Los investigadores han descubierto una gigantesca red de más de 11.000 dominios utilizados para promover numerosos esquemas de inversión falsos para usuarios en Europa.

Las plataformas muestran pruebas fabricadas de enriquecimiento y respaldos de celebridades falsificados para crear una imagen de legitimidad y atraer a un mayor número de víctimas.

El objetivo de la operación es engañar a los usuarios para que obtengan una oportunidad de inversiones de alto rendimiento y convencerlos de que depositen una cantidad mínima de 250 EUR (255 dólares) para suscribirse a los servicios falsos.

Los investigadores de la empresa de ciberseguridad Group-IB descubrieron la operación y mapearon la red masiva de sitios de phishing, hosts de contenido y redirecciones.


Según Group-IB, más de 5000 de los dominios maliciosos identificados siguen activos.

Actualmente, los países a los que se dirige este esquema son el Reino Unido, Bélgica, Alemania, los Países Bajos, Portugal, Polonia, Noruega, Suecia y la República Checa.

proceso de estafa

Los estafadores se esfuerzan por promocionar las campañas en varias plataformas de redes sociales o usan Facebook y YouTube comprometidos para llegar a la mayor cantidad de usuarios posible.


Las víctimas que caen en la trampa y hacen clic en los anuncios para obtener más información son redirigidos a páginas de destino que muestran supuestas historias de éxito.

Luego, los estafadores solicitan los datos de contacto. Un "agente de atención al cliente" de un centro de llamadas se acerca a la víctima y le proporciona los términos y condiciones de inversión en una elaborada estafa de ingeniería social.


Eventualmente, se convence a la víctima de que deposite 250 EUR o más, mientras que los detalles proporcionados en el sitio falso se almacenan y utilizan para futuras campañas o se revenden en la dark web.


Una vez que la víctima deposita los fondos, obtiene acceso a un panel de inversión falso que supuestamente les permite realizar un seguimiento de las ganancias diarias.

Nunca se garantiza que las inversiones se realicen sin riesgo, por lo que las promesas de ganancias seguras deben verse como señales de alerta.

Además, las plataformas de inversión real no ofrecen administradores de cuentas personales para pequeñas inversiones.

Cuando una plataforma de inversión llama su atención, es recomendable asegurarse de que sea de un corredor establecido. Buscar reseñas de otros usuarios y analizar varios comentarios en busca de un patrón también puede revelar el fraude. Muchas veces, los estafadores no se esfuerzan por imitar la opinión de un usuario real y publican variaciones del mismo texto.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se presentó una demanda colectiva en el Distrito Norte de California contra Meta (Facebook), el Centro Médico UCSF y la Fundación Médica Dignity Health, alegando que las organizaciones recopilan ilegalmente datos confidenciales de atención médica sobre pacientes para publicidad dirigida.

Este seguimiento y recopilación de datos supuestamente se lleva a cabo en portales médicos más allá de los muros de inicio de sesión, donde los pacientes ingresan información altamente confidencial sobre ellos mismos, sus condiciones, médicos, medicamentos recetados y más.

Según la demanda, ni los hospitales ni Meta informan a los pacientes sobre la recopilación de datos, no se solicitan consentimientos de los usuarios y no hay una indicación visible de este proceso.

Los demandantes se dieron cuenta de la violación de su privacidad cuando Facebook, la plataforma de redes sociales perteneciente a Meta, comenzó a dirigirse a ellos con anuncios adaptados explícitamente a su condición médica.

metapíxel
El Meta Pixel es un fragmento de código que se puede inyectar en cualquier sitio web para ayudar con la creación de perfiles de visitantes, la recopilación de datos y la publicidad dirigida.

Ocupa el espacio de un solo píxel, de ahí el nombre y el sigilo, y ayuda a recopilar datos como clics de botones, patrones de desplazamiento, datos ingresados ​​en formularios, direcciones IP y más.

Esta recopilación de datos se lleva a cabo para todos los usuarios, incluso si no tienen una cuenta de Facebook. Sin embargo, para los usuarios de Facebook, los datos recopilados están vinculados a su cuenta para una correlación más profunda.

Debido a que Meta Pixel está instalado en numerosos sitios, los usuarios serán rastreados y dirigidos con anuncios específicos en múltiples ubicaciones de Internet.

Una investigación reciente de The Markup encontró Meta Pixel en el 30 % de los 80 000 sitios web más populares, incluidas varias clínicas contra el aborto y otros proveedores de atención médica.

La demanda afirma que el código de seguimiento de Meta está presente en 33 sitios web de los 100 hospitales más importantes de los Estados Unidos y, en siete casos, el código va más allá de los portales de pacientes protegidos con contraseña.

Según la denuncia, los 33 hospitales que tenían Meta Pixel admitieron colectivamente a más de 26 millones de pacientes y visitas ambulatorias solo en 2020.

violación de privacidad

En ejemplos en documentos judiciales, los pacientes recibieron anuncios dirigidos en Facebook y también por correo electrónico, promocionando dolencias y servicios médicos sin respaldo científico.


Lo que es más importante, los demandantes se sintieron violados, ya que nunca aceptaron la recopilación de datos médicos confidenciales, y mucho menos que se utilizaran en publicidad dirigida.

Meta incluso contiene una disposición para esto en su política de privacidad de datos, que establece que sus socios (anfitriones de Meta Pixel) deben tener derechos legales para recopilar, usar y compartir los datos de los usuarios antes de entregárselos al gigante de la publicidad.


Como tal, tanto Meta como los proveedores de atención médica están acusados ​​de saber que su operación de recopilación de datos era ilegal, pero continuaron haciéndolo y ocultándoselo a las personas rastreadas.

Los esfuerzos de Meta para filtrar información médica confidencial de los datos recopilados han demostrado ser ineficaces, según The Markup y el Departamento de Servicios Financieros del Estado de Nueva York que investigaron este asunto en febrero de 2021 .

En conclusión, los demandantes, en nombre de cualquier persona en una situación similar, solicitan reclamaciones de reparación relacionadas con la invasión de la privacidad, la violación de la confidencialidad de la información médica, el enriquecimiento injusto, el incumplimiento de contrato, la Ley de Fraude y Acceso a Datos Informáticos (CDAFA) y también la Ley Federal de escuchas telefónicas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los intentos de hacerse con nuestros datos por parte de los ciberdelincuentes que operan en internet nos pueden llegar de múltiples formas. Recientemente se ha descubierto una extensión maliciosa que se instala en Google Chrome y que afecta a nuestro correo electrónico.

Os contamos todo esto porque en estos instantes un grupo de atacantes denominado como Kimsuky está utilizando este método que os comentamos. Para llegar hasta nuestros equipos utilizan una extensión de navegador maliciosa que se encarga de robar los correos electrónicos de los usuarios de Google Chrome o Edge. En concreto una vez instalada capacita a estos atacantes a leer nuestros mensajes webmail.

Una vez sabemos de qué se trata, debemos tener presente que la extensión se llama Sharpext y la detectaron unos investigadores de Volexity. Decir que es compatible con tres navegadores web basados en el motor Chromium: Chrome, Edge y Whale. A su vez Está capacitada para robar nuestro correo de las cuentas de Gmail y AOL. Una vez se ha instalado la extensión maliciosa, compromete el sistema utilizando un script VBS personalizado. Aquí se sustituyen los archivos Preferences y Secure Preferences por otros descargados desde el servidor de control del malware.

Una vez descargados los nuevos archivos que os comentamos en el equipo infectado, el navegador web carga automáticamente la extensión Sharpext . A continuación, el malware analiza y filtra directamente los datos de la cuenta de correo web de la víctima mientras nos movemos por la misma. De hecho, podemos afirmar que con el tiempo la extensión ha evolucionado y actualmente se encuentra en la versión 3.0.

Sharpext , la extensión de Chrome que roba el correo

A todo lo comentado le podemos sumar que debido aquí la extensión aprovecha la sesión ya iniciada para robar correos electrónicos, el ataque pasa desapercibido. Todo ello es algo que se hace extensible tanto para el propio proveedor de correo como para la víctima. En resumidas cuentas, su modo de funcionamiento hace que su detección sea muy difícil, casi imposible. Al mismo tiempo es importante saber que el flujo de trabajo de la extensión no activará ninguna alerta de actividad sospechosa en las cuentas de correo.


De este modo se garantiza que la actividad maliciosa no se dará a conocer al comprobar la página de estado de la cuenta en busca de posibles alertas. Como os podréis imaginar, este comportamiento hace que el ataque sea aún más peligroso y efectivo para los interesados en hacerse con nuestros mensajes. Además, la misma extensión de Chrome se encarga de listar los correos recopilados de la víctima para que no se carguen duplicados.

Asimismo, escanea los dominios con los que nos hemos comunicado previamente y se crea una lista negra de remitentes que deben ser ignorados al recopilar estos correos. Por otro lado, el ataque añade un nuevo dominio a la lista de los correo ya vistos y carga un nuevo archivo adjunto en el servidor remoto. Hay que comentar que esta no es la primera vez que este grupo norcoreano utiliza extensiones de navegador para recoger y extraer datos confidenciales de los sistemas vulnerados, por lo que ya tiene experiencia.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un grupo de investigadores de seguridad del equipo de uCode dieron a conocer la liberación del código fuente del proyecto «Microcode Decryptor» y que permite hacer exactamente lo que sugiere el nombre: es una herramienta, que consta de tres scripts de Python y está disponible en GitHub.

Microcode Decryptor permite decodificar el microcódigo de algunos procesadores Intel como Atom, Pentium y Celeron basado en microarquitecturas Goldmont y Goldmont Plus, lo que abre la puerta a diferentes escenarios, como comprender cómo Intel ha implementado ciertas funciones del procesador o ha implementado varias funciones y arreglos de seguridad.

La técnica Red Unlock desarrollada por los mismos investigadores en 2020 se puede utilizar para extraer el microcódigo cifrado. La posibilidad propuesta de descifrar el microcódigo permite explorar la estructura interna del microcódigo y los métodos para implementar instrucciones de máquina x86. Además, los investigadores recuperaron el formato de actualización del firmware, el algoritmo de cifrado y la clave utilizada para proteger el microcódigo (RC4).

Para determinar qué clave de cifrado usar, se utilizó una vulnerabilidad en Intel TXE para habilitar un modo de depuración no documentado, cuyo nombre en código es «Red Unlock» por los investigadores. En el modo de depuración, logramos cargar un volcado con un microcódigo en funcionamiento directamente desde la CPU y extraer el algoritmo y las claves de él.

Microcode Decryptor solo permite descifrar el microcódigo, pero no permite cambiarlo, ya que la integridad del microcódigo se verifica adicionalmente mediante una firma digital basada en el algoritmo RSA.

En cuanto al cómo fue posible el desarrollo de Microcode Decryptor, mencionan que se produjo hace tres años cuando Goryachy y Ermolov encontraron una vulnerabilidad crítica, indexada como Intel SA-00086, que les permitía ejecutar el código de su elección dentro del núcleo independiente de chips que incluía un subsistema conocido como Intel Management Engine.

CitarIntel solucionó el error y lanzó un parche, pero debido a que los chips siempre se pueden revertir a una versión de firmware anterior y luego explotar, no hay forma de eliminar la vulnerabilidad de manera efectiva.

Posterior a ello (hace cinco mese), el trío de científicos pudo usar la vulnerabilidad para acceder a un modo de servicio integrado en los chips Intel, en un guiño a la película The Matrix, los investigadores llamaron a su herramienta para acceder a este depurador previamente indocumentado Chip Red Pill, porque permite a los investigadores experimentar el funcionamiento interno de un chip que generalmente está fuera de los límites.

Un portavoz de Intel dijo que:

Citar«no debería haber ningún riesgo de seguridad» como resultado de la disponibilidad de la herramienta. De hecho, la compañía dijo que permitir que más personas revisen el microcódigo de Intel podría ayudar al fabricante de chips a identificar más vulnerabilidades en el futuro. Para cualquiera que tenga éxito en hacerlo, eso significa potencialmente ganar algo de dinero a través del programa de recompensas por errores de Intel.

«La capacidad de los investigadores para analizar el microcódigo podría permitir el descubrimiento de nuevas vulnerabilidades. Dado que este microcódigo ha sido expuesto, Intel invita a los investigadores a participar en el programa de recompensas por errores de microcódigo en caso de que se descubra algún problema», nos dijeron.

Por su parte los desarrolladores de esta herramienta comentaron que:

Citar«la oportunidad de leer el microcódigo de la CPU podría ayudar a comprender cómo Intel implementó tecnologías como Intel Trusted Execution Technology ( TXT ) o mitigó vulnerabilidades graves como Meltdown y Spectre.»

Yermolov, uno de los otros científicos, agregó que la disponibilidad de la herramienta significa que las personas ahora pueden explorar XuCode, una variante de código x86 en modo de 64 bits utilizada para implementar partes de Intel SGX que se descarga como una actualización de microcódigo. SGX es la tecnología de Intel para crear enclaves de memoria seguros: estas son áreas protegidas en las que otros programas y usuarios, incluso el sistema operativo o el hipervisor, no pueden interferir.

CitarXuCode es bastante interesante: las instrucciones específicas de x86 para administrar enclaves SGX son tan complejas que se dividen en secuencias de instrucciones XuCode que realizan las operaciones necesarias.

Estas instrucciones de XuCode son estándar para la arquitectura x86 de 64 bits con algunas extensiones y el procesador las divide en microoperaciones x86 regulares. Cuando una aplicación usa una instrucción SGX de alto nivel, el procesador puede saltar a su XuCode para trabajar.

Estas secuencias de XuCode se almacenan en microcódigo y ahora se pueden extraer con los scripts de Python anteriores y analizarse con kits de ingeniería inversa x86 estándar.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

A finales de abril, poco después del lanzamiento de Ubuntu 22.04, System76 lanzó Pop!_OS 22.04. Esa versión del sistema operativo está basada en Jammy Jellyfish y en GNOME 42, pero sigue incluyendo todas las personalizaciones propias que han hecho que haya usuarios que prefieran esta distribución por encima de otras. En un principio, el sistema operativo está diseñado para los equipos de System76, pero hace mucho que existe la versión para cualquier equipo portátil o de escritorio.

Ahora, tres meses después del lanzamiento para ordenadores «normales», la compañía ha anunciado que también hay una imagen para la Raspberry Pi 4. Si vamos a la página de descargas de Pop!_OS 22.04, podemos ver que hay una que pone «22.04 (RAS PI 4)», lo que muestra dos diferencias con respecto a las otras imágenes: primero, no es una versión LTS, por lo que no está soportada durante tanto tiempo como la versión para ordenadores; segundo, es para la Raspberry Pi 4. Y, si leemos un poco más abajo, podemos ver que la compañía le ha dado un nombre especial a esta versión para la placa de la frambuesa.

Pop!_Pi, Pop!_OS para la Raspberry Pi

El nombre que recibe este sistema operativo es Pop!_Pi, y sólo está soportado para la Raspberry Pi 4 con 2GB de RAM o más. También se puede usar en el Raspberry Pi 400, ya que lo que tiene en su interior es en su mayoría una RPi4.

Importante mencionar que lo que hay disponible es una «Technical Preview», es decir, una versión preliminar. Como tal, está destinada a desarrolladores o usuarios que quieran probar esta versión del sistema operativo en su Raspberry Pi, pero no para aquellos que quieran trabajar con algo 100% fiable.

La versión del escritorio llegó a finales de abril con novedades como PipeWire como el sistema de procesado de audio por defecto, soporte para programar las actualizaciones, mejoras en los temas claros y oscuros y Linux 5.16, y no el 5.15 que usa Ubuntu 22.04. La imagen se puede conseguir en la página oficial del proyecto.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Sobre el papel Optane parecía fantástica. Intel la presentaba en 2017 con el objetivo de enterrar al disco duro tradicional y ponérselo difícil incluso a las populares unidades SSD. Jamás logró ni una cosa ni la otra —de hecho, ni se acercó a hacerlo—, y ahora Intel se rinde y anuncia que ha dado carpetazo final a esta división. Parece una buena decisión.

Optane era más rápida, pero también mucho más cara. La tecnología de Intel demostró desde sus inicios que ciertamente planteaba mejoras interesantes para el segmento de las memorias no volátiles, pero tenía dos problemas de partida.

El primero, que solo estaba soportada por equipos muy específicos y modernos, algo que se fue solucionando con el tiempo. El segundo que eran unidades carísimas y con un precio de GB muy superior al de los SSD. Eso jamás se solucionó.

Nunca fueron un sustituto real a los SSD. De hecho Intel no las planteaba así —lógico, sabiendo su coste y limitada capacidad— sino como una especie de caché para unidades de disco tradicionales y SSDs. En el segundo caso la cosa cobraba aún menos sentido, y esto era más una especie de evolución de los Fusion Drive de Apple que combinaban un disco duro tradicional con memorias Flash NAND que actuaba también como una caché para acelerar el acceso a los datos más frecuentes.

Optane primero dijo adiós al PC. En enero de 2021 Intel reconocía su derrota parcialmente: abandonaba estas unidades para el mercado del PC y se centraba en Optane para servidores y centros de datos. Las ventajas cada vez eran menores, sobre todo cuando las unidades SSD no han parado de mejorar y los estándares PCIe 4.0 y PCIe 5.0 —aún por cuajar— ofrecen tasas de transferencia espectaculares.

Hasta siempre, Optane. Y tras ese anuncio anterior, ahora Intel ha decidido que deja de desarrollar Optane. En su informe con los (malos) resultados trimestrales del segundo trimestre de 2022 hay un apartado en el que indican claramente cómo "hemos iniciado la liquidación de nuestro de memorias Intel Optane", e incluso destacan que el inventario que ha quedado sin venderse ha provocado unas pérdidas de 559 millones de dólares.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Está en marcha una nueva campaña de phishing con el nombre en código 'Ducktail', dirigida a los profesionales de LinkedIn para hacerse cargo de las cuentas comerciales de Facebook que administran la publicidad de la empresa.

Los operadores de Ducktail tienen un alcance de orientación limitado y seleccionan a sus víctimas con cuidado, tratando de encontrar personas que tengan privilegios de administrador en las cuentas de redes sociales de sus empleadores.

El descubrimiento de esta campaña proviene de investigadores de WithSecure, que han estado rastreando lo que creen que es un actor de amenazas vietnamita desde 2021 y recopilaron evidencia de actividad que se remonta a 2018.

Esto significa que Ducktail ha estado en marcha durante al menos un año y podría haber estado activo durante casi cuatro años.


Robo de cuentas de Facebook

El actor de amenazas se comunica con los empleados en LinkedIn que podrían tener acceso a la cuenta comercial de Facebook, por ejemplo, las personas que figuran como que trabajan en "medios digitales" y "marketing digital" como sus funciones.

Como parte de las conversaciones con un objetivo potencial, los actores de amenazas utilizan la ingeniería social y el engaño para convencerlos de que descarguen un archivo alojado en un servicio de alojamiento en la nube legítimo como Dropbox o iCloud.


El archivo descargado contiene archivos de imagen JPEG relevantes para la conversación entre el estafador y el empleado, pero también incluye un archivo ejecutable que parece un documento PDF.


Este archivo es en realidad un malware de .NET Core que contiene todas las dependencias requeridas, lo que le permite ejecutarse en cualquier computadora, incluso en aquellas que no tienen instalado el tiempo de ejecución de .NET.

Cuando se ejecuta, el malware busca cookies de navegador en Chrome, Edge, Brave y Firefox, recopila información del sistema y, finalmente, apunta a las credenciales de Facebook.

"El malware interactúa directamente con varios puntos finales de Facebook desde la máquina de la víctima utilizando la cookie de sesión de Facebook (y otras credenciales de seguridad que obtiene a través de la cookie de sesión inicial) para extraer información de la cuenta de Facebook de la víctima", explica WithSecure en el informe.

Las solicitudes a los terminales de Facebook parecen auténticas, ya que se originan en el navegador de la víctima mediante una cookie de sesión válida.

El malware rastrea varias páginas de Facebook para capturar múltiples tokens de acceso y los usa para una interacción sin obstáculos con el punto final en etapas posteriores.


La información robada incluye las cookies, la dirección IP, la información de la cuenta (nombre, correo electrónico, fecha de nacimiento, ID de usuario), los códigos 2FA y los datos de geolocalización, lo que esencialmente permite que el actor de amenazas continúe con este acceso desde su máquina.

Los detalles específicos de la empresa robados de la cuenta comprometida incluyen el estado de verificación, el límite de publicidad, la lista de usuarios, la lista de clientes, la identificación, la moneda, el ciclo de pago, el monto gastado y el DSL de adtrust (límite de gasto dinámico).

Los datos finalmente se filtran a través de los bots de Telegram y tienen lugar entre períodos establecidos, o cuando se roban las cuentas de Facebook, el proceso de malware finaliza o cuando el malware falla.


Secuestro de la cuenta de Facebook

El malware no solo roba información de las cuentas de Facebook de las víctimas, sino que también las secuestra agregando la dirección de correo electrónico del actor de amenazas a la cuenta comercial de Facebook comprometida. Al agregar al usuario, agregan permisos que permiten a los actores de amenazas acceso completo a la cuenta.


Luego, los actores de amenazas aprovechan sus nuevos privilegios para reemplazar los detalles financieros establecidos para que puedan dirigir los pagos a sus cuentas o ejecutar campañas publicitarias de Facebook con dinero de las empresas víctimas.

WithSecure cree que el motivo de los operadores de Ducktail es financiero, buscando ganancias fáciles en un entorno en el que llevaría algún tiempo descubrir el fraude y detenerlo.

En particular, vimos un enfoque de verificación de token de sesión y robo de cuenta automatizado igualmente sofisticado de un ladrón de información llamado FFDroider en abril de 2022.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft dice que los atacantes utilizan cada vez más las extensiones maliciosas del servidor web de Internet Information Services (IIS) para los servidores de Exchange sin parches de puerta trasera, ya que tienen tasas de detección más bajas en comparación con los shells web.

Debido a que están ocultos en lo profundo de los servidores comprometidos y, a menudo, son muy difíciles de detectar si están instalados en la ubicación exacta y usan la misma estructura que los módulos legítimos, brindan a los atacantes un mecanismo de persistencia perfecto y duradero.

"En la mayoría de los casos, la lógica real de la puerta trasera es mínima y no puede considerarse maliciosa sin una comprensión más amplia de cómo funcionan las extensiones legítimas de IIS, lo que también dificulta determinar la fuente de infección", dijo el equipo de investigación de Microsoft 365 Defender el martes.

Acceso persistente a servidores comprometidos

Los actores de amenazas rara vez implementan tales extensiones maliciosas después de comprometer un servidor usando exploits para varias fallas de seguridad sin parchear en una aplicación alojada.

Por lo general, se implementan después de que se implementa un shell web como la primera carga útil del ataque. El módulo IIS se implementa más tarde para proporcionar un acceso más sigiloso y persistente (resistente a actualizaciones) al servidor pirateado.

Microsoft vio previamente puertas traseras IIS personalizadas instaladas después de que los actores de amenazas explotaran las vulnerabilidades de ZOHO ManageEngine ADSelfService Plus y SolarWinds Orion .

Después de la implementación, los módulos IIS maliciosos permiten a los actores de amenazas recopilar credenciales de la memoria del sistema, recopilar información de la red de las víctimas y los dispositivos infectados y entregar más cargas útiles.

Más recientemente, en una campaña entre enero y mayo de 2022 dirigida a los servidores de Microsoft Exchange, los atacantes implementaron extensiones IIS maliciosas para obtener acceso a los buzones de correo electrónico de las víctimas, ejecutar comandos de forma remota y robar credenciales y datos confidenciales.

"Después de un período de reconocimiento, volcado de credenciales y establecimiento de un método de acceso remoto, los atacantes instalaron una puerta trasera IIS personalizada llamada FinanceSvcModel.dll en la carpeta C:\inetpub\wwwroot\bin\", agregó Microsoft .

"La puerta trasera tenía la capacidad incorporada para realizar operaciones de administración de Exchange, como enumerar las cuentas de buzón de correo instaladas y exportar buzones de correo para exfiltración".


Malware implementado en servidores Exchange como módulos IIS maliciosos

Kaspersky también detectó recientemente malware entregado como extensiones IIS en los servidores de Microsoft Exchange para ejecutar comandos y robar credenciales de forma remota.

En diciembre, se utilizó un módulo de servidor web IIS malicioso llamado Owowa para atacar a organizaciones gubernamentales y empresas de transporte público en el sudeste asiático y Europa.

Otro malware de IIS denominado SessionManager se usó sin ser detectado desde al menos marzo de 2021 (justo después del comienzo de la ola masiva de ataques ProxyLogon del año pasado ) en ataques contra organizaciones gubernamentales y militares de Europa, Medio Oriente, Asia y África. .

"Una vez que ingresan al sistema de la víctima, los ciberdelincuentes detrás de la puerta trasera pueden obtener acceso a los correos electrónicos de la empresa, actualizar el acceso malicioso instalando otros tipos de malware o administrar clandestinamente servidores comprometidos, que pueden aprovecharse como infraestructura maliciosa", dijo Kaspersky en ese momento.

"Los módulos IIS no son un formato común para las puertas traseras, especialmente cuando se comparan con las amenazas típicas de las aplicaciones web como los shells web y, por lo tanto, pueden pasarse por alto fácilmente durante los esfuerzos estándar de monitoreo de archivos".

Para defenderse de los ataques que utilizan módulos IIS maliciosos, Microsoft aconseja a los clientes que mantengan sus servidores Exchange actualizados, mantengan habilitadas las soluciones antimalware y de seguridad, revisen los roles y grupos confidenciales, restrinjan el acceso a los directorios virtuales de IIS, prioricen las alertas e inspeccionen los archivos de configuración. y carpetas bin.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los ataques dependen de engañar a los usuarios para que descarguen SmokeLoader, que se hace pasar por cracks de software, allanando el camino para el despliegue de Amadey, dijeron investigadores del Centro de Respuesta a Emergencias de Seguridad AhnLab (ASEC) en un informe publicado la semana pasada.

Amadey , una botnet que apareció por primera vez alrededor de octubre de 2018 en los foros clandestinos rusos por $600, está equipada para desviar credenciales, capturar capturas de pantalla, metadatos del sistema e incluso información sobre motores antivirus y malware adicional instalado en una máquina infectada.


Si bien Walmart Global Tech detectó una actualización en julio pasado que incorporó la funcionalidad para recopilar datos de los enrutadores Mikrotik y Microsoft Outlook, el conjunto de herramientas se actualizó para capturar información de FileZilla, Pidgin, Total Commander FTP Client, RealVNC, TightVNC, TigerVNC y WinSCP. .

Sin embargo, su objetivo principal es implementar complementos adicionales y troyanos de acceso remoto como Remcos RAT y RedLine Stealer , lo que permite aún más que el actor de amenazas realice una serie de actividades posteriores a la explotación.

Se recomienda a los usuarios que actualicen sus dispositivos a las últimas versiones del sistema operativo y del navegador web para minimizar posibles rutas de infección y evitar el software pirateado.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hasta 207 sitios web han sido infectados con código malicioso diseñado para lanzar un minero de criptomonedas aprovechando WebAssembly (Wasm) en el navegador.

La empresa de seguridad web Sucuri, que publicó los detalles de la campaña, dijo que inició una investigación después de que la computadora de uno de sus clientes se ralentizara significativamente cada vez que navegaba a su propio portal de WordPress.

Esto descubrió un compromiso de un archivo de tema para inyectar código JavaScript malicioso desde un servidor remoto, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login[.]org/auto.js, que se carga cada vez que se accede a la página del sitio web.

"Una vez decodificados, los contenidos de auto.js revelan inmediatamente la funcionalidad de un criptominero que comienza a minar cuando un visitante llega al sitio comprometido", dijo el investigador de malware de Sucuri, Cesar Anjos .

Además, el código auto.js desofuscado utiliza WebAssembly para ejecutar código binario de bajo nivel directamente en el navegador.

WebAssembly , que es compatible con todos los principales navegadores, es un formato de instrucciones binarias que ofrece mejoras de rendimiento sobre JavaScript, lo que permite que las aplicaciones escritas en lenguajes como C, C++ y Rust se compilen en un lenguaje similar a un ensamblador de bajo nivel que puede ser directamente ejecutar en el navegador.

"Cuando se usa en un navegador web, Wasm se ejecuta en su propio entorno de ejecución en espacio aislado", dijo Anjos. "Como ya está compilado en un formato de ensamblaje, el navegador puede leer y ejecutar sus operaciones a una velocidad que JavaScript no puede igualar".

Se dice que el dominio controlado por el actor, wm.bmwebm[.]org, se registró en enero de 2021, lo que implica que la infraestructura siguió activa durante más de un año y medio sin llamar la atención.


Además de eso, el dominio también viene con la capacidad de generar automáticamente archivos JavaScript que se hacen pasar por archivos aparentemente inofensivos o servicios legítimos como el de Google Ads (por ejemplo, adservicegoogle.js, wordpresscore.js y facebook-sdk.js) para ocultar su comportamiento malicioso.

"Esta funcionalidad también hace posible que el mal actor inyecte los scripts en múltiples ubicaciones en el sitio web comprometido y aún mantenga la apariencia de que las inyecciones 'pertenecen' al entorno", señaló Anjos.

Esta no es la primera vez que la capacidad de WebAssembly para ejecutar aplicaciones de alto rendimiento en páginas web ha generado posibles señales de alerta de seguridad .

Dejando de lado el hecho de que el formato binario de Wasm hace que la detección y el análisis por parte de los motores antivirus convencionales sean más desafiantes, la técnica podría abrir la puerta a ataques basados ​​en navegadores más sofisticados, como el e-skimming, que puede pasar desapercibido durante largos períodos de tiempo.

Lo que complica aún más las cosas es la falta de controles de integridad para los módulos Wasm, lo que hace imposible determinar si una aplicación ha sido manipulada.

Para ayudar a ilustrar las debilidades de seguridad de WebAssembly, un estudio de 2020 realizado por un grupo de académicos de la Universidad de Stuttgart y la Universidad Bundeswehr de Múnich descubrió problemas de seguridad que podrían usarse para escribir en memoria arbitraria, sobrescribir datos confidenciales y secuestrar el flujo de control.

Una investigación posterior publicada en noviembre de 2021 basada en una traducción de 4469 programas C con vulnerabilidades de desbordamiento de búfer conocidas a Wasm descubrió que "compilar un programa C existente en WebAssembly sin precauciones adicionales puede obstaculizar su seguridad".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Han surgido detalles sobre cómo la pandilla de ransomware Conti violó el gobierno de Costa Rica, mostrando la precisión del ataque y la velocidad de pasar del acceso inicial a la etapa final de cifrado de dispositivos.

Este es el último ataque de la operación de ransomware Conti antes de que el grupo hiciera la transición a una forma diferente de organización que se basa en varias células que trabajan con otras pandillas.

La intrusión de 5 días de Conti en el gobierno de Costa Rica

La operación de ransomware Conti se lanzó en 2020 para reemplazar a Ryuk y rápidamente se volvió infame después de atacar a las víctimas tanto en el sector público como en el privado, incluidos  los gobiernos locales  en los EE. UU., las  escuelas y  los sistemas nacionales de salud .

El 11 de abril de 2022, Conti inició su última incursión bajo esta marca luego de obtener acceso inicial a la red del gobierno de Costa Rica y participar en actividades de reconocimiento.

Un informe de la compañía de inteligencia cibernética Advanced Intelligence ( AdvIntel ) detalla los pasos de los piratas informáticos rusos desde el punto de apoyo inicial hasta la exfiltración de 672 GB de datos el 15 de abril y la ejecución del ransomware.

El punto de entrada del actor de amenazas era un sistema perteneciente al Ministerio de Hacienda de Costa Rica, al que un miembro del grupo denominado 'MemberX' obtuvo acceso a través de una conexión VPN utilizando credenciales comprometidas.

El CEO de Advanced Intelligence, Vitali Kremez, le dijo a BleepingComputer que las credenciales comprometidas se obtuvieron del malware instalado en el dispositivo inicial comprometido en la red de la víctima.

Se establecieron más de 10 sesiones de balizas Cobalt Strike en las primeras etapas del ataque, dicen los investigadores de AdvIntel en el informe.


Después de obtener acceso al administrador del dominio de la red local, el intruso usó la herramienta de línea de comandos Nltest para enumerar las relaciones de confianza del dominio. Luego, escanearon la red en busca de archivos compartidos usando las utilidades ShareFinder y AdFind.

Los detalles de AdvIntel sobre la actividad del actor de amenazas en la red del gobierno de Costa Rica incluyen los comandos específicos utilizados en cada paso.


Según los investigadores, MemberX luego usó el canal de puerta trasera Cobalt Strike para descargar la salida del archivo compartido a una máquina local.

El atacante pudo acceder a los recursos compartidos administrativos donde cargaron una baliza DLL de Cobalt Strike y luego la ejecutaron usando la herramienta PsExec para la ejecución remota de archivos.


Utilizando la herramienta posterior a la explotación de Mimikatz para exfiltrar credenciales, el adversario recopiló las contraseñas de inicio de sesión y los hashes de NTDS para los usuarios locales, obteniendo así "hashes de administrador de empresa, dominio y administrador local de texto sin formato y susceptibles de brutalidad".

Los investigadores dicen que los operadores de Conti aprovecharon Mimikatz para ejecutar un  ataque DCSync  y  Zerologon  que les dio acceso a cada host en las redes interconectadas de Costa Rica.

Para asegurarse de que no pierdan el acceso en caso de que los defensores detecten las balizas Cobalt Strike, Conti plantó la herramienta de acceso remoto Atera en hosts con menos actividad de usuarios donde tenían privilegios administrativos.


El robo de datos fue posible utilizando el programa de línea de comandos Rclone que puede administrar archivos en múltiples servicios de almacenamiento en la nube. Conti usó esto para cargar datos al servicio de alojamiento de archivos MEGA.

Un diagrama del flujo de ataque:


Posterior al ataque: emergencia nacional, cierre de Conti

Según una nota en el sitio de filtraciones de Conti, la demanda de rescate fue inicialmente de $10 millones y luego aumentó a $20 millones cuando Costa Rica se negó a pagar.

Sin embargo, los investigadores de AdvIntel  dicen  que la comunicación interna entre los miembros de Conti mostró que el precio "estaba muy por debajo del millón de dólares".

AdvIntel señala que el ataque de Conti al gobierno de Costa Rica "fue relativamente poco sofisticado" y que una red "plana" diseñada combinada con recursos compartidos administrativos mal configurados ayudó al atacante a pasar a fideicomisos de dominio.

Luego de este ataque paralizante, Costa Rica se vio obligada el 8 de mayo a  declarar una emergencia nacional  ya que la intrusión se había extendido a múltiples organismos gubernamentales, y algunas agencias reanudaron sus actividades a principios de junio.

Aproximadamente 10 días después, los líderes de Conti comenzaron a  cerrar la operación  desconectando parte de la infraestructura y anunciando que la marca ya no existía.

El paso final ocurrió a fines de junio cuando  Conti cerró  todos los sitios utilizados para negociar rescates con las víctimas y desconectó el sitio de fuga de datos.

Sin embargo, el sindicato de ciberdelincuentes sigue vivo, bajo una organización diferente donde sus miembros se dispersaron en otras operaciones de ransomware ( Quantum , Hive, AvosLocker, BlackCat, Hello Kitty).

Otras operaciones también en el negocio de la extorsión, menos la parte de cifrado de archivos, que también están vinculadas a Conti son  Karakurt ,  BlackByte y el  colectivo Bazarcall .

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google Search y Drive están marcando erróneamente los enlaces a los documentos de investigación y los sitios web de la Asociación de Maquinaria de Computación (ACM) como malware.

BleepingComputer ha reproducido con éxito el problema, informado por primera vez por el investigador Maximilian Golla.

Fundada en 1947 y con sede en Nueva York como una organización sin fines de lucro, The Association for Computing Machinery (ACM) es la sociedad informática científica y educativa más grande del mundo. A partir de 2019, la membresía de ACM comprende casi 100 000 estudiantes y profesionales involucrados en el campo de la informática.

El trabajo de investigación "viola" las políticas de Google Drive

El investigador de doctorado con sede en Alemania, Maximilian Golla de la Sociedad Max Planck, se sintió frustrado al ver que uno de sus archivos de Google Docs estaba restringido por Google.

El archivo, según Golla , contenía enlaces a trabajos de investigación de ACM, pero "viola" los Términos de servicio de Google según una captura de pantalla compartida por el investigador:


Y no es solo Google Drive. La Búsqueda de Google también está actuando de manera divertida, señala Golla .

BleepingComputer confirmó que los resultados de búsqueda de Google para el sitio web de ACM, los documentos de investigación de la Biblioteca digital de ACM y las páginas de contacto también tratan los enlaces a los dominios de ACM como maliciosos.


En nuestras pruebas, al hacer clic en cualquiera de los  sitios You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login,  dl.acm.org  o You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login que aparecían en los resultados generaba un "intersticial" alojado en la página de redirección de Google, advirtiendo a los visitantes que el enlace podría ser dañino.

Básicamente, este problema bloquea todo el tráfico a los dominios de ACM desde los resultados de búsqueda de Google. En su lugar, los visitantes de ACM tendrán que copiar y pegar manualmente el enlace previsto en la barra de direcciones de su navegador web:


Por lo general, Google muestra estas advertencias a los visitantes que, sin darse cuenta, pueden estar navegando a sitios o dominios comprometidos que alojan adware, MageCart u otros tipos de malware. Hasta el momento, no hay indicios de que los dominios de ACM estén comprometidos o sirvan malware. BleepingComputer se comunicó con ACM para asegurarse de que ese sea el caso.

"Para obtener información detallada sobre los problemas que encontramos, visite la página de diagnóstico de Navegación segura de Google para este sitio", advierte el mensaje de advertencia de Google. Pero BleepingComputer observó que la "página de diagnóstico" indicaba que el sitio web de ACM era seguro:


Tercera es la vencida

Aunque el bloqueo de los enlaces de ACM en Google Search y Drive parece errático, esta no es la primera vez que Google Drive marca erróneamente materiales por violar sus Términos de servicio cuando no hay ninguno.

En enero, se vio que Google Drive restringía archivos casi vacíos por "infracción de derechos de autor". Estos archivos no contenían más datos que algunos números o un solo dígito, como '1'.

En ocasiones, los documentos de Google Drive que contienen enlaces de phishing, incluso para fines de investigación personal, también se han marcado automáticamente como que infringen los términos y se han restringido sus funciones para compartir.

BleepingComputer se comunicó con Google para comprender qué está causando el problema con los dominios ACM y actualizaremos la historia una vez que recibamos una respuesta.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

GitHub Copilot se presentó como el último grito tecnológico en cuanto a asistir en la programación se refiere, sin embargo, la FSF no dudó en mostrar sus reservas debido a posibles violaciones de licencias y derechos de autor. Ahora es la Software Freedom Conservancy la que va un paso más allá para decir que esto posiblemente termine siendo un revés para el sitio web de repositorios de código.

Antes de meternos en harina, recordamos que la Software Freedom Conservancy es una organización sin ánimo de lucro dedicada a defender el software libre y el derecho a reparar dentro de este. A lo largo de su trayectoria ha demandado al fabricante de televisores Vizio por violar la licencia GPL y se ha posicionado en favor de GNOME cuando su fundación fue demandanda por presuntamente violar patentes a través de la aplicación Shotwell.

Tras refrescar la memoria, la Software Freedom Conservancy (SFC) ha publicado una extensa entrada en su blog oficial en la que expone no solo sus reservas en torno a GitHub Copilot, sino también por la potente posición de la que goza el sitio web de repositorios de código como uno de los mayores puntales del código abierto y el software libre (FLOSS).

La institución empieza su entrada con un "aquellos que olvidan la historia a menudo la repiten sin darse cuenta", recordando lo que ocurrió hace 20 años, cuando SourceForge decidió cerrar su código fuente. Aquel movimiento supuso la marcha de muchos proyectos y actualmente SourceForge no es ni la sombra de los que fue, a pesar de los esfuerzos por reflotarlo.

Lo malo es que el hosting que tomó el relevo de SourceForge es una plataforma privativa y centralizada: GitHub. Aquí la SFC lamenta la ironía que supone dicha situación, ya que "GitHub tuvo éxito donde SourceForge fracasó: nos convencieron de promover e incluso ayudar en la creación de un sistema privativo que explota el FLOSS".

Y aquí es donde entramos en uno de los asuntos más peliagudos de este mundillo: el parasitismo que padece el FLOSS desde distintas perspectivas. En este caso, GitHub intenta obtener beneficios mediante la explotación de código abierto a través de herramientas privativas, algo que se ha normalizado en exceso en la industria del software y que en más de un caso debería de plantear si se está haciendo un uso ético del FLOSS.

Desde la SFC reconocen que GitHub ha sabido venderse como un "buen actor" (benevolente) debido a que aloja el código fuente de una gran cantidad de proyectos FLOSS, abarcando la mayoría de los más relevantes. Sin embargo, la institución recuerda que "hemos aprendido de las muchas ofertas gratuitas en el Big Tech: si no eres el cliente, eres el producto. La metodología de desarrollo de FLOSS es el producto de GitHub, que han patentado y reempaquetado con nuestra ayuda activa (aunque a menudo involuntaria)".

Pero además de denunciar la situación de GitHub en torno al FLOSS, desde la institución se muestran autocríticos al reconocer lo siguiente: "Hemos sido parte del problema. Hasta hace poco, incluso nosotros nos volvíamos demasiado cómodos, complacientes y cómplices con GitHub". Como consecuencia, la SFC ha anunciado que dejará de utilizar GitHub y que asistirán a proyectos FLOSS para que abandonen dicho hosting. El apoyar el desarrollo de software libre y código abierto en plataformas o soluciones privativas siempre ha sonado a algo peligroso, y lo que está ocurriendo con GitHub es una evidencia de ello.


¿Y qué hay con GitHub Copilot? Aquí la SFC ha dicho que ha estado trasladando sus preocupaciones a Microsoft y GitHub (recordamos que la primera compró la segunda) desde que el asistente fue puesto en funcionamiento hace un año, sin recibir ningún tipo de respuesta durante mucho tiempo.

La institución ha recopilado algunas cuestiones que ha planteado de forma pública como quién es el verdadero autor del software programado con Copilot y ha erigido un comité de expertos para considerar las implicaciones morales del software programado con la ayuda de asistentes apoyados en la inteligencia artificial.

Tras recordar a GitHub y Microsoft las cuestiones planteadas y pendientes, la SFC por fin recibió, la semana pasada, una respuesta: "Una conversación más amplia [sobre la ética del software asistido por IA] parecía poco probable que alterara su postura [de la SFC], razón por la cual nosotros [GitHub] no hemos respondido a sus preguntas detalladas [de SFC]".

La respuesta dada por GitHub ha sido interpretada por la SFC de la siguiente manera: "si no está de acuerdo con GitHub sobre asuntos de política relacionados con Copilot, entonces no merece una respuesta de Microsoft o GitHub". Eso sí, dichas empresas sí pueden tomar, al menos en apariencia, material de otros sin permiso y saltándose las licencias.

Desde GitHub no todo ha sido opacidad, ya que considera que el entrenamiento de los sistemas aprendizaje automático en base a datos públicos es hacer un uso justo de estos y que la salida pertenece al operador, pero aquí es donde la SFC entra para pedir un análisis legal completo que justifique dicha afirmación.

En resumidas cuentas, que GitHub Copilot apunta a ser un giro de tuerca en la política que siempre ha aplicado la forja de software, cosa a la que suman las cuestiones morales y legales del uso de los asistentes apoyados en inteligencia artificial dirigidos a programadores.

Desde la Software Freedom Conservancy han empezado a invitar a los desarrolladores a abandonar GitHub, pero esta no sería la primera campaña en este frente y hasta ahora todas han tenido un éxito más bien limitado. Pese a ello, no es excusa para no seguir picando piedra y avisar los riesgos que supone apoyar el desarrollo y la sostenibilidad del FLOSS en estructuras privativas, sobre todo si estas son demasiado grandes y/o poderosas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Intel ha anunciado la publicación como código abierto de sus kits de referencia de inteligencia artificial (IA), un movimiento con el cual pretende ayudar a científicos y desarrolladores en el desarrollo de software de inteligencia artificial orientado a la fabricación, la salud, el control de calidad, los bots de chat y la indexación inteligente de documentos.

El gigante de los procesadores x86 está abonando el terreno desde hace tiempo para adentrarse en sectores como el de la inteligencia artificial. Para ello ha creado su plataforma de desarrollo oneAPI y sus futuras gráficas dedicadas apuntan a tener un rol importante al menos dentro de la estrategia de la empresa, ya que por ahora los consumidores parecen estar demasiado cómodos con las soluciones de NVIDIA, compañía que tiene una posición claramente dominante en el mencionado sector de la inteligencia artificial.

Intel ha explicado que "ha lanzado el primer conjunto de kits de referencia de IA de código abierto diseñados específicamente para hacer que la IA sea más accesible para las organizaciones en entornos locales, en la nube y de proceso perimetral (edge). Presentados por primera vez en Intel Vision, los kits de referencia incluyen código de modelo de IA, instrucciones de canalización de aprendizaje automático de extremo a extremo, bibliotecas y componentes Intel oneAPI para el rendimiento entre arquitecturas".

Aparte de la vinculación con oneAPI, la insistencia de Intel con el código abierto podría estar motivada en la intención de distinguirse de la que es la rival a batir dentro del segmento: NVIDIA. Ya se sabe, el gigante verde es más bien tendente a guardarse las cartas, una estrategia que obviamente mantendrá viendo los buenos resultados que le ha dado.

Volviendo a los kits de referencia, han sido creados con la colaboración Accenture y "están diseñados para acelerar la adopción de la IA en todas las industrias. Son IA preconstruida de código abierto para contextos empresariales significativos tanto para la introducción de IA totalmente nueva como para cambios estratégicos en las soluciones de IA existentes". Los sectores a los que están enfocados ya los hemos mencionado al principio.

Intel pretende con oneAPI adentrarse en sectores profesionales en los que el uso de tarjetas gráficas dedicadas se ha convertido en una necesidad. Además de los kits de referencia de IA, Blender 3.3, que todavía se encuentra en desarrollo, apunta a incluir renderización por GPU a través de la mencionada oneAPI. Para hacer uso de dicha característica se requerirá una tarjeta gráfica dedicada Arc de Intel y por ahora solo estaría soportada a través de Windows, aunque en un futuro Linux también será cubierto con la versión 22.10.22597 de Intel Compute Runtime. Merece la pena mencionar que NVIDIA también goza de una posición dominante entre los usuarios de Blender, sobre todo cuando es usado en contextos profesionales.

Como vemos, Intel va abonando el terreno poco a poco con oneAPI. Ahora veremos si, aparte de buenos productos y soluciones, también es capaz de convencer a unos usuarios actualmente muy cómodos con el dominio de NVIDIA.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Lubuntu, uno de los grandes referentes de LXQt (antes LXDE), parece que va a intentar a reforzar su posición con un PPA oficial de backports que facilitará la instalación de la última versión del escritorio (o al menos una más reciente) sobre la base de Ubuntu LTS.

Seguro que a más de uno se le ha pasado por la cabeza Kubuntu Backports, un PPA que suministra una versión más reciente de KDE Plasma para el mencionado miembro de la familia de Ubuntu. El caso de Lubuntu Backports no es muy diferente según reconocen los responsables, que también admiten las similitudes con KDE neon.

Los encargados de Lubuntu han explicado en una entrada publicada en su blog oficial que, "a medida que pase el tiempo, nuestro enfoque de desarrollo seguirá centrado en los nuevos lanzamientos, y planeamos aterrizar y probar los cambios allí antes de enviarlos a Backports. Dicho esto, este es un término medio perfecto entre la estabilidad y las nuevas funciones que los usuarios de todos los niveles podrán disfrutar".


A la espera de cómo acabará funcionando una vez que todo haya sido desplegado, parece que desde Lubuntu quieren que su PPA se acerque más al modelo "agresivo" de neon que a la política más pausada que por lo general se aplica en Kubuntu Backports. Obviamente, y al igual que pasa con el miembro de la familia Ubuntu con KDE Plasma, Lubuntu Backports no es una nueva edición de la distribución, sino más bien una vía para que los usuarios puedan tener la última versión de LXQt (o una más reciente) sobre la base de Ubuntu 22.04 LTS.

El hecho de centrarse en el último lanzamiento LTS de Ubuntu ha abierto la posibilidad que haya una versión del repositorio para Debian. Los responsables de Lubuntu han anunciado a través de Twitter que están trabajando para llevar los cambios que están desarrollando a Debian, así que la puerta está abierta para que los usuarios de la "gran madre" de las distribuciones también se beneficien de este esfuerzo, aunque veremos a qué ramas llega y bajo qué condiciones.

Actualmente hay un PPA en fase staging, el cual puede considerarse como en fase beta. Oficialmente el repositorio tendría que ser puesto en funcionamiento mañana si no surgen contratiempos de última hora. Desde Lubuntu se han planteado el posible lanzamiento de una imagen ISO de la versión 22.04.1 LTS con el repositorio de backports habilitado por defecto si hay demanda suficiente por parte de los usuarios.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Elon Musk, persona que dirige y que desde hace tiempo es la cara visible de Tesla, ha anunciado a través de Twitter que la compañía está haciendo progresos para integrar el cliente de Steam en el sistema operativo empleado por sus coches eléctricos, lo que en teoría debería de ser un empujón en el buen sentido para el Linux Gaming.

La integración del cliente de Steam en los vehículos eléctricos de Tesla puede sonar a una locura si uno lo ve desde fuera, pero la realidad es que es un movimiento que tiene mucho sentido si vemos la base tecnológica desde el punto de vista de la computación, ya que el sistema operativo es Linux y los modelos más recientes emplean procesadores AMD Ryzen con gráficos RDNA 2. Dicha combinación es en base la misma que la empleada por la Steam Deck, así que la llegada de Steam a los vehículos de Tesla suena a algo verosímil.

Parece que Tesla va a apostar por una estrategia parecida a la de Google para con ChromeOS, sistema al que Steam ha llegado a modo de port del cliente para Linux. Tomar el cliente de Steam para Linux permite ejecutar una gran cantidad de videojuegos sin muchas más complicaciones, porque además de los ports nativos, también está a Proton, la conocida capa de compatibilidad basada en Wine que facilita la ejecución de videojuegos de Windows en los sistemas operativos Linux y macOS.


La llegada de Steam a los vehículos Tesla no es un movimiento hecho en caliente por parte de la compañía, sino que se está cocinando a fuego lento desde al menos principios de año, cuando el propio Elon Musk dijo a través de la misma red social que estaban "trabajando en el caso general de hacer que los juegos de Steam funcionen en un Tesla frente a títulos específicos". Para los mencionados vehículos ya existe Tesla Arcade, que ofrece videojuegos conocidos como Cuphead y Sonic the Hedgehog 1, pero la incorporación de Steam aceleraría la disposición de títulos triple A sin que tengan que ser específicamente portados.

Y hasta aquí nada que sea realmente nuevo por estos lares. A estas alturas hemos publicado bastante de Steam para Linux y sobre las ventajas y los posibles inconvenientes de Proton, que, nos guste o no, se ha convertido en el verdadero puntal del Linux Gaming, y a eso se están aferrando Valve, Google y probablemente Tesla si todo va según hemos entendido.

Con un Linux cada vez más utilizado en los ordenadores que no adoptan la forma de las computadoras personales de toda la vida, la ejecución de videojuegos sobre el sistema de código abierto parece tener más recorrido en dichos dispositivos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de seguridad cibernética han descubierto un spyware previamente no documentado dirigido al sistema operativo Apple macOS.

Se dice que el malware, cuyo nombre en código es CloudMensis por la empresa de ciberseguridad eslovaca ESET, utiliza exclusivamente servicios de almacenamiento en la nube pública como pCloud, Yandex Disk y Dropbox para recibir comandos de atacantes y extraer archivos.

"Sus capacidades muestran claramente que la intención de sus operadores es recopilar información de las Mac de las víctimas extrayendo documentos, pulsaciones de teclas y capturas de pantalla", dijo el investigador de ESET Marc-Etienne M.Léveillé en un informe publicado hoy.

CloudMensis, escrito en Objective-C, se descubrió por primera vez en abril de 2022 y está diseñado para atacar las arquitecturas de silicio de Intel y Apple. El vector de infección inicial de los ataques y los objetivos aún se desconocen. Pero su distribución muy limitada es una indicación de que el malware se está utilizando como parte de una operación altamente dirigida contra entidades de interés.

La cadena de ataque detectada por ESET abusa de la ejecución de código y los privilegios administrativos para lanzar una carga útil de primera etapa que se utiliza para obtener y ejecutar un malware de segunda etapa alojado en pCloud, que, a su vez, extrae documentos, capturas de pantalla y archivos adjuntos de correo electrónico, entre otros.


También se sabe que el descargador de primera etapa borra los rastros de Safari sandbox escape y exploits de escalada de privilegios que hacen uso de cuatro fallas de seguridad ahora resueltas en 2017, lo que sugiere que CloudMensis puede haber pasado desapercibido durante muchos años.

El implante también viene con funciones para eludir el marco de seguridad de Transparencia, Consentimiento y Control ( TCC ), cuyo objetivo es garantizar que todas las aplicaciones obtengan el consentimiento del usuario antes de acceder a archivos en Documentos, Descargas, Escritorio, iCloud Drive y volúmenes de red.

Lo logra al explotar otra vulnerabilidad de seguridad parcheada rastreada como CVE-2020-9934 que salió a la luz en 2020. Otras funciones compatibles con la puerta trasera incluyen obtener la lista de procesos en ejecución, capturar capturas de pantalla, enumerar archivos de dispositivos de almacenamiento extraíbles y ejecutar shell comandos y otras cargas útiles arbitrarias.

Además de eso, un análisis de los metadatos de la infraestructura de almacenamiento en la nube muestra que las cuentas de pCloud se crearon el 19 de enero de 2022, y los compromisos comenzaron el 4 de febrero y alcanzaron su punto máximo en marzo.

"La calidad general del código y la falta de ofuscación muestran que los autores pueden no estar muy familiarizados con el desarrollo de Mac y no son tan avanzados", dijo M. Léveillé. "Sin embargo, se invirtieron muchos recursos para hacer de CloudMensis una poderosa herramienta de espionaje y una amenaza para los objetivos potenciales".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google ha tomado medidas para eliminar docenas de aplicaciones fraudulentas de la Play Store oficial que fueron detectadas propagando las familias de malware Joker, Facestealer y Coper a través del mercado virtual.

Si bien el escaparate de Android se considera una fuente confiable para descubrir e instalar aplicaciones, los delincuentes han encontrado repetidamente formas de escabullirse de las barreras de seguridad erigidas por Google con la esperanza de atraer a los usuarios desprevenidos para que descarguen aplicaciones con malware.

Los últimos hallazgos de Zscaler ThreatLabz y Pradeo no son diferentes. "Joker es una de las familias de malware más destacadas que se dirigen a dispositivos Android", dijeron los investigadores Viral Gandhi e Himanshu Sharma en un informe del lunes.

"A pesar de la conciencia pública de este malware en particular, sigue encontrando su camino hacia la tienda de aplicaciones oficial de Google al modificar regularmente las firmas de seguimiento del malware, incluidas las actualizaciones del código, los métodos de ejecución y las técnicas de recuperación de carga útil".

Categorizado como fleeceware , Joker (también conocido como Bread) está diseñado para suscribir a los usuarios a servicios pagos no deseados o realizar llamadas a números premium, al mismo tiempo que recopila mensajes SMS, listas de contactos e información del dispositivo. Se observó por primera vez en Play Store en 2017.

Las dos firmas de seguridad cibernética han identificado un total de 53 aplicaciones de descarga de Joker, con las aplicaciones descargadas acumulativamente más de 330,000 veces. Estas aplicaciones generalmente se hacen pasar por SMS, editores de fotos, monitores de presión arterial, teclados emoji y aplicaciones de traducción que, a su vez, solicitan permisos elevados para que el dispositivo lleve a cabo sus operaciones.


"En lugar de esperar a que las aplicaciones obtengan un volumen específico de instalaciones y revisiones antes de cambiar por una versión con malware, los desarrolladores de Joker han optado por ocultar la carga útil maliciosa en un archivo de activos común y una aplicación de paquete utilizando empaquetadores comerciales", explicaron los investigadores. la nueva táctica adoptada por el malware persistente para eludir la detección.

No es solo Joker, ya que el investigador de seguridad Maxime Ingrao reveló la semana pasada ocho aplicaciones que contenían una variante diferente del malware llamada Autolycos que acumuló un total de más de tres millones de descargas antes de su eliminación de la tienda de aplicaciones después de más de seis meses.

"Lo nuevo de este tipo es que ya no requiere WebView", dijo Pieter Arntz, investigador de Malwarebytes . "No requerir un WebView reduce en gran medida las posibilidades de que el usuario de un dispositivo afectado se dé cuenta de que está pasando algo sospechoso. Autolycos evita el WebView al ejecutar las URL en un navegador remoto y luego incluye el resultado en las solicitudes HTTP".


También se descubrieron en el mercado oficial aplicaciones que incorporaban malware Facestealer y Coper . Mientras que el primero permite a los operadores desviar las credenciales de Facebook y los tokens de autenticación, Coper, un descendiente del malware Exobot, funciona como un troyano bancario que puede robar una amplia gama de datos.

Coper es "capaz de interceptar y enviar mensajes de texto SMS, realizar solicitudes de USSD (datos de servicio complementarios no estructurados) para enviar mensajes, registro de teclas, bloquear/desbloquear la pantalla del dispositivo, realizar ataques excesivos, evitar desinstalaciones y, en general, permitir que los atacantes tomen el control y ejecuten comandos. en el dispositivo infectado a través de una conexión remota con un servidor C2", dijeron los investigadores.

También se sabe que el malware, al igual que otros troyanos bancarios, abusa de los permisos de accesibilidad en Android para obtener el control total del teléfono de la víctima. La lista de aplicaciones cuentagotas Facestealer y Coper es la siguiente:

- Cámara Vainilla (cam.vanilla.snapp)
- Escáner QR Unicc (com.qrdscannerratedx)

En todo caso, los hallazgos se suman a la historia histórica de Google de luchar para mantener tales aplicaciones de spyware y spyware fuera de su tienda de aplicaciones móviles, en parte debido a una multitud de tácticas en evolución adoptadas por los actores de amenazas para pasar desapercibidas.

Además de las reglas generales habituales cuando se trata de descargar aplicaciones de las tiendas de aplicaciones, se recomienda a los usuarios que se abstengan de otorgar permisos innecesarios a las aplicaciones y verifiquen su legitimidad verificando la información del desarrollador, leyendo reseñas y examinando sus políticas de privacidad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Primera Llamada es una empresa de locución y doblaje latino que ha tomado la batuta y se ha encargado de doblar el remake de 'Resident Evil 2' al español latino. Según una nota de ANMTV, este no será el único proyecto que Primera Llamada tiene entre manos para esta popular franquicia de videojuegos.

A través de un tráiler subido a YouTube, Primera Llamada anuncia el lanzamiento de un mod que añadirá doblaje al español latino de primera y que contará con la voz de Octavio Rojas (quien ha doblado a personajes como el Maestro Shi Fu o Erwin Smith, y de actores como Chuck Norris y Russel Crowe) como Brian Irons.


Además, para los diálogos de Leon Kennedy y Claire Redfield se contarán con las voces de Samuel Lazcano y Lucía Suárez, respectivamente. Lazcano es CEO de Primera Llamada y ha doblado personajes en animes como 'Mirai Nikki' o 'My Hero Academia'. Por su parte, Lucía es una actriz de doblaje chilena que ha participado en producciones como 'Palabras que Burbujean como un Refresco' y 'Belle'.

Este tipo de producciones independientes han ido apareciendo de una manera más constante debido a la falta de localización de empresas como Capcom, dejando de lado al mercado latinoamericano. Es por ello que durante octubre de 2021, IG Studios Mx publicó su doblaje latino de 'Resident Evil 4'. Recordemos que no hace mucho la misma ANMTV hacía pública una respuesta de The Pokémon Company, respecto a su llamado por localizar los juegos de 'Pokémon'.


Según el reporte, esta producción será completamente gratuita cuando sea lanzada el próximo 17 de julio. Sin embargo, el proyecto cuenta con un Patreon con el cual se puede apoyar a sus futuros desarrollos. Mientras tanto, habrá que estar al pendiente de qué otras producciones tiene en mente el equipo de Primer Llamada.


Fuente; You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Millicent Labs, respaldada por el gobierno del Reino Unido, hace una demostración de una moneda digital de reserva completa.
El emisor dice que la moneda evita los escollos de la moneda digital de los bancos centrales y de las stablecoins, a la vez que tiende un puente entre la cadena de bloques y la tecnología financiera tradicional.

Millicent Labs, una empresa de tecnología financiera basada en un libro de contabilidad distribuida, anunció el 14 de julio que ha completado una prueba de una moneda digital de reserva completa (FRDC) en el Reino Unido. La prueba fue una demostración para Innovate UK, una rama del gobierno de Investigación e Innovación del Reino Unido, que cofinanció la empresa.

Una FRDC es una moneda digital de emisión privada vinculada a una moneda fiduciaria, dijo Millicent en un comunicado. Está introduciendo un conjunto de FRDC que están totalmente garantizados por depósitos en efectivo en una cuenta bancaria central salvaguardada por un tercero regulado.

La demostración para Innovate UK pretendía destacar la capacidad de los FRDC para unir la cadena de bloques y la tecnología tradicional. Se simuló la entrada de dinero fiduciario de un gran banco de consumo del Reino Unido, la conversión on-chain y la acuñación de tokens FRDC vinculados a la libra esterlina, y escenarios de uso que incluían micropagos, el uso de un código QR y pagos entre pares. Los pagos se realizaron a través de una aplicación móvil, un monedero con custodia y un monedero sin custodia.

La consejera delegada de Millicent, Stella Dyer, declaró: "Estamos muy orgullosos de haber presentado esta solución pionera en el mundo a Innovate UK, especialmente en un momento tan turbulento para los mercados de criptomonedas".

Millicent señaló en su sitio web que su moneda es una moneda digital sintética de banco central (sCBDC), una forma de sCBDC que supera la tendencia de las CBDC a estar "excesivamente centradas en la política nacional, una estrategia que corre el riesgo de sustituir simplemente los actuales sistemas financieros de bucle cerrado por nuevas 'islas digitales'".

La empresa también destacó que, a diferencia de la mayoría de las stablecoins, su FRDC está totalmente respaldada por activos líquidos, mientras que muchas stablecoins sólo están respaldadas por activos fraccionadamente líquidos. Por ejemplo, Tether reveló en mayo que el papel comercial constituía el 65.39% de sus reservas, aunque posteriormente declaró sus intenciones de eliminar por completo el papel comercial de la composición de sus reservas. Circle anunció sus planes de convertirse en un "banco comercial nacional de reservas completas" centrado en su stablecoin USD Coin (USDC) en agosto de 2021.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login