GitHub reveló hoy que un atacante está utilizando tokens de usuario de OAuth robados (emitidos a Heroku y Travis-CI) para descargar datos de repositorios privados.

Desde que esta campaña se detectó por primera vez el 12 de abril de 2022, el actor de amenazas ya accedió y robó datos de docenas de organizaciones víctimas que utilizan las aplicaciones OAuth mantenidas por Heroku y Travis-CI, incluido npm.

"Las aplicaciones mantenidas por estos integradores fueron utilizadas por los usuarios de GitHub, incluido el propio GitHub", reveló hoy Mike Hanley, director de seguridad (CSO) de GitHub.

"No creemos que el atacante haya obtenido estos tokens a través de un compromiso de GitHub o sus sistemas, porque GitHub no almacena los tokens en cuestión en sus formatos originales utilizables.

"Nuestro análisis de otro comportamiento por parte del actor de amenazas sugiere que los actores pueden estar extrayendo los contenidos del repositorio privado descargado, al que tenía acceso el token OAuth robado, en busca de secretos que podrían usarse para pasar a otra infraestructura".

Según Hanley, la lista de aplicaciones OAuth afectadas incluye:

Tablero de Heroku (ID: 145909)
Tablero de Heroku (ID: 628778)
Tablero de Heroku – Vista previa (ID: 313468)
Tablero Heroku – Clásico (ID: 363831)
Travis CI (Número de identificación: 9216)

GitHub Security identificó el acceso no autorizado a la infraestructura de producción npm de GitHub el 12 de abril después de que el atacante usó una clave API de AWS comprometida.

El atacante probablemente obtuvo la clave API después de descargar varios repositorios privados de npm utilizando tokens de OAuth robados.

"Al descubrir el robo más amplio de tokens OAuth de terceros no almacenados por GitHub o npm en la noche del 13 de abril, inmediatamente tomamos medidas para proteger a GitHub y npm al revocar los tokens asociados con GitHub y el uso interno de npm de estas aplicaciones comprometidas". añadió Hanley.

El impacto en la organización de npm incluye el acceso no autorizado a los repositorios privados de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y el "acceso potencial" a los paquetes de npm en el almacenamiento de AWS S3.


Los repositorios privados de GitHub no se ven afectados

Si bien el atacante pudo robar datos de los repositorios comprometidos, GitHub cree que ninguno de los paquetes se modificó y no se accedió a los datos o credenciales de la cuenta de usuario en el incidente.

"npm usa una infraestructura completamente separada de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login; GitHub no se vio afectado en este ataque original", dijo Hanley.

"Aunque la investigación continúa, no hemos encontrado evidencia de que el atacante haya clonado otros repositorios privados propiedad de GitHub utilizando tokens OAuth de terceros robados".

GitHub está trabajando para notificar a todos los usuarios y organizaciones afectados a medida que se identifican con información adicional.

Debe revisar los registros de auditoría de su organización y los  registros de seguridad de la cuenta de usuario para detectar posibles actividades maliciosas anómalas.

Puede encontrar más información sobre cómo respondió GitHub para proteger a sus usuarios y qué deben saber los clientes y las organizaciones en la alerta de seguridad publicada el viernes.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los piratas informáticos están atrayendo a los usuarios desprevenidos con una actualización falsa de Windows 11 que viene con malware que roba datos del navegador y billeteras de criptomonedas.

La campaña está actualmente activa y se basa en envenenar los resultados de búsqueda para impulsar un sitio web que imita la página promocional de Microsoft para Windows 11, para ofrecer al ladrón de información.

Microsoft ofrece una herramienta de actualización para que los usuarios verifiquen si su máquina es compatible con el último sistema operativo (SO) de la empresa. Un requisito es la compatibilidad con Trusted Platform Module (TPM) versión 2.0, que está presente en máquinas que no tienen más de cuatro años.

Los piratas informáticos se aprovechan de los usuarios que se apresuran a instalar Windows 11 sin dedicar tiempo a aprender que el sistema operativo debe cumplir con ciertas especificaciones.

El sitio web malicioso que ofrece el falso Windows 11 todavía está activo en el momento de escribir este artículo. Cuenta con los logotipos oficiales de Microsoft, favicons y un atractivo botón "Descargar ahora"


Si el visitante carga el sitio web malicioso a través de una conexión directa (la descarga no está disponible a través de TOR o VPN), obtendrá un archivo ISO que protege el ejecutable de un nuevo malware que roba información.

Los investigadores de amenazas de CloudSEK analizaron el malware y compartieron un informe técnico exclusivamente con BleepingComputer.

Proceso de infección

Según CloudSEK, los actores de amenazas detrás de esta campaña están utilizando un nuevo malware que los investigadores llamaron "Inno Stealer" debido a su uso del instalador de Windows Inno Setup.

Los investigadores dicen que Inno Stealer no tiene similitudes de código con otros ladrones de información actualmente en circulación y no han encontrado evidencia de que el malware se haya cargado en la plataforma de escaneo Virus Total.

El archivo del cargador (basado en Delphi) es el ejecutable de "instalación de Windows 11" contenido en la ISO que, cuando se inicia, descarga un archivo temporal llamado is-PN131.tmp  y crea otro archivo .TMP donde el cargador escribe 3078 KB de datos. .

CloudSEK explica que el cargador genera un nuevo proceso utilizando la  API de Windows CreateProcess que ayuda a generar nuevos procesos, establecer la persistencia y plantar cuatro archivos.

La persistencia se logra agregando un archivo .LNK (acceso directo) en el directorio de inicio y usando icacls.exe para configurar sus permisos de acceso para sigilo.


Dos de los cuatro archivos eliminados son secuencias de comandos de Windows para deshabilitar la seguridad del Registro, agregar excepciones de Defender, desinstalar productos de seguridad y eliminar el volumen oculto.

Según los investigadores, el malware también elimina las soluciones de seguridad de Emsisoft y ESET, probablemente porque estos productos lo detectan como malicioso.

El tercer archivo es una utilidad de ejecución de comandos que se ejecuta con los privilegios más altos del sistema; y el cuarto es un script VBA necesario para ejecutar dfl.cmd .

En la segunda etapa de la infección, se coloca un archivo con la extensión .SCR en el directorio C:\Users\\AppData\Roaming\Windows11InstallationAssistant del sistema comprometido.

Ese archivo es el agente que desempaqueta la carga útil del ladrón de información y la ejecuta generando un nuevo proceso llamado "Windows11InstallationAssistant.scr", igual que él mismo.


Capacidades de Inno Stealer

Las capacidades de Inno Stealer son típicas para este tipo de malware, incluida la recopilación de cookies del navegador web y credenciales almacenadas, datos en billeteras de criptomonedas y datos del sistema de archivos.

El conjunto de navegadores específicos y monederos criptográficos es extenso, incluidos Chrome, Edge, Brave, Opera, Vivaldi, 360 Browser y Comodo.



Una característica interesante de Inno Stealer es que la gestión de la red y las funciones de robo de datos son de subprocesos múltiples.

Todos los datos robados se copian a través de un comando de PowerShell al directorio temporal del usuario, se cifran y luego se envían al servidor de comando y control del operador ("windows-server031.com").


El ladrón también puede obtener cargas útiles adicionales, una acción que solo se realiza durante la noche, posiblemente para aprovechar un período en el que la víctima no está en la computadora.

Estas cargas útiles adicionales de Delphi, que toman la forma de archivos TXT, emplean el mismo cargador basado en Inno que juega con las herramientas de seguridad del host y usan el mismo mecanismo de establecimiento de persistencia.

Sus capacidades adicionales incluyen el robo de información del portapapeles y la filtración de datos de enumeración de directorios.

Consejos de seguridad

Toda la situación de actualización de Windows 11 ha creado un terreno fértil para la proliferación de estas campañas, y esta no es la primera vez que se informa algo así.

Se recomienda evitar la descarga de archivos ISO de fuentes oscuras y solo realizar actualizaciones importantes del sistema operativo desde el panel de control de Windows 10 u obtener los archivos de instalación directamente desde la fuente .

Si una actualización a Windows 11 no está disponible para usted, no tiene sentido intentar eludir las restricciones manualmente, ya que esto conllevará una serie de inconvenientes y graves riesgos de seguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Elon Musk quiere comprar Twitter, y ya hizo una cuantiosa oferta de 43 mil millones de dólares. Sin embargo, la junta directiva quiere evitar a toda costa esta compra y ahora han anunciado el plan para bloquear la oferta.

En un comunicado, la junta directiva de Twitter anunció que ha emitido un nuevo Plan de Derechos de Accionistas. Conocido en las finanzas como plan "píldora venenosa", bloquea las adquisiciones hostiles de entidades, personas o grupos, otorgando a los accionistas el derecho de comprar más acciones con descuento. Evidentemente este movimiento no permite al accionista que intenta la adquisición comprar más acciones, es decir, Musk.

El Plan de Derechos de Twitter estará activo un año, con fecha de vigencia el 14 de abril de 2023.

Este plan, nota The Verge, sugiere que la junta directiva de Twitter quiere evitar a toda costa la adquisición por parte de Musk, como de hecho ya se había reportado. En contraste, el CEO Parag Agrawal dijo a los empleados de la compañía que aún se estaba analizando la oferta.

En un tuit, Musk dijo que sería "totalmente indefendible" no someter la oferta al voto de los accionistas, pues representa un precio de 54.20 dólares por acción, uno que en palabras de Musk "a los accionistas les encantará". Sin embargo, es la junta directiva la que está aplicando el plan para evitar esta toma de posesión hostil.


En el mismo documento Musk dijo que si su oferta es rechazada, consideraría deshacerse de sus acciones, un movimiento que podría afectar considerablemente el precio general de las acciones.

Por ahora no hay más detalles sobre los próximos movimientos de Musk y la junta directiva de Twitter, pero los siguientes días serán decisivos para Twitter. Lo que comenzó la semana pasada como Musk convirtiéndose en el accionista mayoritario y su consecuente acceso a la junta directiva, terminó en rechazo a ese lugar y una cuantiosa oferta que decidirá el futuro de Twitter, ya sea con un nuevo dueño o con un accionista menos.

Foto por Jeremy Bezanger en Unsplash
Fuente:  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Necesitamos ordenadores cuánticos con millones de cúbits. Los prototipos más avanzados que tenemos actualmente integran poco más de cien cúbits, y es un gran logro, pero si queremos utilizarlos para resolver problemas realmente significativos necesitamos que sean capaces de corregir sus propios errores. Y para lograrlo es crucial que incorporen muchísimos más cúbits que los ordenadores cuánticos actuales.

Durante la conversación que mantuvimos con él hace unos meses, Ignacio Cirac, el director de la División Teórica del Instituto Max Planck de Óptica Cuántica y uno de los padres fundacionales de la computación cuántica, nos explicó que para abordar problemas simbólicos necesitaremos tener varios millones de cúbits. Algunos investigadores creen que con 100 000 cúbits tal vez se pueda resolver algún problema específico, pero, en cualquier caso, hacen falta muchísimos cúbits.

El problema es que fabricarlos es difícil. Para que funcionen bien y nos entreguen resultados correctos deben tener mucha calidad, y, además, integrar muchos de ellos en un ordenador cuántico es muy complejo. De hecho, uno de los mayores desafíos a los que se enfrentan las dos tecnologías más desarrolladas actualmente, los cúbits superconductores y las trampas de iones, es, precisamente, su escalabilidad.

Aun así, tenemos motivos fundados para encarar el futuro con optimismo. Y uno de ellos nos lo acaba de entregar Intel. Esta compañía ha conseguido por primera vez fabricar obleas de cúbits de silicio utilizando los mismos equipos fotolitográficos y esencialmente las mismas tecnologías que está empleando para producir chips CMOS convencionales. Esta noticia es muy prometedora porque abre de par en par la puerta a la fabricación de cúbits a gran escala empleando tecnologías que los productores de semiconductores conocen muy bien.

Esta innovación abre la puerta a la fabricación de chips cuánticos con muchísimos más cúbits

«Nuestra investigación no solo demuestra que un ordenador cuántico de gran escala es posible; también que puede ser producido en las mismas fábricas de circuitos integrados que tenemos actualmente». Estas palabras de James Clarke, el director del Laboratorio de Hardware Cuántico de Intel, reflejan con precisión la envergadura que tiene esta innovación.

No obstante, para hacerla posible Intel ha contado con la colaboración del Centro de Investigación en Computación Cuántica Avanzada, en el que participa la Universidad Técnica de Delft, en los Países Bajos.

Su investigación ha sido revisada por pares y publicada en la revista Nature, y en ella Clarke y sus colaboradores explican con mucho detalle cómo han conseguido adaptar la fotolitografía óptica y las tecnologías de integración que Intel está empleando actualmente en la fabricación de sus microprocesadores más avanzados para producir cúbits en obleas de silicio de 300 mm de diámetro.


Además, según estos investigadores el 95% de los núcleos integrados en cada oblea son funcionales, lo que refleja que han conseguido refinar su tecnología de fabricación de cúbits lo suficiente para aprovechar con éxito la mayor parte de la lámina de silicio.

Los primeros cúbits producidos con esta tecnología han sido fabricados en la planta que tiene Intel en Hillsboro (Oregón), una fábrica que no se ha visto obligada a modificar sus equipos fotolitográficos para empezar a producir bits cuánticos.

Intel ha fabricado estos innovadores cúbits en su planta de Hillsboro (Oregón) empleando la misma tecnología que utiliza para producir chips CMOS

De hecho, como he mencionado en los primeros párrafos de este artículo, lo realmente interesante es el potencial que a medio plazo tendrá la aplicación de las técnicas fotolitográficas actuales en la fabricación a gran escala de cúbits de silicio.

En cualquier caso, los auténticos protagonistas de esta innovación son los puntos cuánticos (quantum dots), que son unos dispositivos diminutos parecidos a los transistores con los que todos estamos familiarizados y sin los que los chips de nuestros dispositivos no serían posibles.


En la ilustración que publicamos encima de este párrafo podemos ver cuál es la estructura de los puntos cuánticos que Intel está consiguiendo fabricar a gran escala, y no cabe duda de que actualmente esta es una de las mejores bazas que tenemos para hacer posible la introducción de muchos más cúbits en los futuros procesadores cuánticos.

Un último apunte interesante para concluir: una oblea de silicio de 300 mm fabricada con esta tecnología contiene 82 celdas o núcleos, y en conjunto todos ellos aglutinan más de 10 000 puntos cuánticos. No cabe duda de que estamos ante un hito muy prometedor que tiene el potencial de dar un empujón fuerte al desarrollo de la computación cuántica.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Se me esta ocurriendo, como aparte de lo que estoy gestando, coger noticias de este tipo y hacer un ¿como lo hicieron? o algo asi.

¡Esa si es una excelente idea!

La Oficina del Departamento del Tesoro de EE. UU. ha anunciado sanciones contra el intercambio de criptomonedas Garantex, que se ha relacionado con transacciones ilegales para Hydra Market.

Al mismo tiempo, el Departamento de Justicia de EE. UU. nombró al operador de la infraestructura incautada de Hydra Market y lo conectó con varios años de participación en actividades delictivas cibernéticas.

Hydra, el mercado de darknet más grande del mundo para narcóticos ilegales, datos robados y herramientas y servicios de ciberdelincuencia, fue desmantelado ayer por la policía alemana, que localizó y confiscó sus servidores.

La Oficina Federal de Policía Criminal de Alemania (BKA) le dijo a BleepingComputer que no se realizaron arrestos y que, dado que la investigación para desenmascarar a los operadores aún está en curso, no pudieron proporcionar más información.

Durante la operación, se incautaron 543,3 bitcoins, por un valor de 24,3 millones de dólares a valores actuales, una pequeña porción de la enorme facturación anual de Hydra por la venta de narcóticos y varios servicios ilícitos.

Poco después, el Departamento de Justicia de EE. UU. publicó un anuncio para destacar su participación en la operación de aplicación de la ley e introdujo sanciones contra los operadores del mercado.


El anuncio del Departamento de Justicia también nombró a Dmitry Olegovich Pavlov, de 30 años, residente de Rusia, por administrar los servidores incautados de Hydra Market y por conspiración para cometer lavado de dinero y distribución de narcóticos.

"A partir de noviembre de 2015 o alrededor de esa fecha, se alega que Pavlov operó una empresa, Promservice Ltd., también conocida como Hosting Company Full Drive, All Wheel Drive y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, que administraba los servidores de Hydra (Promservice)", detalla EE.UU. Anuncio del Departamento de Justicia .

"Durante ese tiempo, Pavlov, a través de su empresa Promservice, administró los servidores de Hydra, lo que permitió que el mercado operara como una plataforma utilizada por miles de traficantes de drogas y otros vendedores ilegales para distribuir grandes cantidades de drogas ilegales y otros bienes y servicios ilícitos a miles de personas. de los compradores, y para lavar miles de millones de dólares derivados de estas transacciones ilícitas".

Se alega que Pavlov cosechó comisiones por valor de millones de dólares como resultado de su papel crucial en la facilitación de las actividades de Hydra.

garantex golpeado

Ayer, la Oficina del Departamento del Tesoro de EE. UU. también sancionó a Garantex, un popular intercambio de criptomonedas que opera desde la Torre de la Federación en Moscú.

Garantex está acusada de facilitar las operaciones de lavado de dinero para el mercado de Hydra, lo que viola directamente las regulaciones existentes contra el lavado de dinero y el terrorismo contra la financiación.

"El análisis de las transacciones conocidas de Garantex muestra que más de 100 millones de dólares en transacciones están asociadas con actores ilícitos y mercados de la red oscura, incluidos casi 6 millones de dólares de la pandilla rusa RaaS Conti y también aproximadamente 2,6 millones de dólares de Hydra", menciona el anuncio del Tesoro de EE . UU .

Garantex, registrada inicialmente en Estonia, ya enfrentaba problemas legales en el país europeo, perdiendo su licencia para prestar servicios en febrero de 2022 tras una investigación de la Unidad de Inteligencia Financiera de Estonia.


El Tesoro de los EE. UU. también publicó una lista de 100 direcciones de billeteras de criptomonedas directamente vinculadas a las operaciones de Hydra Market, que deben bloquearse para todas las partes interesadas legales de la cadena de bloques.

Además de lo anterior, cualquier entidad que posea el 50% o más de los activos en poder de las entidades sancionadas también será bloqueada y deberá informar a la OFAC.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ha surgido un nuevo ladrón de información llamado FFDroider, que roba credenciales y cookies almacenadas en los navegadores para secuestrar las cuentas de redes sociales de las víctimas.

Las cuentas de redes sociales, especialmente las verificadas, son un objetivo atractivo para los piratas informáticos, ya que los actores de amenazas pueden usarlas para diversas actividades maliciosas, incluida  la realización de estafas de criptomonedas  y la distribución de malware.

Estas cuentas son aún más atractivas cuando tienen acceso a las plataformas publicitarias del sitio social, lo que permite a los actores de amenazas usar las credenciales robadas para ejecutar anuncios maliciosos.

Distribuido a través de grietas de software

Los investigadores de Zscaler han estado rastreando el nuevo ladrón de información y su propagación y publicaron hoy un análisis técnico detallado basado en muestras recientes.

Como muchos programas maliciosos, FFDroider se propaga a través de grietas de software, software gratuito, juegos y otros archivos descargados de sitios de torrents.

Al instalar estas descargas, también se instalará FFDroider, pero disfrazado como la aplicación de escritorio de Telegram para evadir la detección.

Una vez lanzado, el malware creará una clave de registro de Windows llamada "FFDroider", lo que llevó al nombre de este nuevo malware.


El  investigador de Zscaler ha elaborado  un diagrama de flujo de ataques que ilustra cómo se instala el malware en los dispositivos de las víctimas.


FFDroid apunta a las cookies y las credenciales de cuenta almacenadas en Google Chrome (y navegadores basados ​​en Chrome), Mozilla Firefox, Internet Explorer y Microsoft Edge.

Por ejemplo, el malware lee y analiza la cookie Chromium SQLite y SQLite Credential almacena y descifra las entradas al abusar de la API de Windows Crypt, específicamente, la función CryptUnProtectData .

El procedimiento es similar para los otros navegadores, con funciones como InternetGetCookieRxW e IEGet ProtectedMode Cookie abusadas para arrebatar todas las cookies almacenadas en Explorer y Edge.


El robo y el descifrado dan como resultado nombres de usuario y contraseñas en texto claro, que luego se extraen a través de una solicitud HTTP POST al servidor C2; en esta campaña, http[:]//152[.]32[.]228[.]19/seemorebty.


Dirigirse a las redes sociales

A diferencia de muchos otros troyanos que roban contraseñas, los operadores de FFDroid no están interesados ​​en todas las credenciales de cuenta almacenadas en los navegadores web.

En cambio, los desarrolladores de malware se están enfocando en robar credenciales para cuentas de redes sociales y sitios de comercio electrónico, incluidos Facebook, Instagram, Amazon, eBay, Etsy, Twitter y el portal para la billetera WAX Cloud.

El objetivo es robar cookies válidas que puedan usarse para autenticarse en estas plataformas, y el malware lo prueba sobre la marcha durante el procedimiento.


Si la autenticación es exitosa en Facebook, por ejemplo, FFDroider obtiene todas las páginas y marcadores de Facebook, el número de amigos de la víctima y la información de pago y facturación de su cuenta del administrador de anuncios de Facebook.

Los actores de amenazas pueden usar esta información para ejecutar campañas publicitarias fraudulentas en la plataforma de redes sociales y promocionar su malware a una audiencia más amplia.

Si inició sesión correctamente en Instagram, FFDroider abrirá la página web de edición de la cuenta para obtener la dirección de correo electrónico, el número de teléfono móvil, el nombre de usuario, la contraseña y otros detalles de la cuenta.


Este es un aspecto interesante de la funcionalidad del ladrón de información porque no solo intenta obtener credenciales, sino iniciar sesión en la plataforma y robar aún más información.

Después de robar la información y enviar todo al C2, FFDroid se enfoca en descargar módulos adicionales de sus servidores en intervalos de tiempo fijos.

Los analistas de Zscaler no han proporcionado muchos detalles sobre estos módulos, pero tener una funcionalidad de descarga hace que la amenaza sea aún más potente.

Para evitar este tipo de malware, las personas deben mantenerse alejadas de las descargas ilegales y las fuentes de software desconocidas. Como precaución adicional, las descargas se pueden cargar en VirusTotal para verificar si las soluciones antivirus lo detectan como malware.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El tortazo sufrido por Diem (Libra), la criptomoneda de Facebook, fue colosal. La aspiración de la empresa acabó desvaneciéndose, pero parece que ahora su empresa matriz, Meta, está preparando su propia moneda.

Así lo indica el Financial Times, que destacaba cómo los empleados llaman a esa moneda los 'Zuck Bucks' ('pavos de Zuck' o 'dólares de Zuck'). Y atención, porque esto no tiene nada que ver con las criptos, y se parece mucho más a los Robux de Roblox.

De cripto, nada

En FT indican que lo que Meta se propone con esta moneda es tener una divisa interna para sus aplicaciones. Una que ellos puedan controlar y que es similar a la que por ejemplo el citado Roblox tiene con los Robux.


Los 'Zuck Bucks' no son por tanto dinero real, y si siguen el modelo de los Robux lo que sí existirá es una paridad con las monedas fiat de curso legal. Para comprar esos 'Zuck Bucks' tendrás que gastar por ejemplo dólares o euros de tu cuenta, y a partir de ahí podrás usar esa moneda de Meta en sus aplicaciones.

La idea no es nueva ni siquiera para Facebook, que lanzó sus Facebook Credits en 2009. Esta moneda virtual permitía a los usuarios hacer compras en juegos como FarmVille. Aunque el experimento tuvo cierto éxito, acabó abandonándose en 2013 por ser demasiado costoso de mantener, indican en FT.

Parece que en Meta también están planteando la creación de unos 'tokens sociales' o 'tokens de reputación' que los usuarios recolectarían por ejemplo al realizar contribuciones significativas en los grupos de Facebook.

Hasta están pensando en que cada creador tenga sus propias monedas para sus seguidores en Instagram, por ejemplo, algo que permitiría que por ejemplo elRubius tuviera su propia moneda ficticia en la plataforma.

En Meta, no obstante, siguen teniendo ideas más relacionadas con el mundo de las criptomonedas. La integración de los NFTs en sus aplicaciones parece inminente tanto en Instagram como en Facebok: un proyecto piloto para esta última podría iniciarse a mediados de mayo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los fabricantes de impresoras llevan años utilizando todo tipo de técnicas para obligar a los usuarios a que utilicen consumibles oficiales. En muchos modelos no se pueden usar tóneres o cartuchos teóricamente compatibles, pero hay ciertos casos en los que esos obstáculos se pueden superar.

Ocurre por ejemplo con las Canon Pixma G, impresoras que hacen uso del llamado cartucho de mantenimiento. Ese componente almacena tinta desperdiciada tras ciertas operaciones, pero Canon obliga a reemplazarlo tras cierto tiempo cuando lo ideal sería poder reutilizarlo. Ahora ya no es solo ideal: es posible, y se puede hackear el funcionamiento de ese componente gracias a Arduino.

La clave está en resetear el contador

El cartucho de mantenimiento MC-G02 es un elemento importante de las impresoras de la familia Canon Pixma G. No se utilizan para imprimir, pero son necesarios porque recogen la tinta desperdiciada en ciertos escenarios.

¿Qué ocurre? Que esos cartuchos se "llenan" con la tinta desperdiciada, y la impresora acaba avisando de que ya están llenos y que tienes que comprar uno nuevo. No son especialmente caros —rondan los 10 euros— pero ese gasto puede acabar siendo importante a la larga, así que, ¿habría formas de reutilizarlos?

La hay. Como explicaba el creador de este hack en su cuenta de GitHub, es posible sacar el cartucho de mantenimiento de la impresora y limpiarlo para eliminar la tinta acumulada en su interior.

Canon —que hace poco acabó ayudando a los usuarios a saltarse un mecanismo similar en otra familia de impresoras— no usa un sensor para detectar cuánta tinta hay en el cartucho: lo que usa es un chip que se comporta como un contador. Ese contador se incrementa cada vez que se usa el cartucho, pero incluso si hemos limpiado el cartucho y lo intentamos utilizar, la impresora no nos deja.

La solución está en resetear el contador. Para ello el creador del proyecto indicaba que tendremos que usar una placa Arduino Uno a la que conectaremos el chip que actúa como contador (es fácil de extraer y volver a colocar en el cartucho).

También necesitaremos una ROM "dumpeada" de la impresora que, según decía, era posible encontrar en internet o que podemos generar nosotros mismos siguiendo el proceso indicado en su tutorial.

Tras lograrlo el proceso para resetear ese contador es sencillo: basta ejecutar un pequeño programa con el IDE de Arduino, lo que hará que el contador quede como nuevo, al menos desde la perspectiva de la impresora.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de seguridad han descubierto una campaña maliciosa de larga duración de piratas informáticos asociados con el gobierno chino que utilizan VLC Media Player para lanzar un cargador de malware personalizado.

La campaña parece tener fines de espionaje y se ha dirigido a varias entidades involucradas en actividades gubernamentales, legales y religiosas, así como a organizaciones no gubernamentales (ONG) en al menos tres continentes.

Esta actividad se ha atribuido a un actor de amenazas rastreado como Cicada (también conocido como menuPass, Stone Panda, Potasio, APT10, Red Apollo) que ha estado activo durante más de 15 años, al menos desde 2006.

Uso de VLC para implementar un cargador de malware personalizado

El inicio de la campaña actual de Cicada se ha rastreado hasta mediados de 2021 y todavía estaba activo en febrero de 2022. Los investigadores dicen que esta actividad puede continuar hoy.

Hay evidencia de que algún acceso inicial a algunas de las redes violadas fue a través de un servidor de Microsoft Exchange, lo que indica que el actor explotó una vulnerabilidad conocida en máquinas sin parches.

Los investigadores de Symantec, una división de Broadcom, descubrieron que después de obtener acceso a la máquina de destino, el atacante implementó un cargador personalizado en los sistemas comprometidos con la ayuda del popular reproductor multimedia VLC.

Brigid O Gorman de Symantec Threat Hunter Team le dijo a BleepingComputer que el atacante usa una versión limpia de VLC con un archivo DLL malicioso en la misma ruta que las funciones de exportación del reproductor multimedia.

La técnica se conoce como carga lateral de DLL y es ampliamente utilizada por los actores de amenazas para cargar malware en procesos legítimos para ocultar la actividad maliciosa.

Aparte del cargador personalizado, del que O Gorman dijo que Symantec no tiene nombre pero que se ha visto en ataques anteriores atribuidos a Cicada/APT10, el adversario también implementó un servidor WinVNC para obtener control remoto sobre los sistemas de las víctimas.

El atacante también ejecutó la puerta trasera Sodamaster en redes comprometidas, una herramienta que se cree que utiliza exclusivamente el grupo de amenazas Cicada desde al menos 2020.

Sodamaster se ejecuta en la memoria del sistema (sin archivos) y está equipado para evadir la detección buscando en el registro pistas de un entorno de pruebas o retrasando su ejecución.

El malware también puede recopilar detalles sobre el sistema, buscar procesos en ejecución y descargar y ejecutar varias cargas útiles desde el servidor de comando y control.

Varias otras utilidades que se han observado en esta campaña incluyen:

- Herramienta de archivo RAR: ayuda a comprimir, cifrar o archivar archivos, probablemente para exfiltración
- Detección de sistemas/redes: una forma para que los atacantes conozcan los sistemas o servicios conectados a una máquina infectada.
- WMIExec: herramienta de línea de comandos de Microsoft que se puede usar para ejecutar comandos en computadoras remotas
- NBTScan: una herramienta de código abierto que se ha observado que utilizan los grupos APT para el reconocimiento en una red comprometida

El tiempo de permanencia de los atacantes en las redes de algunas de las víctimas descubiertas duró hasta nueve meses, señalan los investigadores en un informe de hoy.

Un enfoque más amplio

Muchas de las organizaciones a las que se dirige esta campaña parecen estar relacionadas con el gobierno o con ONG (involucradas en actividades educativas o religiosas), así como empresas de los sectores de telecomunicaciones, legal y farmacéutico.

Los investigadores de Symantec destacan la amplia geografía de esta campaña Cicada, que cuenta víctimas en EE. UU., Canadá, Hong Kong, Turquía, Israel, India, Montenegro e Italia.

Para tener en cuenta, solo una víctima es de Japón, un país que ha sido el foco del grupo Cicada durante muchos años.

En comparación con la orientación anterior de este grupo, que se centró en empresas vinculadas a Japón, las víctimas de esta campaña indican que el actor de amenazas ha ampliado su interés.

Si bien se centró en empresas vinculadas a Japón, Cicada se ha centrado en los sectores de salud, defensa, aeroespacial, finanzas, marítimo, biotecnología, energía y gobierno en el pasado.

Al menos  dos miembros del grupo de amenazas APT10 han sido acusados  ​​en los EE. UU. por actividades de piratería informática para ayudar a la Oficina de Seguridad del Estado de Tianjin del Ministerio de Seguridad del Estado (MSS) de China a obtener propiedad intelectual e información comercial confidencial de proveedores de servicios administrados, agencias gubernamentales de EE. UU. y más de 45 empresas de tecnología.

Fuente:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft dijo que actualmente está rastreando un "bajo volumen de intentos de explotación" dirigidos a la vulnerabilidad crítica de ejecución remota de código (RCE) Spring4Shell (también conocida como SpringShell) en sus servicios en la nube.

La vulnerabilidad Spring4Shell (registrada como CVE-2022-22965) afecta Spring Framework, descrito como el "marco ligero de código abierto más utilizado para Java".

"Microsoft monitorea regularmente los ataques contra nuestra infraestructura y servicios en la nube para defenderlos mejor", dijo el equipo de inteligencia de amenazas de Microsoft 365 Defender .

"Desde que se anunció la vulnerabilidad de Spring Core, hemos estado rastreando un bajo volumen de intentos de explotación en nuestros servicios en la nube para las vulnerabilidades de Spring Cloud y Spring Core".

Spring4Shell explotado para implementar web shells
Microsoft explicó además en su informe del lunes que los atacantes podrían explotar esta falla de seguridad de Spring Core enviando consultas especialmente diseñadas a servidores que ejecutan el marco Spring Core para crear shells web en el directorio raíz de Tomcat.

Los actores de amenazas pueden usar este shell web para ejecutar comandos en el servidor comprometido.

Si bien algunos han comparado el nivel de gravedad de este error de seguridad con Log4Shell, una vulnerabilidad en la omnipresente biblioteca de registro basada en Apache Log4j Java, esto no es necesariamente cierto dado que Spring4Shell solo afecta a los sistemas con una configuración muy particular:

- Ejecutando JDK 9.0 o posterior
- Spring Framework versiones 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 y versiones anteriores
- Apache Tomcat como contenedor de Servlet
- Empaquetado como un archivo web Java tradicional (WAR) e implementado en una instancia independiente de Tomcat; las implementaciones típicas de Spring Boot que utilizan un contenedor Servlet integrado o un servidor web reactivo no se ven afectadas
- Tomcat tiene dependencias spring-webmvc o spring- webflux

A pesar de esto, Microsoft dice que "cualquier sistema que use JDK 9.0 o posterior y use Spring Framework o marcos derivados debe considerarse vulnerable".

Los administradores pueden verificar sus servidores para determinar si son vulnerables a los ataques Spring4Shell usando este comando no malicioso (una respuesta HTTP 400 es evidencia de que el sistema es vulnerable a al menos un exploit de prueba de concepto (PoC) disponible públicamente):


Advertencias de explotación en curso

El descubrimiento de Microsoft de ataques en curso que implementan exploits Spring4Shell contra su infraestructura en la nube se produce después de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregara la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas .

Un informe de Check Point publicado el martes estima que los intentos de explotación de CVE-2022-22965 ya se han dirigido a aproximadamente el 16% de todas las organizaciones vulnerables a Spring4Shell.

Según las estadísticas de telemetría de fuentes internas, los investigadores de Check Point detectaron alrededor de 37 000 intentos de explotación de Spring4Shell solo durante el último fin de semana.

El lunes, VMware también publicó actualizaciones de seguridad para abordar la falla Spring4Shell que afecta a varios de sus productos de virtualización y computación en la nube.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El notorio grupo de delitos cibernéticos conocido como FIN7 ha diversificado sus vectores de acceso inicial para incorporar el compromiso de la cadena de suministro de software y el uso de credenciales robadas, según reveló una nueva investigación.

"La extorsión de robo de datos o el despliegue de ransomware después de la actividad atribuida a FIN7 en múltiples organizaciones, así como las superposiciones técnicas, sugieren que los actores de FIN7 se han asociado con varias operaciones de ransomware a lo largo del tiempo", dijo la firma de respuesta a incidentes Mandiant en un análisis del lunes.

El grupo de ciberdelincuentes, desde su surgimiento a mediados de la década de 2010, ha ganado notoriedad por sus campañas de malware a gran escala dirigidas a los sistemas de puntos de venta (POS) destinados a las industrias de restaurantes, juegos de azar y hotelería con malware de robo de tarjetas de crédito.

El cambio de FIN7 en la estrategia de monetización hacia el ransomware sigue a un informe de octubre de 2021 de la unidad Gemini Advisory de Recorded Future, que encontró que el adversario creó una empresa fachada falsa llamada Bastion Secure para reclutar probadores de penetración involuntarios antes de un ataque de ransomware.

Luego, a principios de enero, la Oficina Federal de Investigaciones (FBI) de EE. UU. emitió una Alerta Flash advirtiendo a las organizaciones que la pandilla con motivaciones financieras estaba enviando unidades USB maliciosas (también conocidas como BadUSB ) a objetivos comerciales de EE. UU. en las industrias de transporte, seguros y defensa para infectar sistemas. con malware, incluido ransomware.


Las intrusiones recientes protagonizadas por el actor desde 2020 han implicado la implementación de un gran marco de puerta trasera de PowerShell llamado POWERPLANT, lo que continúa con la inclinación del grupo por usar malware basado en PowerShell para sus operaciones ofensivas.

"No hay duda al respecto, PowerShell es el lenguaje de amor de FIN7", dijeron los investigadores de Mandiant.

En uno de los ataques, se observó que FIN7 comprometía un sitio web que vende productos digitales para modificar múltiples enlaces de descarga para que apunten a un cubo de Amazon S3 que albergaba versiones troyanizadas que contenían Atera Agent, una herramienta legítima de administración remota, que luego entregó POWERPLANT. al sistema de la víctima.

El ataque a la cadena de suministro también marca la evolución del oficio del grupo para el acceso inicial y el despliegue de cargas útiles de malware de primera etapa, que generalmente se han centrado en esquemas de phishing.

Otras herramientas utilizadas por el grupo para facilitar sus infiltraciones incluyen EASYLOOK, una utilidad de reconocimiento; BOATLAUNCH, un módulo auxiliar diseñado para eludir la interfaz de análisis antimalware de Windows (AMSI); y BIRDWATCH, un descargador basado en .NET empleado para obtener y ejecutar archivos binarios de próxima etapa recibidos a través de HTTP.

"A pesar de las acusaciones de miembros de FIN7 en 2018 y una sentencia relacionada en 2021 anunciada por el Departamento de Justicia de EE. UU., al menos algunos miembros de FIN7 se han mantenido activos y continúan desarrollando sus operaciones criminales con el tiempo", dijeron los investigadores de Mandiant.

"A lo largo de su evolución, FIN7 ha aumentado la velocidad de su ritmo operativo, el alcance de sus objetivos e incluso posiblemente sus relaciones con otras operaciones de ransomware en el mundo ciberdelincuente".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Oficina Federal de Policía Criminal de Alemania, el Bundeskriminalamt (BKA), anunció el martes el desmantelamiento oficial de Hydra, el mercado ilegal de la web oscura más grande del mundo que ha facilitado acumulativamente más de $ 5 mil millones en transacciones de Bitcoin hasta la fecha.

"Se incautaron bitcoins por un valor actual equivalente a aproximadamente 23 millones de euros, que se atribuyen al mercado", dijo la BKA en un comunicado de prensa. La firma de análisis de blockchain Elliptic confirmó que la incautación ocurrió el 5 de abril de 2022 en una serie de 88 transacciones por un monto de 543,3 BTC.

La agencia atribuyó el cierre de Hydra a una extensa operación de investigación realizada por su Oficina Central para Combatir el Delito Cibernético (ZIT) en asociación con las autoridades policiales de EE. UU. desde agosto de 2021.

Lanzado en 2015, Hydra era un mercado de darknet en idioma ruso que se abrió como un competidor del ya desaparecido Mercado Anónimo Ruso (también conocido como RAMP), conocido principalmente por su mercado de narcóticos de alto tráfico antes de expandir su enfoque para vender documentos falsificados y crédito robado. tarjetas

"Los ciberdelincuentes ahora lo usan para realizar ventas ilícitas de tarjetas de crédito robadas, tarjetas SIM y documentos e identificaciones falsificados, entre otras ofertas, así como para ofuscar sus propias transacciones digitales a través de intercambios regionales y tácticas extendidas de lavado de dinero", señaló Flashpoint en un Informe de mayo de 2021.


Se estima que los volúmenes de transacciones anuales de Hydra superaron los $ 1.6 mil millones para fines de 2021, lo que marca un aumento asombroso de solo $ 6.6 millones en 2016.

La tienda web oscura, que se cree que tuvo una facturación de $ 424,2 millones durante los primeros tres meses de 2022, también contó con un Bitcoin Bank Mixer, que ofuscó todas las transacciones digitales realizadas en la plataforma, lo que dificultó a las agencias de aplicación de la ley. seguir los rastros de criptomonedas.

Los visitantes del sitio web del mercado ahora son recibidos por un cartel de incautación que dice: "La Oficina Federal de Policía Criminal (BKA) incautó la plataforma y el contenido criminal en nombre de la Oficina del Fiscal General en Frankfurt am Main en el curso de un operación internacional coordinada de aplicación de la ley".

La desaparición de Hydra sigue a una ola de acciones policiales recientes contra los mercados criminales desde principios de año, incluida la de UniCC, Canadian HeadQuarters y cuatro tiendas de tarjetas rusas Ferum Shop, Sky-Fraud, Trump's Dumps y UAS que se especializaron en las ventas de tarjetas de crédito robadas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un malware de robo de información "sofisticado" previamente indocumentado llamado BlackGuard se anuncia para la venta en foros clandestinos rusos por una suscripción mensual de $ 200.

"BlackGuard tiene la capacidad de robar todo tipo de información relacionada con billeteras criptográficas, VPN, Messengers, credenciales de FTP, credenciales de navegador guardadas y clientes de correo electrónico", dijeron los investigadores de Zscaler ThreatLabz, Mitesh Wani y Kaivalya Khursale , en un informe publicado la semana pasada.

También vendido por un precio de por vida de $ 700, BlackGuard está diseñado como un malware basado en .NET que se encuentra en desarrollo activo, y cuenta con una serie de características anti-análisis, anti-depuración y anti-evasión que le permiten eliminar procesos relacionados con motores antivirus y eludir la detección basada en cadenas.

Además, comprueba la dirección IP de los dispositivos infectados mediante el envío de una solicitud al dominio "https://ipwhois[.]app/xml/", y sale si el país es uno de los países de la Comunidad de Estados Independientes (CEI). ).


La amplia funcionalidad de BlackGuard significa que puede acumular información almacenada en los navegadores, como contraseñas, cookies, datos de autocompletar, historial de navegación, 17 billeteras frías de criptomonedas diferentes y hasta seis aplicaciones de mensajería, incluidas Telegram, Signal, Tox, Element, Pidgin y Discordia.

Además, el malware apunta a 21 extensiones de billetera criptográfica instaladas en los navegadores Chrome y Edge, y tres aplicaciones VPN NordVPN, OpenVPN y ProtonVPN, cuyos resultados se comprimen posteriormente en un archivo ZIP y se extraen a un servidor remoto.

Los hallazgos se producen cuando Morphisec reveló detalles de otra familia de ladrones de información llamada Mars que se ha observado aprovechando los anuncios de Google fraudulentos para software conocido como OpenOffice para distribuir el malware.

"Si bien las aplicaciones de BlackGuard no son tan amplias como las de otros ladrones, BlackGuard es una amenaza creciente a medida que continúa mejorándose y está desarrollando una sólida reputación en la comunidad clandestina", dijeron los investigadores.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se detectó una aplicación de software espía de Android que se hace pasar por un servicio de "Administrador de procesos" para desviar sigilosamente información confidencial almacenada en los dispositivos infectados.

Curiosamente, la aplicación, que tiene el nombre de paquete " You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login ", establece contacto con un servidor de comando y control remoto, 82.146.35[.]240, que se identificó previamente como una infraestructura perteneciente a Rusia. grupo de piratería conocido como Turla .

"Cuando se ejecuta la aplicación, aparece una advertencia sobre los permisos otorgados a la aplicación", dijeron los investigadores de Lab52 . "Estos incluyen intentos de desbloqueo de pantalla, bloqueo de pantalla, configuración del proxy global del dispositivo, configuración de vencimiento de contraseña de bloqueo de pantalla, configuración de cifrado de almacenamiento y desactivación de cámaras".

Una vez que la aplicación está "activada", el malware elimina su icono con forma de engranaje de la pantalla de inicio y se ejecuta en segundo plano, abusando de sus amplios permisos para acceder a los contactos y registros de llamadas del dispositivo, rastrear su ubicación, enviar y leer mensajes, acceder a almacenamiento, tomar fotografías y grabar audio.


La información recopilada es capturada en formato JSON y posteriormente transmitida al mencionado servidor remoto. A pesar de la superposición en el servidor C2 utilizado, Lab52 dijo que no tiene pruebas suficientes para atribuir el malware al grupo Turla.

También se desconoce en esta etapa el vector de acceso inicial exacto empleado para distribuir el spyware y los objetivos previstos de la campaña.

Dicho esto, la aplicación maliciosa de Android también intenta descargar una aplicación legítima llamada Roz Dhan (que significa "Riqueza diaria" en hindi) que tiene más de 10 millones de instalaciones y permite a los usuarios obtener recompensas en efectivo por completar encuestas y cuestionarios.

"La aplicación, [que] está en Google Play y se usa para ganar dinero, tiene un sistema de referencia que es abusado por el malware", dijeron los investigadores. "El atacante lo instala en el dispositivo y obtiene una ganancia".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha agregado una nueva retención de protección que bloquea las actualizaciones de Windows 11 para los clientes de Windows 10 que no importan sus datos de Internet Explorer 11 (IE11) a Microsoft Edge antes de intentar instalar la versión más reciente de Windows.

"Después de actualizar a Windows 11, es posible que no se pueda acceder a la información y los datos guardados de Internet Explorer 11 (IE11) si no acepta importarlos a Microsoft Edge antes de la actualización", explicó Microsoft en el panel de control de salud de Windows.

"Para salvaguardar su experiencia de actualización, hemos aplicado una retención de compatibilidad en los dispositivos afectados por este problema para evitar que instalen o se les ofrezca Windows 11".

La nueva retención de compatibilidad afecta solo a los sistemas Windows 10 donde IE11 es el navegador web principal o está configurado como el navegador predeterminado.

A partir de hoy, bloqueará automáticamente los dispositivos Windows afectados para que no se ofrezcan o instalen Windows 11.

Esta nueva retención de protección no debería afectar a los clientes que ya han importado su información de IE11 a Microsoft Edge antes de presionar el botón de actualización de Windows 11.

Solución que viene a través de la actualización de Microsoft Edge

Redmond dice que actualmente está trabajando en una solución para este problema conocido, entregado con una futura actualización de Microsoft Edge.

"El problema debe resolverse para los dispositivos que aún no se han actualizado y los dispositivos que ya se han actualizado a Windows 11 sin aceptar importar datos de IE11 a Edge", agregó Microsoft .

Antes de aplicar esta suspensión de protección, Microsoft eliminó otros cuatro bloques de actualización, el último en marzo:

- Oracle Virtual Box
- Controladores de la tecnología Intel Smart Sound
- Aplicaciones que usan algunos caracteres que no son ASCII en sus claves de registro
- El paquete de idioma serbio (latín) puede eliminarse inesperadamente

La aplicación de escritorio IE11 se retirará en junio

En marzo, Microsoft recordó a los clientes de Windows que  Internet Explorer 11 finalmente se retirará de algunas versiones de Windows 10  en junio para ser reemplazado por el nuevo Microsoft Edge basado en Chromium.

Después de retirar Internet Explorer, Microsoft seguirá brindando soporte para sitios web y aplicaciones heredados basados ​​en Internet Explorer dentro de Microsoft Edge a través de la función integrada del modo Internet Explorer (modo IE).

Una vez retirada el 15 de junio de 2022, la aplicación de escritorio de Internet Explorer se desactivará y redirigirá automáticamente a los usuarios a Microsoft Edge.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

VMware ha publicado actualizaciones de seguridad para la vulnerabilidad crítica de ejecución remota de código conocida como Spring4Shell, que afecta a varios de sus productos de virtualización y computación en la nube.

Una lista de productos de VMware afectados por Spring4Shell está disponible en un aviso de la empresa. Cuando no hay una solución disponible, VMware lanzó una solución temporal.

En este momento, es sumamente importante seguir los consejos proporcionados en el boletín de seguridad, ya que Spring4Shell es una vulnerabilidad que se explota activamente.

Un defecto en un marco popular

Spring4Shell, rastreado oficialmente como CVE-2022-22965, es una vulnerabilidad de ejecución remota de código en el marco Spring Core Java que se puede explotar sin autenticación, con una puntuación de gravedad de 9,8 sobre 10.

Esto significa que cualquier actor malicioso con acceso a aplicaciones vulnerables puede ejecutar comandos arbitrarios y tomar el control completo de un sistema de destino.

Debido a la implementación generalizada de Spring Framework para el desarrollo de aplicaciones Java, los analistas de seguridad temen ataques a gran escala que se aprovechan de la vulnerabilidad Spring4Shell.

Para empeorar las cosas, se filtró un exploit de prueba de concepto (PoC) funcional en GitHub incluso antes de que estuviera disponible una actualización de seguridad, lo que aumenta las posibilidades de explotación maliciosa y ataques "sorpresa".

Impacto y remediación

La falla crítica afecta a las aplicaciones Spring MVC y Spring WebFlux que se ejecutan en JDK 9+. El exploit requiere que la aplicación se ejecute en Tomcat como una implementación de WAR, aunque las limitaciones exactas aún están bajo investigación.

Las versiones fijas de las aplicaciones son:

- Spring Framework 5.3.18 y Spring Framework 5.2.20
- Arranque de primavera 2.5.12
- Spring Boot 2.6.6 (próximamente disponible)

VMWare revisó su cartera de productos y, aunque la investigación aún continúa, los siguientes productos ya se han determinado como afectados :

- Servicio de aplicación VMware Tanzu para máquinas virtuales: versiones 2.10 a 2.13
- VMware Tanzu Operations Manager: versiones 2.8 a 2.9
- VMware Tanzu Kubernetes Grid Integrated Edition (TKGI): versiones 1.11 a 1.13

El proveedor ya ha puesto a disposición actualizaciones de seguridad para los dos primeros productos, cubriendo ramas de múltiples versiones con lanzamientos puntuales, pero aún se está trabajando en una solución permanente para VMware Tanzu Kubernetes Grid Integrated Edition.

Para estas implementaciones, VMWare ha publicado instrucciones de solución  diseñadas para ayudar a los administradores a proteger temporalmente sus sistemas hasta que se publiquen los parches.

Una cosa a tener en cuenta es que VMWare descubrió que la explotación de Spring4Shell es compleja en TKGI, por lo que se brindan los consejos de mitigación y la próxima actualización de seguridad para brindar la máxima confianza al cliente y evitar falsos positivos.

Aún así, las recomendaciones de seguridad oficiales proporcionadas deben seguirse sin desviaciones ni demoras, para garantizar que sus implementaciones estén a salvo de los actores de amenazas oportunistas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se dio a conocer el lanzamiento de la nueva versión de la distribución de Linux «Deepin 20.5» en la cual se han realizado numerosas mejoras y actualizaciones de los paquetes del sistema, entre los cuales podemos destacar la inclusión del Kernel 5.15.24, el soporte para autenticación biométrica en desbloqueo e inicio de sesión, mejoras para el administrador de red, mejoras de soporte para hardware y más.

Para quienes desconocen de la distribución, deben saber que esta basada en la base del paquete Debian, pero desarrollando su propio entorno de escritorio Deepin (DDE) y más de 30 aplicaciones personalizadas, incluyendo el reproductor de música DMusic, reproductor de video DMovie, sistema de mensajería DTalk, instalador y centro de instalación de software Deepin Software Center.

Principales novedades de Deepin 20.5

En esta nueva versión que se presenta de Deepin 20.5 el kernel de Linux se ha actualizado a las versiones 5.15.24, mientras que por la parte de systemd este ha sido actualizado a la versión 250.

En el configurador de red, se pueden configurar varias direcciones IP para un adaptador inalámbrico, ademas de que se ha mejorado la interfaz para solicitud de contraseña interactiva al conectarse a una red inalámbrica y se agregó un botón para deshabilitar y habilitar dispositivos en el Administrador de dispositivos.

Ademas de ello se destaca que se proporcionó la capacidad de instalar y actualizar los controladores suministrados en los paquetes deb y que se agregó la compatibilidad con el desbloqueo de la pantalla y el inicio de sesión mediante la autenticación biométrica basada en el rostro. Se ha agregado una sección para configurar la autenticación facial en el centro de control.

Otro de los cambios que se destaca es que se agregó el botón «Pin Screenshots», que permite fijar la captura de pantalla creada en la parte superior de la pantalla, de modo que la imagen se muestre en la parte superior de otras ventanas y permanezca visible cuando trabaje con varias aplicaciones.

Por otra parte, el cliente de correo admite la recopilación automática de correo después de volver a conectarse a la red y la capacidad de agregar/eliminar carpetas.


Tambien se destaca la interfaz de usuario rediseñada, que se traduce para usar Vue y Tinymce, ademas de que se agregó soporte para saltar a nuevos correos electrónicos haciendo clic en una notificación del sistema.

De los demás cambios que se destacan de esta nueva versión:

- Visor de documentos ha mejorado el rendimiento al mostrar archivos DOCX.
- Letras estándar y agregadas fijas en la parte superior.
- Se agregó una interfaz para obtener una vista previa de los archivos adjuntos.
- Conexión simplificada a Gmail y Yahoo Mail.
- Se agregó soporte para importar una libreta de direcciones en formato vCard.
- Se agregaron funciones a la App Store para enviar comentarios y solicitar actualizaciones.
- Si hay problemas con la instalación o la actualización, se proporciona la posibilidad de enviar una notificación a los desarrolladores sobre el problema.
- Soporte implementado para el control de gestos en sistemas con pantallas táctiles.
- La aplicación Grand Search ha mejorado mucho la precisión y la calidad de la búsqueda.
- Para refinar los resultados, es posible especificar tipos de archivos y extensiones como palabras clave.
- La cantidad de formatos admitidos se ha ampliado en el visor de video.
- El reproductor de música ahora admite el reordenamiento gratuito de elementos en la lista de reproducción mediante arrastrar y soltar.
- Se ha agregado una configuración al administrador de archivos para ocultar las extensiones de archivo.
- Se proporcionan herramientas para aplicaciones de terceros para agregar elementos al menú contextual y adjuntar marcas de esquina a los archivos.
- Paquetes agregados con controladores para tarjetas de video NVIDIA.

Si quieres conocer más al respecto de esta nueva versión de Deepin, puedes consultar en su página oficial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha revelado una vulnerabilidad de seguridad de hace 15 años en el repositorio PHP de PEAR que podría permitir a un atacante llevar a cabo un ataque a la cadena de suministro, incluida la obtención de acceso no autorizado para publicar paquetes no autorizados y ejecutar código arbitrario.

"Un atacante que explote el primero podría apoderarse de cualquier cuenta de desarrollador y publicar lanzamientos maliciosos, mientras que el segundo error permitiría al atacante obtener acceso persistente al servidor PEAR central", dijo el investigador de vulnerabilidades de SonarSource, Thomas Chauchefoin , en un artículo publicado este semana.

PEAR, abreviatura de PHP Extension and Application Repository, es un marco y un sistema de distribución para componentes PHP reutilizables.

Uno de los problemas, introducido en una confirmación de código realizada en marzo de 2007 cuando la función se implementó originalmente, se relaciona con el uso de la función PHP criptográficamente insegura mt_rand() en la funcionalidad de restablecimiento de contraseña que podría permitir a un atacante "descubrir una contraseña válida". restablecer el token en menos de 50 intentos".

Armado con este exploit, un mal actor podría apuntar a las cuentas de administrador o desarrollador existentes para secuestrarlas y publicar nuevas versiones troyanizadas de paquetes que ya mantienen los desarrolladores, lo que resultaría en un compromiso generalizado de la cadena de suministro.



La segunda vulnerabilidad, que requiere que el adversario la encadene con la falla antes mencionada para lograr el acceso inicial, se deriva de la dependencia de pearweb de una versión anterior de Archive_Tar , que es susceptible a un error transversal de directorio de alta gravedad ( CVE-2020-36193). , puntaje CVSS: 7.5), lo que lleva a la ejecución de código arbitrario.

"Estas vulnerabilidades han estado presentes durante más de una década y fueron triviales de identificar y explotar, lo que genera dudas sobre la falta de contribuciones de seguridad de las empresas que dependen de ellas", dijo Chauchefoin.

Los hallazgos marcan la segunda vez que se descubren problemas de seguridad en la cadena de suministro de PHP en menos de un año. A fines de abril de 2021, se divulgaron vulnerabilidades críticas en el administrador de paquetes Composer PHP que podrían permitir que un adversario ejecute comandos arbitrarios.

Con los ataques a la cadena de suministro de software emergiendo como una amenaza peligrosa a raíz de los incidentes de protestware dirigidos a bibliotecas ampliamente utilizadas en el ecosistema NPM, los problemas de seguridad relacionados con las dependencias de código en el software vuelven a estar en el centro de atención, lo que llevó a Open Source Initiative a llamar a la " militarización del código abierto "un acto de vandalismo cibernético que" supera cualquier beneficio posible ".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

GitLab ha abordado una vulnerabilidad de gravedad crítica que podría permitir a los atacantes remotos hacerse cargo de las cuentas de los usuarios utilizando contraseñas codificadas.

El error (descubierto internamente y rastreado como  CVE-2022-1162 ) afecta tanto a GitLab Community Edition (CE) como a Enterprise Edition (EE).

Esta falla es el resultado de contraseñas estáticas configuradas accidentalmente durante el registro basado en OmniAuth en GitLab CE/EE.

"Se estableció una contraseña codificada para las cuentas registradas con un proveedor de OmniAuth (p. ej., OAuth, LDAP, SAML) en GitLab CE/EE versiones 14.7 anteriores a 14.7.7, 14.8 anteriores a 14.8.5 y 14.9 anteriores a 14.9.2 que permiten a los atacantes para potencialmente hacerse cargo de las cuentas", explicó el equipo de GitLab en un aviso de seguridad publicado el jueves.

GitLab instó a los usuarios a actualizar de inmediato todas las instalaciones de GitLab a las últimas versiones (14.9.2, 14.8.5 o 14.7.7) para bloquear posibles ataques.

"Recomendamos encarecidamente que todas las instalaciones que ejecuten una versión afectada por los problemas que se describen a continuación se actualicen a la última versión lo antes posible",  dijeron .

Una confirmación de código enviada dos días muestra que GitLab eliminó el archivo 'lib/gitlab/password.rb', que se usó para asignar una contraseña codificada débil a la constante 'TEST_DEFAULT'.


Restablecimiento de contraseñas para algunos usuarios de GitLab

GitLab también agregó que restableció las contraseñas de un número limitado de usuarios de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login como parte del esfuerzo de mitigación CVE-2022-1162.

Tampoco encontró evidencia de que los atacantes hayan comprometido ninguna cuenta utilizando esta falla de seguridad de contraseña de código duro.

"Ejecutamos un restablecimiento de las contraseñas de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para un conjunto seleccionado de usuarios a las 15:38 UTC", dijo el equipo de GitLab.

"Nuestra investigación no muestra indicios de que los usuarios o las cuentas se hayan visto comprometidos, pero estamos tomando medidas de precaución para la seguridad de nuestros usuarios".

Cuando se le pidió que compartiera la cantidad de usuarios de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login a quienes se les restableció la contraseña, un portavoz de GitLab compartió la información que ya estaba disponible en el aviso y le dijo a BleepingComputer que solo lo hicieron para "un conjunto seleccionado de usuarios".


Si bien GitLab dice que hasta ahora no se han violado cuentas de usuario, la compañía ha creado un script que los administradores de instancias autogestionados pueden usar para  identificar las cuentas de usuario potencialmente afectadas por CVE-2022-1162 .

Después de identificar las cuentas de usuario potencialmente afectadas, se recomienda a los administradores que restablezcan las contraseñas de los usuarios.

Más de 100 000 organizaciones usan su plataforma DevOps, según GitLab, y la compañía estima que tiene más de 30 millones de usuarios registrados estimados de 66 países en todo el mundo.

Actualización del 1 de abril a las 12:08 EDT : Se agregó información del script CVE-2022-1162.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login