El Proyecto Fedora ha presentado Fedora Atomic Desktop, una nueva familia de spins que, como bien indica su nombre, englobará los sistemas inmutables para escritorio que están oficialmente bajo su paraguas. Este movimiento no representa en sí mismo ninguna novedad especialmente importante para el usuario final, pero sí aclara un poco la posición que tienen ciertos sistemas dentro del proyecto matriz.

Si bien no es ni por asomo el pionero, no es menos cierto que Fedora ha sido el proyecto que ha traído los sistemas inmutables para escritorio a la escena mainstream de Linux, más viendo que SteamOS 3 no compite en realidad con nadie a pesar de ser el más usado. La relativa popularidad de los escritorios inmutables de Fedora cabalga principalmente a lomos de Silverblue, que lleva GNOME por defecto y se ha mostrado como una de las opciones más maduras dentro de su segmento.

Sobre la creación de la familia de spins Fedora Atomic Desktop, desde el proyecto tras la distribución han expuesto como primera razón la posible llegada de más sistemas del mismo tipo, apoyados en OSTree y rpm-ostree, pero con el escritorio cambiado. Por ahora los únicos spins oficialmente reconocidos son los que usan GNOME, KDE Plasma, Sway y Budgie, aunque los dos últimos han sido rebautizados.


La segunda razón consiste en aunar todos los escritorios inmutables en una sola categoría y reducir la posible confusión que estos puedan ocasionar, sobre todo con la edición Workstation y el resto de spins mutables de Fedora. Con la creación de la nueva familia se espera que todo quede más claro, sobre en lo que se refiere a la información que llega a los usuarios.

Y como última razón esgrimida por Fedora está el hecho de impulsar una marca que proyecte una imagen más clara de la forma de funcionar de rpm-ostree, el gestor de paquetes que se apoya en el mecanismo de actualizaciones atómicas OSTree. Aquí es donde llega un giro que posiblemente sorprenda a más de uno, ya que el proyecto matriz afirma ahora que "los spins de Fedora Atomic no son en realidad inmutables. Hay formas de evitar los aspectos de solo lectura de la implementación, aunque sea mucho más difícil". A pesar de este intento de centrar el lenguaje en la atomicidad, me da que muchos seguiremos refiriéndonos a estos sistemas como inmutables, incluso reconociendo que no son puros en ese sentido.


La creación de Fedora Atomic Desktop ha traído el cambio de nombre de Sericea y Onyx a Fedora Sway Atomic y Fedora Budgie Atomic respectivamente. Silverblue y Kinoite retendrán sus nombres debido a que han logrado cierta repercusión y son marcas asentadas y reconocidas dentro del mundo de Linux. Sin embargo, los próximos miembros que sean reconocidos seguirán el esquema de Fedora NombreDelEscritorio Atomic.

En resumidas cuentas, los sistemas inmutables para escritorio reconocidos oficialmente por el Proyecto Fedora son ahora spins de la familia Fedora Atomic Desktop. Este cambio ha sido introducido con el fin de facilitar la organización conforme la familia vaya creciendo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El troyano bancario para Android conocido como Anatsa ha ampliado su enfoque para incluir a Eslovaquia, Eslovenia y Chequia como parte de una nueva campaña observada en noviembre de 2023.

"Algunos de los droppers de la campaña explotaron con éxito el servicio de accesibilidad, a pesar de los mecanismos mejorados de detección y protección de Google Play", dijo ThreatFabric en un informe compartido con The Hacker News.

"Todos los droppers de esta campaña han demostrado la capacidad de eludir la configuración restringida para el servicio de accesibilidad en Android 13". La campaña, en total, involucra a cinco cuentagotas con más de 100.000 instalaciones totales.

También conocida por el nombre de TeaBot y Toddler, Anatsa es conocida por distribuirse bajo la apariencia de aplicaciones aparentemente inocuas en Google Play Store. Estas aplicaciones, llamadas droppers, facilitan la instalación del malware eludiendo las medidas de seguridad impuestas por Google que buscan otorgar permisos confidenciales.

En junio de 2023, la empresa holandesa de seguridad móvil reveló una campaña de Anatsa dirigida a clientes bancarios de EE. UU., Reino Unido, Alemania, Austria y Suiza al menos desde marzo de 2023 utilizando aplicaciones cuentagotas que se descargaron colectivamente más de 30.000 veces en Play Store.

Anatsa viene equipado con capacidades para obtener un control total sobre los dispositivos infectados y ejecutar acciones en nombre de la víctima. También puede robar credenciales para iniciar transacciones fraudulentas.

La última iteración observada en noviembre de 2023 no es diferente, ya que uno de los droppers se hizo pasar por una aplicación de limpieza de teléfonos llamada "Phone Cleaner - File Explorer" (nombre del paquete "com.volabs.androidcleaner") y aprovechó una técnica llamada control de versiones para introducir su comportamiento malicioso.

Si bien la aplicación ya no está disponible para descargar desde la tienda oficial para Android, aún se puede descargar a través de otras fuentes de terceros incompletas.

Según las estadísticas disponibles en la plataforma de inteligencia de aplicaciones AppBrain, se estima que la aplicación se descargó unas 12.000 veces durante el tiempo que estuvo disponible en Google Play Store entre el 13 y el 27 de noviembre, cuando no se publicó.


"Inicialmente, la aplicación parecía inofensiva, sin código malicioso y su servicio de accesibilidad no participaba en ninguna actividad dañina", dijeron los investigadores de ThreatFabric.

"Sin embargo, una semana después de su lanzamiento, una actualización introdujo código malicioso. Esta actualización alteró la funcionalidad de AccessibilityService, lo que le permitió ejecutar acciones maliciosas, como hacer clic automáticamente en los botones una vez que recibió una configuración del servidor [de comando y control]".

Lo que hace que el cuentagotas sea notable es que su abuso del servicio de accesibilidad está adaptado a los dispositivos Samsung, lo que sugiere que fue diseñado para apuntar exclusivamente a los teléfonos fabricados por la compañía en algún momento, aunque se ha descubierto que otros cuentagotas utilizados en la campaña son independientes del fabricante.

Los droppers también son capaces de eludir la configuración restringida de Android 13 imitando el proceso utilizado por los marketplaces para instalar nuevas aplicaciones sin tener desactivado su acceso a las funcionalidades del servicio de accesibilidad, como se observó anteriormente en el caso de los servicios dropper como SecuriDropper.

"Estos actores prefieren ataques concentrados en regiones específicas en lugar de una propagación global, cambiando periódicamente su enfoque", dijo ThreatFabric. "Este enfoque específico les permite concentrarse en un número limitado de organizaciones financieras, lo que lleva a un alto número de casos de fraude en poco tiempo".

El desarrollo se produce cuando Fortinet FortiGuard Labs detalló otra campaña que distribuye el troyano de acceso remoto SpyNote imitando un servicio legítimo de billetera de criptomonedas con sede en Singapur conocido como imToken para reemplazar las direcciones de billetera de destino y con otras controladas por actores y realizar transferencias ilícitas de activos.

"Al igual que gran parte del malware de Android hoy en día, este malware abusa de la API de accesibilidad", dijo la investigadora de seguridad Axelle Apvrille. "Este ejemplo de SpyNote utiliza la API de accesibilidad para apuntar a billeteras criptográficas famosas".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Meta Platforms dijo que tomó una serie de medidas para reducir la actividad maliciosa de ocho empresas diferentes con sede en Italia, España y los Emiratos Árabes Unidos (EAU) que operan en la industria de la vigilancia por encargo.

Los hallazgos forman parte de su Informe de Amenazas Adversarial para el cuarto trimestre de 2023. El spyware se dirigía a dispositivos iOS, Android y Windows.

"Sus diversos programas maliciosos incluían capacidades para recopilar y acceder a información del dispositivo, ubicación, fotos y medios, contactos, calendario, correo electrónico, SMS, redes sociales y aplicaciones de mensajería, y habilitar la funcionalidad de micrófono, cámara y captura de pantalla", dijo la compañía.

Las ocho empresas son Cy4Gate/ELT Group, RCS Labs, IPS Intelligence, Variston IT, TrueL IT, Protect Electronic Systems, Negg Group y Mollitiam Industries.

Estas empresas, según Meta, también se dedicaron al scraping, la ingeniería social y la actividad de phishing que se dirigieron a una amplia gama de plataformas como Facebook, Instagram, X (antes Twitter), YouTube, Skype, GitHub, Reddit, Google, LinkedIn, Quora, Tumblr, VK, Flickr, TikTok, SnapChat, Gettr, Viber, Twitch y Telegram.

Específicamente, se dice que una red de personas ficticias vinculadas a RCS Labs, que es propiedad de Cy4Gate, engañó a los usuarios para que proporcionaran sus números de teléfono y direcciones de correo electrónico, además de hacer clic en enlaces falsos para realizar reconocimientos.

Otro conjunto de cuentas de Facebook e Instagram, ahora eliminadas, asociadas con el proveedor español de software espía Variston IT se empleó para el desarrollo y las pruebas de exploits, incluido el intercambio de enlaces maliciosos. La semana pasada, surgieron informes de que la compañía está cerrando sus operaciones.

Meta también dijo que identificó cuentas utilizadas por Negg Group para probar la entrega de su software espía, así como por Mollitiam Industries, una empresa española que anuncia un servicio de recopilación de datos y software espía dirigido a Windows, macOS y Android, para extraer información pública.

Por otra parte, el gigante de las redes sociales actuó en las redes de China, Myanmar y Ucrania que exhiben un comportamiento inauténtico coordinado (CIB) al eliminar más de 2.000 cuentas, páginas y grupos de Facebook e Instagram.

Mientras que el grupo chino se dirigía a audiencias estadounidenses con contenido relacionado con críticas a la política exterior de Estados Unidos hacia Taiwán e Israel y su apoyo a Ucrania, la red originaria de Myanmar se dirigía a sus propios residentes con artículos originales que elogiaban al ejército birmano y menospreciaban a las organizaciones étnicas armadas y a los grupos minoritarios.

El tercer grupo es notable por su uso de páginas y grupos falsos para publicar contenido que apoyaba al político ucraniano Viktor Razvadovskyi, al tiempo que compartía "comentarios de apoyo sobre el gobierno actual y comentarios críticos sobre la oposición" en Kazajistán.

El desarrollo se produce cuando una coalición de empresas gubernamentales y tecnológicas, incluida Meta, ha firmado un acuerdo para frenar el abuso de software espía comercial para cometer abusos contra los derechos humanos.

Como contramedidas, la compañía ha introducido nuevas funciones como la habilitación de Control Flow Integrity (CFI) en Messenger para Android y el aislamiento de memoria VoIP para WhatsApp en un esfuerzo por dificultar la explotación y reducir la superficie de ataque general.

Dicho esto, la industria de la vigilancia sigue prosperando en innumerables formas inesperadas. El mes pasado, 404 Media, basándose en una investigación previa del Consejo Irlandés para las Libertades Civiles (ICCL) en noviembre de 2023, desenmascaró una herramienta de vigilancia llamada Patternz que aprovecha los datos publicitarios de ofertas en tiempo real (RTB) recopilados de aplicaciones populares como 9gag, Truecaller y Kik para rastrear dispositivos móviles.

"Patternz permite a las agencias de seguridad nacional utilizar datos generados por publicidad de usuarios en tiempo real e históricos para detectar, monitorear y predecir las acciones de los usuarios, las amenazas de seguridad y las anomalías en función del comportamiento de los usuarios, los patrones de ubicación y las características de uso móvil", afirmó ISA, la compañía israelí detrás del producto, en su sitio web.

Luego, la semana pasada, Enea reveló un ataque a la red móvil previamente desconocido conocido como MMS Fingerprint que supuestamente fue utilizado por el fabricante de Pegasus, NSO Group. Esta información se incluyó en un contrato de 2015 entre la empresa y el regulador de telecomunicaciones de Ghana.

Si bien el método exacto utilizado sigue siendo un misterio, la firma sueca de seguridad de telecomunicaciones sospecha que probablemente implique el uso de MM1_notification. REQ, un tipo especial de mensaje SMS denominado SMS binario que notifica al dispositivo destinatario de un MMS que está esperando ser recuperado del Centro de servicios de mensajería multimedia (MMSC).

A continuación, el MMS se obtiene por medio de MM1_retrieve. REQ y MM1_retrieve. RES, siendo la primera una solicitud HTTP GET a la dirección URL contenida en el MM1_notification. REQ.

Lo notable de este enfoque es que la información del dispositivo del usuario, como User-Agent (diferente de una cadena User-Agent del navegador web) y x-wap-profile, está incrustada en la solicitud GET, lo que actúa como una especie de huella digital.

"El User-Agent (MMS) es una cadena que normalmente identifica el sistema operativo y el dispositivo", dijo Enea. "x-wap-profile apunta a un archivo UAProf (User Agent Profile) que describe las capacidades de un teléfono móvil".

Un actor de amenazas que busque implementar spyware podría usar esta información para explotar vulnerabilidades específicas, adaptar sus cargas maliciosas al dispositivo de destino o incluso crear campañas de phishing más efectivas. Dicho esto, no hay evidencia de que este agujero de seguridad haya sido explotado en la naturaleza en los últimos meses.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una vulnerabilidad grave llamada KeyTrap en la función de Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) podría explotarse para denegar el acceso a Internet a las aplicaciones durante un período prolongado.

Rastreado como CVE-2023-50387, KeyTrap es un problema de diseño en DNSSEC y afecta a todas las implementaciones o servicios populares del Sistema de nombres de dominio (DNS).

Permite a un atacante remoto causar una condición de denegación de servicio (DoS) de larga duración en solucionadores vulnerables mediante el envío de un solo paquete DNS.

DNS es lo que nos permite a los humanos acceder a ubicaciones en línea escribiendo nombres de dominio en lugar de la dirección IP del servidor al que nuestra computadora necesita conectarse.

DNSSEC es una característica del DNS que aporta firmas criptográficas a los registros DNS, proporcionando así autenticación a las respuestas; esta verificación garantiza que los datos DNS provengan de la fuente, su servidor de nombres autorizado y no se hayan modificado en el camino para enrutarlo a una ubicación maliciosa.

Daño significativo en una solicitud de ataque

KeyTrap ha estado presente en el estándar DNSSEC durante más de dos décadas, y fue descubierto por investigadores del Centro Nacional de Investigación para la Ciberseguridad Aplicada ATHENE, junto con expertos de la Universidad Goethe de Frankfurt, Fraunhofer SIT y la Universidad Técnica de Darmstadt.

Los investigadores explican que el problema se deriva del requisito de DNSSEC de enviar todas las claves criptográficas relevantes para los cifrados compatibles y las firmas correspondientes para que se produzca la validación.

El proceso es el mismo incluso si algunas claves DNSSEC están mal configuradas, son incorrectas o pertenecen a cifrados que no son compatibles.

Al aprovechar esta vulnerabilidad, los investigadores desarrollaron una nueva clase de ataques de complejidad algorítmica basados en DNSSEC que pueden aumentar en 2 millones de veces el recuento de instrucciones de la CPU en un solucionador de DNS, retrasando así su respuesta.

La duración de este estado DoS depende de la implementación de la resolución, pero los investigadores dicen que una sola solicitud de ataque puede contener la respuesta desde 56 segundos hasta 16 horas.


"La explotación de este ataque tendría graves consecuencias para cualquier aplicación que utilice Internet, incluida la falta de disponibilidad de tecnologías como la navegación web, el correo electrónico y la mensajería instantánea", se lee en la divulgación de ATHENE.

"Con KeyTrap, un atacante podría desactivar por completo grandes partes de Internet en todo el mundo", dicen los investigadores.

Los detalles completos sobre la vulnerabilidad y cómo puede manifestarse en las implementaciones modernas de DNS se pueden encontrar en un informe técnico publicado a principios de esta semana.

Los investigadores han demostrado cómo su ataque KeyTrap puede afectar a los proveedores de servicios DNS, como Google y Cloudflare, desde principios de noviembre de 2023 y han trabajado con ellos para desarrollar mitigaciones.


ATHENE dice que KeyTrap ha estado presente en estándares ampliamente utilizados desde 1999, por lo que pasó desapercibido durante casi 25 años, principalmente debido a la complejidad de los requisitos de validación de DNSSEC.

Aunque los proveedores afectados ya han impulsado correcciones o están en proceso de mitigar el riesgo de KeyTrap, ATHENE afirma que abordar el problema a un nivel fundamental puede requerir una reevaluación de la filosofía de diseño de DNSSEC.

En respuesta a la amenaza de KeyTrap, Akamai desarrolló e implementó, entre diciembre de 2023 y febrero de 2024, mitigaciones para sus solucionadores recursivos de DNSi, incluidos CacheServe y AnswerX, así como sus soluciones gestionadas y en la nube.


Akamai señala que, según los datos de APNIC, aproximadamente el 35 % de los usuarios de EE. UU. y el 30 % de los usuarios de Internet en todo el mundo confían en los solucionadores de DNS que utilizan la validación de DNSSEC y, por lo tanto, son vulnerables a KeyTrap.

Aunque la compañía de Internet no compartió muchos detalles sobre las mitigaciones reales que implementó, el documento de ATHENE describe la solución de Akamai como limitar las fallas criptográficas a un máximo de 32, lo que hace que sea prácticamente imposible agotar los recursos de la CPU y causar estancamientos.

Las correcciones ya están presentes en los servicios DNS de Google y Cloudflare.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Departamento de Estado de EE.UU. ofrece recompensas de hasta 10 millones de dólares por información que pueda conducir a la identificación o localización de los líderes de la banda de ransomware ALPHV/Blackcat.

También hay disponible una recompensa adicional de 5 millones de dólares por consejos sobre las personas que intentan participar en los ataques de ransomware ALPHV, lo que probablemente disuadirá a los afiliados y a los corredores de acceso inicial.

El FBI vinculó a esta banda de ransomware con más de 60 brechas en todo el mundo durante sus primeros cuatro meses de actividad entre noviembre de 2021 y marzo de 2022.

ALPHV también ha recaudado al menos 300 millones de dólares en pagos de rescate de más de 1.000 víctimas hasta septiembre de 2023, según el FBI.

"El Departamento de Estado de EE.UU. ofrece una recompensa de hasta 10.000.000 de dólares por información que conduzca a la identificación o localización de cualquier persona que ocupe una posición de liderazgo clave en el grupo de Crimen Organizado Transnacional detrás de la variante de ransomware ALPHV/Blackcat", dijo el Departamento de Estado.

"Además, se ofrece una oferta de recompensa de hasta 5.000.000 de dólares por información que conduzca al arresto y/o condena en cualquier país de cualquier persona que conspire para participar o intente participar en actividades de ransomware ALPHV/Blackcat".

Estas recompensas se otorgan a través del Programa de Recompensas contra el Crimen Organizado Transnacional de los Estados Unidos (TOCRP, por sus siglas en inglés), con más de $135 millones pagados por consejos útiles desde 1986.

El Departamento de Estado ha establecido un servidor Tor SecureDrop dedicado que se puede utilizar para enviar pistas sobre ALPHV y otros actores de amenazas buscados.


Ransomware y oleoductos

ALPHV apareció en noviembre de 2021 y se cree que es un cambio de marca de las operaciones de ransomware DarkSide y BlackMatter.

La operación se cerró en mayo de 2021 después de que las extensas investigaciones de las fuerzas del orden llevaran a la incautación de su infraestructura tras el ataque a Colonial Pipeline.

La pandilla resurgió bajo la marca BlackMatter, cerró nuevamente en noviembre de 2021 y regresó como ALPHV/BlackCat en febrero de 2022.

El FBI interrumpió la operación de ALPHV en diciembre después de violar los servidores del grupo y cerrar temporalmente sus sitios de negociación y filtración de Tor después de crear una herramienta de descifrado después de meses de monitorear sus actividades.

La banda de ransomware agregó recientemente Trans-Northern Pipelines de Canadá a su nuevo sitio web de filtraciones, y la compañía ahora investiga las afirmaciones de ALPHV después de confirmar una violación de la red en noviembre de 2023.

En enero, el gobierno de Estados Unidos también anunció recompensas de hasta 10 millones de dólares por información sobre los líderes de la banda de ransomware Hive.

El Departamento de Estado anunció previamente recompensas de hasta 15 millones de dólares por pistas sobre miembros y afiliados de las operaciones de ransomware Hive, Clop, Conti [1, 2], REvil (Sodinokibi) y Darkside.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un script malicioso de Python conocido como SNS Sender se anuncia como una forma para que los actores de amenazas envíen mensajes de smishing masivos abusando de Amazon Web Services (AWS) Simple Notification Service (SNS).

Los mensajes de phishing por SMS están diseñados para propagar enlaces maliciosos que están diseñados para capturar la información de identificación personal (PII) y los detalles de las tarjetas de pago de las víctimas, dijo SentinelOne en un nuevo informe, atribuyéndolo a un actor de amenazas llamado ARDUINO_DAS.

"Las estafas de smishing a menudo toman la apariencia de un mensaje del Servicio Postal de los Estados Unidos (USPS) con respecto a la entrega de un paquete perdido", dijo el investigador de seguridad Alex Delamotte.

SNS Sender es también la primera herramienta observada en la naturaleza que aprovecha AWS SNS para realizar ataques de spam por SMS. SentinelOne dijo que identificó vínculos entre ARDUINO_DAS y más de 150 kits de phishing puestos a la venta.

El malware requiere una lista de enlaces de phishing almacenados en un archivo llamado links.txt en su directorio de trabajo, además de una lista de claves de acceso de AWS, los números de teléfono a los que dirigirse, el ID del remitente (también conocido como nombre para mostrar) y el contenido del mensaje.

La inclusión obligatoria de la identificación del remitente para enviar los mensajes de texto fraudulentos es digna de mención porque la compatibilidad con las identificaciones del remitente varía de un país a otro. Esto sugiere que es probable que el autor de SNS Sender sea de un país donde el ID de remitente es una práctica convencional.

"Por ejemplo, los operadores en los Estados Unidos no admiten ID de remitente en absoluto, pero los operadores en India requieren que los remitentes usen ID de remitente", dice Amazon en su documentación.

Hay pruebas que sugieren que esta operación puede haber estado activa desde al menos julio de 2022, a juzgar por los registros bancarios que contienen referencias a ARDUINO_DAS que se han compartido en foros de tarjetas como Crax Pro.

La gran mayoría de los kits de phishing tienen una temática de USPS, y las campañas dirigen a los usuarios a páginas falsas de seguimiento de paquetes que solicitan a los usuarios que introduzcan su información personal y de su tarjeta de crédito/débito, como demuestra el investigador de seguridad @JCyberSec_ en X (antes Twitter) a principios de septiembre de 2022.

"¿Crees que el actor que los implementa sabe que todos los kits tienen una puerta trasera oculta que envía los registros a otro lugar?", señaló además el investigador.

En todo caso, el desarrollo representa los intentos continuos de los actores de amenazas de productos básicos de explotar los entornos en la nube para campañas de smishing. En abril de 2023, Permiso reveló un clúster de actividad que aprovechó las claves de acceso de AWS previamente expuestas para infiltrarse en los servidores de AWS y enviar mensajes SMS mediante SNS.

Los hallazgos también siguen al descubrimiento de un nuevo cuentagotas con nombre en código TicTacToe que probablemente se venda como un servicio a los actores de amenazas y se ha observado que se utiliza para propagar una amplia variedad de ladrones de información y troyanos de acceso remoto (RAT) dirigidos a usuarios de Windows a lo largo de 2023.

Fortinet FortiGuard Labs, que arrojó luz sobre el malware, dijo que se despliega por medio de una cadena de infección de cuatro etapas que comienza con un archivo ISO incrustado en los mensajes de correo electrónico.

Otro ejemplo relevante de actores de amenazas que innovan continuamente sus tácticas se refiere al uso de redes publicitarias para organizar campañas de spam efectivas y desplegar malware como DarkGate.

"El actor de amenazas hizo proxy de enlaces a través de una red publicitaria para evadir la detección y capturar análisis sobre sus víctimas", dijo HP Wolf Security. "Las campañas se iniciaron a través de archivos adjuntos PDF maliciosos que se hacían pasar por mensajes de error de OneDrive, lo que condujo al malware".

La división de seguridad de la información del fabricante de PC también destacó el uso indebido de plataformas legítimas como Discord para organizar y distribuir malware, una tendencia que se ha vuelto cada vez más común en los últimos años, lo que llevó a la compañía a cambiar a enlaces de archivos temporales a fines del año pasado.

"Discord es conocido por su infraestructura robusta y confiable, y es ampliamente confiable", dijo Intel 471. "Las organizaciones a menudo permiten incluir a Discord en la lista, lo que significa que los enlaces y las conexiones a él no están restringidos. Esto hace que su popularidad entre los actores de amenazas no sea sorprendente dada su reputación y uso generalizado".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google ha anunciado que está abriendo Magika, una herramienta impulsada por inteligencia artificial (IA) para identificar tipos de archivos, para ayudar a los defensores a detectar con precisión los tipos de archivos binarios y textuales.

"Magika supera a los métodos convencionales de identificación de archivos, proporcionando un aumento general de la precisión del 30% y hasta un 95% más de precisión en contenido tradicionalmente difícil de identificar, pero potencialmente problemático, como VBA, JavaScript y Powershell", dijo la compañía.

El software utiliza un "modelo de aprendizaje profundo personalizado y altamente optimizado" que permite la identificación precisa de tipos de archivos en milisegundos. Magika implementa funciones de inferencia utilizando Open Neural Network Exchange (ONNX).

Google dijo que utiliza internamente Magika a escala para ayudar a mejorar la seguridad de los usuarios al enrutar los archivos de Gmail, Drive y Navegación segura a los escáneres de políticas de seguridad y contenido adecuados.

En noviembre de 2023, el gigante tecnológico presentó RETVec (abreviatura de Resilient and Efficient Text Vectorizer), un modelo de procesamiento de texto multilingüe para detectar contenido potencialmente dañino como spam y correos electrónicos maliciosos en Gmail.

En medio de un debate en curso sobre los riesgos de la tecnología en rápido desarrollo y su abuso por parte de actores de estados-nación asociados con Rusia, China, Irán y Corea del Norte para impulsar sus esfuerzos de piratería, Google dijo que implementar IA a escala puede fortalecer la seguridad digital e "inclinar la balanza de ciberseguridad de atacantes a defensores".


También hizo hincapié en la necesidad de un enfoque normativo equilibrado para el uso y la adopción de la IA con el fin de evitar un futuro en el que los atacantes puedan innovar, pero los defensores se vean limitados debido a las opciones de gobernanza de la IA.

"La IA permite a los profesionales y defensores de la seguridad escalar su trabajo en la detección de amenazas, el análisis de malware, la detección de vulnerabilidades, la corrección de vulnerabilidades y la respuesta a incidentes", señalaron Phil Venables y Royal Hansen del gigante tecnológico. "La IA ofrece la mejor oportunidad para revertir el dilema del defensor e inclinar la balanza del ciberespacio para dar a los defensores una ventaja decisiva sobre los atacantes".

También se han planteado preocupaciones sobre el uso por parte de los modelos de IA generativa de datos extraídos de la web con fines de entrenamiento, que también pueden incluir datos personales.

"Si no sabe para qué se va a utilizar su modelo, ¿cómo puede asegurarse de que su uso posterior respetará la protección de datos y los derechos y libertades de las personas?", señaló el mes pasado la Oficina del Comisionado de Información (ICO) del Reino Unido.

Además, una nueva investigación ha demostrado que los grandes modelos de lenguaje pueden funcionar como "agentes durmientes" que pueden ser aparentemente inocuos, pero que pueden programarse para participar en comportamientos engañosos o maliciosos cuando se cumplen criterios específicos o se proporcionan instrucciones especiales.

"Tal comportamiento de puerta trasera se puede hacer persistente para que no se elimine mediante técnicas estándar de capacitación en seguridad, incluido el ajuste fino supervisado, el aprendizaje por refuerzo y el entrenamiento de adversarios (provocar un comportamiento inseguro y luego el entrenamiento para eliminarlo), dijeron en el estudio los investigadores de la startup de IA Anthropic.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Varias empresas que operan en el sector de las criptomonedas son el objetivo de una campaña de malware en curso que involucra una puerta trasera de Apple macOS recién descubierta con nombre en código RustDoor.

RustDoor fue documentado por primera vez por Bitdefender la semana pasada, describiéndolo como un malware basado en Rust capaz de recolectar y cargar archivos, así como recopilar información sobre las máquinas infectadas. Se distribuye haciéndose pasar por una actualización de Visual Studio.

Si bien la evidencia anterior descubrió al menos tres variantes diferentes de la puerta trasera, el mecanismo de propagación inicial exacto seguía siendo desconocido.

Dicho esto, la firma rumana de ciberseguridad dijo posteriormente a The Hacker News que el malware se utilizó como parte de un ataque dirigido en lugar de una campaña de distribución de escopeta, señalando que encontró artefactos adicionales que son responsables de descargar y ejecutar RustDoor.

"Algunos de estos descargadores de primera etapa afirman ser archivos PDF con ofertas de trabajo, pero en realidad, son scripts que descargan y ejecutan el malware al mismo tiempo que descargan y abren un archivo PDF inocuo que se anuncia a sí mismo como un acuerdo de confidencialidad", dijo Bogdan Botezatu, director de investigación e informes de amenazas de Bitdefender.

Desde entonces, han salido a la luz otras tres muestras maliciosas que actúan como cargas útiles de primera etapa, cada una de las cuales pretende ser una oferta de trabajo. Estos archivos ZIP son anteriores a los binarios anteriores de RustDoor por casi un mes.

El nuevo componente de la cadena de ataque, es decir, los archivos de almacenamiento ("Jobinfo.app.zip" o "Jobinfo.zip"), contiene un script de shell básico que es responsable de obtener el implante de un sitio web llamado turkishfurniture[.] blog. También está diseñado para obtener una vista previa de un archivo PDF señuelo inofensivo ("job.pdf") alojado en el mismo sitio como distracción.


Bitdefender dijo que también detectó cuatro nuevos binarios basados en Golang que se comunican con un dominio controlado por actores ("sarkerrentacars[.] com"), cuyo propósito es "recopilar información sobre la máquina de la víctima y sus conexiones de red utilizando las utilidades system_profiler y networksetup, que forman parte del sistema operativo macOS.

Además, los binarios son capaces de extraer detalles sobre el disco a través de "diskutil list", así como recuperar una amplia lista de parámetros del kernel y valores de configuración utilizando el comando "sysctl -a".

Una investigación más detallada de la infraestructura de comando y control (C2) también ha revelado un punto final con fugas ("/client/bots") que permite obtener detalles sobre las víctimas actualmente infectadas, incluidas las marcas de tiempo en las que se registró el host infectado y se observó la última actividad.

"Sabemos que hay al menos tres empresas víctimas hasta ahora", dijo Botezatu. "Los atacantes parecen apuntar al personal de ingeniería sénior, y esto explica por qué el malware se disfraza como una actualización de Visual Studio. No sabemos si hay otras empresas comprometidas en este momento, pero todavía estamos investigando esto".

"Parece que las víctimas están geográficamente vinculadas: dos de las víctimas están en Hong Kong, mientras que la otra está en Lagos, Nigeria".

El desarrollo se produce cuando el Servicio Nacional de Inteligencia (NIS) de Corea del Sur reveló que una organización de TI afiliada a la Oficina No. 39 del Partido de los Trabajadores de Corea del Norte está generando ingresos ilícitos mediante la venta de miles de sitios web de juegos de azar con malware a otros ciberdelincuentes para robar datos confidenciales de jugadores desprevenidos.

La compañía detrás del esquema de malware como servicio (MaaS) es Gyeongheung (también escrito Gyonghung), una entidad de 15 miembros con sede en Dandong que supuestamente recibió $ 5,000 de una organización criminal surcoreana no identificada a cambio de crear un solo sitio web y $ 3,000 por mes para mantener el sitio web, informó la agencia de noticias Yonhap.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves una falla de seguridad ahora parcheada que afecta al software Cisco Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD) a su catálogo de vulnerabilidades explotadas conocidas (KEV), luego de informes de que probablemente esté siendo explotado en ataques de ransomware Akira.

La vulnerabilidad en cuestión es CVE-2020-3259 (puntuación CVSS: 7,5), un problema de divulgación de información de alta gravedad que podría permitir a un atacante recuperar el contenido de la memoria de un dispositivo afectado. Cisco lo parcheó como parte de las actualizaciones lanzadas en mayo de 2020.

A finales del mes pasado, la empresa de ciberseguridad Truesec dijo que había encontrado pruebas que sugerían que los actores del ransomware Akira la habían convertido en un arma para comprometer múltiples dispositivos VPN SSL Cisco Anyconnect susceptibles durante el último año.

"No existe un código de explotación disponible públicamente para [...] CVE-2020-3259, lo que significa que un actor de amenazas, como Akira, que explota esa vulnerabilidad tendría que comprar o producir código de explotación por sí mismo, lo que requiere una visión profunda de la vulnerabilidad", dijo el investigador de seguridad Heresh Zaremand.

Según la Unidad 42 de Palo Alto Networks, Akira es uno de los 25 grupos con sitios de fuga de datos recientemente establecidos en 2023, y el grupo de ransomware se ha cobrado públicamente casi 200 víctimas. Observado por primera vez en marzo de 2023, se cree que el grupo comparte conexiones con el notorio sindicato Conti basándose en el hecho de que ha enviado las ganancias del rescate a direcciones de billetera afiliadas a Conti.

Solo en el cuarto trimestre de 2023, el grupo de delitos electrónicos enumeró 49 víctimas en su portal de fuga de datos, lo que lo coloca detrás de LockBit (275), Play (110), ALPHV/BlackCat (102), NoEscape (76), 8Base (75) y Black Basta (72).

Las agencias del Poder Ejecutivo Civil Federal (FCEB, por sus siglas en inglés) deben remediar las vulnerabilidades identificadas antes del 7 de marzo de 2024 para proteger sus redes contra posibles amenazas.

CVE-2020-3259 está lejos de ser la única falla que se explota para distribuir ransomware. A principios de este mes, Arctic Wolf Labs reveló el abuso de CVE-2023-22527, una deficiencia recientemente descubierta en Atlassian Confluence Data Center y Confluence Server, para implementar el ransomware C3RB3R, así como mineros de criptomonedas y troyanos de acceso remoto.

El desarrollo se produce cuando el Departamento de Estado de EE. UU. anunció recompensas de hasta 10 millones de dólares por información que pueda conducir a la identificación o ubicación de miembros clave de la banda de ransomware BlackCat, además de ofrecer hasta 5 millones de dólares por información que conduzca al arresto o condena de sus afiliados.

El esquema de ransomware como servicio (RaaS), al igual que Hive, comprometió a más de 1,000 víctimas en todo el mundo, obteniendo al menos USD 300 millones en ganancias ilícitas desde su aparición a fines de 2021. Se interrumpió en diciembre de 2023 tras una operación coordinada internacionalmente.

El panorama del ransomware se ha convertido en un mercado lucrativo, que atrae la atención de los ciberdelincuentes que buscan ganancias financieras rápidas, lo que ha llevado al surgimiento de nuevos jugadores como Alpha (que no debe confundirse con ALPHV) y Wing.

La Oficina de Rendición de Cuentas del Gobierno de EE. UU. (GAO), en un informe publicado a finales de enero de 2024, pidió una mayor supervisión de las prácticas recomendadas para abordar el ransomware, específicamente para organizaciones de los sectores críticos de fabricación, energía, atención médica y salud pública, y sistemas de transporte.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft afirma haber solucionado los problemas de conexión de metadatos de Windows que continúan afectando a los clientes, causando problemas a los usuarios que intentan administrar sus impresoras y otro hardware.

Cuando se agrega nuevo hardware a una computadora con Windows, el sistema operativo se conecta a un sitio web operado por Microsoft llamado Windows Metadata and Internet Services (WMIS) para descargar paquetes de metadatos asociados con el hardware en particular.

"Cuando el sistema operativo detecta un nuevo dispositivo, consulta a un servicio en línea llamado Windows Metadata and Internet Services (WMIS) para obtener un paquete de metadatos para el dispositivo", se lee en una descripción del sitio WMIS.

"Si un paquete de metadatos de dispositivo está disponible, el cliente de recuperación de metadatos de dispositivo (DMRC) que se ejecuta en el equipo local descarga el paquete de WMIS e instala el paquete en el equipo local".

Estos paquetes de metadatos contienen información sobre el hardware, como el nombre del modelo, la descripción, el proveedor OEM, varias propiedades y acciones, y las categorías de hardware asociadas al dispositivo.

Esta información se utiliza en varios cuadros de diálogo de ventana, como la página de configuración de dispositivos e impresoras.

Servicios de metadatos de Windows no disponibles

Sin embargo, desde noviembre, Windows no ha podido conectarse al servicio de metadatos ubicado en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, que redirige a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Al visitar la URL desde un navegador, el sitio muestra un error que indica "502 Bad Gateway", lo que indica que algo anda mal con el sitio.

Como informó BornCity en diciembre, esto provocó que aparecieran eventos ocasionales de error de conexión del identificador de evento 201 y errores repetidos del identificador de evento 131 para 'DeviceSetupManager' en los registros del Visor de eventos de Windows, con una descripción de "Error en la puesta en escena de metadatos, resultado = 0x80070490".


Un administrador que se ocupa de estos errores le dijo a BleepingComputer que la incapacidad de conectarse a los servicios de metadatos de Windows está causando problemas en su organización.

Estos problemas incluyen retrasos de 4 a 5 minutos al solucionar problemas de la impresora o agregar y eliminar colas de impresión, lo que generalmente lleva a que se presenten tickets de soporte sobre los problemas.

Para una organización grande con miles de dispositivos Windows, esto puede convertirse rápidamente en un problema para el personal de TI.

Sin embargo, los administradores de Windows tuvieron una felicidad efímera esta semana, ya que Microsoft lanzó las actualizaciones acumulativas de Windows 10 KB5034763 y Windows 11 KB5034765 como parte del martes de parches de febrero de 2024 con lo que afirman que es una solución para los problemas de conexión de metadatos de Windows.

Estas actualizaciones afirman que resuelven los problemas de conexión a los servidores de metadatos de Windows y, como beneficio adicional, la conexión se realizará a través de HTTPS, lo que los hará más seguros.

"Esta actualización soluciona un problema que afecta a la descarga de metadatos del dispositivo", se lee en ambos boletines de soporte.

"Las descargas de los servicios de Internet y metadatos de Windows (WMIS) a través de HTTPS ahora son más seguras".

Después de instalar las actualizaciones, BleepingComputer puede confirmar que la nueva dirección URL del servidor de metadatos, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, usa HTTP y redirige a la nueva dirección URL You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, que también usa HTTP.

Sin embargo, Microsoft no ha podido asociar una dirección IP a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login en DNS, lo que provoca un error en los intentos de conexión.


Ahora se le dice a BleepingComputer que esto está causando que el registro de eventos muestre errores de conexión repetidos del identificador de evento 201, lo que indica: "No se pudo establecer una conexión a los metadatos de Windows y los servicios de Internet (WMIS)".

Otros administradores de Windows informan de que han visto errores similares de identificador de evento 201 en el Visor de eventos después de instalar la actualización.

"Lo mismo aquí, ya no hay 131, sino 201", se lee en una publicación en los foros de Microsoft.

No está claro por qué Microsoft deshabilitó los servidores de metadatos en primer lugar y por qué no los están volviendo a poner en línea como se esperaba.

BleepingComputer se puso en contacto con Microsoft sobre este problema ayer, pero no ha recibido respuesta a nuestro correo electrónico.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

SolarWinds ha parcheado cinco fallas de ejecución remota de código (RCE) en su solución Access Rights Manager (ARM), incluidas tres vulnerabilidades de gravedad crítica que permiten la explotación no autenticada.

Access Rights Manager permite a las empresas administrar y auditar los derechos de acceso en toda su infraestructura de TI para minimizar el impacto de las amenazas internas y más.

CVE-2024-23476 y CVE-2024-23479 se deben a debilidades en el recorrido de la ruta, mientras que la tercera falla crítica rastreada como CVE-2023-40057 es causada por la deserialización de datos que no son de confianza.

Los atacantes no autenticados pueden aprovechar los tres para obtener la ejecución de código en los sistemas objetivo que no se han parcheado.

Los otros dos errores (CVE-2024-23477 y CVE-2024-23478) también se pueden usar en ataques RCE y han sido calificados por SolarWinds como problemas de alta gravedad.

Cuatro de las cinco fallas parcheadas por SolarWinds esta semana fueron encontradas y reportadas por investigadores anónimos que trabajan con la Zero Day Initiative (ZDI) de Trend Micro, y la quinta fue descubierta por el investigador de vulnerabilidades de ZDI, Piotr Bazydło.

SolarWinds parcheó las fallas en Access Rights Manager 2023.2.3, que se lanzó este jueves con correcciones de errores y seguridad.

La compañía no ha recibido ningún informe de que estas vulnerabilidades estén siendo explotadas en la naturaleza, dijo un portavoz de SolarWinds a BleepingComputer.


"Estas vulnerabilidades fueron reveladas por el equipo de investigación de seguridad de Trend Micro, que colabora con SolarWinds como parte de nuestro programa de divulgación responsable y nuestro compromiso continuo con el desarrollo seguro de software", dijo el portavoz a BleepingComputer.

"Nos hemos puesto en contacto con los clientes para asegurarnos de que pueden tomar las medidas necesarias para abordar estas vulnerabilidades aplicando los parches que hemos lanzado. La divulgación responsable de las vulnerabilidades es clave para mejorar la seguridad dentro de nuestros productos y de la industria en general, y agradecemos a Trend Micro por su asociación".

SolarWinds también corrigió otros tres errores críticos de RCE de Access Rights Manager en octubre, lo que permitió a los atacantes ejecutar código con privilegios SYSTEM.

Ataque a la cadena de suministro de SolarWinds en marzo de 2020

Hace cuatro años, el grupo de hackers ruso APT29 se infiltró en los sistemas internos de SolarWinds, inyectando código malicioso en las compilaciones de la plataforma de administración de TI SolarWinds Orion descargadas por los clientes entre marzo de 2020 y junio de 2020.

Estas versiones troyanizadas facilitaron el despliegue de la puerta trasera Sunburst en miles de sistemas, pero los atacantes se dirigieron selectivamente a un número significativamente menor de organizaciones para su posterior explotación.

Con una clientela que superaba los 300.000 empleados en todo el mundo, SolarWinds prestaba servicios en ese momento al 96% de las empresas de la lista Fortune 500, incluidas empresas de alto perfil como Apple, Google y Amazon, así como a organizaciones gubernamentales como el Ejército de EE. UU., el Pentágono, el Departamento de Estado, la NASA, la NSA, el Servicio Postal, la NOAA, el Departamento de Justicia y la Oficina del Presidente de los Estados Unidos.

Después de que se revelara el ataque a la cadena de suministro, varias agencias gubernamentales de EE. UU. confirmaron que fueron violados, incluidos los Departamentos de Estado, Seguridad Nacional, Tesoro y Energía, así como la Administración Nacional de Telecomunicaciones e Información (NTIA), los Institutos Nacionales de Salud y la Administración Nacional de Seguridad Nuclear.

En abril de 2021, el gobierno de Estados Unidos acusó formalmente al Servicio de Inteligencia Exterior de Rusia (SVR) de orquestar el ciberataque a SolarWinds.

En octubre, la Comisión de Bolsa y Valores de EE. UU. (SEC) acusó a SolarWinds de defraudar a los inversores al supuestamente no notificarles los problemas de defensa de ciberseguridad antes del hackeo de 2020.

Actualización 16 de febrero, 14:31 EST: Se agregó la instrucción SolarWinds.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

OpenAI ha eliminado las cuentas utilizadas por grupos de amenazas patrocinados por el Estado de Irán, Corea del Norte, China y Rusia, que abusaban de su chatbot de inteligencia artificial, ChatGPT.

La organización de investigación de IA tomó medidas contra cuentas específicas asociadas con los grupos de piratas informáticos que estaban haciendo un mal uso de sus servicios de modelo de lenguaje grande (LLM) con fines maliciosos después de recibir información clave del equipo de inteligencia de amenazas de Microsoft.

En un informe separado, Microsoft proporciona más detalles sobre cómo y por qué estos actores de amenazas avanzadas utilizaron ChatGPT.

La actividad asociada con los siguientes grupos de amenazas se interrumpió en la plataforma:

• Forest Blizzard (Strontium) [Rusia]: Utilizó ChatGPT para realizar investigaciones sobre tecnologías satelitales y de radar pertinentes a las operaciones militares y para optimizar sus operaciones cibernéticas con mejoras en las secuencias de comandos.
• Emerald Sleet (Thallium) [Corea del Norte]: aprovechó ChatGPT para investigar Corea del Norte y generar contenido de spear-phishing, además de comprender vulnerabilidades (como CVE-2022-30190 "Follina") y solucionar problemas de tecnologías web.
• Crimson Sandstorm (Curium) [Irán]: Colaboró con ChatGPT para asistencia de ingeniería social, resolución de errores, desarrollo de .NET y desarrollo de técnicas de evasión.
• Charcoal Typhoon (Chromium) [China]: Interactuó con ChatGPT para ayudar en el desarrollo de herramientas, la creación de scripts, la comprensión de herramientas de ciberseguridad y la generación de contenido de ingeniería social.
• Salmon Typhoon (Sodium) [China]: Emplearon LLM para consultas exploratorias sobre una amplia gama de temas, incluida información confidencial, personas de alto perfil y ciberseguridad, para ampliar sus herramientas de recopilación de inteligencia y evaluar el potencial de las nuevas tecnologías para la obtención de información.

En general, los actores de amenazas utilizaron los grandes modelos de lenguaje para mejorar sus capacidades estratégicas y operativas, incluido el reconocimiento, la ingeniería social, las tácticas de evasión y la recopilación de información genérica.

Ninguno de los casos observados implica el uso de LLM para desarrollar malware directamente o herramientas de explotación personalizadas completas.

En cambio, la asistencia de codificación real se refería a tareas de nivel inferior, como solicitar consejos de evasión, secuencias de comandos, desactivar antivirus y, en general, la optimización de las operaciones técnicas.

En enero, un informe del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido predijo que para 2025 las operaciones de amenazas persistentes avanzadas (APT) sofisticadas se beneficiarán de las herramientas de IA en todos los ámbitos, especialmente en el desarrollo de malware personalizado evasivo.

Sin embargo, el año pasado, según los hallazgos de OpenAI y Microsoft, hubo un aumento en los segmentos de ataque APT como el phishing / ingeniería social, pero el resto fue bastante exploratorio.

OpenAI dice que continuará monitoreando e interrumpiendo a los piratas informáticos respaldados por el estado utilizando tecnología de monitoreo especializada, información de socios de la industria y equipos dedicados encargados de identificar patrones de uso sospechosos.

"Tomamos las lecciones aprendidas del abuso de estos actores y las usamos para informar nuestro enfoque iterativo de la seguridad", se lee en la publicación de OpenAI.

"Comprender cómo los actores maliciosos más sofisticados buscan usar nuestros sistemas para causar daños nos da una señal sobre prácticas que pueden generalizarse en el futuro y nos permite evolucionar continuamente nuestras salvaguardas", agregó la compañía.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un nuevo troyano para iOS y Android llamado 'GoldPickaxe' emplea un esquema de ingeniería social para engañar a las víctimas para que escaneen sus rostros y documentos de identidad, que se cree que se utilizan para generar deepfakes para el acceso bancario no autorizado.

El nuevo malware, detectado por Group-IB, es parte de un paquete de malware desarrollado por el grupo de amenazas chino conocido como 'GoldFactory', que es responsable de otras cepas de malware como 'GoldDigger', 'GoldDiggerPlus' y 'GoldKefu'.

Group-IB dice que sus analistas observaron ataques dirigidos principalmente a la región de Asia-Pacífico, principalmente Tailandia y Vietnam. Sin embargo, las técnicas empleadas podrían ser efectivas a nivel mundial, y existe el peligro de que sean adoptadas por otras cepas de malware.

Comienza con ataques de ingeniería social

La distribución de Gold Pickaxe comenzó en octubre de 2023 y aún está en curso. Se considera parte de una campaña de GoldFactory que comenzó en junio de 2023 con Gold Digger.


Se contacta con las víctimas a través de mensajes de phishing o smishing en la aplicación LINE escritos en su idioma local, haciéndose pasar por autoridades o servicios gubernamentales.

Los mensajes intentan engañarlos para que instalen aplicaciones fraudulentas, como una aplicación falsa de "Pensión digital" alojada en sitios web que se hacen pasar por Google Play.


En el caso de los usuarios de iOS (iPhone), los actores de amenazas dirigieron inicialmente a los objetivos a una URL de TestFlight para instalar la aplicación maliciosa, lo que les permitió eludir el proceso normal de revisión de seguridad.

Cuando Apple eliminó la aplicación TestFlight, los atacantes pasaron a atraer a los objetivos para que descargaran un perfil malicioso de administración de dispositivos móviles (MDM) que permite a los actores de amenazas tomar el control de los dispositivos.

Capacidades de pico de oro

Una vez que el troyano se ha instalado en un dispositivo móvil en forma de una aplicación gubernamental falsa, opera de forma semiautónoma, manipulando funciones en segundo plano, capturando el rostro de la víctima, interceptando los SMS entrantes, solicitando documentos de identidad y redirigiendo el tráfico de red a través del dispositivo infectado mediante 'MicroSocks'.

En los dispositivos iOS, el malware establece un canal de socket web para recibir los siguientes comandos:

• Heartbeat: servidor de comando y control ping (C2)
• init: enviar información del dispositivo al C2
• upload_idcard: solicitar a la víctima que tome una foto de su DNI
• Face: Solicita a la víctima que tome un video de su rostro
• Upgrade: muestra un mensaje falso de "Dispositivo en uso" para evitar interrupciones
• album: Sincronizar la fecha de la biblioteca de fotos (exfiltrar a un depósito en la nube)
• again_upload: Vuelva a intentar la exfiltración del video de la cara de la víctima en el cubo
• Destroy: detener el troyano

Los resultados de la ejecución de los comandos anteriores se comunican al C2 a través de solicitudes HTTP.


Group-IB dice que la versión de Android del troyano realiza más actividades maliciosas que en iOS debido a las mayores restricciones de seguridad de Apple. Además, en Android, el troyano utiliza más de 20 aplicaciones falsas diferentes como tapadera.

Por ejemplo, GoldPickaxe también puede ejecutar comandos en Android para acceder a SMS, navegar por el sistema de archivos, realizar clics en la pantalla, cargar las 100 fotos más recientes del álbum de la víctima, descargar e instalar paquetes adicionales y servir notificaciones falsas.


El uso de los rostros de las víctimas para el fraude bancario es una suposición de Group-IB, también corroborada por la policía tailandesa, basada en el hecho de que muchas instituciones financieras agregaron controles biométricos el año pasado para transacciones superiores a cierta cantidad.

Es esencial aclarar que, si bien GoldPickaxe puede robar imágenes de teléfonos iOS y Android que muestran el rostro de la víctima y engañar a los usuarios para que revelen su rostro en video a través de ingeniería social, el malware no secuestra los datos de Face ID ni explota ninguna vulnerabilidad en los dos sistemas operativos móviles.

Los datos biométricos almacenados en los enclaves seguros de los dispositivos siguen estando debidamente encriptados y completamente aislados de las aplicaciones en ejecución.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad han descubierto que es posible que los actores de amenazas exploten una utilidad conocida llamada command-not-found para recomendar sus propios paquetes maliciosos y comprometer los sistemas que ejecutan el sistema operativo Ubuntu.

"Si bien el 'comando no encontrado' sirve como una herramienta conveniente para sugerir instalaciones para comandos desinstalados, los atacantes pueden manipularlo inadvertidamente a través del repositorio de instantáneas, lo que lleva a recomendaciones engañosas de paquetes maliciosos", dijo la firma de seguridad en la nube Aqua en un informe compartido con The Hacker News.

Instalado de forma predeterminada en los sistemas Ubuntu, command-not-found sugiere paquetes para instalar en sesiones bash interactivas cuando se intenta ejecutar comandos que no están disponibles. Las sugerencias incluyen tanto la herramienta de empaquetado avanzado (APT) como los paquetes de ajuste.

Cuando la herramienta utiliza una base de datos interna ("/var/lib/command-not-found/commands.db") para sugerir paquetes APT, se basa en el comando "advise-snap" para sugerir snaps que proporcionen el comando dado.

Por lo tanto, si un atacante puede jugar con este sistema y hacer que su paquete malicioso sea recomendado por el paquete command-not-found, podría allanar el camino para ataques a la cadena de suministro de software.

Aqua dijo que encontró una laguna de seguridad en la que el mecanismo de alias puede ser explotado por el actor de amenazas para registrar potencialmente el nombre de snap correspondiente asociado con un alias y engañar a los usuarios para que instalen el paquete malicioso.

Es más, un atacante podría reclamar el nombre del snap relacionado con un paquete APT y cargar un snap malicioso, que luego termina siendo sugerido cuando un usuario escribe el comando en su terminal.


"Los mantenedores del paquete APT 'jupyter-notebook' no habían reclamado el nombre de snap correspondiente", dijo el investigador de seguridad de Aqua, Ilay Goldman. "Este descuido dejó una ventana de oportunidad para que un atacante lo reclamara y cargara un snap malicioso llamado 'jupyter-notebook'".

Para empeorar las cosas, la utilidad command-not-found sugiere el paquete snap sobre el paquete APT legítimo para jupyter-notebook, engañando a los usuarios para que instalen el paquete snap falso.

Hasta el 26% de los comandos del paquete APT son vulnerables a la suplantación de identidad por parte de actores maliciosos, señaló Aqua, lo que presenta un riesgo de seguridad sustancial, ya que podrían registrarse bajo la cuenta de un atacante.

Una tercera categoría implica ataques de typosquatting en los que los errores tipográficos cometidos por los usuarios (por ejemplo, ifconfigg en lugar de ifconfig) se aprovechan para sugerir paquetes snap falsos mediante el registro de un paquete fraudulento con el nombre "ifconfigg".

En tal caso, command-not-found "lo haría coincidir erróneamente con este comando incorrecto y recomendaría el chasquido malicioso, evitando por completo la sugerencia de 'net-tools'", explicaron los investigadores de Aqua.

Al describir el abuso de la utilidad command-not-found para recomendar paquetes falsificados como una preocupación apremiante, la compañía insta a los usuarios a verificar la fuente de un paquete antes de la instalación y verificar la credibilidad de los mantenedores.

También se ha aconsejado a los desarrolladores de paquetes APT y snap que registren el nombre snap asociado a sus comandos para evitar que se utilicen indebidamente.

"Sigue siendo incierto hasta qué punto se han explotado estas capacidades, lo que subraya la urgencia de una mayor vigilancia y estrategias de defensa proactivas", dijo Aqua.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una ingeniería inversa del firmware que se ejecuta en los dispositivos Ivanti Pulse Secure ha revelado numerosas debilidades, lo que subraya una vez más el desafío de proteger las cadenas de suministro de software.

Eclypsiusm, que adquirió la versión de firmware 9.1.18.2-24467.1 como parte del proceso, dijo que el sistema operativo base utilizado por la compañía de software con sede en Utah para el dispositivo es CentOS 6.4.

"Pulse Secure ejecuta una versión de Linux de 11 años de antigüedad que no ha sido compatible desde noviembre de 2020", dijo la compañía de seguridad de firmware en un informe compartido con The Hacker News.

El desarrollo se produce en un momento en que los actores de amenazas están aprovechando una serie de fallos de seguridad descubiertos en las pasarelas Ivanti Connect Secure, Policy Secure y ZTA para entregar una amplia gama de malware, incluidos webshells, ladrones y puertas traseras.

Las vulnerabilidades que han sido objeto de explotación activa en los últimos meses comprenden CVE-2023-46805, CVE-2024-21887 y CVE-2024-21893. La semana pasada, Ivanti también reveló otro error en el software (CVE-2024-22024) que podría permitir a los actores de amenazas acceder a recursos que de otro modo estarían restringidos sin ninguna autenticación.

En una alerta publicada ayer, la empresa de infraestructura web Akamai dijo que ha observado una "actividad de escaneo significativa" dirigida a CVE-2024-22024 a partir del 9 de febrero de 2024, tras la publicación de una prueba de concepto (PoC) por parte de watchTowr.

Eclypsium dijo que aprovechó un exploit PoC para CVE-2024-21893 que fue lanzado por Rapid7 a principios de este mes para obtener una carcasa inversa para el dispositivo PSA3000, exportando posteriormente la imagen del dispositivo para un análisis de seguimiento utilizando el analizador de seguridad de firmware EMBA.

Esto no solo descubrió una serie de paquetes obsoletos, lo que corrobora los hallazgos anteriores del investigador de seguridad Will Dormann, sino también una serie de bibliotecas vulnerables que son acumulativamente susceptibles a 973 fallas, de las cuales 111 tienen exploits conocidos públicamente.


Perl, por ejemplo, no se ha actualizado desde la versión 5.6.1, que se lanzó hace 23 años, el 9 de abril de 2001. La versión del kernel de Linux es la 2.6.32, que llegó al final de su vida útil (EoL) en marzo de 2016.

"Estos antiguos paquetes de software son componentes del producto Ivanti Connect Secure", dijo Eclypsium. "Este es un ejemplo perfecto de por qué la visibilidad de las cadenas de suministro digitales es importante y por qué los clientes empresariales exigen cada vez más SBOM a sus proveedores".

Además, un examen más profundo del firmware descubrió 1.216 problemas en 76 scripts de shell, 5.218 vulnerabilidades en 5.392 archivos de Python, además de 133 certificados obsoletos.


Los problemas no terminan ahí, ya que Eclypsium encontró un "agujero de seguridad" en la lógica de la herramienta Integrity Checker (ICT) que Ivanti ha recomendado a sus clientes que utilicen para buscar indicadores de compromiso (IoC).

Específicamente, se ha encontrado que el script excluye más de una docena de directorios como /data, /etc, /tmp y /var de ser escaneados, lo que hipotéticamente permite a un atacante implementar sus implantes persistentes en una de estas rutas y aún así pasar la verificación de integridad. Sin embargo, la herramienta analiza la partición /home que almacena todos los daemons y archivos de configuración específicos del producto.

Como resultado, la implementación del marco posterior a la explotación de Sliver en el directorio /data y la ejecución de informes de TIC no presenta problemas, descubrió Eclypsium, lo que sugiere que la herramienta proporciona una "falsa sensación de seguridad".

Vale la pena señalar que también se ha observado que los actores de amenazas manipulan las TIC integradas en los dispositivos Ivanti Connect Secure comprometidos en un intento de eludir la detección.

En un ataque teórico demostrado por Eclypsium, un actor de amenazas podría dejar caer sus herramientas de la siguiente etapa y almacenar la información recopilada en la partición /data y luego abusar de otra falla de día cero para obtener acceso al dispositivo y exfiltrar los datos preparados anteriormente, mientras la herramienta de integridad no detecta signos de actividad anómala.

"Debe haber un sistema de controles y equilibrios que permita a los clientes y a terceros validar la integridad y seguridad del producto", dijo la compañía. "Cuanto más abierto sea este proceso, mejor trabajo podremos hacer para validar la cadena de suministro digital, es decir, el hardware, el firmware y los componentes de software utilizados en sus productos".

"Cuando los proveedores no comparten información y/o operan un sistema cerrado, la validación se vuelve difícil, al igual que la visibilidad. Lo más seguro es que los atacantes, como se ha demostrado recientemente, se aprovechen de esta situación y exploten la falta de controles y visibilidad del sistema".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha parcheado hoy un Windows Defender SmartScreen de día cero explotado en la naturaleza por un grupo de amenazas motivado financieramente para implementar el troyano de acceso remoto (RAT) DarkMe.

El grupo de piratas informáticos (rastreado como Water Hydra y DarkCasino) fue detectado utilizando el día cero (CVE-2024-21412) en ataques el día de Nochevieja por los investigadores de seguridad de Trend Micro.

"Un atacante no autenticado podría enviar al usuario objetivo un archivo especialmente diseñado para eludir los controles de seguridad mostrados", dijo Microsoft en un aviso de seguridad emitido hoy.

"Sin embargo, el atacante no tendría forma de obligar a un usuario a ver el contenido controlado por el atacante. En su lugar, el atacante tendría que convencerlos de que tomen medidas haciendo clic en el enlace del archivo".

El investigador de seguridad de Trend Micro, Peter Girnus, a quien se le atribuye el informe de este día cero, reveló que la falla CVE-2024-21412 pasa por alto otra vulnerabilidad de Defender SmartScreen (CVE-2023-36025).

CVE-2023-36025 se parcheó durante el martes de parches de noviembre de 2023 y, como reveló Trend Micro el mes pasado, también se explotó para eludir las indicaciones de seguridad de Windows al abrir archivos URL para implementar el malware ladrón de información Phemedrone.


El día cero se utiliza para dirigirse a los operadores de los mercados financieros

El día cero que Microsoft parcheó hoy se utilizó en ataques dirigidos a "operadores de divisas que participan en el mercado de comercio de divisas de alto riesgo", con el probable objetivo final de ser el robo de datos o la implementación de ransomware en una etapa posterior.

"A finales de diciembre de 2023, comenzamos a rastrear una campaña del grupo Water Hydra que contenía herramientas, tácticas y procedimientos (TTP) similares que implicaban abusar de los accesos directos de Internet (. URL) y componentes de creación y control de versiones distribuidos basados en web (WebDAV)", explicó Trend Micro.

"Llegamos a la conclusión de que llamar a un acceso directo dentro de otro acceso directo era suficiente para evadir SmartScreen, que no aplicaba correctamente Mark-of-the-Web (MotW), un componente crítico de Windows que alerta a los usuarios cuando abren o ejecutan archivos de una fuente no confiable".

Water Hydra aprovechó CVE-2024-21412 para atacar los foros de comercio de divisas y los canales de Telegram de comercio de acciones en ataques de spearphishing, impulsando un gráfico de acciones malicioso que enlazaba con un sitio de información comercial comprometido de Rusia (fxbulls[.] ru) haciéndose pasar por una plataforma de bróker de Forex (fxbulls[.] com).

El objetivo de los atacantes era engañar a los comerciantes objetivo para que instalaran el malware DarkMe a través de la ingeniería social.

Las tácticas que utilizaron incluyen la publicación de mensajes en inglés y ruso en los que se solicitaba u ofrecía orientación comercial y la difusión de herramientas financieras y de acciones falsificadas relacionadas con el análisis técnico de gráficos y las herramientas de indicadores gráficos.



Los hackers de Water Hydra han explotado otras vulnerabilidades de día cero en el pasado. Por ejemplo, utilizaron una vulnerabilidad de alta gravedad (CVE-2023-38831) en el software WinRAR utilizado por más de 500 millones de usuarios para comprometer las cuentas de trading varios meses antes de que estuviera disponible un parche.

Más tarde, otros proveedores vincularon la explotación CVE-2023-38831 con múltiples grupos de piratas informáticos respaldados por el gobierno, incluidos los grupos de amenazas Sandworm, APT28, APT40, DarkPink (NSFOCUS) y Konni (Knownsec) de Rusia, China y Corea del Norte.

Hoy, Microsoft parcheó un segundo Windows SmartScreen de día cero (CVE-2024-21351) explotado en la naturaleza que podría permitir a los atacantes inyectar código en SmartScreen y obtener la ejecución de código.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un actor de amenazas filtró 200.000 registros en un foro de hackers, afirmando que contenían los números de teléfono móvil, las direcciones de correo electrónico y otra información personal de los usuarios de Facebook Marketplace.

BleepingComputer verificó algunos de los datos filtrados haciendo coincidir las direcciones de correo electrónico y los números de teléfono en registros aleatorios dentro de los datos de muestra compartidos por IntelBroker, el actor de amenazas que filtró los datos en línea.

Un portavoz de Meta no estuvo disponible de inmediato para hacer comentarios cuando BleepingComputer se puso en contacto con él el día de hoy.

IntelBroker afirma que esta base de datos parcial de Facebook Marketplace fue robada por alguien que usó el identificador de Discord 'algoatson' después de piratear los sistemas de un contratista de Meta.

"En octubre de 2023, un ciberdelincuente con el nombre de 'algoatson' en Discord, violó a un contratista que administra servicios en la nube para Facebook y robó su base de datos parcial de usuarios de 200,000 entradas", dice IntelBroker.

La base de datos filtrada contiene una amplia variedad de información de identificación personal (PII), incluidos nombres, números de teléfono, direcciones de correo electrónico, ID de Facebook e información de perfil de Facebook.

Los actores de amenazas pueden usar las direcciones de correo electrónico filtradas en línea en ataques de phishing y los números de teléfono móvil de los usuarios de Facebook Marketplace en ataques de phishing móvil.

Los números de teléfono móvil y la información personal expuestos también se pueden utilizar en ataques de intercambio de SIM que les permitirían robar códigos de autenticación multifactor enviados por SMS y secuestrar las cuentas de sus objetivos.


IntelBroker es conocido por la violación de DC Health Link, que llevó a una audiencia en el Congreso después de que los datos personales de los miembros y el personal de la Cámara de Representantes de EE. UU. se filtraran en línea.

Otros incidentes de ciberseguridad vinculados a IntelBroker son la venta de datos robados de Hewlett Packard Enterprise (HPE), una supuesta violación de General Electric Aviation y la violación del servicio de comestibles Weee!.

La filtración de datos de Facebook Marketplace no es el primer incidente de este tipo que Meta ha experimentado en los últimos años.

En noviembre de 2022, Meta recibió una multa de 265 millones de euros (275,5 millones de dólares) por no proteger la información personal de los usuarios de Facebook de los scrapers después de que se filtraran datos vinculados a más de 533 millones de cuentas de Facebook en un foro de hackers en abril de 2021.

Los datos robados aparecieron por primera vez en una comunidad de hackers en junio de 2020 y contenían información que podía extraerse de los perfiles públicos y de los números de teléfono móvil privados de las cuentas afectadas.

A 533.313.128 usuarios de Facebook se les filtraron sus datos, y la información expuesta incluía sus números de teléfono móvil, ID de Facebook, nombres, géneros, ubicaciones, estados de relación, ocupaciones, fechas de nacimiento y direcciones de correo electrónico.

Casi todos los registros de usuarios de Facebook filtrados en abril de 2021 incluían los números de teléfono móvil, las identificaciones de Facebook y los nombres de los usuarios, según muestras de los datos de Facebook vistos por BleepingComputer en ese momento.

La filtración de datos de abril de 2021 también incluía los números de teléfono de tres de los fundadores de Facebook (es decir, Mark Zuckerberg, Chris Hughes y Dustin Moskovitz).

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los incidentes de ciberseguridad de Midnight Blizzard y Cloudflare-Atlassian hicieron saltar las alarmas sobre las vulnerabilidades inherentes a las principales plataformas SaaS. Estos incidentes ilustran lo que está en juego en las brechas de SaaS: salvaguardar la integridad de las aplicaciones SaaS y sus datos confidenciales es fundamental, pero no es fácil. Los vectores de amenazas comunes, como el sofisticado spear-phishing, las configuraciones incorrectas y las vulnerabilidades en las integraciones de aplicaciones de terceros, demuestran los complejos desafíos de seguridad a los que se enfrentan los sistemas de TI.

En el caso de Midnight Blizzard, la pulverización de contraseñas contra un entorno de prueba fue el vector de ataque inicial. En el caso de Cloudflare-Atlassian, los actores de amenazas iniciaron el ataque a través de tokens OAuth comprometidos de una violación anterior en Okta, un proveedor de seguridad de identidad SaaS.

¿Qué pasó exactamente?

Violación de Microsoft Midnight Blizzard#
Microsoft fue atacado por los piratas informáticos rusos "Midnight Blizzard" (también conocidos como Nobelium, APT29 o Cozy Bear) que están vinculados al SVR, la unidad del servicio de inteligencia exterior del Kremlin.

En la brecha de Microsoft, los actores de amenazas:

• Se usó una estrategia de difusión de contraseñas en una cuenta heredada y cuentas de prueba históricas que no tenían habilitada la autenticación multifactor (MFA). Según Microsoft, los actores de amenazas "[utilizaron] un número bajo de intentos para evadir la detección y evitar los bloqueos de cuentas en función del volumen de fallas".
• Se aprovechó la cuenta heredada comprometida como punto de entrada inicial para luego secuestrar una aplicación OAuth de prueba heredada. Esta aplicación OAuth heredada tenía permisos de alto nivel para acceder al entorno corporativo de Microsoft.
• Se crearon aplicaciones de OAuth maliciosas aprovechando los permisos de la aplicación de OAuth heredada. Debido a que los actores de amenazas controlaban la aplicación OAuth heredada, podían mantener el acceso a las aplicaciones incluso si perdían el acceso a la cuenta comprometida inicialmente.
• Se concedieron permisos de administrador de Exchange y credenciales de administrador a sí mismos.
• Escalaron los privilegios de OAuth a un nuevo usuario, que ellos controlaban.
• Dio su consentimiento para que las aplicaciones OAuth maliciosas usaran su cuenta de usuario recién creada.
• Se amplió aún más el acceso a la aplicación heredada concediéndole acceso completo a los buzones de correo de M365 Exchange Online. Con este acceso, Midnight Blizzard pudo ver las cuentas de correo electrónico de M365 pertenecientes a miembros del personal superior y filtrar correos electrónicos y archivos adjuntos corporativos.

Brecha entre Cloudflare y Atlassian

El Día de Acción de Gracias, el 23 de noviembre de 2023, los sistemas Atlassian de Cloudflare también se vieron comprometidos por un ataque de estado-nación.

• Esta infracción, que comenzó el 15 de noviembre de 2023, fue posible gracias al uso de credenciales comprometidas que no se habían cambiado tras una infracción anterior en Okta en octubre de 2023.
• Los atacantes accedieron a la wiki interna de Cloudflare y a la base de datos de errores, lo que les permitió ver 120 repositorios de código en la instancia de Atlassian de Cloudflare.
• 76 repositorios de código fuente relacionados con tecnologías operativas clave fueron potencialmente exfiltrados.
• Cloudflare detectó al actor de amenazas el 23 de noviembre porque el actor de amenazas conectó una cuenta de servicio de Smartsheet a un grupo de administradores en Atlassian.

Los actores de amenazas se dirigen cada vez más a SaaS

Estas brechas son parte de un patrón más amplio de actores de estados-nación que atacan a los proveedores de servicios SaaS, incluidos, entre otros, el espionaje y la recopilación de inteligencia. Midnight Blizzard participó anteriormente en importantes operaciones cibernéticas, incluido el ataque de SolarWinds de 2021.

Estos incidentes subrayan la importancia de la supervisión continua de sus entornos SaaS y el riesgo continuo que plantean los adversarios cibernéticos sofisticados que se dirigen a la infraestructura crítica y a la pila tecnológica operativa. También destacan vulnerabilidades significativas relacionadas con la gestión de identidades SaaS y la necesidad de prácticas estrictas de gestión de riesgos de aplicaciones de terceros.

Los atacantes utilizan tácticas, técnicas y procedimientos (TTP) comunes para vulnerar a los proveedores de SaaS a través de la siguiente cadena de eliminación:

• Acceso inicial: Difusión de contraseñas, secuestro de OAuth
• Persistencia: suplanta a un administrador y crea OAuth adicional
• Evasión de defensa: OAuth con privilegios altos, sin MFA
• Movimiento lateral: compromiso más amplio de las aplicaciones conectadas
• Exfiltración de datos: extraiga datos confidenciales y privilegiados de las aplicaciones

Rompiendo la cadena de eliminación de SaaS

Una forma eficaz de romper la cadena de eliminación antes de tiempo es con la supervisión continua, la aplicación granular de políticas y la gestión proactiva del ciclo de vida en sus entornos SaaS. Una plataforma SaaS Security Posture Management (SSPM) como AppOmni puede ayudar a detectar y alertar sobre:

• Acceso inicial: Reglas listas para usar para detectar el riesgo de credenciales, incluida la pulverización de contraseñas, los ataques de fuerza bruta y las políticas de MFA no aplicadas
• Persistencia: Escanee e identifique los permisos de OAuth y detecte el secuestro de OAuth
• Evasión de defensa: Comprobaciones de políticas de acceso, detectan si se crea un nuevo proveedor de identidad (IdP), detectan cambios de permisos.
• Movimiento lateral: Supervise los inicios de sesión y el acceso con privilegios, detecte combinaciones tóxicas y comprenda el radio de explosión de una cuenta potencialmente comprometida

Nota: Este artículo ha sido escrito por Beverly Nevalga, AppOmni.
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha descubierto que la botnet Glupteba incorpora una función de bootkit de interfaz de firmware extensible unificada (UEFI) previamente no documentada, lo que agrega otra capa de sofisticación y sigilo al malware.

"Este bootkit puede intervenir y controlar el proceso de arranque [del sistema operativo], lo que permite a Glupteba ocultarse y crear una persistencia sigilosa que puede ser extremadamente difícil de detectar y eliminar", dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Lior Rochberger y Dan Yashnik, en un análisis del lunes.

Glupteba es un ladrón de información con todas las funciones y una puerta trasera capaz de facilitar la minería ilícita de criptomonedas y desplegar componentes proxy en hosts infectados. También se sabe que aprovecha la cadena de bloques de Bitcoin como un sistema de comando y control (C2) de respaldo, lo que la hace resistente a los esfuerzos de derribo.

Algunas de las otras funciones le permiten entregar cargas útiles adicionales, desviar credenciales y datos de tarjetas de crédito, realizar fraudes publicitarios e incluso explotar enrutadores para obtener credenciales y acceso administrativo remoto.

Durante la última década, el malware modular se ha metamorfoseado en una amenaza sofisticada que emplea elaboradas cadenas de infección de varias etapas para eludir la detección por parte de las soluciones de seguridad.

Una campaña de noviembre de 2023 observada por la firma de ciberseguridad implica el uso de servicios de pago por instalación (PPI) como Ruzki para distribuir Glupteba. En septiembre de 2022, Sekoia vinculó Ruzki a los clústeres de actividad, aprovechando PrivateLoader como conducto para propagar el malware de la siguiente etapa.

Esto toma la forma de ataques de phishing a gran escala en los que PrivateLoader se entrega bajo la apariencia de archivos de instalación de software crackeado, que luego carga SmokeLoader que, a su vez, lanza RedLine Stealer y Amadey, y este último finalmente abandona Glupteba.


"Los actores de amenazas a menudo distribuyen Glupteba como parte de una compleja cadena de infección que propaga varias familias de malware al mismo tiempo", explicaron los investigadores. "Esta cadena de infección a menudo comienza con una infección de PrivateLoader o SmokeLoader que carga otras familias de malware y luego carga Glupteba".

En una señal de que el malware se está manteniendo activamente, Glupteba viene equipado con un kit de arranque UEFI al incorporar una versión modificada de un proyecto de código abierto llamado EfiGuard, que es capaz de deshabilitar PatchGuard y Driver Signature Enforcement (DSE) en el momento del arranque.

Vale la pena señalar que se descubrió que las versiones anteriores del malware "instalan un controlador de kernel que el bot usa como rootkit y realizan otros cambios que debilitan la postura de seguridad de un host infectado".

"El malware Glupteba continúa destacándose como un ejemplo notable de la complejidad y adaptabilidad exhibida por los ciberdelincuentes modernos", dijeron los investigadores.

"La identificación de una técnica de omisión UEFI no documentada dentro de Glupteba subraya la capacidad de innovación y evasión de este malware. Además, con su papel en la distribución de Glupteba, el ecosistema PPI destaca las estrategias de colaboración y monetización empleadas por los ciberdelincuentes en sus intentos de infecciones masivas".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los perpetradores de ciberdelincuencia están aprovechando los anuncios en la plataforma X para promover sitios web que dirigen a esquemas de drenado de criptomonedas, falsas distribuciones aéreas y otras estafas. Al igual que cualquier otra plataforma publicitaria, X, previamente conocida como Twitter, asegura presentar anuncios basados en la actividad del usuario, generando anuncios que se ajustan a los intereses de los usuarios.

Aunque Elon Musk había mencionado previamente que YouTube era una plataforma con anuncios fraudulentos incesantes, X, por su parte, parece enfrentar su propio problema, ya que exhibe cada vez más anuncios que respaldan estafas relacionadas con criptomonedas.


Estas estafas comprenden enlaces a canales de Telegram que promueven tácticas de manipulación de precios (pump and dumps), páginas de suplantación de identidad (phishing) y enlaces a sitios que alojan drenadores de criptomonedas. Estos últimos son scripts maliciosos diseñados para sustraer todos los activos de una billetera conectada.

Debido a que X presenta anuncios basados en los intereses de los usuarios, es probable que aquellos que no participan en el ámbito de las criptomonedas no visualicen estos anuncios. Sin embargo, para aquellos que se encuentran activos en este espacio, están experimentando lo que parece ser una corriente interminable de anuncios maliciosos.

Una publicación en X menciona: "No exagero cuando afirmo que CADA anuncio que veo en X es un enlace fraudulento relacionado con las criptomonedas con la intención de vaciar las billeteras de las personas".


Aunque los atacantes han estado explotando la plataforma publicitaria de X durante un tiempo, la abundancia de anuncios maliciosos ha crecido considerablemente en el último mes, lo que ha llevado al investigador de seguridad MalwareHunterTeam a rastrearlos. Este investigador ha estado compartiendo capturas de pantalla de anuncios en X que contienen estafas relacionadas con criptomonedas, la mayoría provenientes de usuarios verificados.


La situación se ha deteriorado tanto que otros usuarios de X se ven obligados a dejar mensajes comunitarios en los anuncios para alertar a los demás sobre posibles estafas o scripts maliciosos de drenado de billeteras.


El mes pasado, ScamSniffer informó que un drenador de criptomonedas denominado 'MS Drainer', que se promociona tanto en la Búsqueda de Google como en los anuncios de X, había defraudado a 63,210 víctimas, robándoles 59 millones de dólares en un período de nueve meses.

En la plataforma X, los actores de amenazas han creado anuncios que simulan ser una colección de NFT de edición limitada denominada Ordinals Bubbles, así como falsos lanzamientos aéreos y presentaciones de nuevos tokens.

No se tiene claridad sobre el proceso de investigación que X emplea para prevenir estos anuncios, pero muchos usuarios se sienten frustrados debido a la falta de escrutinio sobre qué anuncios pueden ser publicados en el sitio.

Bloomberg informó el mes pasado que se anticipa una disminución de 2,500 millones de dólares en los ingresos publicitarios de X, representando una caída de más del 50% en comparación con 2022. Esta situación ha llevado a algunos usuarios de X a especular que Twitter podría estar pasando por alto estos anuncios maliciosos para compensar sus menguantes ingresos publicitarios.

No se ha establecido contacto con X en relación con esta historia, ya que no han respondido a correos electrónicos previos enviados por BleepingComputer.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login