El malware Emotet entró en acción ayer después de una pausa de diez meses con múltiples campañas de spam que entregan documentos maliciosos a los buzones de correo de todo el mundo.

Emotet es una infección de malware que se distribuye a través de campañas de spam con archivos adjuntos maliciosos. Si un usuario abre el archivo adjunto, las macros maliciosas o JavaScript descargarán la DLL de Emotet y la cargarán en la memoria usando PowerShell.

Una vez cargado, el malware buscará y robará correos electrónicos para usarlos en futuras campañas de spam y arrojará cargas útiles adicionales como TrickBot o Qbot que comúnmente conducen a infecciones de ransomware.

El spam de Emotet comienza de nuevo

Anoche, el investigador de ciberseguridad Brad Duncan publicó un SANS Handler Diary sobre cómo la botnet Emotet había comenzado a enviar spam a múltiples campañas de correo electrónico para infectar dispositivos con el malware Emotet.

Según Duncan, las campañas de spam utilizan correos electrónicos en cadena de repetición para atraer al destinatario a abrir archivos adjuntos de Word, Excel y ZIP protegidos con contraseña.

Los correos electrónicos de phishing de cadena de respuesta se producen cuando se utilizan hilos de correo electrónico previamente robados con respuestas falsas para distribuir malware a otros usuarios.

En las muestras compartidas por Duncan, podemos ver a Emotet usando cadenas de respuesta relacionadas con una "billetera perdida", una venta de CyberMonday, reuniones canceladas, campañas de donación política y la terminación del seguro dental.

Se adjuntan a estos correos electrónicos documentos de Excel o Word con macros maliciosas o un archivo adjunto ZIP protegido con contraseña que contiene un documento de Word malicioso, con ejemplos que se muestran a continuación.





Actualmente, se están distribuyendo dos documentos maliciosos diferentes en las nuevas campañas de spam de Emotet.

La primera es una plantilla de documento de Excel que indica que el documento solo funcionará en computadoras de escritorio o portátiles y que el usuario debe hacer clic en 'Habilitar contenido' para ver el contenido correctamente.



El adjunto malicioso de Word usa la plantilla ' Red Dawn ' y dice que como el documento está en modo "Protegido", los usuarios deben habilitar el contenido y la edición para verlo correctamente.



Cómo infectan los dispositivos los archivos adjuntos de Emotet

Cuando abra los archivos adjuntos de Emotet, la plantilla del documento indicará que la vista previa no está disponible y que debe hacer clic en 'Habilitar edición' y 'Habilitar contenido' para ver el contenido correctamente.

Sin embargo, una vez que haga clic en estos botones, se habilitarán macros maliciosas que ejecutan un comando de PowerShell para descargar la DLL del cargador Emotet de un sitio de WordPress comprometido y guardarla en la carpeta C: \ ProgramData.



Una vez descargada, la DLL se iniciará usando C: \ Windows \ SysWo64 \ rundll32.exe, que copiará la DLL a una carpeta aleatoria en% LocalAppData% y luego volverá a ejecutar la DLL desde esa carpeta.


Después de un tiempo, Emotet configurará un valor de inicio en HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run para ejecutar el malware cuando se inicie Windows.


El malware Emotet ahora permanecerá ejecutándose silenciosamente en segundo plano mientras espera que los comandos se ejecuten desde su servidor de comando y control.

Estos comandos podrían ser para buscar correo electrónico para robarlo, propagarlo a otras computadoras o instalar cargas útiles adicionales, como los troyanos TrickBot o Qbot.



En este momento, BleepingComputer no ha visto ninguna carga útil adicional lanzada por Emotet, lo que también ha sido confirmado por las pruebas de Duncan.

"Solo he visto actividad de spambot de mis hosts infectados con Emotet recientes", dijo Duncan a BleepingComputer. "Creo que Emotet se está restableciendo esta semana".

"Quizás veamos algunas cargas útiles de malware adicionales en las próximas semanas", agregó el investigador.

Defenderse contra Emotet

La organización de monitoreo de malware y botnet You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login ha publicado una lista de 245 servidores de comando y control que los firewalls perimetrales pueden bloquear para evitar la comunicación con los servidores de comando y control.

El bloqueo de la comunicación con C2 también evitará que Emotet deje caer más cargas útiles en los dispositivos comprometidos.

Una operación internacional de aplicación de la ley eliminó la botnet Emotet en enero de 2021 y, durante diez meses, el malware no ha estado activo.

Sin embargo, a partir del domingo por la noche, las infecciones activas de TrickBot comenzaron a dejar caer el cargador Emotet en dispositivos ya infectados, reconstruyendo la botnet para la actividad de spam.

El regreso de Emotet es un evento importante que todos los administradores de red, profesionales de seguridad y administradores de Windows deben monitorear para detectar nuevos desarrollos.

En el pasado, Emotet se consideraba el malware de mayor distribución y tiene muchas posibilidades de recuperar su clasificación anterior.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
me están llamando la atención los navegadores enfocados a la seguridad y en a la automatización de tareas.

¿Tengo una duda, cual seria el navegador mas seguro y personalizable?

Pues verás entre mis favoritos a nivel personal te diré: Mozilla Firefox, Opera, Safari y  TOR, habrán muchos más y en diferente orden según gusto de cada quién lo cuál los puede hacer elegibles si se utilizan y configuran  de la manera adecuada. Ahora bien  halemos de seguridad... no existe ningún método infalible de seguridad dentro de la red pues por más seguridad, métodos, precauciones que implementemos siempre existe margen de vulnerabilidad. 

Saludos, Dragora.

Mudita dado a conocer mediante una publicación de blog que ha tomado la iniciativa de liberar el código fuente de la plataforma móvil MuditaOS, el cual está basado en el sistema operativo FreeRTOS en tiempo real y optimizado para dispositivos con pantallas construidas con tecnología de papel electrónico (e-ink).

La plataforma fue diseñada originalmente para su uso en teléfonos minimalistas con pantallas de papel electrónico que pueden funcionar sin recargar la batería durante mucho tiempo.


El núcleo del sistema operativo en tiempo real FreeRTOS se utiliza como base, para cuyo funcionamiento es suficiente un microcontrolador con 64 KB de RAM. Para el almacenamiento de datos, el sistema de archivos tolerante a fallas involucró a littlefs, desarrollado por la compañía ARM para el sistema operativo mbed OS.

El sistema es compatible con HAL (Capa de abstracción de hardware) y VFS (Sistema de archivos virtual), lo que simplifica la implementación del soporte para nuevos dispositivos y otros sistemas de archivos. Para el almacenamiento de datos de alto nivel, como la libreta de direcciones y las notas, se utiliza SQLite DBMS.

De las características de MuditaOS, podemos destacar las siguientes:

- Interfaz de usuario especialmente optimizada para pantallas monocromas basadas en papel electrónico. La presencia de un esquema de color «oscuro» opcional (letras claras sobre un fondo oscuro).
- Tres modos de funcionamiento: fuera de línea, no molestar y en línea.
- Libreta de direcciones con una lista de contactos aprobados.
- Sistema de mensajería con salida basada en árbol, plantillas, borradores, UTF8 y compatibilidad con emoji.
- Reproductor de música compatible con MP3, WAV y FLAC, que maneja etiquetas ID3.
- Conjunto típico de aplicaciones: calculadora, linterna, calendario, despertador, notas, grabadora de voz y software de meditación.
- La presencia de un administrador de aplicaciones para administrar el ciclo de vida de los programas en el dispositivo.
- Un administrador del sistema que se inicializa en el primer inicio y arranca el sistema después de encender el dispositivo.
- Se puede emparejar con auriculares y altavoces Bluetooth compatibles con A2DP (perfil de distribución de audio avanzado) y HSP (perfil de auriculares).
- Se puede utilizar en teléfonos con dos tarjetas SIM.
- Modo de control de carga rápida USB-C.
- Soporte VoLTE (Voice over LTE).
- Capacidad para funcionar como punto de acceso para distribuir Internet a otros dispositivos a través de USB.
- Localización de interfaz para 12 idiomas.
- Acceso a archivos mediante MTP (Protocolo de transferencia de medios).
- Al mismo tiempo, se abrió el código de la aplicación de escritorio Mudita Center, que proporciona funciones para sincronizar la libreta de direcciones y el programador de calendario con un sistema estacionario, instalar actualizaciones, descargar música, acceder a datos y mensajes desde el escritorio, crear copias de seguridad, recuperarse de una falla y usar el teléfono como puntos de acceso.

El programa está escrito utilizando la plataforma Electron y viene en ensamblajes para Linux (AppImage), macOS y Windows. En el futuro, está previsto abrir las aplicaciones Mudita Launcher (asistente digital para la plataforma Android) y Mudita Storage (almacenamiento en la nube y sistema de mensajería).

Hasta ahora, el único teléfono basado en MuditaOS es Mudita Pure, que está programado para comenzar a enviarse el 30 de noviembre.

El costo declarado del dispositivo es de $ 369 y el teléfono funciona con un microcontrolador ARM Cortex-M7 600MHz con memoria TCM de 512KB y está equipado con una pantalla E-Ink de 2.84 pulgadas (resolución 600×480 y 16 tonos de gris), 64 MB SDRAM, 16 GB eMMC Flash. Admite 2G, 3G, 4G / LTE, Global LTE, UMTS / HSPA +, GSM / GPRS / EDGE, Bluetooth 4.2 y USB tipo C (el acceso a Internet y Wi-Fi a través de un operador celular no está disponible, pero el dispositivo puede funcionar como módem USB GSM), peso 140 gr., Medidas 144x59x14,5 mm, batería de iones de litio de 1600 mAh reemplazable con carga completa en 3 horas y después de encenderlo, el sistema se inicia en 5 segundos.

Para quienes estén interesados en el código de MuditaOS deben saber que este está escrito en C/C ++ y publicado bajo la licencia GPLv3.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Tor Browser es una alternativa a los navegadores tradicionales. La ventaja principal es que se centra especialmente en la privacidad, trata los datos de los usuarios de tal forma que no se filtren. En este artículo nos hacemos eco de su última actualización y de cómo han eliminado el soporte para V2 Onion URL. Vamos a explicar en qué consiste esto y de qué manera puede afectar a los usuarios que usen este programa.

El navegador Tor quita el soporte para V2 Onion URL

¿Por qué ha quitado Tor Browser el soporte para V2 Onion URL? La razón es muy simple: se trata de un protocolo obsoleto, que actualmente se considera inseguro. Este navegador se centra mucho en la seguridad y en lograr que todos los servicios que utiliza sean fiables y no haya ningún riesgo.

De cara a los usuarios, al funcionamiento común del navegador, no vamos a notar gran cambio. Sí lo notaremos al intentar acceder a URL de TOR que utilicen dominios de host cortos de 16 caracteres, ya que a partir de ahora no son compatibles.

Si intentamos abrir una URL Onion V2, el navegador nos mostrará un mensaje que indica que esa dirección no es válida y el código de error 0xF6. Este servicio ya ha quedado obsoleto en el navegador y no lo podremos utilizar con la nueva versión que acaba de ser lanzada.

Hay que tener en cuenta que esto no es algo que deba pillar por sorpresa a los usuarios. Desde Tor Browser anunciaron hace ya un año que los servicios V2 Onion URL quedarían obsoletos para finales de 2021. Además, desde la versión 10.5 han ido anunciando a los usuarios que esta característica estaba próxima a desaparecer.

Y ese día ha llegado. Con la nueva actualización, los sitios web que utilicen Onion V2 ya no son accesibles. Es competencia de los administradores de las páginas el hecho de actualizar a V2 Onion URL y de esta forma los visitantes podrán acceder al contenido sin problemas.

Tor soluciona fallos en el navegador

Más allá de haber eliminado el soporte para V2 Onion URL, el navegador Tor también ha corregido algunos problemas que estaban presentes en la versión anterior. Esto es algo que suele ocurrir cada vez que llega una actualización, para conseguir que la navegación sea óptima y no aparezcan problemas.

Han solucionado pequeños fallos que aparecían al abrir determinados archivos PDF, al abrir vídeos AV1 con Windows 8.1 y eran marcados como archivos corruptos o problemas con ciertos complementos del navegador que no funcionaban correctamente.

Tor Browser 11 se basa en Firefox ESR 91, por lo que la mayoría de funciones y el aspecto en general va a ser muy similar para los usuarios que estén acostumbrados a utilizar el navegador de Mozilla y quieran comenzar a usar esta alternativa.

En definitiva, Tor Browser se actualiza a una nueva versión, la cual podemos descargar desde su página web oficial, y la principal novedad es que elimina el soporte para V2 Onion URL. También ha solucionado ciertos errores para que la navegación sea más óptima. Como siempre decimos, recomendamos tener las últimas versiones instaladas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Poder controlar la tele con el móvil es algo que llevamos pudiendo hacer años gracias a la integración de infrarrojos en los móviles. Por desgracia, la mayoría de marcas dejaron de incluirlo a cambio de ofrecer aplicaciones que permiten controlar las teles por Bluetooth o WiFi. Algunas como Xiaomi lo siguen integrando, pero hay aplicaciones que prometen poder controlar televisores desde cualquier dispositivo. Pero es malware.

Así lo ha revelado Tatyana Shishkova, analista de malware de Android en Kaspersky, que ha publicado el nombre de dos aplicaciones que estaban disponibles en la Google Play Store, pero que contenían Joker, uno de los malwares más peligrosos que hay actualmente para Android.

Una de las apps promete ser un mando para Smart TV

Las dos aplicaciones eran «Smart TV remote» y «Halloween Coloring«. Mientras que la de Halloween se ha instalado muy pocas veces (más de cinco), la del mando para Smart TV cuenta con más de 1.000 instalaciones. Esta última promete poder controlar cualquier Smart TV a través de WiFi, sin importar el modelo del móvil o del televisor. Eso sí, afirma que la función de voz sólo se puede usar en televisores con Android TV.

Citar#Joker Android Trojans on Google Play:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login Oct 29, 1,000+ You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login Nov 5, 1+ installs You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

— Tatyana Shishkova (@sh1shk0va) November 10, 2021

El modus operandi de los atacantes con el malware Joker es intentar introducirlo en apps que parecen inocuas, pero que en realidad contienen este troyano. A principios de año, se descubrieron 500.000 móviles Android infectados con este malware, cuya principal actividad es suscribir a los usuarios a servicios premium vía SMS sin su consentimiento.

Las aplicaciones contienen el código del malware oculto. En la propia app, lo único que encontramos malicioso son dos enlaces a enlaces alojados en un servidor de Amazon AWS. Esos archivos están cifrados mediante cifrado XOR, por lo que no son detectados por ningún antivirus como malware, ya que no hay ninguno capaz de detectar actualmente este tipo de amenazas protegidas.

Google Play Protect deja mucho que desear

Usando una clave XOR para descifrar el contenido, se obtienen dos apk maliciosos que las apps instalan en el móvil, introduciendo ya el peligroso malware que infecta los terminales de los usuarios. Este tipo de actividad suele estar bloqueada por Google, pero ya hemos visto que Play Protect deja mucho que desear, y siempre hay aplicaciones que consiguen saltarse los mecanismos de detección de Google.

Que una aplicación descargue a su vez otro APK fue de la Play Store es una actividad que normalmente está prohibida. Sin embargo, al estar los enlaces y las apps ofuscadas, no se detecta por los mecanismos automatizados de Google.

Ambas aplicaciones han sido reportadas a Google por parte de Bleeping Computer, pero parece que de momento sólo han eliminado la de Smart TV remote, subida por un supuesto desarrollador llamado «Dan M. Quinn». La de Halloween Coloring, subida por Albert C. Sullivan, sigue disponible todavía en la tienda. Por ello, si has descargado la de Smart TV, bórrala de inmediato de tu móvil.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Robinhood reveló el lunes una violación de seguridad que afectó a aproximadamente 7 millones de clientes, aproximadamente un tercio de su base de usuarios , que resultó en el acceso no autorizado a información personal por parte de un actor de amenazas no identificado.

La plataforma de inversión y comercio de acciones sin comisiones dijo que el incidente ocurrió "a última hora de la noche del 3 de noviembre", y agregó que está en proceso de notificar a los usuarios afectados.

"Según nuestra investigación, el ataque ha sido contenido y creemos que no se expusieron números de Seguro Social, números de cuentas bancarias o números de tarjetas de débito y que no ha habido pérdidas financieras para ningún cliente como resultado del incidente", agregó. Señaló la compañía financiera de Silicon Valley .

Se cree que el tercero malicioso diseñó socialmente a un representante de servicio al cliente para obtener acceso a los sistemas de soporte internos, usándolo para obtener las direcciones de correo electrónico de cinco millones de usuarios, los nombres completos de un grupo diferente de aproximadamente dos millones de personas e información adicional. como nombres, fechas de nacimiento y códigos postales para un conjunto limitado de 310 usuarios más.

De estos últimos, al menos 10 clientes han revelado sus "amplios detalles de cuenta". Sin embargo, la compañía no proporcionó más detalles sobre cuáles eran esos detalles "extensos".

Pero una vez que se controló la violación, Robinhood dijo que el infiltrado exigió un pago de extorsión a cambio de los datos robados, lo que llevó a la empresa a involucrar a las autoridades policiales en el asunto. No está claro de inmediato si se cumplieron las demandas de rescate y, de ser así, cuánto dinero se involucró.

Curiosamente, la lista de direcciones de correo electrónico también incluye cuentas que se han desactivado previamente. Según los términos de Robinhood , esto se hace así "porque las regulaciones nos obligan a preservar ciertos libros y registros".

"Nos tomamos muy en serio la seguridad de todos los datos recopilados y no pretendemos utilizar estos datos para nada más allá del cumplimiento de nuestros requisitos reglamentarios", señala la empresa en una página de soporte. A raíz de la infracción, Robinhood recomienda a los usuarios que visiten el Centro de ayuda> Mi cuenta e inicio de sesión> Seguridad de la cuenta para proteger sus cuentas con autenticación de dos factores.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha descubierto que un agente de acceso inicial previamente indocumentado proporciona puntos de entrada a tres actores de amenazas diferentes para generar intrusiones que van desde ataques de ransomware motivados financieramente hasta campañas de phishing.

El equipo de investigación e inteligencia de BlackBerry apodó a la entidad " Zebra2104 " , y el grupo es responsable de ofrecer un medio de enfoque digital para los sindicatos de ransomware como MountLocker y Phobos, así como la amenaza persistente avanzada (APT) rastreada bajo el nombre de StrongPity (también conocido como Prometeo).

El panorama de amenazas tal como lo conocemos ha estado cada vez más dominado por una categoría de jugadores conocidos como los agentes de acceso inicial ( IAB ), que son conocidos por proporcionar a otros grupos ciberdelincuentes, incluidos los afiliados de ransomware, un punto de apoyo en un grupo infinito de potencial. organizaciones que pertenecen a diversas geografías y sectores a través de puertas traseras persistentes en las redes de víctimas, construyendo efectivamente un modelo de precios para el acceso remoto.

"Normalmente, los IAB primero obtienen acceso a la red de la víctima y luego venden ese acceso al mejor postor en foros clandestinos ubicados en la web oscura", señalaron los investigadores de BlackBerry en un informe técnico publicado la semana pasada. "Más adelante, el postor ganador a menudo desplegará ransomware y / u otro malware motivado financieramente dentro de la organización de la víctima, según los objetivos de su campaña".

Un análisis de agosto de 2021 de más de 1,000 listados de acceso anunciados para la venta por IAB en foros clandestinos en la web oscura encontró que el costo promedio de acceso a la red fue de $ 5,400 para el período de julio de 2020 a junio de 2021, con las ofertas más valiosas que incluyen privilegios de administrador de dominio. a los sistemas empresariales.


La investigación de la empresa canadiense de ciberseguridad comenzó con un dominio llamado "trashborting [.] Com" que se encontró entregando Cobalt Strike Beacons, usándolo para vincular la infraestructura más amplia a una serie de campañas de malspam que dieron como resultado la entrega de cargas útiles de ransomware , algunas de las cuales se centró en las empresas inmobiliarias australianas y los departamentos gubernamentales estatales en septiembre de 2020.

Además de eso, se descubrió que "supercombinating [.] Com", otro dominio hermano registrado junto con trashborting [.] Com, estaba conectado a una actividad maliciosa de MountLocker y Phobos , incluso cuando el dominio se resolvió en una dirección IP "91.92.109 [.] 174, "que, a su vez, también se usó para alojar un tercer dominio" menciononecommon [.] Com "entre abril y noviembre de 2020 y se utilizó como servidor de comando y control en una campaña de junio de 2020 asociada con StrongPity.


Las superposiciones y la amplia orientación de la IAB también han llevado a los investigadores a creer que el operador "o tiene mucha mano de obra o ha instalado trampas grandes 'ocultas a simple vista' en Internet", lo que permite a MountLocker, Phobos y StrongPity obtener su acceso a las redes específicas.

"La red interconectada de infraestructura maliciosa vista a lo largo de esta investigación ha demostrado que, de una manera que refleja el mundo empresarial legítimo, los grupos de ciberdelincuencia se administran en algunos casos de manera similar a las organizaciones multinacionales", dijeron los investigadores. "Crean asociaciones y alianzas para ayudar a avanzar en sus objetivos. En todo caso, es seguro asumir que estas 'asociaciones comerciales' de grupos de amenazas se volverán aún más frecuentes en el futuro".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un nuevo malware de Android conocido como MasterFred utiliza superposiciones de inicio de sesión falsas para robar la información de la tarjeta de crédito de los usuarios de Netflix, Instagram y Twitter.

Este nuevo troyano bancario de Android también se dirige a los clientes bancarios con superposiciones de inicio de sesión falsas personalizadas en varios idiomas.

Una muestra de MasterFred se envió por primera vez a VirusTotal en junio de 2021 y se detectó por primera vez  en junio . El analista de malware Alberto Segura también compartió en línea una segunda muestra hace  una semana , señalando que se usó contra usuarios de Android de Polonia y Turquía.

Después de analizar el nuevo malware, los investigadores de Avast Threat Labs descubrieron las API proporcionadas por el servicio de accesibilidad de Android integrado para mostrar las superposiciones maliciosas.

"Al utilizar el kit de herramientas de accesibilidad de aplicaciones instalado en Android de forma predeterminada, el atacante puede usar la aplicación para implementar el ataque Overlay para engañar al usuario para que ingrese información de tarjeta de crédito para infracciones de cuentas falsas tanto en Netflix como en Twitter", dijo Avast  .

El uso malintencionado del servicio de accesibilidad no es algo nuevo, ya que los creadores de malware lo han estado utilizando para simular toques y navegar por la interfaz de usuario de Android, instalar sus cargas útiles, descargar e instalar otro malware y ejecutar varias operaciones en segundo plano.


Sin embargo, algunas cosas hacen que MasterFred se destaque. Uno de ellos es que las aplicaciones maliciosas que se utilizan para distribuir el malware en los dispositivos Android también agrupan las superposiciones de HTML que se utilizan para mostrar los formularios de inicio de sesión falsos y recopilar la información financiera de las víctimas.

El malware también utiliza la puerta de enlace de la web oscura You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login (también conocida como proxy Tor2Web) para entregar la información robada a los servidores de la red Tor bajo el control de su operador.

Dado que al menos una de las aplicaciones maliciosas que integran el banco MasterFred estuvo disponible recientemente en la Play Store de Google, es seguro decir que los operadores de MasterFred probablemente también estén usando tiendas de terceros como canal de entrega de este nuevo malware.

"Podemos decir que al menos una aplicación se entregó a través de Google Play. Creemos que ya se eliminó", dijo el equipo de investigación de Avast a BleepingComputer.

Los indicadores de compromiso (IOC), incluidos los hash de muestra de MasterFred y los dominios del servidor de comando y control, se pueden encontrar en el  hilo de Twitter de Avast Threat Labs .

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una campaña de software espía en curso denominada 'PhoneSpy' se dirige a los usuarios de Corea del Sur a través de una variedad de aplicaciones de estilo de vida que se anidan en el dispositivo y filtran silenciosamente los datos.

La campaña implementa un poderoso malware de Android capaz de robar información sensible de los usuarios y apoderarse del micrófono y la cámara del dispositivo.

Los investigadores de  Zimperium  que descubrieron la campaña informaron sus hallazgos a las autoridades de Estados Unidos y Corea del Sur, pero el host que admite el servidor C2 aún no se ha eliminado.

Oculto en aplicaciones "inofensivas"

El software espía 'PhoneSpy' viene disfrazado como una aplicación complementaria de Yoga, la aplicación de mensajería Kakao Talk, un navegador de galería de imágenes, una herramienta de edición de fotos y más.

Zimperium identificó 23 aplicaciones atadas que aparecen como aplicaciones de estilo de vida inofensivas, pero en segundo plano, las aplicaciones se ejecutan todo el tiempo, espiando silenciosamente al usuario.

Para hacer eso, las aplicaciones le piden a la víctima que otorgue numerosos permisos durante la instalación, que es la única etapa en la que los usuarios cautelosos notarían signos de problemas.


El software espía que se esconde dentro de las aplicaciones enmascaradas puede hacer lo siguiente en un dispositivo comprometido:

- Obtenga la lista completa de las aplicaciones instaladas
- Desinstale cualquier aplicación en el dispositivo
- Instale aplicaciones descargando APK desde los enlaces proporcionados por C2
- Robar credenciales mediante URL de phishing enviadas por C2
- Robar imágenes (tanto de la memoria interna como de la tarjeta SD)
- Monitoreo de la ubicación GPS
- Robar mensajes SMS
- Robar contactos telefónicos
- Robar registros de llamadas
- Grabe audio en tiempo real
- Grabe video en tiempo real usando cámaras frontales y traseras
- Acceda a la cámara para tomar fotos con las cámaras frontal y trasera
- Envíe SMS a un número de teléfono controlado por el atacante con texto controlado por el atacante
- Extraer información del dispositivo (IMEI, marca, nombre del dispositivo, versión de Android)
- Oculte su presencia ocultando el icono del cajón / menú del dispositivo

El espectro de datos robados es lo suficientemente amplio como para admitir casi cualquier actividad maliciosa, desde espiar a cónyuges y empleados hasta realizar ciberespionaje corporativo y chantajear a personas.

Además de la funcionalidad del software espía, algunas aplicaciones también intentan activamente robar las credenciales de las personas mostrando páginas de inicio de sesión falsas para varios sitios.

Las plantillas de phishing utilizadas en la campaña PhoneSpy imitan los portales de inicio de sesión de cuentas de Facebook, Instagram, Kakao y Google.


Distribución de aplicaciones atadas

Se desconoce el canal de distribución inicial para las aplicaciones enlazadas, y los actores de amenazas no cargaron las aplicaciones en Google Play Store.

Podría distribuirse a través de sitios web, tiendas de APK de fiestas oscuras, redes sociales, foros o incluso  webhards y torrents .

Un método de distribución potencial puede ser a través de SMS enviados por el dispositivo comprometido a su lista de contactos, ya que el malware es capaz.

El uso de mensajes de texto SMS aumenta las posibilidades de que los destinatarios toquen el enlace que lleva a descargar las aplicaciones enlazadas, ya que proviene de una persona que conocen y en quien confían.


Si cree que puede haber descargado una aplicación peligrosa que contiene software espía, elimínela inmediatamente y luego ejecute un escáner AV para limpiar su dispositivo de cualquier resto.

En los casos en que la privacidad y la seguridad sean imperativas, realice un restablecimiento de fábrica en el dispositivo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Pavel Durov anunció a finales de 2020 que Telegram iba a contar con algunas funciones de pago. El motivo detrás de esto es buscar una vía de financiación para el servicio, ya que hasta ahora los únicos ingresos que tenían eran a través de la fortuna de su creador. Además de esas funciones de pago, la app va a contar con anuncios, pero habrá una manera de evitarlos: pagando.

Así lo ha anunciado hoy el propio Pavel Durov en su canal de Telegram. La app cuenta ya con alrededor de 500 millones de usuarios, y una de las dudas que surgían a su alrededor era cómo conseguían mantenerse en funcionamiento si no cobran nada a sus usuarios. La realidad es que hasta ahora han usado la fortuna de Durov, valorada en 3.400 millones de dólares en 2020, para mantener el coste de los servidores y del tráfico.

Este tipo de apps sin ingresos directos suelen ser vendidas posteriormente por cifras astronómicas. Un ejemplo de esto fue lo que ocurrió con WhatsApp, que tiene detrás a Facebook. En este caso, han introducido varias vías de financiación, como WhatsApp Business.

Telegram, sin embargo, no ha tenido ninguna funcionalidad que les haya hecho ingresas dinero hasta ahora. Por ello, Pavel Durov anunció que iban a lanzar varias funcionalidades de pago. Entre ellas habrá nuevas funciones para empresas, y otras para usuarios avanzados. Así, las funcionalidades actuales de la app seguirán siendo gratis, al igual que otras nuevas que irán llegando en el futuro.

Anuncios sólo en los canales abiertos

En cuanto a los anuncios. Durov afirma que llegaron a plantearse introducirlos en grupos de Telegram y chats individuales, pero decidieron que era una mala idea. Por ello, donde sí habrá anuncios es en los canales públicos de más de 1.000 suscriptores. Estos canales agrupan a multitud de usuarios, y en la actualidad ya tienen anuncios. Telegram simplemente va a implementar su plataforma de anuncios, con anuncios que sigan unas reglas concretas, y siempre respetando la privacidad y funcionalidad de los usuarios.


Ahora, los usuarios que no quieran anuncios tendrán también la opción de evitarlos. Durov anunció el pasado 26 de octubre que los anuncios llegarán pronto a los canales abiertos de Telegram con más de 1.000 suscriptores, que son los que más tráfico y coste generan al servicio. No habrá datos personales usados en esos anuncios, los cuales dependerán únicamente de la temática del canal. Los anuncios oficiales serán discretos, con textos breves, sin enlaces externos y sin fotos. Además, sólo se mostrarán tras haber visto todas las publicaciones nuevas de un canal.

Cambios tras el anuncio

Tras ese anuncio, muchos usuarios se cabrearon y sugirieron introducir alguna forma de desactivar los anuncios. Por ello, hoy Pavel Durov ha anunciado dos cambios con respecto a los anuncios.

El primero es que los usuarios podrán desactivar los anuncios oficiales pagando, y esperan lanzar esta función este mismo mes de noviembre. Con ella, los usuarios podrán dejar de ver los anuncios en la app en forma de suscripción mensual. A su vez, si no usas ningún canal y sólo hablas en grupos o chats individuales, nunca vas a ver anuncios. Así, en segundo lugar, los administradores de los canales podrán decidir desactivar los anuncios oficiales en sus canales para todos los usuarios.

Por ello, en las próximas semanas veremos la llegada de los anuncios a Telegram. De momento no se conoce ninguna función concreta que vaya a ser de pago, donde el uso de anuncios es la mejor primera forma de comprobar si pueden monetizar la app sin ofrecer funciones exclusivas para unos pocos usuarios. Además, habrá quien prefiera pagar para no tener esos anuncios.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En Windows 10 existen todo tipo de modos secretos que se encuentran ocultos y que quizás no conozcas su existencia. Pero están ahí y pueden resultarte muy útiles. No hay necesidad de descargar ningún software extra y puedes acceder a ellos siempre que quieras. Uno de los modos secretos que funciona y puedes seguir utilizando en Windows 11 es el "Modo Dios", ¿sabes para qué sirve y cómo se activa?

Si se te hace pesado buscar en los menús de Windows 11 para dar con alguna herramienta o configuración difícil de encontrar en el Panel de control, activando el "Modo Dios" tendrás acceso directo al Panel de control maestro en tu escritorio.

Cómo activar el Modo Dios

Es habitual que Windows oculte configuraciones importantes en el interior del Panel de control o los menús de Configuración, lo que supone que los usuarios tengan que investigar su sistema para realizar cambios en acciones tan simples como cambiar la fecha y la hora del PC. En los videojuegos, el "Modo Dios" suele tratarse de un menú oculto que permite activar una serie de opciones y trampas como pueden serlo hacerte invisible o tener munición infinita. En el caso de Windows 11 podrás configurar y ajustar tu PC en un abrir y cerrar de ojos. Para ser más exactos, "Modo Dios" en Windows 11 reúne en un solo listado todas las opciones que podemos encontrar repartidas en Ajustes, Configuración etc.

Con la llegada de Windows 11 esta función oculta y verdaderamente útil se ha mantenido, aunque tenemos que tener en cuenta que Microsoft podría desactivarla o alterar la forma de acceder a ella, por lo que los pasos a seguir podrían variar. En estos momentos, la forma de activar el "Modo Dios" en Windows 11 es la siguiente:

Haz clic derecho en una zona vacía de tu escritorio de Windows. A continuación, selecciona Nuevo y luego, dentro de la misma selección, selecciona Carpeta.


A continuación, se creará una nueva carpeta a la que tendrás que darle un nuevo nombre. El nombre que debes darle debe ser el siguiente: GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}


Una vez que le cambies el nombre a la carpeta se creará un nuevo ejecutable con la forma del ya conocido Panel de Control de Windows. Haciendo clic derecho puede abrirlo o anclarlo en el menú de Acceso rápido del Explorador de archivos. Si accedes ya estarás dentro del apodado "Modo Dios". Podrás observar que la carpeta está organizada por categorías a su vez ordenadas por orden alfabético.


Si no te convence cómo están organizados los elementos siempre puedes agruparlos todos en orden alfabético dejando de lado las categorías que no te interesan. Basta con hacer clic derecho en un espacio en blanco de la carpeta y hacer clic en Agrupar por selección y nombre.


También tienes la opción de visualizar todos los ajustes en forma de iconos. Para ver todos los ajustes en forma de iconos tendrás que volver a hacer clic derecho en un espacio en blanco y seleccionar Iconos grandes. En definitiva, las funciones del "Modo Dios" son amplias y muy útiles para el día a día.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Centro Australiano de Seguridad Cibernética (ACSC) está alertando a los administradores web sobre la explotación activa de CVE-2021-42237, una falla de ejecución remota de código en la Plataforma de Experiencia de Sitecore (Sitecore XP).

Sitecore XP es un sistema de gestión de contenido de nivel empresarial con análisis de datos (CMS) utilizado por empresas conocidas, como American Express, IKEA, Carnival Cruise Lines, L'Oréal y Volvo.

El 13 de octubre,  Sitecore reveló y lanzó un parche  para una vulnerabilidad de ejecución remota de código de autenticación previa rastreada como  CVE-2021-42237 que  afecta a Sitecore Experience Platform.

La semana pasada, la firma de ciberseguridad Assetnote publicó un informe  técnico  sobre la vulnerabilidad que permite a los piratas informáticos utilizar los detalles para crear exploits y explotar activamente sitios web vulnerables.



"Existe una explotación activa de una vulnerabilidad que ocurre en ciertas versiones de los sistemas Sitecore Experience Platform. La organización australiana afectada debería aplicar la actualización de seguridad disponible", advirtió la ACSC en un nuevo aviso publicado el viernes.

El componente vulnerable de Sitecore XP utilizado en los ataques es Report.ashx, que proporciona una vista de alto nivel de análisis, participación y éxito de SEO.

"Este problema está relacionado con una vulnerabilidad de ejecución remota de código a través de una deserialización insegura en el  archivo  Report.ashx . Este archivo se usó para impulsar el Panel de control ejecutivo (del informe Silverlight) que quedó  obsoleto  en la versión inicial 8.0", explica Sitecore en su seguridad. consultivo.

La vulnerabilidad no requiere autenticación y permite que cualquier atacante remoto explote un servidor vulnerable y obtenga un control completo sobre él.

Sin embargo, después de que Microsoft desaprobara Silverlight, esta funcionalidad de Sitecore XP quedó obsoleta en la versión 8.0, lo que provocó que solo las versiones específicas de la plataforma se vieran afectadas por la vulnerabilidad.

Las versiones de Sitecore XP afectadas por la vulnerabilidad RCE son:

Versión inicial de Sitecore XP 7.5 - Sitecore XP 7.5 Update-2
Versión inicial de Sitecore XP 8.0 - Actualización de Sitecore XP 8.0-7
Versión inicial de Sitecore XP 8.1 - Sitecore XP 8.1 Update-3
Versión inicial de Sitecore XP 8.2 - Sitecore XP 8.2 Update-7

Esta vulnerabilidad afecta a todas las versiones de Sitecore XP, incluidos todos los "entornos de instancia única y de múltiples instancias, entornos de nube administrada y todos los roles de servidor de Sitecore (entrega de contenido, edición de contenido, informes, procesamiento, etc.), que están expuestos a la Internet."

La solución recomendada es actualizar a una versión segura, idealmente Sitecore XP 9.0 o superior.

Alternativamente, puede mitigar la falla eliminando el archivo Report.ashx de " /sitecore/shell/ClientBin/Reporting/Report.ashx " en todas las instancias del servidor.

Para obtener más detalles sobre cómo mitigar la vulnerabilidad CVE-2021-42237 de Sitecore XP y cómo afecta a su versión instalada, puede revisar el boletín de seguridad de Sitecore  .

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Departamento del Tesoro de los EE. UU. Anunció hoy sanciones contra el intercambio de criptomonedas Chatex por ayudar a las bandas de ransomware a evadir las sanciones y facilitar las transacciones de rescate.

El Tesoro también sancionó al intercambio de cifrado Suex vinculado a Rusia en septiembre por ayudar al menos a ocho grupos de ransomware, con más del 40% de su transacción conocida vinculada a actores ilícitos.

"Análisis de las operaciones conocidas de ChateX indican que más de la mitad están atribuirse directamente a actividades ilícitas o de alto riesgo, tales como darknet mercados, intercambios de alto riesgo, y ransomware", el Departamento del Tesoro dijo.

"Chatex está siendo designado de conformidad con la Orden Ejecutiva (EO) 13694, según enmendada, para brindar apoyo material a Suex y la amenaza que representan los actores criminales de ransomware".

Al igual que en el caso de Suex, al sancionar a Chatex, la administración de EE. UU. Tiene como objetivo derribar el canal principal utilizado por las operaciones de ransomware para cobrar los pagos de rescate de sus víctimas.

El Tesoro también designó a IZIBITS OU, Chatextech SIA y Hightrade Finance Ltd por brindar asistencia a Chatex mediante la creación de infraestructura y la habilitación de las operaciones de Chatex.

Al sancionar los intercambios de cifrado que brindan apoyo material a las bandas de ransomware, EE. UU. Espera agotar sus fondos e interrumpir sus operaciones.

"Los intercambios de moneda virtual sin principios como Chatex son fundamentales para la rentabilidad de las actividades de ransomware, especialmente al lavar y cobrar las ganancias para los delincuentes", agregó el Tesoro.

"El Departamento del Tesoro seguirá utilizando todas las autoridades disponibles para interrumpir a los ciber actores malintencionados, bloquear las ganancias delictivas mal habidas y disuadir acciones adicionales contra el pueblo estadounidense".

Represión de los canales de pago de ransomware

El informe de análisis de tendencias financieras de FinCEN se emitió inmediatamente después de que los gobiernos de todo el mundo dijeron que tomarán medidas enérgicas contra los canales de pago de criptomonedas utilizados por las bandas de ransomware .

Hace un año, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro también advirtió a los negociadores de ransomware que podrían enfrentar sanciones civiles por facilitar el pago de rescates si sus acuerdos involucran bandas de ransomware que ya están en su lista de sanciones.

El gobierno de EE. UU. También ha impuesto sanciones contra otras entidades y actores de amenazas asociados con operaciones de ransomware en los últimos años.

La lista de sanciones vinculadas al ransomware incluye  al desarrollador del ransomware Cryptolocker ,  dos iraníes  por brindar apoyo material al ransomware SamSam, el  Grupo Lazarus y dos subgrupos, Bluenoroff y Andariel ,

El de EE.UU. también acusó a varios miembros del Mal Corp por robar más de $ 100 millones y los añadió a la lista de sanciones de la Oficina de Asuntos Exteriores Control de Activos (OFAC). Este grupo está asociado con varias familias de ransomware, incluidas WastedLocker , Hades , Phoenix CryptoLocker , PayLoadBin , DoppelPaymer , Grief y Macaw Locker .

Hoy, el Tesoro también sancionó a los afiliados de REvil Yaroslav Vasinskyi y Yevgeniy Polyanin por su participación en el despliegue de cargas útiles de ransomware en 5.500 ataques .

El Departamento de Estado de EE. UU. También anunció el jueves una recompensa de $ 10,000,000 por la identificación o ubicación de los miembros principales del ransomware DarkSide y $ 5,000,000 por información que conduzca al arresto de afiliados y otros participantes en los ataques de DarkSide.

La cantidad total de rescates que terminaron en las billeteras de los grupos de ransomware ascendió a más de $ 400 millones en los últimos 12 meses, más de cuatro veces más en comparación con la totalidad de 2019, según el Tesoro.

El mes pasado, la Red de Ejecución de Delitos Financieros del Departamento del Tesoro (FinCEN) identificó aproximadamente $ 5.2 mil millones en transacciones salientes de Bitcoin probablemente vinculadas a las 10 variantes de ransomware más comúnmente reportadas .

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si estas en busca de un navegador web que te ofrezca seguridad tanto al momento de utilizarlo asi como tambien con la protección de tus datos, puedo decirte que LibreWolf es uno de esos navegadores web que pueden ofrecerte eso y más.

LibreWolf  es una reconstrucción de Firefox en el cual se implementan una gran cantidad de cambios para mejorar la seguridad y la privacidad del usuario. El proyecto está siendo desarrollado por una comunidad de entusiastas.

Sobre LibreWolf

El navegador como tal es construido sobre la base de Firefox, pero, son añadidas y eliminadas diversas características que hacen a este navegador único, entre las principales diferencias de Firefox y LibreWolf se destacan las siguientes:

- Se elimina el código asociado con la transmisión de telemetría, realizar experimentos para habilitar las capacidades de prueba para algunos usuarios, mostrar inserciones de anuncios en las recomendaciones al escribir en la barra de direcciones, mostrar anuncios innecesarios.
- Deshabilita siempre que sea posible las llamadas a los servidores de Mozilla y minimiza las conexiones en segundo plano.
- Se eliminaron los complementos incorporados para buscar actualizaciones, enviar informes de fallas e integrarse con el servicio Pocket.
- Utiliza los motores de búsqueda predeterminados que preservan la privacidad y no rastrean las preferencias del usuario.
- Hay soporte para los motores de búsqueda DuckDuckGo, Searx y Qwant.
- Incluye el bloqueador de anuncios uBlock Origin en el paquete básico.
- La presencia de un firewall para complementos, lo que restringe la capacidad de establecer conexiones de red desde los complementos.
- Teniendo en cuenta las recomendaciones desarrolladas por el proyecto Arkenfox para fortalecer la privacidad y seguridad, así como bloquear oportunidades que permitan la identificación pasiva del navegador.
- Configuraciones opcionales resulta en un rendimiento mejorado.
- Generación rápida de actualizaciones basadas en la base de código principal de Firefox (las compilaciones de las nuevas versiones de
- LibreWolf se generan unos días después del lanzamiento de Firefox).
- Desactiva de forma predeterminada los componentes propietarios para ver contenido protegido DRM (Digital Right Management).
- Para bloquear los métodos de autenticación de usuarios indirectos, WebGL está deshabilitado de forma predeterminada.
- También están deshabilitados de forma predeterminada IPv6, WebRTC, Google Safe Browsing, OCSP, API de ubicación geográfica.
- Sistema de compilación independiente: a diferencia de algunos proyectos similares, las compilaciones de LibreWolf se compilan por sí mismas y no corrigen las compilaciones de Firefox listas para usar ni anula la configuración.
- LibreWolf no está asociado con un perfil de Firefox y está instalado en un directorio separado, lo que permite usarlo en paralelo con Firefox.
- Protección de ajustes importantes para que no se modifiquen. Las configuraciones que afectan la seguridad y la privacidad se capturan en los archivos librewolf.cfg y policies.json y no se pueden cambiar desde complementos, actualizaciones o el navegador en sí. La única forma de realizar cambios es editar directamente los archivos librewolf.cfg y policies.json.
- Se ofrece un conjunto opcional de complementos de LibreWolf probados, que incluye complementos como NoScript , uMatrix y Bitwarden (administrador de contraseñas).

Para quienes son usuarios de Arch Linux, Manjaro, Arco Linux o cualquier otra distribucion derivada de Arch Linux, pueden hacer la instalación directamente del navegador desde los repos de AUR.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hace dos años, el que aún se conocía como Raspbian se actualizó a Buster en septiembre, un poco antes de lo que se esperaba para que la Raspberry Pi 4 llegara con un nuevo sistema operativo bajo el brazo. Este año no se ha lanzado ninguna placa, por lo que la compañía se lo ha tomado con un poco más de calma en lanzar la versión de Raspberry Pi OS basada en la última versión de Debian.

Debian 11 llegó en agosto, y la versión de Raspberry Pi OS basada en él ha sido anunciada hoy 8 de noviembre. Entre sus novedades, destacan por lo menos dos que podremos apreciar a simple vista: por una parte, todas las aplicaciones han pasado a usar GTK 3; por otra, se ha introducido un nuevo sistema de notificaciones que se ha integrado en la barra de tareas, y cada aviso se mostrará en la zona superior derecha.

Novedades más destacadas de Raspberry Pi OS Bullseye

- GTK 3.
- Relacionado con lo anterior, el gestor de ventanas ahora es Mutter; han abandonado openbox.
- Gestor de notificaciones en la barra de tareas. Las notificaciones se mostrarán en la parte superior derecha, y se puede acceder a ella desde otras apps.
- Plugin del actualizador. Cuando hay actualizaciones, seremos informados aprovechando el gestor de notificaciones. Creo que esto es una novedad importante.
- La opción Vista del gestor de archivos se ha simplificado.
- Driver de vídeo KMS. Esto mejorará mucho la gestión de los vídeos.
- Nuevo driver de cámara.
- Nueva aplicación Bookshelf, un descargador de PDFs.
- La mayoría de las aplicaciones se han actualizado, como Chromium que está ahora en la v92 y mejorará la reproducción de vídeo acelerada por hardware.

La mejor manera de instalar esta versión de Raspberry Pi OS basada en Bullseye es usar la herramienta Imager de la compañía, desde disponible en la página de descargas del proyecto.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En los últimos meses hemos estado informando de un escritorio cuyas numeraciones eran algo así como 0.15.0, 0.16.0 o 0.17.0. No son las más normales cuando hablamos de algo que incluyen sistemas operativos como Lubuntu, basado en Ubuntu y usado por muchos de los que priorizan el rendimiento a lo bonito o personalizable, pero esas versiones pasadas son ya parte del pasado, valga la redundancia, porque este misma tarde se ha lanzado LXQt 1.0.0.

Entre las novedades tenemos de todo tipo, tanto del entorno gráfico como de las aplicaciones y bibliotecas. Para empezar y en el apartado general, el proyecto destaca que LXQt 1.0.0 depende de Qt 5.15, la última versión LTS de Qt. También han introducido novedades en el panel, el terminal y su widget, se ha añadido modo no molestar y ahora el archivador muestra un promt para la contraseña para archivos con listas cifradas.


Novedades generales de LXQt 1.0.0

- Ahora se pueden añadir/eliminar emblemas en el diálogo de Propiedades de Archivo.
- Personalización recursiva de las carpetas.
- Añadida una opción para que los elementos del escritorio sean pegajosos por defecto.
- Añadidas las acciones de montar, desmontar y expulsar al menú contextual de archivos en computer:///.
- Evitado el bloqueo al montar volúmenes encriptados mediante una solución (para un problema en GLib, Qt o ambos).
- Solución de un error en GFileMonitor en relación con la supervisión de archivos dentro de los enlaces simbólicos de las carpetas.
- Se ha evitado el cierre del diálogo de operación de archivos al cerrar la ventana principal.
- Asegurado un orden de selección correcto con Shift+ratón en la vista de iconos.
- Se ha evitado la auto-sobreescritura en el diálogo de petición de archivos.
- Corregida la búsqueda regex insensible a mayúsculas y minúsculas en cirílico.
- Mejoras y correcciones para suavizar el desplazamiento de la rueda. Ahora, los modos compacto y de lista también lo tienen por defecto (pero se puede desactivar para ellos).
- Se han añadido opciones al diálogo de archivos de LXQt para mostrar los archivos ocultos y desactivar el desplazamiento suave en los modos de lista y compacto. Además, se recuerdan las columnas ocultas del diálogo de archivos de LXQt en el modo de lista.

El código de LXQt 1.0.0 ya está disponible, lo que significa, sobre todo, que los desarrolladores ya pueden empezar a trabajar con él. En los próximos días empezarán a llegar los nuevos paquetes a las distribuciones Rolling Release, mientras que las que sigan otro modelo de desarrollo los añadirán en versiones futuras del sistema operativo.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La principal agencia de aplicación de la ley y contrainteligencia de Ucrania reveló el jueves las identidades reales de cinco personas presuntamente involucradas en ataques cibernéticos atribuidos a un grupo de ciberespionaje llamado Gamaredon , que vincula a los miembros con el Servicio Federal de Seguridad de Rusia (FSB).

El Servicio de Seguridad de Ucrania (SSU), que calificó al grupo de hackers como "un proyecto especial del FSB, que apuntaba específicamente a Ucrania", dijo que los perpetradores "son oficiales del FSB 'de Crimea' y traidores que desertaron al enemigo durante la ocupación de la península en 2014. "

Los nombres de las cinco personas que la SSU alega que forman parte de la operación encubierta son Sklianko Oleksandr Mykolaiovych, Chernykh Mykola Serhiiovych, Starchenko Anton Oleksandrovych, Miroshnychenko Oleksandr Valeriiovych y Sushchenko Oleh Oleksandrovych.

Desde su creación en 2013, el grupo Gamaredon vinculado a Rusia (también conocido como Primitive Bear, Armageddon, Winterflounder o Iron Tilden) ha sido responsable de una serie de campañas de phishing maliciosas, principalmente dirigidas a instituciones ucranianas, con el objetivo de recopilar información clasificada de comprometido los sistemas de Windows para obtener beneficios geopolíticos.


Se cree que el actor de la amenaza ha llevado a cabo no menos de 5,000 ciberataques contra las autoridades públicas y la infraestructura crítica ubicada en el país, e intentó infectar más de 1,500 sistemas informáticos gubernamentales, con la mayoría de los ataques dirigidos a las agencias de seguridad, defensa y aplicación de la ley para obtener información de inteligencia.

"A diferencia de otros grupos de APT, el grupo Gamaredon parece no hacer ningún esfuerzo para intentar pasar desapercibido", señaló la firma eslovaca de ciberseguridad ESET en un análisis publicado en junio de 2020. "A pesar de que sus herramientas tienen la capacidad de descargar y ejecutar de forma arbitraria binarios que podrían ser mucho más sigilosos, parece que el objetivo principal de este grupo es propagarse lo más lejos y rápido posible en la red de su objetivo mientras intenta exfiltrar datos ".


Además de su gran dependencia de las tácticas de ingeniería social como vector de intrusión, se sabe que Gamaredon ha invertido en una variedad de herramientas para atravesar las defensas de las organizaciones que están codificadas en una variedad de lenguajes de programación como VBScript, VBA Script, C #, C ++, así como el uso de shells de comandos CMD, PowerShell y .NET.

"Las actividades del grupo se caracterizan por la intromisión y la audacia", señaló la agencia en un informe técnico .

El principal de su arsenal de malware es una herramienta modular de administración remota llamada Pterodo (también conocida como Pteranodon ) que viene con capacidades de acceso remoto, registro de pulsaciones de teclas, la capacidad de tomar capturas de pantalla, acceder al micrófono y también descargar módulos adicionales desde un servidor remoto. También se utiliza un ladrón de archivos basado en .NET que está diseñado para recopilar archivos con las siguientes extensiones: * .doc, * .docx, * .xls, * .rtf, * .odt, * .txt, * .jpg, y * .pdf.

Una tercera herramienta se refiere a una carga útil maliciosa que está diseñada para distribuir el malware a través de medios extraíbles conectados, además de recopilar y desviar datos almacenados en esos dispositivos.

"La SSU está continuamente tomando medidas para contener y neutralizar la ciberagresión de Rusia contra Ucrania", dijo la agencia. "Establecido como una unidad de la llamada 'Oficina del FSB de Rusia en la República de Crimea y la ciudad de Sebastopol', este grupo de personas actuó como un puesto de avanzada [...] desde 2014 amenazando deliberadamente el funcionamiento adecuado de los órganos estatales y infraestructura de Ucrania ".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva campaña de phishing que pretende ser listas de suministros infecta a los usuarios con el ransomware MirCop que encripta un sistema objetivo en menos de quince minutos.

Los actores comienzan el ataque enviando un correo electrónico no solicitado a la víctima, supuestamente siguiendo un arreglo previo sobre una orden.

El cuerpo del correo electrónico contiene un hipervínculo a una URL de Google Drive que, si se hace clic, descarga un archivo MHT (archivo de página web) en la máquina de la víctima.

Para los actores de amenazas, elecciones simples pero clave como esta pueden distinguir entre que la víctima haga clic en la URL o envíe el correo electrónico a la carpeta de correo no deseado.

Quienes abren el archivo solo pueden ver una imagen borrosa de lo que supuestamente es una lista de proveedores, sellada y firmada para darle un toque extra de legitimidad.


Cuando se abre el archivo MHT, descargará un archivo RAR que contiene un descargador de malware .NET de "hXXps: // a [.] Pomf [.] Cat / gectpe.rar".

El archivo RAR contiene un archivo EXE, que utiliza scripts VBS para colocar y ejecutar la carga útil de MirCop en el sistema infectado.

El ransomware se activa inmediatamente y comienza a tomar capturas de pantalla, bloquea archivos, cambia el fondo a una horrible imagen con temática de zombies y ofrece a las víctimas instrucciones sobre qué hacer a continuación.


Según  Cofense , todo este proceso toma menos de 15 minutos desde que la víctima abre el correo electrónico de phishing.

Después de eso, el usuario solo puede abrir navegadores web específicos para comunicarse con los actores y organizar el pago del rescate.

Los actores no están interesados ​​en colarse en la máquina de la víctima de manera sigilosa o permanecer allí por mucho tiempo para realizar ciberespionaje o robar archivos para extorsión.

Por el contrario, el ataque se desarrolla rápidamente y la fuente del problema se vuelve rápidamente evidente para la víctima.

Una cepa antigua pero peligrosa

MicroCop es una antigua variedad de ransomware que solía entregar demandas de rescate absurdas a sus víctimas.

Eso fue hasta que Michael Gillespie descifró su cifrado y lanzó un descifrador de trabajo de forma gratuita .

No pudimos probar si ese antiguo descifrador funciona con las cargas útiles eliminadas en la campaña más reciente, pero es posible que aún pueda desbloquear los archivos.

Cofense dice que la misma variante ha estado en circulación desde junio de este año, por lo que MicroCop todavía está disponible y las personas deben tener cuidado con el manejo de correos electrónicos no solicitados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mozilla lanzó Thunderbird 91.3 para corregir varias vulnerabilidades de alto impacto que pueden causar una denegación de servicio, falsificar el origen, eludir las políticas de seguridad y permitir la ejecución de código arbitrario.

La activación de la mayoría de los errores recién descubiertos requiere que el usuario abra un sitio web especialmente diseñado en un contexto de navegación, por lo que la explotación es relativamente simple.

Múltiples defectos de alta gravedad

Mozilla Thunderbird 91.3 corrige diez fallas descubiertas por  varios investigadores  que cubren un amplio espectro de la funcionalidad del cliente de correo electrónico.

- CVE-2021-38503: restricciones de omisión de iframe que permiten la ejecución de scripts
- CVE-2021-38504: user-after-free en el cuadro de diálogo del selector de archivos, lo que provoca daños en la memoria y un bloqueo potencialmente explotable
- CVE-2021-38505: Grabación de datos confidenciales del Portapapeles en la nube de Windows 10, copia de datos confidenciales del usuario a la cuenta de Microsoft del usuario, lo que aumenta el riesgo de divulgación de información.
- CVE-2021-38506: Obligar a Thunderbird a entrar en modo de pantalla completa sin la interacción del usuario, lo que prepara el terreno para ataques de suplantación de identidad y suplantación de identidad (phishing).
- CVE-2021-38507: Omita la 'Política del mismo origen' aprovechando la función de cifrado oportunista.
- CVE-2021-38508: capacidad de superponer la solicitud de permiso para engañar al usuario para que otorgue cualquier permiso.
- CVE-2021-38509: Simula el diálogo de alerta de JavaScript () con contenido arbitrario.
- CVE-2021-38510: Omita las 'protecciones de descarga' en archivos .inetloc, lo que permite la ejecución de código en macOS.
- MOZ-2021-0008: Use-after-free en el objeto de sesión HTTP2, lo que provoca daños en la memoria y posiblemente un bloqueo explotable.
- MOZ-2021-0007: defectos de corrupción de memoria que pueden provocar la ejecución de código arbitrario.

Una vulnerabilidad rastreada como CVE-2021-38505 es de particular interés ya que está relacionada con el Portapapeles en la nube de Windows 10.

La función de portapapeles en la nube de Windows 10 se introdujo en 2018 y, si está habilitada, sincronizará los datos que copie al portapapeles en la nube, por lo que estará disponible en otros dispositivos en los que tenga una cuenta.

Para evitar que los datos confidenciales se sincronicen con la nube, Microsoft introdujo formatos de portapapeles específicos que Windows no copiaría en la nube. Sin embargo, Thunderbird y Mozilla no utilizaron esos formatos, lo que podría permitir la sincronización de datos confidenciales.

"Microsoft introdujo una nueva característica en Windows 10 conocida como Cloud Clipboard que, si está habilitada, registrará los datos copiados en el portapapeles en la nube y los hará disponibles en otras computadoras en ciertos escenarios", explicó Mozilla.

"Las aplicaciones que desean evitar que los datos copiados se registren en el historial de la nube deben usar formatos de portapapeles específicos; y Firefox antes de las versiones 94 y ESR 91.3 no los implementaron. Esto podría haber causado que los datos confidenciales se registraran en la cuenta de Microsoft de un usuario".

Debido a la gravedad de las fallas anteriores, la actualización del popular cliente de correo electrónico a la versión 91.3 o posterior debe realizarse lo antes posible.

Para actualizar a la última versión de inmediato, abra Thunderbird, haga clic en el menú de la aplicación y seleccione Ayuda > Acerca de Thunderbird . Desde allí, se le ofrecerá la opción de descargar e instalar la última versión disponible.

Ubuntu también ha publicado un aviso de seguridad para Thunderbird por las fallas que conciernen a la distribución de Linux, y se ha puesto a disposición un paquete actualizado en el repositorio estable.

Actualizar a 91.x rezagado

Las últimas estadísticas de Mozilla muestran que  solo el 65%  de los usuarios de Thunderbird se han actualizado a 91.x, y el resto sigue usando versiones más antiguas, no compatibles y ahora vulnerables.

Hace un mes, Mozilla forzó una actualización de 78.xa 91.x, para asegurarse de que todos estén ejecutando la última versión estable del cliente de correo electrónico.

Sin embargo, debido a problemas de incompatibilidad de complementos entre las dos versiones principales, muchos usuarios han optado por permanecer en 78.x, que desde una perspectiva de seguridad, se está volviendo cada vez más riesgoso.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se dio a conocer el lanzamiento de la nueva versión del entorno de escritorio Trinity R14.0.11, que continúa el desarrollo del código base KDE 3.5.xy Qt 3. En esta nueva versión del entorno se realizaron diversos cambios y mejoras, de las cuales se destaca el soporte añadido para las nuevas versiones de algunas distribuciones de linux populares, mejoras en las apps del entorno y más.

Para quienes desconocen de Trinity, deben saber que este es un entorno de escritorio que presenta sus propias herramientas para administrar los parámetros de la pantalla, una capa basada en udev para trabajar con el equipo, una nueva interfaz para configurar el equipo, una transición al administrador compuesto Compton-TDE (una bifurcación de Compton con extensiones TDE), un configurador de red mejorado y mecanismos de autenticación de usuarios.

El entorno Trinity se puede instalar y utilizar al mismo tiempo que las versiones más actuales de KDE, incluida la capacidad de utilizar aplicaciones KDE ya instaladas en el sistema en Trinity. También existen herramientas para la correcta visualización de la interfaz de los programas GTK sin romper el estilo de diseño uniforme.

Principales novedades de Trinity R14.0.11

La nueva versión introduce cambios, principalmente relacionados con la eliminación de errores y trabajo para mejorar la estabilidad del código base. Entre las mejoras agregadas se destaca la composición que incluye nuevas aplicaciones, tales como el protector de pantalla TDEAsciiquarium (un acuario en forma de gráficos ASCII), un módulo tdeio con soporte para el protocolo Gopher, una interfaz para ingresar una contraseña tdesshaskpass (análoga a ssh-askpass con soporte para TDEWallet).

Para el administrador de ventanas Twin, se han implementado el motor de skins DeKorator y un conjunto de estilos que duplican el diseño de SUSE 9.3, 10.0 y 10.1, mientras que en la sesión de usuario, se brindó la posibilidad de cambiar el DPI de fuentes en el rango de 64 a 512, lo que mejoró el trabajo en pantallas con resoluciones más altas.

Por otra parte el decodificador de medios Akode se ha trasladado a la API FFmpeg 4.x, se ha mejorado el soporte de video en el programa de mensajería Kopete y en Konqueror ha rediseñado el panel meteorológico KWeather.

De los demás cambios que se destacan:

- Se agregaron configuraciones adicionales de KXkb.
- En el menú «TCC -> Comportamiento de la ventana -> Acciones de la barra de título / ventana» se agregó una opción para cambiar la dirección de desplazamiento al girar la rueda del mouse.
- El menú clásico ofrece la posibilidad de personalizar las teclas de acceso rápido.
- La utilidad de monitoreo de tráfico de KNemo se ha trasladado al backend «sys» de forma predeterminada.
- Algunos de los paquetes se han movido al sistema de compilación CMake. Algunos paquetes han dejado de ser compatible con automake.
- Se agregó soporte para distribuciones basadas en Debian 11, Ubuntu 21.10, Fedora 34/35 y Arch Linux.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login