Un troyano de acceso remoto (RAT) multietapa recientemente descubierto, denominado ZuoRAT, se ha utilizado para atacar a trabajadores remotos a través de enrutadores de oficinas pequeñas/oficinas domésticas (SOHO) en América del Norte y Europa sin ser detectado desde 2020.

En un informe de hoy, los investigadores de seguridad de Black Lotus Labs de Lumen que detectaron el malware dijeron que la complejidad de esta campaña altamente dirigida y las tácticas, técnicas y procedimientos (TTP) de los atacantes son el sello distintivo de un actor de amenazas respaldado por el estado.

El inicio de esta campaña se alinea aproximadamente con un cambio rápido al trabajo remoto después del comienzo de la pandemia de COVID-19 que aumentó drásticamente la cantidad de enrutadores SOHO (incluidos ASUS, Cisco, DrayTek y NETGEAR) utilizados por los empleados para acceder a los activos corporativos. desde casa.

"Esto le dio a los actores de amenazas una nueva oportunidad de aprovechar los dispositivos domésticos, como los enrutadores SOHO, que se usan mucho pero rara vez se monitorean o reparan, para recopilar datos en tránsito, secuestrar conexiones y comprometer dispositivos en redes adyacentes", dice Lumen .

"El cambio repentino al trabajo remoto impulsado por la pandemia permitió que un adversario sofisticado aprovechara esta oportunidad para subvertir la postura tradicional de defensa en profundidad de muchas organizaciones bien establecidas".

Una vez desplegado en un enrutador (sin parchear contra fallas de seguridad conocidas) con la ayuda de un script de explotación de omisión de autenticación, el malware ZuoRAT de múltiples etapas proporcionó a los atacantes capacidades de reconocimiento de red en profundidad y recopilación de tráfico a través de un rastreo de red pasivo.

ZuoRAT también permite moverse lateralmente para comprometer otros dispositivos en la red y desplegar cargas útiles maliciosas adicionales (como las balizas Cobalt Strike) mediante el secuestro de DNS y HTTP.

Dos troyanos personalizados más fueron entregados en dispositivos pirateados durante estos ataques: uno basado en C++ llamado CBeacon dirigido a estaciones de trabajo de Windows y uno basado en Go denominado GoBeacon que probablemente podría infectar sistemas Linux y Mac además de dispositivos Windows.


"Las capacidades demostradas en esta campaña: obtener acceso a dispositivos SOHO de diferentes marcas y modelos, recopilar información de host y LAN para orientar, muestrear y secuestrar comunicaciones de red para obtener acceso potencialmente persistente a dispositivos en tierra y robar intencionalmente la infraestructura C2 aprovechando múltiples Las comunicaciones de enrutador a enrutador en silos apuntan a un actor altamente sofisticado que, según nuestra hipótesis, ha estado viviendo sin ser detectado en el borde de las redes objetivo durante años", agregaron los investigadores .

El malware adicional implementado en los sistemas dentro de las redes de las víctimas (es decir, CBeacon, GoBeacon y Cobalt Strike) proporcionó a los actores de amenazas la capacidad de descargar y cargar archivos, ejecutar comandos arbitrarios, secuestrar tráfico de red, inyectar nuevos procesos y ganar persistencia en dispositivos comprometidos.

Algunos enrutadores comprometidos también se agregaron a una red de bots y se usaron para controlar el tráfico de comando y control (C2) para obstaculizar los esfuerzos de detección de los defensores.

Según la edad de las muestras enviadas por VirusTotal y la telemetría de Black Lotus Labs durante nueve meses, los investigadores estiman que la campaña ha impactado hasta ahora en al menos 80 objetivos.

"Las organizaciones deben vigilar de cerca los dispositivos SOHO y buscar cualquier signo de actividad descrito en esta investigación", dijo Mark Dehus, director de inteligencia de amenazas de Black Lotus Labs.

"Este nivel de sofisticación nos lleva a creer que esta campaña podría no estar limitada a la pequeña cantidad de víctimas observadas. Para ayudar a mitigar la amenaza, deben asegurarse de que la planificación de parches incluya enrutadores y confirmar que estos dispositivos ejecutan el último software disponible".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

CODESYS ha lanzado parches para abordar hasta 11 fallas de seguridad que, si se explotan con éxito, podrían provocar la divulgación de información y una condición de denegación de servicio (DoS), entre otras.

"Estas vulnerabilidades son fáciles de explotar y pueden explotarse con éxito para causar consecuencias como la fuga de información confidencial, los PLC que ingresan en un estado de falla grave y la ejecución de código arbitrario", dijo la firma china de ciberseguridad NSFOCUS . "En combinación con los escenarios industriales en el campo, estas vulnerabilidades podrían exponer la producción industrial al estancamiento, daños a los equipos, etc."

CODESYS es un paquete de software utilizado por especialistas en automatización como entorno de desarrollo para aplicaciones de controladores lógicos programables ( PLC ).

Luego de la divulgación responsable entre septiembre de 2021 y enero de 2022, la compañía de software alemana envió las correcciones la semana pasada el 23 de junio de 2022. Dos de los errores se califican como críticos, siete como altos y dos como de gravedad media. Los problemas afectan colectivamente a los siguientes productos:

- Sistema de desarrollo CODESYS anterior a la versión V2.3.9.69
- CODESYS Gateway Client anterior a la versión V2.3.9.38
- CODESYS Gateway Server anterior a la versión V2.3.9.38
- Servidor web CODESYS anterior a la versión V1.1.9.23
- CODESYS SP Realtime NT anterior a la versión V2.3.7.30
- CODESYS PLCWinNT anterior a la versión V2.4.7.57, y
- CODESYS Runtime Toolkit de 32 bits completo antes de la versión V2.4.7.57

Las principales fallas son CVE-2022-31805 y CVE-2022-31806 (puntuaciones CVSS: 9., que se relacionan con el uso de texto claro de contraseñas utilizadas para autenticarse antes de realizar operaciones en los PLC y una falla para habilitar la protección con contraseña de forma predeterminada. en el sistema de tiempo de ejecución de CODESYS Control respectivamente.


Explotar las debilidades no solo podría permitir que un actor malicioso tome el control del dispositivo PLC de destino, sino también descargar un proyecto no autorizado a un PLC y ejecutar código arbitrario.

La mayoría de las otras vulnerabilidades (desde CVE-2022-32136 hasta CVE-2022-32142) podrían ser armadas por un atacante previamente autenticado en el controlador para provocar una condición de denegación de servicio.

En un aviso separado publicado el 23 de junio, CODESYS dijo que también solucionó otras tres fallas en CODESYS Gateway Server (CVE-2022-31802, CVE-2022-31803 y CVE-2022-31804) que podrían aprovecharse para enviar solicitudes diseñadas a omitir la autenticación y bloquear el servidor.

Además de aplicar los parches de manera oportuna, se recomienda "ubicar los productos afectados detrás de los dispositivos de protección de seguridad y realizar una estrategia de defensa en profundidad para la seguridad de la red".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El sindicato Black Basta ransomware-as-a-service (RaaS) ha acumulado casi 50 víctimas en los EE. UU., Canadá, el Reino Unido, Australia y Nueva Zelanda en los dos meses posteriores a su aparición en la naturaleza, lo que lo convierte en una amenaza prominente en un ventana corta.

"Se ha observado que Black Basta apunta a una variedad de industrias, incluidas la fabricación, la construcción, el transporte, las empresas de telecomunicaciones, los productos farmacéuticos, los cosméticos, la plomería y la calefacción, los concesionarios de automóviles, los fabricantes de ropa interior y más", dijo Cybereason en un informe.

Al igual que otras operaciones de ransomware, se sabe que Black Basta emplea la táctica comprobada de doble extorsión para robar información confidencial de los objetivos y amenazar con publicar los datos robados a menos que se realice un pago digital.

Un nuevo participante en el ya abarrotado panorama de ransomware, las intrusiones que involucran la amenaza han aprovechado QBot (también conocido como Qakbot ) como un conducto para mantener la persistencia en los hosts comprometidos y recolectar credenciales, antes de moverse lateralmente a través de la red e implementar el malware de cifrado de archivos.

Además, los actores detrás de Black Basta han desarrollado una variante de Linux diseñada para atacar las máquinas virtuales (VM) VMware ESXi que se ejecutan en servidores empresariales, poniéndolo a la par con otros grupos como LockBit, Hive y Cheerscrypt.

Los hallazgos se producen cuando el sindicato ciberdelincuente agregó Elbit Systems of America, un fabricante de soluciones de defensa, aeroespaciales y de seguridad, a la lista de sus víctimas durante el fin de semana, según el investigador de seguridad Ido Cohen.

Se dice que Black Basta está compuesto por miembros que pertenecen al grupo Conti después de que este último cerrara sus operaciones en respuesta a un mayor escrutinio policial y una filtración importante que vio sus herramientas y tácticas pasar al dominio público después de ponerse del lado de Rusia en la guerra del país contra Ucrania.


"No puedo dispararle a nada, pero puedo pelear con un teclado y un mouse", dijo a CNN en marzo de 2022 el especialista informático ucraniano detrás de la filtración, que usa el seudónimo de Danylo y lanzó el tesoro de datos como una forma de retribución digital . .

Desde entonces, el equipo de Conti ha refutado que está asociado con Black Basta. La semana pasada, desmanteló lo último de su infraestructura pública restante, incluidos dos servidores Tor utilizados para filtrar datos y negociar con las víctimas, lo que marca el final oficial de la empresa criminal.

Mientras tanto, el grupo continuó manteniendo la fachada de una operación activa apuntando al gobierno de Costa Rica , mientras que algunos miembros hicieron la transición a otros equipos de ransomware y la marca experimentó una renovación organizacional que la ha llevado a dividirse en subgrupos más pequeños con diferentes motivaciones y negocios. modelos que van desde el robo de datos hasta el trabajo como afiliados independientes.

Según un informe completo de Group-IB que detalla sus actividades, se cree que el grupo Conti ha victimizado a más de 850 entidades desde que se observó por primera vez en febrero de 2020, comprometiendo a más de 40 organizaciones en todo el mundo como parte de una juerga de piratería "rápida como un rayo". que duró del 17 de noviembre al 20 de diciembre de 2021.

Apodado " ARMattack " por la empresa con sede en Singapur, las intrusiones se dirigieron principalmente contra organizaciones estadounidenses (37 %), seguidas de Alemania (3 %), Suiza (2 %), los Emiratos Árabes Unidos (2 %), los Países Bajos, España, Francia, República Checa, Suecia, Dinamarca e India (1% cada uno).


Los cinco principales sectores a los que históricamente se ha dirigido Conti han sido la fabricación (14 %), el sector inmobiliario (11,1 %), la logística (8,2 %), los servicios profesionales (7,1 %) y el comercio (5,5 %), y los operadores destacan específicamente a las empresas. en EE. UU. (58,4 %), Canadá (7 %), Reino Unido (6,6 %), Alemania (5,8 %), Francia (3,9 %) e Italia (3,1 %).


"El aumento de la actividad de Conti y la fuga de datos sugieren que el ransomware ya no es un juego entre desarrolladores de malware promedio, sino una industria RaaS ilícita que da trabajo a cientos de ciberdelincuentes en todo el mundo con diversas especializaciones", dijo Ivan Pisarev de Group-IB.

"En esta industria, Conti es un jugador notorio que de hecho ha creado una 'compañía de TI' cuyo objetivo es extorsionar grandes sumas. Está claro [...] que el grupo continuará sus operaciones, ya sea solo o con la ayuda de sus proyectos 'subsidiarios'".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hace poco se dio a conocer la noticia de que Google ha comenzado a distribuir un nuevo firmware basado en el sistema operativo Fuchsia para los marcos de fotos inteligentes «Nest Hub Max» lanzado desde 2019.

Se menciona que en esta primera etapa, el firmware basado en Fuchsia comenzará a entregarse a los participantes en el programa de «vista previa» de Google y, si no hay problemas imprevistos durante la implementación de prueba, el firmware se aplicará a los dispositivos de otros usuarios de Nest Hub Max.

Para quienes desconocen de Nest Hub Max, deben saber que este es el segundo dispositivo de consumo que cuenta con el sistema operativo Fuchsia.

El primer firmware basado en Fuchsia recibido hace un año fue el modelo Nest Hub, que presenta una pantalla más pequeña y la ausencia de una cámara de video incorporada que se usa en un sistema de videovigilancia y seguridad.

A pesar del reemplazo del sistema operativo en el firmware, la interfaz de usuario y la funcionalidad se conservan por completo y los usuarios finales no deberían notar ninguna diferencia, ya que la interfaz se basa en el marco Flutter y se abstrae de los componentes de bajo nivel.

Esta actualización de reemplazo del sistema operativo para Nest Hub Max ha estado en desarrollo al menos desde diciembre del año pasado. A partir de esta semana, está disponible para un pequeño grupo de usuarios inscritos en el Programa de versión preliminar. Es probable que Google planee buscar cualquier problema potencial antes de continuar con una implementación más amplia.

Anteriormente, los dispositivos Nest Hub Max, que combinan las funciones de un marco de fotos, un sistema multimedia y una interfaz de control inteligente del hogar, usaban firmware basado en Cast shell y el kernel de Linux.

Fuchsia OS ha sido desarrollado por Google desde 2016, teniendo en cuenta las debilidades de escalabilidad y seguridad de la plataforma Android.

El sistema se basa en el microkernel Zircon, basado en los desarrollos del proyecto LK, extendido para su uso en varias clases de dispositivos, incluidos teléfonos inteligentes y computadoras personales. Zircon amplía LK con soporte para procesos y bibliotecas compartidas, un nivel de usuario, un sistema de manejo de objetos y un modelo de seguridad basado en capacidades.

Los controladores se implementan como bibliotecas dinámicas de espacio de usuario cargadas por el proceso devhost y administradas por el administrador de dispositivos (devmg, Device Manager).

Fuchsia tiene su propia interfaz gráfica escrita en Dart usando el framework Flutter. El proyecto también desarrolla el marco de interfaz de usuario de Peridot, el administrador de paquetes Fargo, la biblioteca estándar libc, el sistema de renderizado Escher, el controlador Magma Vulkan, el administrador compuesto Scenic, MinFS, MemFS, ThinFS (lenguaje FAT en Go) y el archivo Blobfs, así como el administrador de particiones FVM. Para el desarrollo de aplicaciones, se proporciona soporte para C / C ++, Dart, también se permite Rust en los componentes del sistema, en la pila de red Go y en el sistema de compilación del lenguaje Python.

El proceso de inicio utiliza un administrador del sistema que incluye appmgr para crear el entorno de software inicial, sysmgr para crear el entorno de inicio y basemgr para configurar el entorno de usuario y organizar el inicio de sesión.

Para garantizar la seguridad, se propone un sistema avanzado de aislamiento de sandbox, en el que los nuevos procesos no tienen acceso a los objetos del kernel, no pueden asignar memoria y no pueden ejecutar código, y se utiliza un sistema de espacio de nombres para acceder a los recursos, que determina los permisos disponibles.

La plataforma proporciona un marco para crear componentes, que son programas que se ejecutan en su sandbox y que pueden interactuar con otros componentes a través de IPC.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar el You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, en el cual puedes conocer el estado del firmware para algunos de los dispositivos de google.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La nueva versión del proyecto EndeavorOS 22.6 «Artemis«, que reemplazó a la distribución Antergos, cuyo desarrollo se interrumpió en mayo de 2019 debido a la falta de tiempo libre de los mantenedores restantes para mantener el proyecto en el nivel adecuado.

Endeavor OS permite al usuario instalar fácilmente Arch Linux con el escritorio necesario en la forma en que está concebido en su relleno regular, ofrecido por los desarrolladores del escritorio seleccionado, sin programas preinstalados adicionales.

La distribución ofrece un instalador sencillo para instalar un entorno Arch Linux básico con un escritorio Xfce por defecto y la posibilidad de instalar desde el repositorio uno de los típicos escritorios basados ​​en Mate, LXQt, Cinnamon, KDE Plasma, GNOME, Budgie, así como i3 administradores de ventanas de mosaico, BSPWM y Sway.

Se está trabajando para agregar soporte para los administradores de ventanas Qtile y Openbox, los escritorios UKUI, LXDE y Deepin. Asimismo, uno de los desarrolladores del proyecto está desarrollando su propio gestor de ventanas Worm.

Principales novedades de EndeavorOS 22.6 «Artemis»

CitarEstamos orgullosos de presentarles el lanzamiento de Artemis, que lleva el nombre de la próxima misión de la NASA a la luna y me refiero a esa misión por una razón, pero hablaremos de eso más adelante.

Artemis es nuestra versión de actualización ISO regular, por lo que los usuarios que ya están ejecutando EndeavourOS no tienen que instalar esta versión, ya está actualizado.

Además de las actualizaciones periódicas y mejoras en la ISO y el proceso de instalación, esta versión es la primera ISO que acerca a EndeavourOS ARM a la versión principal.

En esta nueva versión que se presenta, se destaca que se ha realizado una compilación desarrollada por separado para la arquitectura ARM, ademas de que se mejoró el proceso de instalación la cual incluye una opción de instalación integrada en la aplicación de bienvenida de la ISO principal.

El método requiere dos sencillos pasos, el primero es la instalación básica que usa un script automatizado fácil de usar en la terminal y el segundo paso usa el instalador de Calamares para instalar la ubicación, el teclado, DE/WM y el nombre de usuario/computadora y contraseña.

El nuevo instalador aún está en versión beta y el instalador solo es compatible con Odroid N2/N2+ y Raspberry PI en este momento. El soporte para otros dispositivos como la familia Pinebook  estaría llegando próximamente.

Otro de los cambios que se destaca de esta nueva versión, es que se ha trabajado en la mejora de la actualización de los paquetes principales para ensamblados ARM y x86_64, así como en el mantenimiento de los repositorios para ARM y x86_64 en estado sincronizado. Se espera que la compilación ARM se convierta en una compilación convencional en un futuro cercano.

Ademas de ello, se menciona que se actualizaron las versiones del paquete, incluido el kernel de Linux 5.18.5, el instalador de Calamares 3.2.60, Firefox 101.0.1, Mesa 22.1.2, Xorg-Server 21.1.3 y nvidia-dkms 515.48.07.

Por otra parte, tambien se destaca que en lugar de pipewire-media-session, el administrador de sesiones de audio WirePlumber se utiliza para configurar dispositivos de audio y controlar el enrutamiento de las transmisiones de audio.

De los demás cambios que se destacan de esta nueva versión:

- En configuraciones con entornos de usuario Xfce4 e i3, la ejecución automática del firewall-applet está deshabilitada de forma predeterminada.
- Proporcionó la capacidad de revertir paquetes a versiones anteriores.
- Instalación de Xfce reelaborada en modo fuera de línea.
- El configurador del centro de control de periquitos se ha agregado al repositorio para su uso con el entorno personalizado de Budgie.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en su pagina oficial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hace poco, el creador de la distribución de Linux, «GeckoLinux» ha presentado una nueva distribución llamada «SpiralLinux» la cual fue creada a partir de la base de paquetes de Debian GNU/Linux.

La distribución se presenta con 7 compilaciones Live listas para usar que vienen con escritorios Cinnamon, Xfce, GNOME, KDE Plasma, Mate, Budgie y LXQt que están optimizados para una mejor experiencia de usuario.


El creador del proyecto GeckoLinux, menciona que Gecko seguirá manteniéndose, por lo que el lanzamiento de SpiralLinux no debe alarmar a los usuarios de Gecko y que la introduccion de una nueva distro es un intento de mantener las cosas como están en caso de que openSUSE deje de existir o se transforme en un producto fundamentalmente diferente, en línea con los próximos planes para una revisión importante de SUSE y openSUSE.

Ademas de ello menciona que la razón del porqué se eligió Debian como base, es debido a que es una distribución estable, flexiblemente adaptable y bien mantenida. Al mismo tiempo, se observa que los desarrolladores de Debian no están lo suficientemente enfocados en la conveniencia del usuario final, razón por la cual se crearon distribuciones derivadas, cuyos autores están tratando de hacer que el producto sea más amigable para los consumidores comunes.


A diferencia de proyectos como Ubuntu y Linux Mint, SpiralLinux no intenta desarrollar su propia infraestructura, sino que trata de mantenerse lo más cerca posible de Debian. SpiralLinux usa paquetes del núcleo de Debian y usa los mismos repositorios, pero ofrece diferentes configuraciones predeterminadas para todos los principales entornos de escritorio disponibles en los repositorios de Debian.

Por lo tanto, al usuario se le ofrece una opción alternativa para instalar Debian, que se actualiza desde los repositorios regulares de Debian, pero ofrece un conjunto de configuraciones que son más óptimas para el usuario.

Por la parte de las características de SpiralLinux, se mencionan las siguientes:

- Imágenes instalables en vivo de DVD/USB de aproximadamente 2 GB personalizadas para entornos de escritorio populares.
- Uso de paquetes Debian Stable con paquetes preinstalados de Debian Backports para admitir hardware más nuevo.
- Posibilidad de actualizar a las ramas Debian Testing o Unstable con solo unos pocos clics.
- Diseño óptimo de las subsecciones Btrfs con compresión Zstd transparente e instantáneas automáticas de Snapper cargadas a través de GRUB para revertir los cambios.
- Un administrador gráfico para paquetes Flatpak y preconfigurado para aplicar a los paquetes Flatpak.
- La representación de fuentes y la configuración de color se han optimizado para una legibilidad óptima.
- Códecs de medios patentados preinstalados listos para usar y repositorios de paquetes Debian «no libres».
- Soporte de hardware extendido con una amplia gama de firmware preinstalado.
- Soporte extendido para impresoras con derechos de administración de impresora simplificados.
- Habilitación del paquete TLP para optimizar el consumo de energía.
- Inclusión en VirtualBox.
- Cuena con la compresión de intercambio mediante la tecnología zRAM para mejorar el rendimiento en hardware antiguo.
- Brindar a los usuarios comunes la oportunidad de trabajar y administrar el sistema sin acceder a la terminal.
- Totalmente vinculado a la infraestructura de Debian, evitando así la dependencia de desarrolladores individuales.
- Soporte para una actualización perfecta de un sistema instalado a futuras versiones de Debian mientras se mantiene la configuración única de SpiralLinux.
- Finalmente si estás interesado en poder conocer más al respecto sobre esta nueva distribucion, puedes consultar los detalles en su página oficial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Bien podría parecer el argumento de un capítulo de Black Mirror, pero no, es real. En la conferencia re:Mars de Amazon se ha dado a conocer una funcionalidad del asistente de voz Alexa por la cual podrá imitar voces humanas, sin importar si siguen vivas o no.

El máximo responsable del desarrollo de Alexa, Rohit Prasad, anunció esta característica entre otras próximas para el asistente de voz de Amazon.

Alexa será capaz de imitar voces

Esta nueva característica, que llegará en el futuro, puede sintetizar la voz desde clips de audio cortos que se tengan de una persona y poder reproducir sus características de tono en un discurso más largo. Con solamente un minuto de voz, la nueva tecnología puede conseguir resultados muy próximos a los de la persona.


La polémica viene del hecho de que esto puede ser utilizado incluso con personas fallecidas de las que se conserve algún audio. «Si bien no podemos mitigar el dolor de la pérdida [de algún ser querido durante la pandemia], definitivamente podemos hacer que su recuerdo perdure», señalaba Prasad para presentar esta función.

De hecho, durante la demostración (sobre la hora y 2 minutos en el vídeo superior) se pudo ver un dispositivo configurado con esa nueva versión de Alexa leía a un niño un cuento con la voz de su abuela fallecida simplemente diciendo el comando de voz de Alexa «Alexa, ¿puede la abuela terminar de leerme 'El mago de Oz'?»

"La forma en que lo hicimos posible fue enmarcando el problema como una tarea de conversión de voz y no como una ruta de generación de voz. Sin duda, estamos viviendo en la era dorada de la IA, donde nuestros sueños y la ciencia ficción se están convirtiendo en realidad", señaló Prasad.

¿Qué usos podría tener?

Más allá del conmovedor ejemplo, que bien podría ayudar a ese pequeño a recordar a su abuela y echarla menos en falta, no cabe duda de que esta nueva tecnología potenciada por Inteligencia Artificial, si bien supone un gran avance tecnológico, conlleva implicaciones cuanto menos cuestionables


Evidentemente, puede llegar a ser gracioso que Alexa pueda recoger clips de algunos de nuestros personajes favoritos y sonar así (se nos vienen a la cabeza Darth Vader o Chiquito de la Calzada, por ejemplo). Sin embargo, también es un nuevo paso en cuanto a suplantación de identidad.

Por otra parte, resucitar digitalmente a una persona puede ser entendible que sea algo polémico. Obviamente no vamos a tener consentimiento de dicha persona para hacerlo, por lo que es cuanto menos cuestionable si es ético hacerlo.

Amazon de momento no ha mencionado cuándo integrará esta función a Alexa, por lo que estaremos atentos a las próximas novedades sobre esta función y cuándo podría llegar a nuestros dispositivos con la asistente de voz integrada.

La megacompañía tampoco ha aclarado si Amazon planea hacer de esta función un producto comercial para sus altavoces y pantallas inteligentes o se queda en una simple anécdota de demostración sobre las posibilidades de la IA. El debate está servido.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de malware notaron una nueva herramienta que ayuda a los ciberdelincuentes a crear archivos .LNK maliciosos para entregar cargas útiles para las etapas iniciales de un ataque.

Los LNK son archivos de acceso directo de Windows que pueden contener código malicioso para abusar de herramientas legítimas en el sistema, los llamados binarios living-off-the-land (LOLBins), como PowerShell o el MSHTA que se usa para ejecutar Microsoft HTML Application (HTA ) archivos.

Debido a esto, los LNK se usan ampliamente para la distribución de malware, especialmente en campañas de phishing, y algunas familias de malware notables que los usan actualmente son Emotet , Bumblebee , Qbot e IcedID .

Constructor de LNK cuántico

Los investigadores de Cyble han descubierto una nueva herramienta para crear LNK maliciosos llamada Quantum, que cuenta con una interfaz gráfica y ofrece una construcción de archivos conveniente a través de un amplio conjunto de opciones y parámetros (por ejemplo, suplantación de identidad, selección de iconos de más de 300 opciones disponibles).

La herramienta se alquila por 189€ al mes, 335€ por dos meses, 899€ por seis meses, o pago único de 1.500€ para acceso de por vida.


Quantum ofrece omisión de UAC, omisión de Windows Smartscreen, la capacidad de cargar múltiples cargas útiles en un solo archivo LNK, ocultación posterior a la ejecución, inicio o ejecución retrasada.

Sus autores afirman que los archivos generados con Quantum son 100 % FUD, o totalmente indetectables, lo que indica que los motores antivirus y los mecanismos de protección del sistema operativo no los marcan como sospechosos o peligrosos.

Finalmente, Quantum también ofrece la opción de crear archivos HTA e ISO, que normalmente van de la mano en ataques que involucran LNK, con todo incluido dentro de los archivos de imagen de disco.


Otra característica interesante de Quantum es la implementación de un exploit dogwalk n-day en la herramienta de diagnóstico de soporte de Microsoft (MSDT), que utiliza un archivo .diagcab para realizar la ejecución de código arbitrario.

Lazos con Lazarus

El análisis de Cyble de muestras recientes de LNK capturadas en la naturaleza indica que bandas notorias de APT como Lazarus podrían estar usando Quantum para sus ataques.

El archivo particular utilizado en la campaña es "Password.txt.lnk", que aparece como un archivo de texto con una contraseña para un documento PDF protegido que supuestamente ofrece un análisis de moneda estable.

El script de PowerShell que se ejecuta al abrir el archivo LNK es muy similar a los scripts utilizados por Lazarus en campañas recientes, lo que indica una posible conexión.


Siempre que el uso de archivos LNK sea efectivo para los actores maliciosos, se espera que continúe la tendencia creciente en su implementación.

Herramientas como Quantum están acelerando aún más la tendencia de adopción y hacen que la elección de los archivos LNK sea más atractiva para los ciberdelincuentes.

Se recomienda a los usuarios que permanezcan atentos y analicen todos los archivos que reciben por correo electrónico con una herramienta antivirus antes de ejecutarlos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva campaña de phishing se dirige a los usuarios de Microsoft 365 mientras falsifica al popular proveedor de billetera de criptomonedas MetaMask e intenta robar frases de recuperación.

Las frases de recuperación de MetaMask, o semillas, son una serie de 12 palabras que los usuarios pueden usar para importar una billetera criptográfica existente en otros dispositivos. Cualquiera que tenga acceso a esta frase de recuperación puede importar la billetera en cualquier dispositivo que elija y robar los NFT y las criptomonedas almacenadas en ella, lo que los convierte en un objetivo popular para los actores de amenazas.

Según la empresa de seguridad de correo electrónico Armorblox, la nueva campaña se dirige a los usuarios de Microsoft Office 365 y distribuye mensajes que se asemejan a solicitudes de verificación de identidad legítimas.

Suplantar el soporte de MetaMask

El correo electrónico de phishing, que parece ser enviado desde el soporte de MetaMask, falsifica una solicitud de verificación Conozca a su cliente (KYC) y presenta una marca convincente y sin errores tipográficos u otros obsequios obvios de estafa.

Las solicitudes KYC son parte de las obligaciones legales estándar contra el lavado de dinero que las empresas financieras deben cumplir, por lo que recibir una solicitud no sería necesariamente inusual.

Si bien el MetaMask real no requiere que sus usuarios verifiquen o proporcionen detalles de KYC, lidiar con las solicitudes de verificación puede ser una experiencia frustrante, lo que posiblemente haga que los destinatarios sean menos cautelosos.

Curiosamente, los actores de phishing incluso dan a los destinatarios un cómodo plazo de hasta un mes completo para tomar medidas para verificarse a sí mismos, lo que es otra falsa señal de legitimidad, ya que los intentos de phishing suelen implicar urgencia.


Si las víctimas hacen clic en el botón incrustado, se les lleva a una página de destino falsa diseñada para parecerse al sitio web real de MetaMask.

El sitio de phishing incluso advierte a los visitantes que se aseguren de que su contraseña siempre esté adecuadamente protegida.


El dominio real de MetaMask es "metamask.io", mientras que la página de phishing usa "metamask.io-integrated-status.com", que podría pasar como genuino para los usuarios desprevenidos.

Si las víctimas ingresan su frase de contraseña en el sitio de phishing, va directamente a los atacantes y, a menudo,  los adversarios no tardan mucho  en tomar medidas y robar los fondos y NFT disponibles de la víctima.

Cómo mantenerse a salvo

Cuando reciba correos electrónicos que hagan afirmaciones serias sobre el estado de sus cuentas, ignore los botones incrustados o las URL proporcionadas y, en su lugar, visite la plataforma directamente desde una nueva pestaña, inicie sesión en su cuenta y verifique si hay alertas que requieran su atención.

Recuerde siempre verificar que el dominio en el que está a punto de ingresar las credenciales sea el correcto, y nunca entre en acción sin importar qué emergencia o sentido de urgencia se le presente.

Finalmente, habilite siempre la autenticación multifactor (MFA) en todas las cuentas en línea donde la medida de seguridad se ofrece como una opción.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de seguridad descubrieron que Adobe Acrobat está tratando de bloquear el software de seguridad para que no pueda ver los archivos PDF que abre, lo que crea un riesgo de seguridad para los usuarios.

El producto de Adobe está verificando si los componentes de 30 productos de seguridad están cargados en sus procesos y probablemente los bloquee, negándoles esencialmente el monitoreo de actividad maliciosa.

Marcar AV incompatibles

Para que una herramienta de seguridad funcione, necesita visibilidad de todos los procesos en el sistema, lo que se logra mediante la inyección de bibliotecas de enlaces dinámicos (DLL) en los productos de software que se inician en la máquina.

Los archivos PDF han sido objeto de abuso en el pasado para ejecutar malware en el sistema. Un método es agregar un comando en la sección 'OpenAction' del documento para ejecutar comandos de PowerShell para actividades maliciosas, explican los investigadores de la empresa de ciberseguridad Minerva Labs.


Según un informe de esta semana, la lista ha crecido para incluir 30 archivos DLL de productos de seguridad de varios proveedores. Entre los más populares entre los consumidores se encuentran Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft.

La consulta del sistema se realiza con 'libcef.dll', una biblioteca de enlaces dinámicos de Chromium Embedded Framework (CEF) utilizada por una amplia variedad de programas.

Si bien la DLL de Chromium viene con una breve lista de componentes que se incluirán en la lista negra porque causan conflictos, los proveedores que la utilizan pueden realizar modificaciones y agregar cualquier DLL que deseen.


Los investigadores explican que "libcef.dll se carga mediante dos procesos de Adobe: AcroCEF.exe y RdrCEF.exe", por lo que ambos productos verifican el sistema en busca de componentes de los mismos productos de seguridad.

Mirando más de cerca lo que sucede con las DLL inyectadas en los procesos de Adobe, Minerva Labs descubrió que Adobe verifica si el  valor de bBlockDllInjection  en la clave de registro ' SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\ ' está configurado en 1. Si es así, lo hará evitar que las DLL del software antivirus se inyecten en los procesos.

Cabe señalar que el valor de la clave de registro cuando se ejecuta Adobe Reader por primera vez es '0' y que se puede modificar en cualquier momento.


Según la investigadora de Minerva Labs, Natalie Zargarov, el valor predeterminado para la clave de registro se establece en '1', lo que indica un bloqueo activo. Esta configuración puede depender del sistema operativo o de la versión de Adobe Acrobat instalada, así como de otras variables en el sistema.

En una  publicación en los foros de Citrix  el 28 de marzo, un usuario que se quejaba de los errores de Sophos AV debido a que tenía instalado un producto de Adobe dijo que la empresa "sugirió desactivar la inyección de DLL para Acrobat y Reader.


Trabajando en el problema

En respuesta a BleepingComputer, Adobe confirmó que los usuarios han informado que experimentan problemas debido a que los componentes DLL de algunos productos de seguridad son incompatibles con el uso de la biblioteca CEF de Adobe Acrobat.


La compañía agregó que actualmente está trabajando con estos proveedores para abordar el problema y "para garantizar la funcionalidad adecuada con el diseño de espacio aislado CEF de Acrobat en el futuro".

Los investigadores de Minerva Labs argumentan que Adobe eligió una solución que resuelve los problemas de compatibilidad pero presenta un riesgo de ataque real al evitar que el software de seguridad proteja el sistema.

BleepingComputer se ha puesto en contacto con Adobe con más preguntas para explicar las condiciones en las que se produce el bloqueo de DLL y actualizará el artículo una vez que tengamos la información.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

MEGA ha lanzado una actualización de seguridad para abordar un conjunto de vulnerabilidades graves que podrían haber expuesto los datos de los usuarios, incluso si los datos se hubieran almacenado en forma cifrada.

MEGA es un servicio de alojamiento de archivos y almacenamiento en la nube con sede en Nueva Zelanda con más de 250 millones de usuarios registrados de más de doscientos países. Los usuarios han subido colectivamente 120 mil millones de archivos distintos con un tamaño de 1000 petabytes.

Una de las funciones anunciadas de MEGA es que los datos se cifran de extremo a extremo y solo el usuario tiene acceso a la clave de descifrado. Sin embargo, los investigadores han demostrado que las vulnerabilidades en el algoritmo de encriptación les permitieron acceder a los datos encriptados de los usuarios.Las vulnerabilidades en el esquema de cifrado de MEGA fueron descubiertas por investigadores de ETH Zurich, en Suiza, quienes lo informaron a la firma de manera responsable el 24 de marzo de 2022.

Si bien los investigadores descubrieron cinco posibles ataques contra los datos del usuario que se basan en la misma cantidad de fallas, todos se basan en robar y descifrar una clave RSA.


MEGA no tiene conocimiento de ninguna cuenta de usuario o datos comprometidos al explotar las fallas descubiertas. Sin embargo, este hallazgo crea una mella en las promesas de seguridad de datos del servicio.

Descifrando MEGA

MEGA utiliza un sistema de cifrado de extremo a extremo controlado por el usuario (UCE) para proteger los datos del usuario incluso del acceso interno. La base de este sistema es una clave de cifrado generada a partir de la contraseña de inicio de sesión normal de un usuario.

A continuación, la clave maestra se genera a través de un proceso aleatorio y se utiliza para el cifrado posterior de un subconjunto de claves, incluido un par de claves RSA, una clave de curva utilizada para la función de chat, una clave de firma Ed y las claves de nodo.


La clave RSA de cada usuario se almacena en los servidores de MEGA sin protección de integridad.

El equipo de ETH Zurich descubrió una forma novedosa de realizar un ataque de intermediario que puede recuperar las claves RSA de cuentas MEGA específicas.

Este ataque se basa en adivinar el factor principal a través de la comparación y requiere al menos 512 intentos de inicio de sesión para funcionar. Además, el adversario tendría que acceder a los servidores de MEGA para realizar el ataque.

Esto es muy complicado y generalmente difícil para las amenazas externas, pero no sería tan desafiante para los empleados de MEGA deshonestos o poco éticos.

Una vez que la clave RSA de una cuenta objetivo filtra los textos cifrados del usuario, el atacante puede trabajar hacia atrás para recuperar el AES-ECB de la clave maestra en texto sin formato y luego descifrar todo el subconjunto de claves.

Eventualmente, el atacante puede descifrar los datos del usuario almacenados en la nube de MEGA, acceder a los chats en forma de texto sin cifrar e incluso cargar contenido nuevo en el repositorio de la cuenta.

Remedio e implicaciones

MEGA solucionó las dos vulnerabilidades que pueden conducir al descifrado de datos de usuario en todos los clientes (recuperación de clave RSA y recuperación de texto sin formato), mitigó una tercera (framing) y planea abordar los dos problemas restantes descubiertos en las próximas actualizaciones.

Las correcciones no son contramedidas perfectas, pero no afectan la experiencia del usuario y no requieren que los usuarios vuelvan a cifrar sus datos almacenados, cambien su contraseña o creen nuevas claves.

El proveedor de servicios en la nube afirma que no hay señales de acceso inapropiado a cuentas de usuario o datos, ya sea por parte de personas internas o externas.

"Ver cómo los atajos de diseño criptográfico aparentemente inocuos tomados hace casi una década resultan contraproducentes bajo el escrutinio de tres de las mentes más brillantes del sector es aterrador e intelectualmente fascinante", comenta MEGA sobre los hallazgos .

"El umbral muy alto de explotabilidad, a pesar de la amplia gama de fallas criptográficas identificadas, proporciona una cierta sensación de alivio".

A pesar de las garantías de MEGA de que ningún dato se vio comprometido, la investigación anuló efectivamente las garantías de confidencialidad de datos de MEGA que los diferenciaron de su competencia durante más de una década.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft confirmó hoy que una futura actualización de Windows deshabilitará permanentemente el navegador web Internet Explorer en los sistemas de los usuarios.

Esto se reveló el miércoles 15 de junio, el día en que Internet Explorer finalmente llegó al final de su vida útil para la opción de servicio del canal semestral (SAC) de Windows 10.

Como informó anteriormente BleepingComputer  , el navegador web ahora retirado comenzará a redirigir a los usuarios al nuevo Microsoft Edge basado en Chromium al iniciar la aplicación de escritorio Internet Explorer 11.

"Los usuarios seguirán viendo el ícono de Internet Explorer en sus dispositivos (como en la barra de tareas o en el menú Inicio), pero si hacen clic para abrir Internet Explorer, Microsoft Edge se abrirá en su lugar con fácil acceso al modo IE", dijo el gerente general. para Microsoft Edge Enterprise Sean Lyndersay hoy.

"Eventualmente,  Internet Explorer  se desactivará de forma permanente como parte de una futura actualización de Windows , momento en el cual se eliminarán los íconos de Internet Explorer en los dispositivos de los usuarios". [énfasis nuestro]

Durante este proceso de redirección, los datos de los usuarios (incluidas las configuraciones, los favoritos y las contraseñas) se importarán a Microsoft Edge para facilitar el cambio.

Microsoft también agregará un botón "Recargar en modo IE" a la barra de herramientas de Edge para ayudar a los usuarios a iniciar rápidamente sitios que soliciten abrirse en Internet Explorer usando el modo IE.


Internet Explorer ha estado iniciando automáticamente Microsoft Edge al visitar sitios incompatibles a partir de octubre de 2020.

La  lista de sitios incompatibles  (administrados por Microsoft) actualmente contiene 1427 sitios, incluidos Twitter, Facebook, Instagram, Google Drive, Microsoft Teams y muchos otros.

Microsoft Edge es el futuro

Si bien se retiró oficialmente de varias versiones de Windows 10 y no se envía con Windows 11, Internet Explorer seguirá estando disponible en Windows 7 ESU, Windows 8.1 y todas las versiones del cliente, IoT y servidor de Windows 10 LTSC.

En los sistemas que ejecutan estas versiones de Windows, el navegador web seguirá recibiendo soporte técnico y actualizaciones de seguridad durante el ciclo de vida de la versión de Windows en la que Microsoft ha alentado a los clientes a cambiar de Internet Explorer a Microsoft Edge durante años; puede obtener más información sobre el modo IE y cómo realizar el cambio en esta  guía de inicio .

Citar"Se alienta a los clientes a cambiarse a Microsoft Edge con el modo IE. El modo IE permite la compatibilidad con versiones anteriores y será compatible al menos hasta 2029", dice Redmond.

Para habilitar el modo IE en Microsoft Edge, debe ir a  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login , habilitar la opción ' Permitir que los sitios se vuelvan a cargar en Internet Explorer ' y reiniciar el navegador web.

En agosto de 2020, Microsoft  anunció por primera vez planes para abandonar la compatibilidad  con los navegadores web Internet Explorer 11 en Windows 10 y Microsoft 365, con un  anuncio oficial  del retiro emitido el 19 de mayo de 2021.

Microsoft también suspendió el soporte de IE en Teams  el 30 de noviembre de 2020 y finalizó el soporte en las aplicaciones y servicios de Microsoft 365  el 17 de agosto de 2021 .

Otras aplicaciones y servicios de Microsoft también dejaron de ser compatibles con Internet Explorer en los últimos años; hay una lista completa disponible  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Han surgido detalles técnicos sobre una vulnerabilidad de alta gravedad que afecta a ciertas versiones de la solución de correo electrónico Zimbra que los piratas informáticos podrían explotar para robar inicios de sesión sin autenticación o interacción del usuario.

El problema de seguridad se rastrea actualmente como  CVE-2022-27924  e impacta las versiones 8.8.x y 9.x de Zimbra para las versiones comerciales y de código abierto de la plataforma.

Se ha publicado una corrección en las versiones de Zimbra ZCS 9.0.0 parche 24.1 y ZCS 8.8.15 parche 31.1, disponibles desde el 10 de mayo de 2022. Organizaciones de todo el mundo suelen utilizar Zimbra, incluidas las de los  sectores gubernamental , financiero y educativo.

Desvío silencioso de credenciales

La falla ha sido descrita en un informe de investigadores de SonarSource, quienes la resumieron como "Envenenamiento de Memcached con una solicitud no autenticada". La explotación es posible a través de una inyección de CRLF en el nombre de usuario de las búsquedas de Memcached.

Memcached es una instancia de servicio interno que almacena pares clave/valor para cuentas de correo electrónico para mejorar el rendimiento de Zimbra al reducir la cantidad de solicitudes HTTP al servicio de búsqueda. Memcache establece y recupera esos pares mediante un protocolo simple basado en texto.


"Por lo general, los clientes de correo como Thunderbird, Microsoft Outlook, la aplicación macOS Mail y las aplicaciones de correo para teléfonos inteligentes almacenan las credenciales que el usuario usó para conectarse a su servidor IMAP en el disco", explica SonarSource en el informe , destacando que el exploit no No requiere ninguna interacción del usuario.

"Cuando el cliente de correo se reinicia o necesita volver a conectarse, lo que puede suceder periódicamente, se volverá a autenticar en la instancia de Zimbra objetivo", agregan los investigadores.


Conocer la dirección de correo electrónico de la víctima, una información que normalmente es fácil de encontrar, y usar un cliente IMAP le permite al atacante explotar la vulnerabilidad más fácilmente, pero estos detalles no son obligatorios.

Una segunda técnica de explotación permite eludir las restricciones anteriores para robar credenciales para cualquier usuario sin interacción y sin ningún conocimiento sobre la instancia de Zimbra.

Esto se logra a través del "contrabando de respuestas", una ruta alternativa que aprovecha el uso de un cliente basado en web para Zimbra.


De esta manera, un atacante podría secuestrar la conexión proxy de usuarios aleatorios cuyas direcciones de correo electrónico son desconocidas, aún sin requerir ninguna interacción o generar alertas para la víctima.

Corrección y línea de tiempo

SonarSource reveló sus hallazgos con Zimbra el 11 de marzo de 2022. Se lanzó un primer parche el 31 de marzo de 2022, pero fue insuficiente para solucionar el problema.

El 10 de mayo, el proveedor de software solucionó los problemas a través de ZCS 9.0.0 Parche 24.1 y ZCS 8.8.15 Parche 31.1 , creando un hash SHA-256 de todas las claves de Memcache antes de enviarlas al servidor.

SHA-256 no puede contener espacios en blanco, por lo que no se pueden crear nuevas líneas para la inyección de CRLF y no se pueden producir ataques de envenenamiento en las versiones parcheadas.

Vale la pena señalar que Zimbra lanzó  ayer las actualizaciones ZCS 9.0.0 Patch 25 y ZCS 8.8.15 Patch 32  con una actualización de OpenSSL 1.1.1n, que aborda una  vulnerabilidad de bucle infinito que  causa una denegación de servicio, rastreada como CVE-2022-0778.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Thunderbird para Android empieza a ser una realidad, pero posiblemente no por la vía que muchos esperábamos. Sí, los responsables del archiconocido cliente de correo confirmaron que la versión de la aplicación estaba en camino, pero el camino elegido para su llegada está sorprendiendo a propios y extraños.

Thunderbird para Android fue confirmado de forma más bien espontánea, después de que Jason Evangelho, el conocido divulgador sobre Linux que desde hace poco es gerente del marketing de Thunderbird, preguntara a su compañero Ryan Lee Sipes a través de Twitter si había algo sobre la llegada la aplicación. Ahí fue cuando empezamos a tener constancia de su existencia de manera oficial.

Sin embargo, quedó en el aire la vía por la que llegaría. En su momento especulamos sobre la posibilidad de que se basara en Fenix, la tecnología empleada desde hace un tiempo por Firefox para Android, pero la realidad es que Mozilla ha maniobrado para adoptar K-9 Mail, un cliente de correo exclusivo para el sistema operativo móvil de Google.

K-9 Mail es un cliente de correo electrónico para Android publicado como código abierto bajo la licencia Apache 2. Al parecer la incorporación de K-9 Mail a la estructura de de Thunderbird ha sido proceso que ha estado cocinándose durante años, ya que Ryan Lee Sipes inició en 2018 conversaciones con Christian Ketterer, principal mantenedor de K-9 Mail, para llevar a cabo posibles colaboraciones. Y todo parece haber ido incluso mejor de lo esperado, porque Thunderbird para Android no solo se basará en K-9 Mail, sino que esa última aplicación ha pasado a formar parte de Thunderbird junto a Christian Ketterer.

Todo lo expuesto hasta aquí deja entrever que K-9 Mail será convertido en Thunderbird para Android en un futuro, pero el proceso, al menos según la información que hemos obtenido, no será de golpe, sino que irá poco a poco. Los responsables de Thunderbird dotarán de K-9 Mail de recursos tanto económicos como de desarrollo para que mejore a nivel de características y vaya alineándose mejor con las versiones de Thunderbid para escritorio tanto a nivel de funciones como de diseño. Viendo que la incorporación de la sincronización ha sido planeada para 2023, la cosa apunta a ir para largo.


En consecuencia, K-9 Mail seguirá estando disponible como tal para su descarga desde la Play Store de Google y F-Droid, pero los usuarios posiblemente empiecen a ver una evolución más acelerada a través de la incorporación de más características y cambios de diseño, hasta que después de un tiempo vean que la aplicación ya no se llama K-9 Mail, sino Thunderbird.

Christian Ketterer ha dicho que espera aportar su experiencia y sus conocimientos en el desarrollo para plataformas móviles, mientras que Ryan Lee Sipes ha dicho que K-9 Mail "se alinea perfectamente con los valores de Thunderbird de usar estándares abiertos, respetar al usuario y permitir a los usuarios avanzados una personalización inigualable".

En el aire ha quedado un previsible cambio de licencia que veremos si se lleva a cabo. K-9 Mail, como ya hemos dicho, está publicado bajo la licencia Apache 2, pero Thunderbird emplea la MPL 2, una licencia propia de Mozilla. Lo lógico es pensar que en Thuderbird apuesten por la licencia de la corporación a la que pertenecen, pero a saber qué se está cocinando por dentro.

Para algunos posiblemente la llegada de Thunderbird a Android sea un motivo de alegría, pero por otro no deja de ser otra señal de que Mozilla ha sido muy lenta reaccionando a los cambios tecnológicos y en el mercado producidos durante la última década.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El 12 de junio de 2017 investigadores de ESET publicaron sus hallazgos sobre un nuevo y particular malware que era capaz de provocar un apagón generalizado. Industroyer, como lo llamaron, fue la primera pieza de malware conocida desarrollada específicamente para atacar a una red eléctrica.

De hecho, Industroyer ya se había desplegado unos meses antes y había tenido un efecto considerable: provocó que el 17 de diciembre de 2016 miles de hogares en partes de Kiev, Ucrania, se quedaran sin suministro eléctrico durante aproximadamente una hora. Esto sucedió después de que el malware atacara una subestación eléctrica local. Unos días después, el investigador de malware de ESET, Anton Cherepanov, comenzaría a desmenuzar Industroyer.

Una bomba de tiempo

Una vez plantado en el sistema, Industroyer se extendió por la red de la subestación buscando dispositivos de control industrial específicos con protocolos de comunicación a través de los cuales poder hablar. Luego, como una bomba de tiempo a punto de estallar, aparentemente abrió todos los disyuntores a la vez, mientras desafiaba cualquier intento de los operadores de la subestación por recuperar el control: si un operador intentaba cerrar un interruptor, el malware lo volvía a abrir.

Para limpiar sus rastros, el malware liberó un wiper, que es un tipo de malware que borra datos, que había sido diseñado para dejar las computadoras de la subestación inoperativas y retrasar el regreso a las operaciones normales. De hecho, el wiper a menudo fallaba, pero si hubiera tenido más éxito, las consecuencias podrían haber sido mucho peores, especialmente en invierno, cuando un corte de energía puede hacer que las tuberías llenas de agua se agrieten cuando se congelan.

El malware realizó un acto malicioso final para desactivar algunos de los relés de protección en la subestación, pero eso también falló. Sin el funcionamiento de los relés de protección, el equipo de la subestación podría haber estado expuesto a un alto riesgo de daño cuando los operadores finalmente restablecieron la transmisión eléctrica.

Como mencionaron en ese momento Cherepanov y su colega investigador de ESET, Robert Lipovsky, la sofisticación de Industroyer hace posible adaptar el malware a cualquier entorno similar. De hecho, los protocolos de comunicación industrial que utiliza Industroyer se implementan no solo en Kiev, sino también "en infraestructura de suministro de energía, sistemas de control de transporte y otros sistemas de infraestructura crítica (como agua y gas) en todo el mundo".

Por otro lado, teniendo en cuenta lo sofisticado que era Industroyer, su impacto en última instancia fue bastante decepcionante, como lo señalaron los propios investigadores de ESET en 2017. Quizás fue solo una prueba para futuros ataques, o quizás fue una señal de lo que era capaz de hacer el grupo detrás de su creación.

El trabajo de Sandworm

El comportamiento del malware, señalaron los investigadores de ESET, reflejan las intenciones maliciosas de quienes lo crearon. En la conferencia Virus Bulletin de 2017, Lipovsky destacó que "los atacantes tenían que comprender la arquitectura de una red eléctrica, qué comandos enviar y cómo se lograría". Sus creadores recorrieron un largo camino para crear este malware, y su objetivo no era solo un corte de energía. "Algunas pistas de la configuración de Industroyer sugieren que querían provocar daños a nivel equipamiento y también mal funcionamiento".

En Black Hat 2017, Cherepanov también señaló que "parece muy poco probable que alguien pueda escribir y probar dicho malware sin acceso al equipo especializado utilizado en el entorno industrial específico".

En octubre de 2020, Estados Unidos atribuyó el ataque a seis oficiales pertenecientes a Sandworm, nombre que se le dio a la Unidad 74455 de la Dirección General de Inteligencia rusa (GRU).

Industroyer 2: El regreso de Industroyer

Volvemos a 2022 y no sorprende que la telemetría de ESET haya mostrado un aumento en los ataques cibernéticos dirigidos a Ucrania en las semanas previas y posteriores a la invasión de Rusia el 24 de febrero.

El 12 de abril, junto con CERT-UA, los investigadores de ESET anunciaron que habían identificado una nueva variante de Industroyer, a la cual llamaron Industroyer 2, apuntando a un proveedor de energía en Ucrania. Esta nueva variante había sido programada para cortar el suministro de energía en una región de Ucrania el 8 de abril. Afortunadamente, el ataque fue frustrado antes de que pudiera causar más estragos en un país que ya viene siendo afectado por la guerra. Los investigadores de ESET consideran con mucha confianza que Sandworm fue nuevamente el responsable de este nuevo ataque.

Un presagio de lo que vendrá

En los últimos años se ha vuelto más que claro que los servicios de infraestructura crítica del mundo están expuestos al riesgo de interrupciones. La serie de incidentes que han impactado la infraestructura crítica en Ucrania a lo largo del tiempo (y en otras partes del mundo) han ayudado a tomar conciencia sobre los riesgos a los que están expuestos los servicios críticos y la posibilidad de que ataques cibernéticos sean la causa de posibles cortes de energía, interrupciones en el suministro de agua, interrupciones en la distribución de combustible, pérdida de datos médicos y de muchas otras consecuencias que pueden hacer mucho más que interrumpir nuestras rutinas diarias: pueden amenazar la vida.

En 2017, tanto Cherepanov como Lipovsky concluyeron el artículo de la investigación con una advertencia que, cinco años después, sigue vigente: "Independientemente de si el reciente ataque a la red eléctrica ucraniana fue o no una prueba, debería servir como un señal de alarma para los responsables de la seguridad de sistemas críticos alrededor del mundo".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

PostmarketOS 22.06, que llega tras el Service Pack 3 de 21.12, es un lanzamiento importante. Llega con muchas novedades, entre las que destacan 3: se ha incluido la última versión de las apps móviles de KDE, Phosh 0.17.0 y nuevos dispositivos compatibles. A continuación tenéis una lista con todos ellos, y el resto de novedades más destacadas.

Novedades más destacadas de postmarketOS 22.06

Dispositivos soportados:

- ASUS MeMo Pad 7.
- Arrow DragonBoard 410c.
- BQ Aquaris X5.
- Lenovo A6000 y A6010.
- Motorola Moto G4 Play.
- Nokia N900.
- ODROID HC2.
- OnePlus 6.
- OnePlus 6T.
- PINE64 PineBook Pro, PinePhone, PineTab y RockPro64.
- Purism Librem 5.
- SHIFT 6mq (nuevo)
- Samsung Galaxy A3 (2015), Galaxy A5 (2015), Galaxy S III (nuevo), Galaxy S4 Mini Value Edition, Galaxy Tab 2 7.0″, Galaxy Tab A 8.0 y Galaxy Tab A 9.7.
- Wileyfox Swift.
- Xiaomi Mi Note 2, Pocophone F1 y Redmi 2.

- Se ha creado un script para actualizar desde el mismo sistema operativo. Porque sí, hasta ahora no era posible. Había que hacer una copia de seguridad, instalar la nueva imagen y restaurar la copia. Ahora eso ya no será necesario.
- Sxmo 1.9.0.
- Phosh 0.17.0.
- Plasma Mobile Gear 22.04.
fwupd: los usuarios de un PinePhone que sepan lo que hacen pueden actualizar su modem con la alternativa de Biktor.

Con este lanzamiento, el proyecto celebra sus 5 años de vida. Como comentaba, es una de las pocas opciones válidas para dispositivos como la PineTab, ya que el resto de proyectos la han dejado de lado, reconociendo un desarrollador de Manjaro que lanzan imágenes sin siquiera probarlas. En cualquier caso, postmarketOS 22.06 ya está disponible, y es una actualización «enorme».

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

macOS Ventura es la flamante versión del sistema operativo de Apple para PC y aunque no estará disponible hasta el próximo otoño, la compañía ya lo ha mostrado en sociedad y ha adelantado algunas de sus novedades, entre las que se cuenta el soporte para ejecutar aplicaciones de Linux.

La presentación de macOS Ventura se dio ayer, en el marco de la conferencia para desarrolladores WWDC 2022, que la que la firma de Cupertino aprovechó para enseñar lo próximo de otros de sus productos de cabecera, incluyendo los nuevos Macbook Pro y Macbook Air con los chips Apple M2, iOS y iPadOS 16 o watchOS 9, además del que nos ocupa, macOS 13, con nombre en clave macOS Ventura.

Pues bien. De las principales novedades de macOS Ventura dimos cuenta ayer en MC (también del resto de novedades que trajo la WWDC 2022: pincha en el enlace de más arriba para verlo todo), aunque justo la de la compatibilidad con aplicaciones de Linux, no estaba entre ellas. Cabe recordar que macOS Ventura se encuentra en fase beta y quedan muchas cosas por conocerse.

Sin embargo, según recogen en Phoronix macOS Ventura podrá ejecutar aplicaciones de Linux a través de Rosetta, el componente que desarrolló Apple para mantener la compatibilidad de las aplicaciones clásicas de macOS con los nuevos procesadores ARM de Apple Silicon. Mucho se ha habló de Rosetta al inicio de la transición, pero parece que Apple ha cumplido con unos mínimos y el invento ha cuajado.

Con macOS Ventura irán un paso más allá, utilizando el macOS Virtualization Framework para permitir la ejecución de binarios de Linux, sirviéndose para ello de máquinas virtuales de Linux basadas en ARM. La integración de Rosetta en este sentido se reducirá a eso, binarios o aplicaciones dentro del espacio de usuario, y no a distribuciones Linux al completo, al menos por ahora. ¿A qué nos suena esto?

En efecto, aunque hemos visto casos como el de ChromeOS con las aplicaciones de Linux, esto es diferente. No se trata de ampliar el ecosistema de aplicaciones de escritorio, que en macOS es bastante florido. Ofrecer la posibilidad de ejecutar aplicaciones de Linux en macOS Ventura tiene el mismo objetivo que Windows Subsystem for Linux: facilitarle la vida a los desarrolladores... ¿o alejar de ellos la tentación de pasarse a Linux para trabajar?


Sea como fuere, el cambio que propone Apple para macOS Ventura puede dar de que hablar, aunque ya hay quien le está poniendo peros al invento, no por la forma del mismo, sino por el fondo. Hector Martin publicaba ayer uno y dos hilos en Twitter hablando sobre el tema y esperando que la evolución de Rosetta no desincentive el trabajo en torno a los esfuerzos existentes para llevar Linux a Apple Silicon.

Según Martin, uno de esos desarrolladores encargados de llevar los M1 de Apple a Linux, así como uno de los responsables de Asahi Linux, la primera distribución Linux para Apple Silicon, hay dudas acerca de en qué tecnologías se apoya la nueva funcionalidad de Rosetta. Dudas que quizás se despejarán hoy, pues Apple tiene programada una charla en la que se tratará este asunto. Aparte está la documentación oficial de Rosetta.

También hay dudas, y estas son de diferente índole, en relación a los posibles problemas legales de usar Rosetta fuera de macOS Ventura y siguientes versiones, por lo que continuar con el trabajo previo de la comunidad en clave de código abierto alrededor de Apple Silicon, es esencial, sostiene Martin.

En qué quedará todo, lo veremos en un futuro. Mientras tanto ¿quién nos iba a decir que volveríamos a traer a macOS por estos lares? Con macOS Big Sur la excusa fue que el cambio de diseño creó tendencia; en esta ocasión, no obstante, la historia apunta hacia otros derroteros. A ver cuándo se invierte en nuestro -el de los usuarios de Linux- favor

O lo que es lo mismo, a ver cuándo podemos hablar de un avance sustancial de Darling, porque macOS tiene cantidad de aplicaciones exclusivas de gran nivel, muchas de las cuales no están disponibles ni siquiera para Windows. Darling, por cierto, es el equivalente a Wine, pero para ejecutar aplicaciones de Mac en Linux.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ya es posible cambiarse de Android a iOS sin perder los chats de WhatsApp. Mark Zuckerberg, CEO de Facebok, anunció en su cuenta la llegada de la esperada función para migrar entre sistemas operativos.

Con esta nueva función, WhatsApp complementa sus opciones de migración entre sistemas. El año pasado anunció la posibilidad de transferir conversaciones de iOS a Android, aunque primero solo con los nuevos Galaxy Z Fold3 y Galaxy Z Flip3. Ahora sucede lo inverso y permite a los usuarios Android llevar sus chats de WhatsApp a iOS.

Cómo pasar chats de WhatsApp de Android a iPhone
La migración de chats de Android a iPhone es sencilla, y se realiza directamente desde la app Pasar a iOS, según explica WhatsApp.

Sin embargo, se requieren algunos requisitos importantes:

- Android 5 Lollipop, o posterior
- iOS 15.5, o posterior
- La app Pasar a iOS instalada
- WhatsApp para iOS 2.22.10.70 y WhatsApp para Android 2.22.7.74, o versiones posteriores
- En el iPhone se debe usar el mismo número de teléfono con el que se usaba WhatsApp en Android
- El iPhone debe ser nuevo o haber sido restablecido de fábrica
- Ambos dispositivos deben estar conectados a una fuente de energía
- Ambos smartphones deben estar conectados a la misma red wifi, o el teléfono Android debe conectarse a la zona wifi del iPhone


Cumpliendo todos estos requisitos previos, será posible transferir las conversaciones de WhatsApp de Android a iPhone. Bastará con abrir la app Pasar a iOS en Android y seguir las indicaciones en pantalla. Al llegar a la pantalla "Transferir datos", se debe seleccionar también WhatsApp, y después tocar Comenzar en el teléfono Android.

WhatsApp preparará los datos para exportarlos al iPhone, junto con toda la demás información del smartphone. Al terminar el proceso, se cerrará la sesión de WhatsApp en Android, y en iOS solo se debe instalar la versión más reciente de WhatsApp e iniciar sesión con el mismo número.


Al comenzar la configuración, se detectará automáticamente la migración y se transferirá toda la información de WhatsApp de Android al iPhone.

La migración de WhatsApp de Android a iOS transfiere mensajes, grupos, información de perfil y archivos multimedia, es decir fotos y videos. Lo único que no se transfiere es el historial de llamadas. De acuerdo con Apple, citan nuestros compañeros españoles, todo el proceso de migración se realiza sin que la información se suba a la nube, ni de Apple ni de WhatsApp, para mayor privacidad de la información.


Finalmente, WhatsApp detalla que después de la migración, nada de la información será respaldad, hasta que el usuario decida crear una copia de seguridad en iCloud. Además, todos los datos se quedarán almacenados en el teléfono Android, a menos que sean eliminados por el usuario.

La migración de chats de Android a iOS está por el momento en fase beta, solo disponible para algunos usuarios del programa beta, pero pronto se lanzará de manera oficial para todo el mundo.

Portada - Pexels
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Consorcio Europeo de Computación de Alto Rendimiento (EuroHPC) acaba de inaugurar un sistema informático preexaescala. Se trata de Lumi, un superordenador que actualmente ofrece 151,9 petaFLOPS de rendimiento, lo que le otorga el tercer puesto del TOP500 de los superordenadores más potentes del mundo.

Con este hito, el Summit (200 petaFLOPS) ha sido desplazado al cuarto lugar de la lista. Ahora el podio lo encabezan el nuevo nuevo sistema estadounidnese exaescala Frontier (1,1 exaFLOPS) seguido del superordenador japonés preexaescala Fugaku (442,01 petaFLOPS).


Pero este es solo el primer paso de Lumi. Durante las próximas semanas aumentará su potencia hasta los 375 petaFLOPS, y a finales de año alcanzará su rendimiento máximo planificado: 550 petaFLOPS. Para ese entonces, si todo sale bien, superará al sistema japonés y se quedará con el segundo puesto mundial.

El superordenador más potente de Europa

EuroHPC asegura que Lumi es actualmente el superordenador más potente del continente —conservará ese lugar una vez que alcance su rendimiento máximo—. Esto es posible gracias a su ambiciosa configuración de hardware.

Lumi ha sido construido por Hewlett Packard Enterprise (HPE) en el Centro de IT para la ciencia en Kajaani, en Finlandia. El sistema está basado en la arquitectura Cray EX que se combina con CPUs AMD EPYC "Trento" de tercera generación junto a aceleradores AMD MI250X e interconexiones Sligshot-11. Esto le permitirá alcanzar esos 550 petaFLOPS de potencia.

A modo de ejemplo, si quisiéramos replicar la potencia de cálculo del superordenador Lumi con dispositivos que están al alcance del consumidor "necesitaríamos 1,5 millones ordenadores portátiles de última generación". Y estos no cabrían en una habitación, sino que formarían una torre de más de 23 km de altura.

Todo el sistema se complementará con una capacidad de almacenamiento de 17 petabytes. Además, Lumi funcionará con energía 100% hidroeléctrica y contará con un avanzado sistema de refrigeración que permitirá aprovechar parte del calor para calefaccionar algunos edificios del área.

¿Para qué sirve tanta potencia? En la práctica, la potencia de cálculo puede ser utilizada por investigadores para realizar estudios en reducidos períodos de tiempo y analizar modelos con grandes conjuntos de datos. Es decir, los superordenadores son una herramienta muy importante para la investigación.

Los recursos informáticos de Lumi se pondrán a disposición de investigadores de toda Europa para acelerar los avances científicos en campos como el cambio climático, la medicina, la inteligencia artificial y la computación cuántica. Además, cerca del 20% de su capacidad se reservará para el uso de pequeñas y medianas empresas.


Lumi, un "amigo" de los superordenadores cuánticos

A lo largo de los años hemos explicado en Xataka los avances y desafíos de la computación cuántica. Lo cierto es que esta no reemplaza a la computación tradicional, sino que la complementa. Un claro ejemplo de ello es que, como mencionamos arriba, Lumi será una herramienta importante para la computación cuántica.

Los científicos explican que "las computadoras cuánticas necesitan superordenadores a su lado para aprovechar su capacidad para alcanzar los objetivos correctos en procesos de investigación". En este sentido, han logrado conectar este superordenador "tradicional" junto a los sistemas cuánticos finlandeses QAL 9000 (no confundir con HAL 9000 de '2001: Una odisea del espacio') y Helmi.

El ambicioso proyecto de Luim es un trabajo conjunto del EuroHPC junto a Finlandia, Bélgica, República Checa, Dinamarca, Estonia, Noruega, Polonia, Suecia y Suiza. Las inversiones, de 202 millones de euros, proceden de la Unión Europea y de los países participantes, aunque la construcción también tiene el apoyo del Fondo Europeo de Desarrollo Regional de la Unión Europea y el Consejo Regional de Kainuu.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de seguridad han descubierto una operación maliciosa a gran escala que utiliza aplicaciones de billetera de criptomonedas móviles troyanizadas para los servicios Coinbase, MetaMask, TokenPocket e imToken.

La actividad maliciosa se identificó a principios de este año en marzo. Los investigadores de Confiant llamaron a este grupo de actividad SeaFlower y lo describen como "la amenaza más sofisticada técnicamente dirigida a los usuarios de web3, justo después del infame Grupo Lazarus".

En un informe reciente, Confiant señala que las aplicaciones maliciosas de criptomonedas son idénticas a las reales, pero vienen con una puerta trasera que puede robar la frase de seguridad de los usuarios para acceder a los activos digitales.

Los actores de amenazas detrás de la actividad de SeaFlower parecen ser chinos, según sugerencias como el idioma de los comentarios en el código fuente, la ubicación de la infraestructura, los marcos y los servicios utilizados.

distribución de aplicaciones

El primer paso en la operación SeaFlower es difundir las aplicaciones troyanizadas a tantos usuarios como sea posible. El actor de amenazas logra esto a través de clones de sitios web legítimos, envenenamiento de SEO y técnicas negras de SEO.



También es posible que las aplicaciones se promocionen en canales de redes sociales, foros y publicidad maliciosa, pero el principal canal de distribución que Confiant observó son los servicios de búsqueda.

Los investigadores descubrieron que los resultados de búsqueda del motor Baidu son los más afectados por la operación SeaFlower, que dirige cantidades masivas de tráfico a los sitios maliciosos.

En iOS, los sitios abusan de los perfiles de aprovisionamiento para descargar las aplicaciones maliciosas en el dispositivo para eludir las protecciones de seguridad.

Los perfiles de aprovisionamiento se utilizan para vincular a los desarrolladores y dispositivos con un equipo de desarrollo autorizado. Permiten que los dispositivos se usen para probar el código de la aplicación, lo que los convierte en un método poderoso para agregar aplicaciones maliciosas a un dispositivo.


Aplicaciones de puerta trasera

Los analistas confiados aplicaron ingeniería inversa a las aplicaciones para descubrir cómo los autores de SeaFlower habían plantado las puertas traseras y encontrado un código similar en todas ellas.


Para la aplicación MetaMask en iOS, el código de puerta trasera se activa al generar la frase inicial y antes de que se almacene en forma cifrada. Esto significa que el actor de amenazas intercepta la frase de contraseña cuando crea una nueva billetera o cuando agrega una existente a una aplicación recién instalada.

Una de las funciones identificadas en el código de la puerta trasera, "startupload", es responsable de robar la frase semilla y enviarla a dominios que imitan a los de los proveedores legítimos.

Por ejemplo, el actor de amenazas usó solicitudes POST para filtrar las frases de contraseña a 'trx.lnfura[.]org', que se hace pasar por el 'infura.io' genuino. De manera similar, usaron 'metanask[.]cc', que imita el dominio original de MetaMask .


La clase que oculta las funciones se ofusca con el algoritmo de codificación base64 y se cifra con el sistema criptográfico RSA. Sin embargo, las claves están codificadas, por lo que los analistas podrían descifrar la puerta trasera, probar el código y validarlo en tiempo de ejecución.


El código de la puerta trasera no se ocultó tan diligentemente en las aplicaciones maliciosas de las variantes de Android, y los investigadores pudieron acceder a más de sus funciones sin mucho esfuerzo.

Un aspecto particularmente interesante en la puerta trasera descubierta es la inyección de un React Native Bundle directamente en la instancia de RCTBridge para cargar JavaScript.

Refiriéndose a este hallazgo, Taha Karim , director de inteligencia de amenazas de Confiant, compartió el siguiente comentario con BleepingComputer:

La inyección de paquetes nativos de reacción es definitivamente algo nuevo en el mundo de las puertas traseras, tiene que ver con que metamask sea una aplicación nativa de reacción. Los atacantes dedicaron tiempo a la ingeniería inversa del puente nativo de React y entendieron cómo y dónde se cargan los paquetes.

Agregaron un ajuste de logotipos para forzar que el paquete de puerta trasera se cargue en tiempo de ejecución y que javascriptcore lo ejecute. El paquete vino encriptado con RSA y oculto dentro de un archivo dylib, que también se inyecta en tiempo de ejecución.

fuentes confiables

Para protegerse contra estas amenazas furtivas, los usuarios de criptomonedas deben descargar aplicaciones de billetera solo de fuentes confiables, como tiendas de aplicaciones oficiales o del sitio web del desarrollador.

Para usuarios de iOS, instalar o aceptar perfiles de aprovisionamiento sin verificar la legitimidad de las solicitudes, ya que estas permiten instalar cualquier aplicación en sistemas iOS o macOS.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login