Poco a poco los sistemas operativos inmutables están acaparando más protagonismo en el espectro Linux, así que no podemos dar de lado a NixOS 22.05, la última versión de la distribución construida con el gestor de paquetes Nix y orientada a crear "sistemas reproducibles, declarativos y fiables", que ha sido el resultado de aplicar 46.727 commits procedentes de 1.611 contribuidores.

NixOS 22.05, cuyo nombre en clave es "Quokka", ha actualizado 10.666 paquetes, ha introducido 9.345 nuevos y eliminado otros 9.345. A nivel de módulos se han incorporado 89 nuevos y eliminado 27, con los contribuidores añadiendo 1.304 nuevas opciones y eliminando otras 359.

En cuanto a las novedades del sistema, lo más destacado es la incorporación de un instalador gráfico basado en Calamares, el cual ha sido incluido en las imágenes ISO con GNOME y KDE Plasma. El objetivo de este añadido no es ningún secreto, y es la de facilitar la instalación del sistema sobre todo a aquellas personas que no tienen conocimientos profundos. La popularidad de Calamares debería de hacer el proceso fácil y familiar para la inmensa mayoría de los usuarios.


La segunda novedad más importante de NixOS 22.05 es Nix 2.8, la última versión del gestor de paquetes predeterminado, que incorpora muchas correcciones y mejoras tanto en el funcionamiento como el rendimiento. A nivel de características, la principal novedad es la introducción de características experimentales llamadas "copos" (flakes).

NixOS es otra de las distribuciones que han decidido dar el salto a PipeWire como servidor de sonido predeterminado, así que su correspondiente servicio habilitará a partir de este lanzamiento y por defecto el gestor de sesiones WirePlumber en lugar de emplear 'pipewire-media-session', ya que este último ha sido marcado como obsoleto y su uso no está recomendado, a pesar de que todavía pueda ser habilitado manualmente.

Por lo demás, lo que más sobresale son las actualizaciones de los componentes servidos, así que en NixOS 22.05 nos encontramos con Linux 5.15 como kernel, systemd actualizado la versión 250, PHP 8.1, GNOME 42 con Gedit sustituido por el nuevo editor de textos del entorno y Terminal por Consola (o Console), PostgreSQL 14, además de KDE Plasma 5.24 junto a sus aplicaciones habituales y oficiales.


Todos los detalles de NixOS 22.05 están disponibles en el anuncio oficial y las notas de lanzamiento, mientras que el sistema puede obtenido en una gran cantidad de formatos desde la sección de descargadas del sitio web oficial del proyecto (las imágenes ISO con GNOME y KDE Plasma están en la sección "More").

La inclusión oficial de Calamares en NixOS llega en un buen momento para distribución si es que quiere competir con las opciones que poco a poco van asomando la cabeza.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Atlassian lanzó el viernes correcciones para abordar una falla de seguridad crítica que afecta a sus productos Confluence Server y Data Center que han sido explotados activamente por actores de amenazas para lograr la ejecución remota de código.

Rastreado como CVE-2022-26134 , el problema es similar a CVE-2021-26084 , otra falla de seguridad que la compañía de software australiana corrigió en agosto de 2021.

Ambos se relacionan con un caso de inyección de Object-Graph Navigation Language ( OGNL ) que podría explotarse para lograr la ejecución de código arbitrario en una instancia de Confluence Server o Data Center.

La deficiencia recién descubierta afecta a todas las versiones compatibles de Confluence Server y Data Center, y todas las versiones posteriores a la 1.3.0 también se ven afectadas. Se ha resuelto en las siguientes versiones:

- 7.4.17
- 7.13.7
- 7.14.3
- 7.15.2
- 7.16.4
- 7.17.4
- 7.18.1

Según las estadísticas de la plataforma de descubrimiento de activos de Internet Censys , hay alrededor de 9325 servicios en 8347 hosts distintos que ejecutan una versión vulnerable de Atlassian Confluence, con la mayoría de las instancias ubicadas en EE. UU., China, Alemania, Rusia y Francia.

La evidencia de la explotación activa de la falla, probablemente por parte de atacantes de origen chino, salió a la luz después de que la firma de seguridad cibernética Volexity descubriera la falla durante el fin de semana del Día de los Caídos en los EE. UU. durante una investigación de respuesta a incidentes.

"Las industrias/verticales objetivo están bastante extendidas", dijo Steven Adair, fundador y presidente de Volexity, en una serie de tuits. "Esta es una batalla campal en la que la explotación parece coordinada".

"Está claro que múltiples grupos de amenazas y actores individuales tienen el exploit y lo han estado usando de diferentes maneras. Algunos son bastante descuidados y otros son un poco más sigilosos".

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), además de agregar el error de día cero a su Catálogo de Vulnerabilidades Explotadas Conocidas , también ha instado a las agencias federales a bloquear de inmediato todo el tráfico de Internet hacia y desde los productos afectados y aplicar los parches o eliminar el instancias antes del 6 de junio de 2022, 5 p. m. ET.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

GitLab se ha movido para abordar una falla de seguridad crítica en su servicio que, si se explota con éxito, podría resultar en una apropiación de la cuenta.

Registrado como CVE-2022-1680 , el problema tiene una puntuación de gravedad CVSS de 9,9 y fue descubierto internamente por la empresa. La falla de seguridad afecta a todas las versiones de GitLab Enterprise Edition (EE) desde la 11.10 hasta la 14.9.5, todas las versiones desde la 14.10 hasta la 14.10.4 y todas las versiones desde la 15.0 hasta la 15.0.1.

"Cuando se configura el SSO SAML grupal, la función SCIM (disponible solo en suscripciones Premium+) puede permitir que cualquier propietario de un grupo Premium invite a usuarios arbitrarios a través de su nombre de usuario y correo electrónico, y luego cambie las direcciones de correo electrónico de esos usuarios a través de SCIM a un correo electrónico controlado por un atacante. dirección y, por lo tanto, en ausencia de 2FA, hacerse cargo de esas cuentas", dijo GitLab .

Habiendo logrado esto, un actor malintencionado también puede cambiar el nombre para mostrar y el nombre de usuario de la cuenta objetivo, advirtió el proveedor de la plataforma DevOps en su aviso publicado el 1 de junio de 2022.

GitLab también resolvió en las versiones 15.0.1, 14.10.4 y 14.9.5 otras siete vulnerabilidades de seguridad, dos de las cuales tienen una calificación alta, cuatro tienen una calificación media y una tiene una gravedad baja.

Se recomienda a los usuarios que ejecutan una instalación afectada por los errores antes mencionados que actualicen a la última versión lo antes posible.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google ha puesto a disposición de los fabricantes de automóviles Android Automotive 12L, la actualización más reciente de su sistema operativo para coches. En esta oportunidad nos encontramos con un gran número de novedades que llegan de la mano de Android 12L, la alternativa del gigante de Mountain View para tabletas en la que se basa esta última versión.

Cabe señalar que no debemos confundir Android Auto con Android Automotive. Mientras que la primera funciona en el móvil y se proyecta en la pantalla del coche, la segunda funciona directamente en el coche, es decir, es un sistema operativo completo e independiente que no requiere de un móvil conectado, y que está siendo implementada poco a poco en cada vez más coches, entre ellos, el nuevo Polestar 2.

Las novedades de Android 12L Automotive

En general, según recoge 9to5Google, nos encontramos con mejoras en la interfaz de usuario, con nuevos controles rápidos, una revisión del sistema de notificaciones, que ahora las agrupa para que sea más fácil gestionarlas, y una optimización a nivel de rendimiento de conexiones Bluetooth. Veamos en detalles cada uno de estos aspectos.


Controles rápidos: Ahora los fabricantes pueden añadir o quitar botones de configuración de la barra de estado. Por ejemplo, lo que nos permiten gestionar las conexiones Bluetooth.

Soporte rotatorio. Corrección de errores generales.

- Personalización de la interfaz de usuario: Con esta mejora, los fabricantes van a tener más posibilidades para personalizar la interfaz de usuario de Android Automotive 12L.

- Revisión visual de notificaciones: Como mencionamos al principio, en esta versión será más fácil gestionar las notificaciones. Estas ahora estarán agrupadas.

- Mejor rendimiento de reconexión de Bluetooth: Los usuarios deberían experimentar una mejora en la reconexión de los dispositivos Bluetooth que usan con frecuencia en su coche.

- Base de datos de mensajería: Android Automotive 12L brinda compatibilidad con los perfiles de mensajes MAP, por lo que ahora se puede utilizar para acceder a servicios de mensajería que dependen de Bluetooth.

- Selección de red por aplicación: Brinda la posibilidad de crear una política de red dinámica que determine qué aplicaciones pueden usar determinadas redes.

- STA doble: Permite que el IVI se conecte a una red WiFi restringida por el fabricante, simultáneamente con una conexión principal a una red WiFi.

- Señal de atenuación de audio: Proporciona a la  capa de abstracción de hardware (HAL) el estado del audio e información sobre qué dispositivos de salida evitar.

- Mejoras de volumen: Android Auto 12L estrena un control de volumen más preciso que brinda la posibilidad de crear grupos de volumen.

- Silenciado por grupo de volumen: Ahora se permite silenciar un grupo de volumen.

- Migración AIDL para Audio Control HAL: AudioControl HAL de HIDL se migró a AIDL para usar completamente la funcionalidad AIDL.

- Gestión de políticas de energía para audio: Ahora es posible gestionar la energía para el servicio de audio del coche.

- CarEvsManager: Brinda la posibilidad de implementar la actividad de Android que muestra la vista previa de los servicios de cámaras para automóviles.

- Gestión de memoria USB de vigilancia: Se trata de la administración  de memoria flash del sistema limitando la cantidad de datos escritos en el almacenamiento. Permite a los fabricantes definir los parámetros de escritura y recopilar estadísticas para aplicaciones.

-Cifrado vinculado al vehículo: El cifrado de almacenamiento de Android ahora se puede configurar para almacenar algunos parámetros de cifrado clave en una ECU externa.

- Opciones seguras para desarrolladores: Las opciones de desarrollador de Android y ADB pueden habilitarse de forma remota por un fabricante. Esta característica proporciona mecanismos de acceso a token criptográfico y servicio web remoto.

- Interruptor de ubicación de sistemas avanzados de asistencia al conductor (ADAS): El acceso a la ubicación del dispositivo para las aplicaciones utilizadas para ADAS ahora se puede controlar con un interruptor de ubicación separado en la aplicación Configuración.

- Telemetría: Brinda la capacidad de procesar más métricas en dispositivos Android Automotive.

- Correcciones de errores: Correcciones de errores varias. También se garantiza de que  Android Automotive 12L es compatible con las pruebas CTS, CTS-Verifier y STS de Google, sin necesidad de cargar parches adicionales en el código de Android Open Source Project (AOSP).

¿Cuándo llegará Android Automotive 12L a los coches?

Como cada fabricante tiene la libertad de personalizar y adaptar el sistema de acuerdo a sus necedades, son ellos quienes una vez que se ha liberado la actualización por parte de Google los que deben implementarla en sus coches. Esto dependerá de cada compañías. Sin embargo, si tenemos en cuenta lo que señala Android Headlines, marcas como Volvo o Polestar "no han tardado demasiado".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

WhatsApp está trabajando en una nueva función de seguridad para evitar el cada vez más frecuente robo de cuentas. Se trata de un segundo código de verificación que la aplicación solicitará a la hora de registrar el número de teléfono en un nuevo dispositivo, según WABetaInfo.

Si bien actualmente la verificación en dos pasos es una función muy efectiva para evitar hackeos, son muchos los usuarios que no la han activado. Además, los ciberatacantes perfeccionan constantemente sus métodos de engaño, por lo que toda función de seguridad es bienvenida.

El segundo código de verificación

En el último tiempo ha proliferado un singular —y efectivo— modus operandi para robar cuentas de WhatsApp. Un atacante puede enviarte un mensaje pidiéndote un código de seis dígitos. Para convencerte que se lo des podría decirte que te lo ha enviado por error.

Si se lo das, estarías entregándole tu cuenta, ya que ese código no te lo ha enviado por error, sino que se trata de los seis dígitos para activar tu cuenta de WhatsApp en otro dispositivo. A partir de ese momento él podrá suplantar tu identidad para hacer otras estafas.


Esto es lo que quiere evitar WhatsApp con la adición de un segundo código de verificación. Si alguien cae en la trampa, el atacante no podrá activar la cuenta. Como se muestra en la imagen de arriba, necesitará un segundo código de verificación, el cuál será enviado al teléfono de la víctima.

Además, el mensaje con el segundo código de verificación alertará al propietario legítimo de la cuenta de WhatsApp que se ha intentado un inicio de sesión en otro dispositivo. De esta forma, la víctima estaría protegida al enterarse que han intentado hackearla y no entregaría el segundo código.

WABetaInfo explica que la función se encuentra actualmente en desarrollo. Se espera que primero llegue a las versiones beta de WhatsApp para iOS y Android, y posteriormente a las versiones finales de la aplicación. No obstante, todavía no sabemos cuándo sucederá.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un grupo de médicos logró reconstruir con éxito un oído humano, usando un implante impreso en 3D que aprovecha el tejido del paciente para generar una oreja que se pudiera trasplantar.

En un comunicado, la empresa 3DBio Therapeutics anunció que la operación se pudo realizar en una mujer que nació con una deformidad en su oreja, y que el trasplante forma parte de un primer ensayo clínico de la tecnología, sirviendo como hito para la ingeniería de los tejidos.

El estudio está probando la seguridad y eficacia preliminar de AuriNovo, en pacientes con microtia, una rara enfermedad congénita donde uno o ambos oídos externos están ausentes o subdesarrollados y que afecta a aproximadamente 1,500 bebés nacidos en Estados Unidos cada año.

Una opción más amigable y flexible

El implante AuriNovo está hecho de tejido vivo específico para el paciente, utilizando bioimpresión 3D para reconstruir el oído externo en personas que tengan microtia grados II al IV, y funciona como una alternativa de tratamiento a los injertos de cartílago de costilla y materiales sintéticos que se usan tradicionalmente para atender a este tipo de pacientes.

Según Arturo Bonilla, cirujano pediátrico reconstructivo del oído especializado en microtia y jefe del equipo encargado de la operación, el estudio permitirá investigar tanto la seguridad como las propiedades estéticas del nuevo procedimiento para la reconstrucción de la oreja usando células de cartílago del propio paciente.


Incluso Bonilla va más allá, pues considera que AuriNovo puede convertirse en el estándar para la atención que termine remplazando los métodos quirúrgicos actuales que usan cartílago costal o implantes de polietileno poroso. Este nuevo método también requiere una operación menos invasiva que la que usa cartílago del costado y puede resultar en orejas más flexibles que las de polietileno.

Así es el proceso de fabricación

Para este estudio solamente se consideró a pacientes para un implante auricular, es decir en quienes necesitaban reconstrucción de uno solo de sus oídos.

Tras escanear en 3D la oreja opuesta para que coincida con la geometría del la cara, AuriNovo incorpora las propias células de cartílago auricular del paciente para construir una oreja de tamaño completo, viva y bioimpresa.


Este implante utiliza un andamio de hidrogel de colágeno bioimpreso que encapsula las propias células de cartílago auricular del paciente, y se imprime en un tamaño y forma que coinciden con la oreja opuesta.

Se espera inscribir por lo pronto a 11 pacientes, llevándose a cabo en sitios de Los Ángeles, California y San Antonio Texas.

Las tecnologías adicionales y proyección a futuro

Además de ser capaces de hacer los implantes, la empresa también desarrolló un conjunto de procesos e ingeniería para respaldar su plataforma tecnológica, que cumple con los requisitos de la FDA para la fabricación terapéutica, con proceso celulares patentados para expandir las células en cantidad suficiente.


También se usa una tinta biológica de grado terapéutico ColVivo, que permite preservar las propiedades biológicas y reológicas clave, mientras que la bioimpresora 3D GMPrint ofrece un flujo de trabajo estéril, así como calidad y velocidades excepcionales, que se combina con la tecnología Overshell para agregar un soporte estructural no permanente a los implantes.

Además de este proyecto, la compañía también está trabajando con otros grupos de investigación en desarrollar pulmones impresos en 3D, así como vasos sanguíneos generados de la misma forma. Adicionalmente los directivos de 3DBio Therapeutics también consideran que su tecnología podría utilizarse para imprimir otras partes del cuerpo, como narices, manguitos rotadores o hasta órganos más complejos como hígados y riñones.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hace poco descubrimos que WhatsApp está trabajando en la opción que te permitirá editar mensajes que ya estén enviados (aunque aún no se sabe cuándo podría llegar ni si esa edición se permitirá eternamente o solo durante un periodo de tiempo, como sucede cuando hablamos de eliminar los mensajes en WhatsApp).

Ayer se ha conocido que también podríamos recuperar mensajes ya borrados. La función se asemeja bastante a la propuesta de Twitter de frenar el envío de un tuit, que dura un corto periodo de tiempo. Es decir, tienes muy pocos segundos para arrepentirte o para querer modificar.

Así es como funciona

Como se puede ver en las imágenes filtradas del desarrollo de esta función, después de borrar un mensaje tocando "eliminar para mí", WhatsApp presenta una barra de opciones en la parte inferior de la pantalla para anunciar que puedes deshacer el borrado si fue un error.

Cuando esta novedad sea lanzada, solo habrá unos segundos para deshacer el proceso, por lo que solo podrás recuperar inmediatamente el mensaje en un periodo muy corto de tiempo.


Esta función está en desarrollo y, como cualquier otra función de las que WhatsApp va desarrollando y que WaBetaInfo consigue filtrar (es el medio más fiable que existe cuando hablamos de estas filtraciones), no sabemos cuándo se lanzará.

Lo que WhatsApp permite hasta ahora para recuperar mensajes

Ahora hay una forma de recuperar los mensajes borrados de WhatsApp para poder leerlos incluso aunque la otra persona los haya eliminado de la conversación. WhatsApp no permite que esto sea posible, pero existen un par de métodos con los que puedes saltarte esta restricción y leer algunos de los mensajes.

Eso sí, es muy limitada: sólo puedes recuperar algunos mensajes borrados en unas circunstancias muy concretas, y en la mayoría de casos sólo puedes recuperar fragmentos.

Existe un método con el que puedes recuperar los mensajes que has recibido a través de WhatsApp en Android, y es a través de un Widget de los ajustes. Puede que en algunos móviles no funcione, dependerá de la capa de personalización.

Si tu móvil no tiene esta opción, también puedes descargarte apps de terceros para que hagan lo mismo, como WAMR o WhatsRemoved+. Pero ten en cuenta que el texto que guardes se limitará a 100 caracteres, y que le estarás dando el contenido de tus notificaciones a empresas de terceros, así como el nombre de tus contactos y sus números, o sea que siempre existe el riesgo de que se queden estos datos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El proveedor de redes privadas virtuales (VPN), ExpressVPN, anunció el jueves que eliminará los servidores VPN basados ​​en la India en respuesta a una nueva directiva de seguridad cibernética emitida por el Equipo de Respuesta a Emergencias Informáticas de la India (CERT-In).

"Tenga la seguridad de que nuestros usuarios aún podrán conectarse a servidores VPN que les darán direcciones IP indias y les permitirán acceder a Internet como si estuvieran ubicados en India", dijo la compañía . "Estos servidores 'virtuales' de India estarán ubicados físicamente en Singapur y el Reino Unido"

El desarrollo se produce cuando CERT-In ha aplicado nuevos requisitos de retención de datos controvertidos que entrarán en vigencia el 27 de junio de 2022 y obligan a los proveedores de servicios VPN a almacenar los nombres reales de los suscriptores, los detalles de contacto y las direcciones IP asignadas a ellos para al menos cinco años.

Los datos de los usuarios registrados, enfatizó CERT-In, solo se solicitarán para los fines de "respuesta a incidentes cibernéticos, acciones protectoras y preventivas relacionadas con incidentes cibernéticos".

Desde entonces, la agencia aclaró que esta regla no se aplica a las soluciones VPN corporativas y empresariales y solo está dirigida a aquellos operadores que brindan servicios similares a proxy a "suscriptores/usuarios generales de Internet".

"La nueva ley de datos [...], destinada a ayudar a combatir el delito cibernético, es incompatible con el propósito de las VPN, que están diseñadas para mantener privada la actividad en línea de los usuarios", dijo ExpressVPN. "La ley también se extralimita y es tan amplia que abre la ventana a posibles abusos".

Las reglas, denominadas Direcciones de seguridad cibernética, también obligan a las empresas a informar incidentes de fallas de seguridad, como violaciones de datos y ataques de ransomware, dentro de las seis horas posteriores a su notificación.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Dado que las infecciones de ransomware han evolucionado desde el cifrado puro de datos hasta esquemas como la extorsión doble y triple, es probable que un nuevo vector de ataque prepare el escenario para futuras campañas.

Llamado Ransomware para IoT o R4IoT por Forescout, es un "ransomware novedoso de prueba de concepto que explota un dispositivo IoT para obtener acceso y moverse lateralmente en una red de TI [tecnología de la información] e impactar la red OT [tecnología operativa]".

Este pivote potencial se basa en el rápido crecimiento en la cantidad de dispositivos IoT, así como en la convergencia de las redes de TI y OT en las organizaciones.

El objetivo final de R4IoT es aprovechar los dispositivos IoT expuestos y vulnerables, como las cámaras IP, para obtener un punto de apoyo inicial, seguido de la implementación de ransomware en la red de TI y el aprovechamiento de las malas prácticas de seguridad operativa para mantener como rehenes los procesos de misión crítica.

"Al comprometer los activos de IoT, TI y OT, R4IoT va más allá del cifrado habitual y la exfiltración de datos para causar la interrupción física de las operaciones comerciales", dijeron los investigadores, agregando así una capa adicional de extorsión a un ataque de ransomware tradicional.


Dicho de otra manera, R4IoT es un nuevo tipo de malware que reúne un punto de entrada de IoT y el movimiento lateral y el cifrado relacionados con el ransomware en una red de TI, lo que provoca un impacto extendido tanto en las redes de TI como en las de OT.

En un escenario hipotético, esto podría implicar comprometer una máquina en la red corporativa no solo para eliminar ransomware, sino también para recuperar cargas útiles adicionales de un servidor remoto para implementar mineros de criptomonedas y lanzar ataques de denegación de servicio (DoS) contra activos de OT.

Para mitigar tanto la probabilidad como el impacto de posibles incidentes de R4IoT, se recomienda a las organizaciones que identifiquen y apliquen parches a los dispositivos vulnerables, hagan cumplir la segmentación de la red, implementen políticas de contraseñas seguras y supervisen las conexiones HTTPS, las sesiones FTP y el tráfico de la red.

"El ransomware ha sido la amenaza más frecuente de los últimos años y, hasta ahora, ha aprovechado principalmente las vulnerabilidades en los equipos de TI tradicionales para paralizar a las organizaciones", concluyeron los investigadores.

"Pero las nuevas tendencias de conectividad han agregado una cantidad y una diversidad de dispositivos OT e IoT que han aumentado el riesgo en casi todos los negocios".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una operación policial internacional que involucró a 11 países culminó con el desmantelamiento de una notoria amenaza de malware móvil llamada FluBot .

"Este malware de Android se ha propagado agresivamente a través de SMS, robando contraseñas, datos bancarios en línea y otra información confidencial de los teléfonos inteligentes infectados en todo el mundo", dijo Europol en un comunicado.

La "investigación compleja" incluyó a autoridades de Australia, Bélgica, Finlandia, Hungría, Irlanda, Rumania, España, Suecia, Suiza, los Países Bajos y los EE. UU.

FluBot , también llamado Cabassous, surgió en la naturaleza en diciembre de 2020, enmascarando su intención insidiosa detrás de la apariencia de aplicaciones de seguimiento de paquetes aparentemente inocuas como FedEx, DHL y Correos.

Se propaga principalmente a través de mensajes de smishing (también conocido como phishing basado en SMS) que engañan a los destinatarios desprevenidos para que hagan clic en un enlace para descargar las aplicaciones con malware.


Una vez lanzada, la aplicación procedería a solicitar acceso al Servicio de Accesibilidad de Android para desviar sigilosamente las credenciales de la cuenta bancaria y otra información confidencial almacenada en las aplicaciones de criptomonedas.

Para empeorar las cosas, el malware aprovechó su acceso a los contactos almacenados en el dispositivo infectado para propagar aún más la infección mediante el envío de mensajes que contenían enlaces al malware FluBot.

Las campañas de FluBot, aunque principalmente son un malware de Android, también han evolucionado para dirigirse a los usuarios de iOS en los últimos meses, en los que los usuarios que intentan acceder a los enlaces infectados son redirigidos a sitios de phishing y estafas de suscripción.

"Esta infraestructura de FluBot ahora está bajo el control de las fuerzas del orden, lo que detiene la espiral destructiva", señaló la agencia, y agregó que la policía holandesa orquestó la incautación el mes pasado.

Según el informe de panorama de amenazas móviles de ThreatFabric para el primer semestre de 2022, FluBot fue el segundo troyano bancario más activo detrás de Hydra, representando el 20,9 % de las muestras observadas entre enero y mayo.


"ThreatFabric ha trabajado de cerca con las fuerzas del orden en el caso", dijo el fundador y director ejecutivo Han Sahin a The Hacker News.

"Es una gran victoria teniendo en cuenta que los actores de amenazas de FluBot tienen o tuvieron una de las estrategias más resistentes en lo que respecta a la distribución y el alojamiento de sus backends con DNS-tunneling a través de servicios públicos DNS-over-HTTPS . Esta resiliencia de back-end en C2 hosting y fronting es lo que hace que los esfuerzos de la unidad de crimen digital holandesa sean muy impresionantes".

La compañía holandesa de ciberseguridad también señaló que las muestras de malware únicas desarrolladas por los operadores de FluBot se detuvieron después del 19 de mayo, coincidiendo con el desmantelamiento, lo que ralentizó efectivamente sus "esfuerzos de desparasitación".

"El impacto general [del desmantelamiento] en el panorama de amenazas móviles es limitado, ya que FluBot no es el troyano bancario de Android más fuerte", agregó Sahin. "Exo, Anatsa, Gustuff, esos son un verdadero problema para cualquier usuario. El poder detrás de FluBot siempre ha sido [sus] números de infección".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se han descubierto hasta 47 337 complementos maliciosos en 24 931 sitios web únicos, de los cuales 3685 complementos se vendieron en mercados legítimos, lo que les generó a los atacantes $41 500 en ingresos ilegales.

Los hallazgos provienen de una nueva herramienta llamada YODA que tiene como objetivo detectar complementos de WordPress no autorizados y rastrear su origen, según un estudio de 8 años realizado por un grupo de investigadores del Instituto de Tecnología de Georgia.

"Los atacantes se hicieron pasar por autores de complementos benignos y propagaron malware mediante la distribución de complementos pirateados", dijeron los investigadores en un nuevo artículo titulado " Desconfía de los complementos que debes ".

"La cantidad de complementos maliciosos en los sitios web ha aumentado constantemente a lo largo de los años, y la actividad maliciosa alcanzó su punto máximo en marzo de 2020. Sorprendentemente, el 94% de los complementos maliciosos instalados durante esos 8 años todavía están activos hoy".

La investigación a gran escala implicó analizar los complementos de WordPress instalados en 410 122 servidores web únicos que se remontan a 2012, y descubrió que los complementos que costaron un total de $ 834 000 fueron infectados después de la implementación por parte de los actores de amenazas.

YODA puede integrarse directamente en un sitio web y un proveedor de alojamiento de servidor web, o implementarse mediante un mercado de complementos. Además de detectar complementos ocultos y manipulados con malware, el marco también se puede usar para identificar la procedencia de un complemento y su propiedad.


Lo logra mediante la realización de un análisis de los archivos de código del lado del servidor y los metadatos asociados (p. ej., comentarios) para detectar los complementos, seguido de un análisis sintáctico y semántico para señalar el comportamiento malicioso.

El modelo semántico da cuenta de una amplia gama de señales de alerta, incluido el shell web, la función para insertar nuevas publicaciones, la ejecución protegida con contraseña de código inyectado, el correo no deseado, la ofuscación de código, el apagón de SEO, el descargador de malware, la publicidad maliciosa y los mineros de criptomonedas.

Algunos de los hallazgos notables son los siguientes:

- 3.452 complementos disponibles en mercados de complementos legítimos facilitaron la inyección de spam
- 40 533 complementos se infectaron después de la implementación en 18 034 sitios web
- Los complementos anulados (los complementos o temas de WordPress que han sido manipulados para descargar código malicioso en los servidores) representaron 8525 del total de complementos maliciosos, con aproximadamente el 75 % de los complementos pirateados engañando a los desarrolladores con $228 000 en ingresos.

"Usando YODA, los propietarios de sitios web y los proveedores de alojamiento pueden identificar complementos maliciosos en el servidor web; los desarrolladores de complementos y los mercados pueden examinar sus complementos antes de distribuirlos", señalaron los investigadores.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hay un truco que permite a los atacantes secuestrar la cuenta de WhatsApp de la víctima y obtener acceso a los mensajes personales y la lista de contactos.

El método se basa en el servicio automatizado de los operadores móviles para desviar las llamadas a un número de teléfono diferente y en la opción de WhatsApp para enviar un código de verificación de contraseña de un solo uso (OTP) a través de una llamada de voz.

El truco del código MMI

Rahul Sasi, el fundador y CEO de la empresa de protección de riesgos digitales CloudSEK, publicó algunos detalles sobre el método diciendo que se usa para hackear la cuenta de WhatsApp.

BleepingComputer probó y descubrió que el método funciona, aunque con algunas advertencias que un atacante suficientemente hábil podría superar.

El atacante tarda solo unos minutos en apoderarse de la cuenta de WhatsApp de una víctima, pero necesita saber el número de teléfono del objetivo y estar preparado para hacer algo de ingeniería social.

Sasi dice que un atacante primero debe convencer a la víctima de que haga una llamada a un número que comience con un código de interfaz hombre-máquina (MMI) que el operador de telefonía móvil configuró para habilitar el desvío de llamadas.

Dependiendo del operador, un código MMI diferente puede desviar todas las llamadas a un terminal a un número diferente o solo cuando la línea está ocupada o no hay recepción.

Estos códigos comienzan con una estrella (*) o un símbolo de almohadilla (#). Se encuentran fácilmente y, según la investigación que hicimos, todos los principales operadores de redes móviles los admiten.

"Primero, recibes una llamada del atacante que te convencerá de hacer una llamada al siguiente número **67* o *405*. En unos minutos, su WhatsApp se desconectaría y los atacantes obtendrían el control total de su cuenta" - Rahul Sasi

El investigador explica que el número de 10 dígitos pertenece al atacante y el código MMI delante de él le dice al operador de telefonía móvil que reenvíe todas las llamadas al número de teléfono especificado después cuando la línea de la víctima está ocupada.

Una vez que engañó a la víctima para que desviara las llamadas a su número, el atacante inicia el proceso de registro de WhatsApp en su dispositivo, eligiendo la opción de recibir la OTP a través de una llamada de voz.


Después de obtener el código OTP, el atacante puede registrar la cuenta de WhatsApp de la víctima en su dispositivo y habilitar la autenticación de dos factores (2FA), lo que evita que los propietarios legítimos recuperen el acceso.

Algunas advertencias

Aunque el método parece simple, hacer que funcione requiere un poco más de esfuerzo, como descubrió BleepingComputer durante las pruebas.

En primer lugar, el atacante debe asegurarse de que utiliza un código MMI que reenvía todas las llamadas, independientemente del estado del dispositivo de la víctima (incondicionalmente). Por ejemplo, si el MMI solo reenvía llamadas cuando una línea está ocupada, la llamada en espera puede hacer que falle el secuestro.

Durante la prueba, BleepingComputer notó que el dispositivo de destino también recibió mensajes de texto que informaban que WhatsApp se estaba registrando en otro dispositivo.

Los usuarios pueden pasar por alto esta advertencia si el atacante también recurre a la ingeniería social e involucra al objetivo en una llamada telefónica el tiempo suficiente para recibir el código OTP de WhatsApp por voz.

Si el desvío de llamadas ya se activó en el dispositivo de la víctima, el atacante debe usar un número de teléfono diferente al que usó para la redirección, un pequeño inconveniente que podría requerir más ingeniería social.

La pista más clara de actividad sospechosa para el usuario objetivo ocurre después de que los operadores móviles activan el desvío de llamadas para su dispositivo, ya que la activación viene con una advertencia superpuesta en la pantalla que no desaparece hasta que el usuario la confirma.


Incluso con esta advertencia altamente visible, los actores de amenazas aún tienen buenas posibilidades de éxito porque la mayoría de los usuarios no están familiarizados con los códigos MMI o la configuración del teléfono móvil que desactiva el desvío de llamadas.

A pesar de estos obstáculos, los actores maliciosos con buenas habilidades de ingeniería social pueden idear un escenario que les permita mantener a la víctima ocupada en el teléfono hasta que obtengan el código OTP para registrar la cuenta de WhatsApp de la víctima en su dispositivo.

BleepingComputer probó este método utilizando los servicios móviles de Verizon y Vodafone y concluyó que un atacante con un escenario plausible probablemente secuestraría las cuentas de WhatsApp.

La publicación de Sasi se refiere a los operadores de telefonía móvil Airtel y Jio, cada uno con más de 400 millones de clientes a diciembre de 2020, según datos públicos.

Protegerse contra este tipo de ataques es tan fácil como activar la protección de autenticación de dos factores en WhatsApp. Esta función evita que los actores malintencionados obtengan el control de la cuenta al solicitar un PIN cada vez que registra un teléfono con la aplicación de mensajería.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ya está disponible un parche no oficial gratuito para bloquear los ataques en curso contra los sistemas Windows que tienen como objetivo una vulnerabilidad crítica de día cero conocida como 'Follina'.

El error, ahora rastreado como CVE-2022-30190  y descrito por Redmond como una falla de ejecución remota de código de la herramienta de diagnóstico de soporte de Microsoft Windows (MSDT), afecta a todas las versiones de Windows que aún reciben actualizaciones de seguridad (Windows 7+ y Server 2008+).

Los atacantes que explotan con éxito este día cero pueden ejecutar código arbitrario con los privilegios de la aplicación que llama para instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas de Windows según lo permitan los derechos del usuario.

Si bien Microsoft no ha emitido actualizaciones de seguridad para abordar este día cero explotado activamente, la compañía ha compartido medidas de mitigación para bloquear ataques al deshabilitar  el protocolo de URL de MSDT. actores malintencionados usan para ejecutar código en sistemas vulnerables.

Sería mejor desactivar el panel Vista previa en el Explorador de Windows para eliminarlo como un vector de ataque adicional explotable al obtener una vista previa de documentos maliciosos.

Asegure su sistema hasta que haya una solución oficial disponible

Aquí es donde entra en juego el servicio de microparches 0patch, con microparches gratuitos (y no oficiales) para algunas versiones de Windows  afectadas por el error de seguridad de Follina:

Windows 11 v21H2
Windows 10 (de v1803 a v21H2)
ventanas 7
Windows Server 2008 R2

En lugar de deshabilitar el controlador de protocolo de URL de MSDT (según lo recomendado por Microsoft), 0patch  agregó la desinfección  de la ruta proporcionada por el usuario (actualmente falta en el script de Windows) para evitar que la magia de diagnóstico de Windows no funcione en el sistema operativo para todas las aplicaciones.

"Tenga en cuenta que no importa qué versión de Office haya instalado, o si tiene instalado Office: la vulnerabilidad también podría explotarse a través de otros vectores de ataque", dijo el cofundador de 0patch, Mitja Kolsek  .

"Es por eso que también parcheamos Windows 7, donde el controlador de URL ms-msdt: no está registrado en absoluto".

Para implementar este microparche en su sistema Windows (gratis hasta que Microsoft haya emitido una solución oficial), debe  registrar una cuenta 0patch  e instalar el  agente 0patch .

Una vez que se inicia el agente, descargará y aplicará automáticamente el parche a menos que las políticas de seguridad locales lo impidan.


Explotado en ataques continuos

El lunes, la firma de seguridad empresarial Proofpoint reveló que el grupo de piratería TA413 vinculado a China vinculado a China  ahora está explotando esta vulnerabilidad en ataques contra su objetivo favorito, los disidentes de la diáspora tibetana.

El investigador de seguridad MalwareHunterTeam también detectó documentos maliciosos con nombres de archivo chinos que se utilizan para implementar  troyanos que roban contraseñas.  través de http://coolrat[.]xyz.

Sin embargo, los primeros ataques CVE-2022-30190 se detectaron hace más de un mes utilizando  amenazas de sextorsión  e  invitaciones a entrevistas de Sputnik Radio  como cebos, como una señal de que la falla fue y probablemente esté siendo explotada por otros actores de amenazas.

CISA también ha instado  los administradores y usuarios de Windows a desactivar el protocolo MSDT después de que Microsoft informara sobre la explotación activa de la vulnerabilidad en la naturaleza.

CrazymanArmy de Shadow Chaser Group , el investigador de seguridad que informó sobre el día cero en abril, dijo que Microsoft rechazó su presentación porque no se trata de un "problema relacionado con la seguridad ". Sin embargo, Redmond luego cerró el informe de presentación de vulnerabilidades con un impacto de ejecución remota de código .

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una botnet naciente basada en Linux llamada Enemybot ha ampliado sus capacidades para incluir vulnerabilidades de seguridad recientemente reveladas en su arsenal para apuntar a servidores web, dispositivos Android y sistemas de administración de contenido (CMS).

"El malware está adoptando rápidamente vulnerabilidades de un día como parte de sus capacidades de explotación", dijo AT&T Alien Labs en un artículo técnico publicado la semana pasada. "Se están apuntando a servicios como VMware Workspace ONE, Adobe ColdFusion, WordPress, PHP Scriptcase y más, así como a dispositivos IoT y Android".

Revelado por primera vez por Securonix en marzo y luego por Fortinet , Enemybot ha sido vinculado a un actor de amenazas rastreado como Keksec (también conocido como Kek Security, Necro y FreakOut), con ataques tempranos dirigidos a enrutadores de Seowon Intech, D-Link e iRZ.

Enemybot, que es capaz de llevar a cabo ataques DDoS , tiene sus orígenes en otras redes de bots como Mirai, Qbot, Zbot, Gafgyt y LolFMe. Un análisis de la última variante revela que se compone de cuatro componentes diferentes:

- Un módulo de Python para descargar dependencias y compilar el malware para diferentes arquitecturas de sistemas operativos
- La sección central de botnets
- Un segmento de ofuscación diseñado para codificar y decodificar las cadenas del malware, y
- Una funcionalidad de comando y control para recibir comandos de ataque y obtener cargas útiles adicionales

"En caso de que un dispositivo Android esté conectado a través de USB, o un emulador de Android ejecutándose en la máquina, EnemyBot intentará infectarlo ejecutando [un] comando de shell", dijeron los investigadores, señalando una nueva función "adb_infect". ADB se refiere a Android Debug Bridge , una utilidad de línea de comandos utilizada para comunicarse con un dispositivo Android.

También se incorpora una nueva función de escáner que está diseñada para buscar direcciones IP aleatorias asociadas con activos públicos en busca de posibles vulnerabilidades, al mismo tiempo que tiene en cuenta nuevos errores a los pocos días de su divulgación pública.



Además de las vulnerabilidades de Log4Shell que salieron a la luz en diciembre de 2021, esto incluye fallas recientemente parcheadas en los enrutadores Razer Sila (sin CVE), VMware Workspace ONE Access ( CVE-2022-22954 ) y F5 BIG-IP ( CVE-2022-1388 ) así como debilidades en complementos de WordPress como Video Synchro PDF.

Otras deficiencias de seguridad armadas están a continuación:

- CVE-2022-22947 (puntaje CVSS: 10.0): una vulnerabilidad de inyección de código en Spring Cloud Gateway
- CVE-2021-4039 (puntaje CVSS: 9.: una vulnerabilidad de inyección de comandos en la interfaz web de Zyxel
- CVE-2022-25075 (puntaje CVSS: 9.: una vulnerabilidad de inyección de comando en el enrutador inalámbrico TOTOLink A3000RU
- CVE-2021-36356 (puntaje CVSS: 9.: una vulnerabilidad de ejecución remota de código en KRAMER VIAware
- CVE-2021-35064 (puntaje CVSS: 9.: una vulnerabilidad de escalada de privilegios y ejecución de comandos en Kramer VIAWare
- CVE-2020-7961 (puntuación CVSS: 9,8): una vulnerabilidad de ejecución remota de código en Liferay Portal

Además, el código fuente de la botnet se ha compartido en GitHub, lo que lo hace ampliamente disponible para otros actores de amenazas. "No asumo ninguna responsabilidad por los daños causados ​​por este programa", dice el archivo LÉAME del proyecto . "Esto se publica bajo licencia Apache y también se considera arte".

"Enemybot de Keksec parece estar comenzando a propagarse, sin embargo, debido a las rápidas actualizaciones de los autores, esta botnet tiene el potencial de convertirse en una gran amenaza para los dispositivos IoT y los servidores web", dijeron los investigadores.

"Esto indica que el grupo Keksec cuenta con buenos recursos y que ha desarrollado el malware para aprovechar las vulnerabilidades antes de que se parcheen, aumentando así la velocidad y la escala a la que se puede propagar".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de seguridad cibernética han revelado una nueva variedad de ransomware llamada GoodWill que obliga a las víctimas a donar para causas sociales y brindar asistencia financiera a las personas necesitadas.

"El grupo de ransomware propaga demandas muy inusuales a cambio de la clave de descifrado", dijeron investigadores de CloudSEK en un informe publicado la semana pasada. "El grupo tipo Robin Hood dice estar interesado en ayudar a los menos afortunados, en lugar de extorsionar a las víctimas por motivos económicos".

Escrito en .NET, el ransomware fue identificado por primera vez por la firma de ciberseguridad con sede en India en marzo de 2022, y las infecciones hicieron que los archivos confidenciales fueran inaccesibles sin descifrarlos. El malware, que utiliza el algoritmo AES para el cifrado, también se destaca por dormir durante 722,45 segundos para interferir con el análisis dinámico.

El proceso de cifrado es seguido por la visualización de una nota de rescate de varias páginas que requiere que las víctimas lleven a cabo tres actividades sociales para poder obtener el kit de descifrado.


Esto incluye donar ropa y mantas nuevas a las personas sin hogar, llevar a cinco niños desfavorecidos a Domino's Pizza, Pizza Hut o KFC para recibir un regalo y ofrecer apoyo financiero a los pacientes que necesitan atención médica urgente pero que no tienen los medios económicos para hacerlo. asi que.

Además, se les pide a las víctimas que registren las actividades en forma de capturas de pantalla y selfies y las publiquen como evidencia en sus cuentas de redes sociales.

"Una vez que se completan las tres actividades, las víctimas también deben escribir una nota en las redes sociales (Facebook o Instagram) sobre 'Cómo te transformaste en un ser humano amable al convertirte en víctima de un ransomware llamado GoodWill'", dijeron los investigadores.

No hay víctimas conocidas de GoodWill y sus tácticas, técnicas y procedimientos (TTP) exactos utilizados para facilitar los ataques aún no están claros.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de seguridad han descubierto una nueva vulnerabilidad de día cero de Microsoft Office que se está utilizando en ataques para ejecutar comandos maliciosos de PowerShell a través de la herramienta de diagnóstico de Microsoft (MSDT) simplemente abriendo un documento de Word.

La vulnerabilidad, que aún no ha recibido un número de seguimiento y la comunidad de seguridad de la información la denomina 'Follina', se aprovecha mediante documentos de Word maliciosos que ejecutan comandos de PowerShell a través de MSDT.

Este nuevo día cero de Follina abre la puerta a un nuevo vector de ataque crítico que aprovecha los programas de Microsoft Office, ya que funciona sin privilegios elevados, evita la detección de Windows Defender y no necesita código de macro para habilitarse para ejecutar archivos binarios o scripts.

Microsoft Office día cero encontrado por accidente

El viernes pasado, el investigador de seguridad nao_sec encontró un documento de Word malicioso enviado a la plataforma de escaneo Virus Total desde una dirección IP en Bielorrusia.

"Estaba buscando archivos en VirusTotal que explotaban CVE-2021-40444. Luego encontré un archivo que abusa del esquema ms-msdt", dijo nao_sec a BleepingComputer en una conversación.

"Utiliza el enlace externo de Word para cargar el HTML y luego usa el esquema 'ms-msdt' para ejecutar el código de PowerShell", agregó el investigador en un tweet, publicando una captura de pantalla del código ofuscado a continuación:


El investigador de seguridad Kevin Beaumont descifró el código y explica en una publicación de blog que es una cadena de línea de comando que Microsoft Word ejecuta usando MSDT, incluso si los scripts de macro están deshabilitados.


El script de PowerShell anterior extraerá un archivo codificado en Base64 de un archivo RAR y lo ejecutará. Este archivo ya no está disponible, por lo que no está claro qué actividad maliciosa realizó el ataque.

Beaumont aclara las cosas diciendo que el documento de Word malicioso usa la función de plantilla remota para obtener un archivo HTML de un servidor remoto.

Luego, el código HTML usa el esquema de protocolo URI MS-MSDT de Microsoft para cargar código adicional y ejecutar el código de PowerShell.

El investigador agrega que la función Vista protegida en Microsoft Office, diseñada para alertar sobre archivos de ubicaciones potencialmente inseguras, se activa para advertir a los usuarios sobre la posibilidad de un documento malicioso.

Sin embargo, esta advertencia se puede omitir fácilmente cambiando el documento a un archivo de formato de texto enriquecido (RTF). Al hacerlo, el código ofuscado puede ejecutarse "sin siquiera abrir el documento (a través de la pestaña de vista previa en Explorer)".

Los investigadores reproducen el día cero

Múltiples investigadores de seguridad analizaron el documento malicioso compartido por nao_sec y reprodujeron con éxito el exploit con múltiples versiones de Microsoft Office.

En el momento de escribir este artículo, los investigadores han confirmado que la vulnerabilidad existe en Office 2013, 2016, Office Pro Plus desde abril (en Windows 11 con actualizaciones de mayo) y una versión parcheada de Office 2021:


Hoy, en un análisis separado, los investigadores de la empresa de servicios de ciberseguridad Huntress analizaron el exploit y brindaron más detalles técnicos sobre cómo funciona.

Descubrieron que el documento HTML que ponía las cosas en movimiento provenía de "xmlformats[.]com", un dominio que ya no se carga.

Huntress confirmó el hallazgo de Beaumont de que un documento RTF entregaría la carga útil sin ninguna interacción por parte del usuario (aparte de seleccionarlo), por lo que comúnmente se conoce como "explotación sin clic".


Los investigadores dicen que, dependiendo de la carga útil, un atacante podría usar este exploit para llegar a ubicaciones remotas en la red de la víctima.

Esto permitiría a un atacante recopilar hashes de las contraseñas de la máquina Windows de la víctima que son útiles para actividades posteriores a la explotación.


La detección podría ser difícil

Beaumont advierte que la detección de este nuevo método de explotación "probablemente no será muy buena", argumentando que el código malicioso se carga desde una plantilla remota, por lo que el documento de Word que contiene no se marcará como una amenaza, ya que no incluye códigos maliciosos. código, solo una referencia a él.

Para detectar un ataque a través de este vector, Huntress apunta a monitorear los procesos en el sistema porque la carga útil de Follina crea un proceso secundario de 'msdt.exe' bajo el padre infractor de Microsoft Office.


Para las organizaciones que confían en las reglas de reducción de la superficie de ataque (ASR) de Microsoft Defender, Huntress recomienda activar " Bloquear todas las aplicaciones de Office para que no creen procesos secundarios " en el modo Bloquear, lo que evitaría las vulnerabilidades de Follina.

Se recomienda ejecutar la regla en modo Auditoría primero y monitorear los resultados antes de usar ASR, para asegurarse de que los usuarios finales no experimenten efectos adversos.

Otra mitigación, de Didier Stevens , sería eliminar la asociación de tipo de archivo para ms-msdt para que Microsoft Office no pueda invocar la herramienta al abrir un documento de Folina malicioso.

Reportado a Microsoft en abril

Los investigadores de seguridad dicen que la vulnerabilidad de Follina parece haber sido descubierta e informada a Microsoft desde abril.

Según las capturas de pantalla publicadas por un miembro de Shadow Chaser Group , una asociación de estudiantes universitarios centrada en cazar y analizar amenazas persistentes avanzadas (APT), Microsoft fue informado de la vulnerabilidad, pero la descartó como "un problema no relacionado con la seguridad".

El argumento de Microsoft para esto fue que, si bien 'msdt.exe' se ejecutó, necesitaba un código de acceso al iniciarse y la empresa no pudo replicar el exploit.


Sin embargo, el 12 de abril, Microsoft cerró el informe de envío de vulnerabilidades (registrado como VULN-065524) y lo clasificó como "Este problema se solucionó", con un impacto en la seguridad de ejecución remota de código.


BleepingComputer se comunicó con Microsoft para obtener más detalles sobre la vulnerabilidad 'Follina', preguntando por qué no se consideró un riesgo de seguridad y si planean solucionarlo.

Actualizaremos el artículo cuando la empresa proporcione una declaración.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google ha prohibido silenciosamente los proyectos deepfake en su servicio Colaboratory (Colab), poniendo fin a la utilización a gran escala de los recursos de la plataforma para este propósito.

Colab es un recurso informático en línea que permite a los investigadores ejecutar código Python directamente a través del navegador mientras utilizan recursos informáticos gratuitos, incluidas las GPU, para potenciar sus proyectos.

Debido a la naturaleza multinúcleo de las GPU, Colab es ideal para entrenar proyectos de aprendizaje automático como  modelos deepfake  o para realizar análisis de datos.

Se puede entrenar a los deepfakes para que intercambien rostros en los videoclips, agregando expresiones faciales realistas para que el resultado parezca genuino, aunque sea falso.

Se han utilizado para difundir noticias falsas, crear porno de venganza o por diversión. Sin embargo, la falta de limitaciones éticas en su uso ha sido motivo de controversia y preocupación.

Prohibición de deepfakes

Según  los datos históricos de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login , la prohibición tuvo lugar a principios de este mes, y Google Research  agregó silenciosamente falsificaciones profundas  a la lista de proyectos no permitidos.

Como señaló  en Discord el  desarrollador de DFL ' chervonij ', aquellos que intentan entrenar deepfakes en la plataforma Colab en este momento reciben el siguiente error:

"Es posible que esté ejecutando un código que no está permitido y esto puede restringir su capacidad para usar Colab en el futuro. Tenga en cuenta las acciones prohibidas especificadas en nuestras preguntas frecuentes".

Se espera que el impacto de esta nueva restricción sea de gran alcance en el mundo de las falsificaciones profundas, ya que muchos usuarios utilizan  modelos previamente entrenados  con Colab para impulsar sus proyectos de alta resolución.

Colab estaba haciendo que este proceso fuera muy fácil incluso para aquellos que no tenían experiencia en codificación, razón por la cual tantos  tutoriales  sugieren la plataforma de "recursos gratuitos" de Google para lanzar proyectos falsos.

Abuso de recursos

No se sabe si Google implementó la política debido a preocupaciones éticas o al abuso desenfrenado de los recursos informáticos gratuitos utilizados por estos proyectos.

Colab está destinado a ser utilizado por investigadores que necesitan energía que cuesta varios miles de dólares para ayudarlos a alcanzar objetivos científicos. Eso es especialmente crítico en tiempos de escasez de GPU.

En cambio, hay informes de que algunos usuarios están explotando el nivel gratuito de la plataforma para crear modelos falsos profundos a escala. Esto capturó una cantidad significativa de los recursos disponibles de Colab durante períodos prolongados.

La lista completa de proyectos no permitidos se enumeran a continuación:

- alojamiento de archivos, servicio de medios u otras ofertas de servicios web no relacionadas con la informática interactiva con Colab
- descargar torrents o participar en el intercambio de archivos entre pares
usando un escritorio remoto o SSH
- conectarse a proxies remotos
- minería de criptomonedas
- ejecutar ataques de denegación de servicio
- descifrado de contraseñas
- usar varias cuentas para sortear las restricciones de acceso o uso de recursos
- creando falsificaciones profundas

Todos los proyectos rechazados están lejos de ser elegibles para la investigación científica regular.

Si bien algunos proyectos podrían encajar en ese contexto, parece que Google ha detectado casos mucho más abusivos que legítimos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Después de dos meses de desarrollo se dio a conocer el lanzamiento de la nueva versión de la implementación de la API OpenGL y Vulkan, «Mesa 22.1.0». Como siempre, la primera versión de la rama Mesa tiene un estado experimental, por lo que después de la estabilización final del código, se lanzará una versión estable 22.1.1.

En Mesa 22.1, la compatibilidad con la API de gráficos Vulkan 1.3 está disponible en los controladores anv para GPU Intel, radv para GPU AMD y el rasterizador de software Lavapipe. Vulkan 1.2 es compatible con el modo de emulador (vn), Vulkan 1.1 en el controlador de GPU Qualcomm (tu) y Vulkan 1.0 en el controlador de GPU Broadcom VideoCore VI (Raspberry Pi 4)

Principales novedades de Mesa 22.1.0

En esta nueva versión que se presenta, el controlador ANV Vulkan (Intel) y el controlador Iris OpenGL son compatibles con las tarjetas gráficas discretas Intel DG2 (Arc Alchemist) y Arctic Sound-M, mientras que el controlador D3D12, con la capa OpenGL sobre la API de DirectX 12 (D3D12), es compatible con OpenGL 4.2. El controlador se usa en la capa WSL2 para ejecutar aplicaciones gráficas de Linux en Windows.

Tambien se destaca el controlador de lavapipe con una implementación de rasterizador de software para la API de Vulkan (similar a llvmpipe, pero para Vulkan, que traduce las llamadas de la API de Vulkan a la API de Gallium) ahora es compatible con Vulkan 1.3.

El controlador Nouveau para las GPU GeForce 6/7/8 anteriores se convirtió para usar la representación intermedia (IR) sin tipo de los sombreadores NIR . El soporte NIR también permite obtener soporte de representación intermedia TGSI (Tungsten Graphics Shader Infrastructure) al habilitar una capa para traducir NIR a TGSI.

El controlador v3d OpenGL desarrollado para el acelerador de gráficos VideoCore VI utilizado desde el modelo Raspberry Pi 4 implementa compatibilidad con el almacenamiento en caché de sombreadores en el disco.

Para las GPU AMD equipadas con el motor de video VCN 2.0, se implementó la compatibilidad con EFC (Conversión de formato de codificador), que permite usar un codificador de video de hardware para leer directamente superficies RGB sin conversiones RGB-> YUV realizadas por sombreadores.

Se agregó soporte para la capa ANGLE, que traduce las llamadas de OpenGL ES a OpenGL, Direct3D 9/11, Desktop GL y Vulkan, al controlador Venus con una implementación de GPU virtual (virtio-gpu) basada en la API de Vulkan.

De los demás cambios que se destacan de esta nueva versión:

- Se agregó soporte para la extensión OpenGL GL_NV_pack_subimage de NVIDIA para actualizar rectángulos en la memoria del host usando framebuffer o datos de textura.
- Se agregó soporte para extensiones de controladores RADV (AMD), ANV (Intel) y lavapipe Vulkan
- Se agregó compatibilidad con las GPU AMD GFX1036 y GFX1037.
- El controlador Crocus, desarrollado para GPU Intel más antiguas basadas en microarquitecturas Gen4-Gen7 que no son compatibles con el controlador Iris, incluye un perfil de compatibilidad con versiones anteriores de OpenGL.
- El controlador PanVk, que brinda soporte para la API de gráficos Vulkan para GPU ARM Mali Midgard y Bifrost, ha comenzado a trabajar en el soporte de sombreado de cómputo.
- El controlador RADV (AMD) implementó la eliminación de rayos primitivos, lo que mejoró la compatibilidad con el trazado de rayos para juegos como DOOM Eternal.
- Se propone una implementación inicial del controlador GPU Vulkan basado en la arquitectura PowerVR Rogue desarrollada por Imagination.
- El paquete incluye un compilador OpenCL compacto propuesto por Intel y utilizado en el trazado de rayos.

Finalmente si estás interesado en conocer más al respecto sobre esta nueva versión de los controladores Mesa, puedes consultar los detalles en su sitio oficial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El estado federal austriaco de Carintia ha sido golpeado por la pandilla de ransomware BlackCat, también conocida como ALPHV, que exigió $ 5 millones para desbloquear los sistemas informáticos encriptados.

El ataque ocurrió el martes y ha causado una grave interrupción operativa de los servicios gubernamentales, ya que el actor de amenazas supuestamente bloqueó miles de estaciones de trabajo.

El sitio web y el servicio de correo electrónico de Carintia están actualmente fuera de línea y la administración no puede emitir nuevos pasaportes ni multas de tránsito.

Además, el ataque cibernético también interrumpió el procesamiento de pruebas de COVID-19 y el rastreo de contactos realizado a través de las oficinas administrativas de la región.

Los piratas informáticos se ofrecieron a proporcionar una herramienta de descifrado en funcionamiento por $ 5 millones. Sin embargo, un portavoz del estado, Gerd Kurath, dijo a Euractiv que las demandas del atacante no se cumplirán.

El representante de prensa dijo además que actualmente no hay evidencia de que BlackCat realmente haya logrado robar datos de los sistemas del estado y que el plan es restaurar las máquinas a partir de las copias de seguridad disponibles.

Kurath dijo que de los 3.000 sistemas afectados, se espera que los primeros vuelvan a estar disponibles hoy.

Al momento de escribir este artículo, el sitio de fuga de datos de BlackCat, donde los piratas informáticos publican archivos robados a las víctimas que no pagaron un rescate, no muestra ningún dato de Carintia. Esto puede indicar un ataque reciente o que las negociaciones con la víctima no se han completado.


ALPHV/BlackCat

La banda de ransomware ALPHV/BlackCat surgió en noviembre de 2021 como una de las operaciones de ransomware más sofisticadas. Son un cambio de marca de la pandilla DarkSide/BlackMatter responsable del ataque al Oleoducto Colonial el año pasado.

A principios de 2022, los afiliados de BlackCat atacaron a entidades y marcas de alto perfil como el grupo de moda Moncler y el proveedor de servicios de manejo de carga de la aerolínea Swissport .

Al final del primer trimestre del año en curso, el FBI publicó un aviso advirtiendo que BlackCat había violado al menos 60 entidades en todo el mundo , asumiendo el estado que se esperaba que alcanzara como uno de los proyectos de ransomware más activos y peligrosos que existen.

El ataque a Carinthia y las grandes demandas de rescate muestran que el actor de amenazas se enfoca en organizaciones que pueden pagar mucho dinero para descifrar sus sistemas y evitar pérdidas financieras adicionales como resultado de una interrupción operativa prolongada.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores han demostrado lo que llaman el "primer ataque activo sin contacto contra pantallas táctiles capacitivas".

GhostTouch , como se le llama, "utiliza interferencia electromagnética (EMI) para inyectar puntos de contacto falsos en una pantalla táctil sin necesidad de tocarla físicamente", dijo un grupo de académicos de la Universidad de Zhejiang y la Universidad Técnica de Darmstadt en un nuevo artículo de investigación.

La idea central es aprovechar las señales electromagnéticas para ejecutar eventos táctiles básicos, como toques y deslizamientos en ubicaciones específicas de la pantalla táctil con el objetivo de tomar el control remoto y manipular el dispositivo subyacente.

El ataque, que funciona desde una distancia de hasta 40 mm, depende del hecho de que las pantallas táctiles capacitivas son sensibles a EMI, aprovechándolo para inyectar señales electromagnéticas en electrodos transparentes integrados en la pantalla táctil para registrarlos como eventos táctiles.

La configuración experimental involucra una pistola electrostática para generar una fuerte señal de pulso que luego se envía a una antena para transmitir un campo electromagnético a la pantalla táctil del teléfono, lo que hace que los electrodos, que actúan como antenas, capten la EMI.


Esto se puede ajustar aún más modificando la señal y la antena para inducir una variedad de comportamientos táctiles, como mantener presionado y deslizar para seleccionar, según el modelo de dispositivo objetivo.

En un escenario del mundo real, esto podría desarrollarse de diferentes maneras, incluido deslizar hacia arriba para desbloquear un teléfono, conectarse a una red Wi-Fi no autorizada, hacer clic sigilosamente en un enlace malicioso que contiene malware e incluso responder una llamada telefónica en el teléfono de la víctima. beneficio.


"En lugares como un café, una biblioteca, una sala de reuniones o vestíbulos de conferencias, las personas pueden colocar su teléfono inteligente boca abajo sobre la mesa", dijeron los investigadores. "Un atacante puede incrustar el equipo de ataque debajo de la mesa y lanzar ataques de forma remota".

Se han encontrado hasta nueve modelos diferentes de teléfonos inteligentes vulnerables a GhostTouch, incluidos Galaxy A10s, Huawei P30 Lite, Honor View 10, Galaxy S20 FE 5G, Nexus 5X, Redmi Note 9S, Nokia 7.2, Redmi 8 y un iPhone SE (2020). ), el último de los cuales se utilizó para establecer una conexión Bluetooth maliciosa.

Para contrarrestar la amenaza, los investigadores recomiendan agregar blindaje electromagnético para bloquear EMI, mejorar el algoritmo de detección de la pantalla táctil e instar a los usuarios a ingresar el PIN del teléfono o verificar sus rostros o huellas dactilares antes de ejecutar acciones de alto riesgo.

"GhostTouch controla y da forma a la señal electromagnética de campo cercano e inyecta eventos táctiles en el área objetivo de la pantalla táctil, sin necesidad de contacto físico o acceso al dispositivo de la víctima", dijeron los investigadores.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login