador web.

El uso de IcedID es preocupante, ya que probablemente sea un precursor del ransomware, señalaron los investigadores. Otro malware lanzado a través de Emotet es Bumblebee , según la Unidad 42 de Palo Alto Networks.

"En general, estas modificaciones realizadas en el cliente indican que los desarrolladores están tratando de disuadir a los investigadores y reducir la cantidad de bots falsos o cautivos que existen dentro de la botnet", dijeron los investigadores Pim Trouerbach y Axel F.

"Emotet no ha demostrado una funcionalidad completa y una entrega de carga útil de seguimiento constante (eso no es Cobalt Strike) desde 2021, cuando se observó que distribuía The Trick y Qbot".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Departamento de Justicia de EE. UU. (DoJ) anunció el lunes la eliminación de siete nombres de dominio en relación con una estafa de criptomonedas de "matanza de cerdos". El esquema fraudulento, que operó de mayo a agosto de 2022, les reportó a los actores más de $10 millones de cinco víctimas, dijo el Departamento de Justicia.

La matanza de cerdos, también llamada Sha Zhu Pan, es un tipo de estafa en la que los estafadores atraen a inversores desprevenidos para que envíen sus criptoactivos. Los delincuentes encuentran víctimas potenciales en aplicaciones de citas, sitios de redes sociales y mensajes SMS.

Estas personas inician relaciones falsas en un intento de generar confianza, solo para engañarlos para que realicen una inversión en criptomonedas en una plataforma falsa.

"Una vez que el dinero se envía a la aplicación de inversión falsa, el estafador desaparece y se lleva todo el dinero, lo que a menudo resulta en pérdidas significativas para la víctima", dijo el Departamento de Justicia.

Los siete portales incautados imitaban a la Bolsa Monetaria Internacional de Singapur (SIMEX), señaló la agencia.

Pero una vez que los fondos se transfirieron a direcciones de billetera supuestamente proporcionadas por estos dominios, se dice que las monedas digitales se movieron de inmediato a través de una serie de billeteras privadas y servicios de intercambio para ocultar el rastro.

"El fraude de matanza de cerdos destaca los extremos a los que los actores llegarán para diseñar socialmente a un objetivo para que sea víctima de un crimen perpetuado por grandes ecosistemas de ciberdelincuencia", dijo Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas en Proofpoint, a The Hacker News.

"La manipulación emocional, el tono amistoso y la mera duración de la fase previa a la explotación permiten que se desarrollen sentimientos genuinos, y el actor explota esa emoción para obtener ganancias financieras, con pérdidas a veces de millones de dólares ".

Un aviso publicado por la Oficina Federal de Investigaciones (FBI) de EE. UU. el mes pasado señaló que cuando las víctimas intentaban retirar sus inversiones, se les pedía que pagaran impuestos o multas adicionales, lo que generaba más pérdidas.

La agencia de inteligencia, en abril, reveló que recibió más de 4300 quejas relacionadas con estafas de cripto-romance en 2021, lo que resultó en pérdidas por más de $429 millones.

Un informe reciente de Proofpoint también detalló algunas de las otras tácticas adoptadas por los estafadores, incluida la sugerencia de cambiar la conversación a Telegram o WhatsApp para un "chat más privado" y alentar a las víctimas a enviar fotos comprometedoras.

"Además de los señuelos basados ​​en criptomonedas, estas empresas criminales han utilizado oro, divisas, acciones y otros temas para explotar a sus víctimas", dijeron los investigadores Tim Kromphardt y Genina Po .

"Tales esquemas tienen éxito debido a la naturaleza íntima de las conversaciones que conducen a la 'masacre'. Causar vergüenza y vergüenza son objetivos clave para los actores de amenazas que aprovechan este tipo de ingeniería social para explotar a las víctimas, de forma similar al fraude romántico".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se dice que Meta Platforms despidió o sancionó a más de dos docenas de empleados y contratistas durante el último año por supuestamente comprometer y hacerse cargo de las cuentas de los usuarios, informó el jueves The Wall Street Journal.

Algunos de estos casos involucraron soborno, dijo la publicación, citando fuentes y documentos.

Entre los despedidos se encontraban contratistas que trabajaban como guardias de seguridad en las instalaciones de la empresa de redes sociales y se les dio acceso a una herramienta interna que permitía a los empleados ayudar a los "usuarios que conocen" a obtener acceso a las cuentas después de olvidar sus contraseñas o bloquear sus cuentas. .

El sistema, llamado "Oops" y abreviatura de Online Operations, está fuera del alcance de la gran mayoría de los usuarios de la plataforma, lo que lleva al surgimiento de una "industria casera de intermediarios" que cobran a los usuarios miles de dólares y se comunican con personas internas que estaban dispuesto a resetear las cuentas.

"Realmente tienes que tener a alguien adentro que realmente lo haga", dijo el propietario de una plataforma de creación de contenido.

Según el Journal, se estima que la alternativa al proceso automatizado de recuperación de cuentas de Meta , que se limita a los empleados y sus amigos y familiares, socios comerciales y figuras públicas, procesó alrededor de 50 270 informes en 2020, frente a los 22 000 de 2017.

Dado el acceso limitado a la herramienta, no sorprende que haya surgido una especie de mercado negro para los usuarios del servicio que han perdido el acceso a sus cuentas .

En un caso, un excontratista de seguridad supuestamente ayudó a terceros no identificados a hacerse cargo de forma fraudulenta de las cuentas de Instagram. El individuo afirmó que fue engañado para que presentara informes de Oops para restablecer las cuentas afectadas en cuestión.

Otro caso involucró a un contratista que fue despedido después de que una investigación interna descubrió que restableció varias cuentas de usuario en nombre de los piratas informáticos a cambio de recibir pagos de Bitcoin por sus servicios.

Meta le dijo al Journal que comprar o vender cuentas o pagar por un servicio de recuperación de cuentas es una violación de los términos de servicio de la red social.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Atlassian ha lanzado actualizaciones para abordar las actualizaciones de gravedad crítica en su plataforma centralizada de gestión de identidades, Crowd Server and Data Center, y en Bitbucket Server and Data Center, la solución de la empresa para la gestión de repositorios Git.

Ambas vulnerabilidades de seguridad recibieron una calificación de gravedad de 9 sobre 10 (calculada por Atlassian) y afectan a varias versiones de los productos.

Configuración incorrecta en la multitud

Calificado como crítico, el problema en Crowd Server and Data Center se rastrea como CVE-2022-43782 y es una configuración incorrecta que permite a un atacante eludir las comprobaciones de contraseña al autenticarse como la aplicación Crowd y llamar a puntos finales de API privilegiados.

El problema se introdujo en la versión 3.0 del producto y no afecta las actualizaciones de versiones anteriores, como la 2.9.1.

Atlassian explica que la explotación es posible bajo ciertas condiciones. Uno de ellos es una configuración de dirección remota modificada para incluir una dirección IP permitida, una desviación de la configuración predeterminada (ninguna).

"Esto permitiría al atacante llamar a puntos finales privilegiados en la API REST de Crowd bajo la ruta de administración de usuarios", señala Atlassian en un aviso de seguridad .

El problema afecta a las versiones de Crowd 3.0.0 a 3.7.2, 4.0.0 a 4.4.3 y 5.0.0 a 5.0.2. Multitud 5.0.3 y 4.4.4 no se ven afectados.

Atlassian no corregirá la falla en la versión 3.0.0 del producto porque llegó al final de su vida útil y soporte.

El aviso de seguridad proporciona instrucciones detalladas para que los administradores verifiquen si una instancia se ha visto comprometida y los pasos a seguir en tales casos.

Detalles de la falla de Bitbucket

La falla que afecta a Bitbucket Server and Data Center se introdujo en la versión 7.0 del producto y se identifica como CVE-2022-43781. Es una vulnerabilidad de inyección de comandos que permite a un atacante con permiso controlar su nombre de usuario para obtener la ejecución del código en el sistema de destino bajo ciertas condiciones.

Todas las versiones de la 7.0 a la 7.21 se ven afectadas independientemente de su configuración, así como las versiones de la 8.0 a la 8.4 donde la función "mesh.enabled" está deshabilitada en "bitbucket.properties".

CVE-2022-43781 no afecta las instancias que ejecutan PostgreSQL y aquellas alojadas por Atlassian (a las que se accede a través de un dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login).

Las versiones que solucionan el problema son:

7.6.19 o más reciente
7.17.12 o más reciente
7.21.6 o más reciente
8.0.5 o más reciente
8.1.5 o más reciente
8.2.4 o más reciente
8.3.3 o más reciente
8.4.2 o más reciente
8.5.0 o más reciente

Los usuarios que no puedan actualizar a las versiones fijas deben deshabilitar el "Registro público", lo que requeriría que el atacante se autentique con credenciales válidas, lo que reduce el riesgo de explotación.

El aviso de seguridad  señala que los usuarios de ADMIN y SYS_ADMIN aún pueden explotar la falla con esta configuración, por lo que debe tratarse como una medida de mitigación temporal.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha lanzado actualizaciones opcionales fuera de banda (OOB) para solucionar un problema conocido que desencadena fallas de inicio de sesión de Kerberos y otros problemas de autenticación en los controladores de dominio de Windows empresariales después de instalar las actualizaciones acumulativas lanzadas durante el martes de parches de noviembre.

La compañía reconoció y  comenzó a investigar  el lunes cuando también dijo que el problema conocido podría afectar cualquier escenario de autenticación Kerberos dentro de los entornos empresariales afectados.

Si bien Microsoft también  comenzó a reforzar la seguridad  para Kerberos y Netlogon a partir del martes de parches de noviembre de 2022, dijo que estos problemas de autenticación no son un resultado esperado.

Problemas de autenticación en las versiones de Windows afectadas

"Después de instalar las actualizaciones lanzadas el 8 de noviembre de 2022 o más tarde en los servidores de Windows con la función de controlador de dominio, es posible que tenga problemas con la autenticación de Kerberos", explicó Microsoft.

"Cuando se encuentra este problema, es posible que reciba un evento de error de Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 en la sección Sistema del registro de eventos en su controlador de dominio con el siguiente texto".

La lista de escenarios de autenticación de Kerberos afectados incluye, entre otros, los siguientes:

- El inicio de sesión del usuario del dominio puede fallar. Esto también podría afectar  la  autenticación de los Servicios de federación de Active Directory (AD FS) .
- Las cuentas de servicio administradas de grupo  utilizadas para servicios como  Internet Information Services (IIS Web Server)  pueden fallar en la autenticación.
- Es posible que las conexiones de escritorio remoto que usan usuarios de dominio no se conecten.
- Es posible que no pueda acceder a carpetas compartidas en estaciones de trabajo y recursos compartidos de archivos en servidores.
- La impresión que requiere autenticación de usuario de dominio puede fallar.
- Corrección lanzada para las versiones de Windows afectadas
- Hoy, Microsoft ha lanzado actualizaciones de emergencia OOB que los administradores de Windows deben instalar en todos los controladores de dominio (DC) en los entornos afectados.

"No necesita instalar ninguna actualización ni realizar ningún cambio en otros servidores o dispositivos cliente en su entorno para resolver este problema", dice Microsoft .

"Si usó alguna solución o mitigación para este problema, ya no son necesarios y le recomendamos que los elimine".

Las actualizaciones OOB publicadas hoy solo están disponibles a través del  Catálogo de actualizaciones de Microsoft  y no se ofrecerán a través de Windows Update.

Redmond ha publicado actualizaciones acumulativas para la instalación en controladores de dominio (no se necesita ninguna acción en el lado del cliente):

- Servidor Windows 2022:  KB5021656
- Servidor Windows 2019:  KB5021655
- Servidor Windows 2016:  KB5021654

Microsoft también lanzó actualizaciones independientes que se pueden importar a Windows Server Update Services (WSUS) y Microsoft Endpoint Configuration Manager:

- Servidor de Windows 2012 R2:  KB5021653
- Servidor de Windows 2012:  KB5021652
- Servidor de Windows 2008 SP2:  KB5021657

La única plataforma afectada que aún espera una solución es Windows Server 2008 R2 SP1. Redmond dice que la próxima semana estará disponible una actualización dedicada.

Puede encontrar instrucciones detalladas de implementación de WSUS en  WSUS y en el Sitio del catálogo  y en las instrucciones del Administrador de configuración en la  página Importar actualizaciones desde el Catálogo de Microsoft Update.

"Si está utilizando solo actualizaciones de seguridad para estas versiones de Windows Server, solo necesita instalar estas actualizaciones independientes para el mes de noviembre de 2022", agregó Microsoft.

"Si está utilizando actualizaciones de paquetes acumulativos mensuales, deberá instalar las actualizaciones independientes enumeradas anteriormente para resolver este problema e instalar los paquetes acumulativos mensuales publicados el 8 de noviembre de 2022 para recibir las actualizaciones de calidad para noviembre de 2022".

Hace dos años, Redmond abordó  problemas similares de autenticación de Kerberos que  afectaban a los sistemas Windows  causados ​​por las actualizaciones de seguridad  lanzadas con el martes de parches de noviembre de 2020.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si has entrado en Twitter durante estos días, seguramente te has enterado de las catastróficas predicciones que apuntan al colapso de esta red. Recordemos por un segundo que la empresa ha perdido una gran cantidad de empelados, además de los que decidieron retirarse tras el polémico correo en el que avisó que tendrán que trabajar durante jornadas intensas o que se marcharan de la empresa.

Y es que ahora parece ser que Musk está buscando a cualquier programador de software que quede dentro de Twitter, pues aparentemente hay falta de persona calificado en este ramo. Así lo reporta Zoë Schiffer desde Twitter, oh, la ironía.


NUEVO: Correo electrónico de Elon al equipo de ingeniería: "Cualquiera que realmente pueda escribir software, por favor preséntese hoy en el piso 10 a las 2 pm de hoy. Antes de hacerlo, por favor, envíeme por correo electrónico con un resumen de lo que su código han trabajado en los últimos 6 meses.

Además, en el correo, solicita que se suban hasta 10 capturas de pantalla de sus líneas de código más desatacado. Todo parece apuntar a que el equipo de desarrollo de Twitter ha quedado diezmado, como muchos otros sectores de la empresa.

Una compañía desolada

Encima, Musk solicita que estén presentes de manera física en la reunión y solo los que "solo aquellos que no pueden llegar físicamente a la sede de Twitter están exentos". Sin embargo, invita a que los que puedan volar a San Francisco, lo hagan.


NUEVO: En un correo electrónico para ingenieros remotos de Twitter, Elon Musk dice que quiere hablar con la gente en video ("solo aquellos que no pueden llegar físicamente a la sede de Twitter están exentos") pero "si es posible, los animo a volar a SF para presente en persona". Estará en la oficina hasta medianoche.

Por otra parte, como lo reportó la BBC News, a los empleados también les llegó un correo informando que los edificios destinados a oficinas será cerrados temporalmente y serán abierto hasta el próximo lunes 21 de noviembre. Por lo que las oficinas de Twitter están, para efectos prácticos, desoladas.

Twitter parece estar viviendo momentos difíciles, pues no solo en las oficinas centrales fue que se efectuaron estos despidos, también en las cedes internacionales, pues a principios del mes se anunciaba un recorte de casi el 50% del personal. De momento se desconoce el destino de esta red social, pero desde ayer en la noche los presagios era malo y una tormenta parece estar por llegar.


En caso de suceder lo peor, al menos las risas no faltaron, como con los tuits que lanzaron las personas que registraron su Twitter Blue como empresas y personas importantes, causando confusión y diversión a partes iguales, spoilers: el falso Nintendo of America subió un Mario grosero enseñando el dedo corazón.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ubisoft y Riot Games han anunciado esta tarde que unirán fuerzas para combatir los comportamientos tóxicos en las comunidades de sus plataformas. El primer paso para esto será la creación de una base de datos para poder entrenar algoritmos de Deep Learning y así crear una Inteligencia Artificial que combata la toxicidad en el gaming.

El proyecto será llamado Zero Harm In Comms, que se traduce como "Cero Ataques en las Comunicaciones". En palabras de Yves Jacquier, director ejecutivo de Ubisoft, se están tomando muy en serio su meta y piensan que estos problemas pueden resolverse de una manera más efectiva uniéndose como industria.

El comportamiento inapropiado de los jugadores es un problema que nos tomamos muy en serio, pero a la vez es muy difícil de resolver. En Ubisoft hemos estado trabajando en medidas concretas que ayuden a lograr experiencias seguras y disfrutables, pero creemos que seremos capaces de abordar este tema de forma más eficaz si nos unimos como industria.
A través de esta colaboración tecnológica con Riot Games, estamos explorando cómo prevenir la toxicidad dentro del juego como diseñadores de estos entornos con una conexión directa a nuestras comunidades.

Es bien sabido que este tipo de comentarios y acciones negativas inundan todo tipo de juegos, desde títulos de deportes hasta FPS, sin importar la comunidad a la que vayan dirigidos. El proyecto Zero Harms in Comms no es una solución definitiva, sino un primer paso hacia soluciones y regulaciones de estos problemas dentro del gaming.

Una alianza inesperada pero necesaria


Podemos leer en el boletín de prensa, que la colaboración llega tras el análisis de las distintas naturalezas de las empresas, como la gran cantidad de títulos de Ubisoft así como los juegos multijugador de Riot Games.

Con el proyecto de investigación ''Zero Harm in Comms'', Ubisoft y Riot Games estudian cómo sentar las bases tecnológicas para futuras colaboraciones en la industria y cómo crear un marco que garantice la ética y la privacidad de esta iniciativa. Gracias a los juegos altamente competitivos de Riot Games y a los diversos proyectos de Ubisoft, la base de datos resultante debería cubrir a todo tipo de jugadores y de comportamientos en el juego para poder entrenar mejor los sistemas de IA de Riot Games y Ubisoft.

Y es que las bases de datos son una parte fundamental para entrenar una IA, pues de lo contrario, no tienes nada con lo cual puedan aprender a identificar patrones. Los algoritmos de Inteligencia Artificial necesitan de información para su aprendizaje y en muchas ocasiones la recolección y limpieza de datos se lleva gran parte del tiempo y recursos del proyecto.

Si bien aún está en su etapa inicial, el proyecto de investigación ''Zero Harm in Comms'' es el primer paso de un proyecto más ambicioso que busca beneficiar a toda la comunidad de jugadores en el futuro. Como parte de la primera fase de este proyecto, Ubisoft y Riot se comprometieron a compartir los aprendizajes de la etapa inicial del experimento con toda la industria el próximo año, sin importar el resultado.

Por ello es que Zero Harm in Comms parece tan importante, porque supondrá un primer paso para crear una sólida base de datos y entrenamiento de IA que ayuden a crear algoritmos más eficaces en el futuro.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los correos electrónicos de phishing que distribuyen el malware QBot utilizan una falla de secuestro de DLL en el Panel de control de Windows 10 para infectar computadoras, probablemente como un intento de evadir la detección por parte del software de seguridad.

El secuestro de DLL es un método de ataque común que aprovecha cómo se cargan las bibliotecas de vínculos dinámicos (DLL) en Windows.

Cuando se inicia un ejecutable de Windows, buscará cualquier dependencia de DLL en la ruta de búsqueda de Windows. Sin embargo, si un actor de amenazas crea una DLL maliciosa con el mismo nombre que una de las DLL requeridas del programa y la almacena en la misma carpeta que el ejecutable, el programa cargaría esa DLL maliciosa e infectaría la computadora.

QBot, también conocido como Qakbot, es un malware de Windows que comenzó como un troyano bancario pero evolucionó hasta convertirse en un cuentagotas de malware con todas las funciones. Las pandillas de ransomware, incluidas  Black Basta ,  Egregor y  Prolock , también usan el malware para obtener acceso inicial a las redes corporativas.

En julio, el investigador de seguridad ProxyLife descubrió que los actores de amenazas estaban explotando una  vulnerabilidad de secuestro de DLL en la calculadora de Windows 7  para instalar el malware QBot.

Esta semana, ProxyLife le dijo a BleepingComputer que los atacantes han pasado a usar una falla de secuestro de DLL en el ejecutable del Panel de control de Windows 10, control.exe.


Abusar del panel de control de Windows

En una campaña de phishing vista por ProxyLife, los actores de la amenaza utilizan correos electrónicos de cadena de respuesta robados para distribuir un archivo adjunto HTML que descarga un archivo ZIP protegido por contraseña con un archivo ISO dentro.


El archivo HTML, con un nombre similar a 'RNP_[número]_[número].html, muestra una imagen que pretende ser Google Drive y una contraseña para un archivo ZIP que se descarga automáticamente, como se muestra a continuación.


Este archivo ZIP contiene una imagen de disco ISO que, al hacer doble clic, se abrirá automáticamente en una nueva letra de unidad en Windows 10 y versiones posteriores.

Este archivo ISO contiene un archivo de acceso directo de Windows (.LNK), un  ejecutable 'control.exe'  (Panel de control de Windows 10) y dos archivos DLL llamados  edputil.dll  (utilizado para el secuestro de DLL) y  msoffice32.dll  (malware QBot).


El acceso directo de Windows (.LNK) incluido en la ISO utiliza un icono que intenta que parezca una carpeta.

Sin embargo, cuando un usuario intenta abrir esta carpeta falsa, el acceso directo inicia el ejecutable del Panel de control de Windows 10, control.exe, que se almacena en el archivo ISO, como se muestra a continuación.


Cuando se inicia control.exe, automáticamente intentará cargar la DLL legítima edputil.dll, que se encuentra en la carpeta C:\Windows\System32. Sin embargo, no busca la DLL en carpetas específicas y cargará cualquier DLL con el mismo nombre si se coloca en la misma carpeta que el ejecutable control.exe.

Como los actores de la amenaza están agrupando una DLL maliciosa edputil.dll en la misma carpeta que control.exe, esa DLL maliciosa se cargará en su lugar.

Una vez cargada, la  DLL maliciosa edputil.dll infecta el dispositivo con el malware QBot ( msoffice32.dll ) usando el comando regsvr32.exe msoffice32.dll.

Al instalar QBot a través de un programa confiable como el Panel de control de Windows 10, es posible que el software de seguridad no marque el malware como malicioso, lo que le permite evadir la detección.

QBot ahora se ejecutará silenciosamente en segundo plano, robando correos electrónicos para usarlos en ataques de phishing y descargando cargas adicionales como  Brute Ratel  o  Cobalt Strike .

Brute Ratel y Cobalt Strike son kits de herramientas posteriores a la explotación que los actores de amenazas utilizan para obtener acceso remoto a las redes corporativas.

Este acceso remoto comúnmente conduce al robo de datos corporativos y ataques de ransomware.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login